La sécurité est une préoccupation importante pour les utilisateurs de WordPress. Je vous parle régulièrement de sécurité, entre autres, dans les alertes concernant les thèmes et les plugin et de la façon dont vous devez vous protéger contre le piratage. Mais le mot « sécurité » est un simple point de vue, et il n’y a pas de limite à la protection de votre site.
Les plugin de sécurité renforcent l’aspect sécuritaire des sites WordPress, mais il y a d’autres façons d’endurcir votre site WordPress.
Les gens ne pensent pas tous à la même chose lorsqu’il disent qu’ils cachent WordPress. Qu’est-ce qu’on entend habituellement par « cacher que vous utilisez WordPress »? La réponse est simple, vous tentez de dissimuler que votre site fonctionne sous WordPress, à toutes personnes et aux robots qui tentent d’identifier votre CMS.
Comment cacher que vous utilisez WordPress?
Plusieurs d’entre vous m’ont demandé la façon de cacher que vous utilisez WordPress pour votre site. L’idée n’a rien de nouveau, mais il y a beaucoup de controverses autour du fait de cacher ou de ne pas cacher que WordPress pilote votre site.
La technique de dissimulation d’information est connu sous le nom de sécurité par obfuscation. De nombreux experts WordPress croient que cela n’a aucun impact sur la sécurité des sites WordPress.
Vous vous demandez probablement, pourquoi?
Selon les experts, il y a des centaines d’autres façons de savoir que vous utilisez WordPress, sa version et d’autres aspects de WordPress. Les utilisateurs avancés peuvent trouver de nombreux sites qui leur expliqueront que cacher que vous utilisez WordPress, par obfuscation n’a aucun impact sur les paramètres de sécurité du site.
Baleine ou poisson rouge?
Il faut constater que de nombreux petits sites d’e-commerce pensent que les pirates ne s’attaqueront jamais à eux, car leurs sites sont trop petits pour les intéresser. Le raisonnement est intuitif, mais la vérité est différente. Selon un article du magazine Forbes, près de 30.000 sites sont piratés quotidiennement. Un nombre impressionnant!
En bref, cela n’a aucune importance que vous soyez une baleine (TF1, LeBonCoin, cDiscount, etc.) ou un poisson rouge, vous serez piraté, un jour.
Mais, avant d’aller plus loin, nous allons énumérer certains des points de base, que vous pouvez mettre en place, pour rendre votre site WordPress plus sécurisé.
Règles de sécurité à respecter dans tous les cas
- La règle numéro 1 de la sécurisation de votre site WordPress est d’utiliser des mots de passe forts. Il n’y a rien d’équivalent à un mot de passe fort. Si vous ne savez pas comment générer un mot de passe fort, il existe de nombreux générateur de mot de passe aléatoire disponibles gratuitement sur Internet.
Voici un exemple de mot de passe fort:
- Faites des mises à jour dès qu’une nouvelle version est disponible. J’ai vu de nombreux propriétaires de sites WordPress (y compris des sites de professionnels) qui ignorent superbement toutes les mises à jour, cœur de WordPress, plugin et thèmes. Ce genre de comportement est la porte ouverte aux problèmes, les pirates n’attendent que cela pour exploiter ce genre de failles pour accéder, sans autorisation, à votre site.
- Utilisez un plugin de sécurité tel que iThemes Security, WordFence, etc.
- Envisager de protéger votre page de connexion des attaques par force brute en insérant un CAPTCHA et / ou une authentification à 2 facteurs.
Pourquoi est-ce une mauvaise idée de cacher que vous utilisez WordPress?
Beaucoup de propriétaires de sites WordPress ne sont pas convaincus qu’utiliser l’obfuscation pour sécuriser leur site est une bonne chose, et j’ai énuméré plusieurs raisons au début de cet article.
Voici d’autres raisons qui peuvent vous convaincre de ne pas utiliser l’obfuscation pour sécuriser votre site:
- Les robots malveillants ne tiennent pas compte de la version de WordPress
- Il y a de nombreuses façons de savoir que vous utilisez WordPress
- Tout pirate capable d’accéder à votre site finira par trouver une information que vous avez oublié de cacher
- Si l’obfuscation était la solution, nous n’aurions aucune version pour les produits disponibles sur le marché
Toujours pas convaincu? Continuons, malgré tout!
Je comprends qu’il y ait beaucoup de scénarios qui peuvent conduire à l’utilisation de l’obfuscation pour la sécurité. Mais, quelle que soit la raison, nous devons aller de l’avant et cacher WordPress aux intrus.
WordPress est un système de gestion de contenu bien connu. Plus de 25% des sites Internet utilisent WordPress. En raison de cette popularité, pirater un site WordPress est devenu un objectif de réalisation pour les pirates.
Chaque année, des milliers de sites WordPress sont piratés. Les raisons sont nombreuses, thèmes ou plugin vulnérables, mots de passe trop simples, etc.
Pourtant que WordPress est une plate-forme sécurisé?
- 41% des sites sont piratés via leur hébergeur. Cela signifie que les pirates ont exploité une vulnérabilité, ou ont profité de la configuration précaire du fournisseur d’hébergement pour être en mesure de pirater les blogs WordPress et d’autres sites web hébergés.
- 29% des sites sont piratés via une vulnérabilité dans le thème WordPress. Cela signifie qu’un hacker identifie une vulnérabilité dans un thème qui a été installé.
- 22% des sites sont piratés via une vulnérabilité d’un plugin installé sur un site / blog WordPress.
- 8% des sites sont piratés parce qu’un compte du site WordPress utilise un mot de passe faible.
Une fois qu’il a obtenu l’accès à un site WordPress, le pirate effectue la plupart du temps des changements pour cacher ses traces et conserver son accès, en tant qu’administrateur du site WordPress:
- Il crée un nouveau compte avec des privilèges d’administrateur
- Il réinitialise les mot de passe pour s’assurer qu’aucun autre utilisateur ne peut récupérer l’accès
- Il change le rôle des comptes existants
- Il modifie le contenu en injectant du code malveillant
- Il crée des redirections dans les fichiers .htaccess
Le piratage de WordPress est facile, mais peut être évité
Il existe différents plugin, gratuits et payants, pour sécuriser votre site WordPress. Les plus populaires sont WordFence Security, BulletProof Security et iThemes Security.
Et si vous pouviez complètement cacher que vous utilisez WordPress pour votre blog, pour encore plus de protection?
Si vous avez le budget et si votre site WordPress est la plaque tournante de votre entreprise, il est recommandé de renforcer la sécurité de votre site pour vous assurer d’être également protégé contre les attaques ciblées.
Les plugin les plus populaires pour vous permettre de cacher que vous utilisez WordPress sont Hide My WP et Swift Security.
Hide My Wp
Hide My WP fonctionne comme un plugin de sécurité général, et cache le fait que vous utilisez WordPress en changeant vos permaliens sans apporter de modifications aux emplacements réels de vos fichiers.
L’objectif de ce plugin est de donner à votre site une couche de sécurité supplémentaire:
- Il permet de changer les permaliens des fichiers (comme wp-admin) pour les cacher aux robots collecteurs
- Supprime les méta informations (comme le numéro de version) de vos entêtes
- Contrôle l’accès à vos fichiers PHP
- Modifie les sous-répertoires des dossiers vulnérables par défaut, comme wp-content
- Masque les fichiers qui peuvent donner des informations sur votre installation de WordPress (comme readme.html ou license.txt)
- Vous avertit des risques de sécurité avec le nouveau service « Intrusion Detection System »
- Notifications d’accés à une page 404
- Minification de code CSS, Javascript
- Définition d’URLs personnalisées pour les fichiers statiques (fichiers images, CSS et JavaScript)
- etc.
Hide My WP est facile à installer et à configurer. Tous les paramètres et les options sont bien expliqués afin que vous sachiez toujours ce que vous faites et ce que fait chaque choix.
C’est un excellent investissement pour toute personne utilisant WordPress, pour un blog, un site d’e-commerce ou une petite entreprise.
Vendu au prix $23 (environ €21), au moment où je rédige cet article, c’est un bon invetsissement pour une meilleure sécurité
Swift Security
Swift Security met un gilet pare-balles à votre site WordPress. Ce plugin, non content de cacher que vous utilisez WordPress, possède également un module Pare-Feu, et un module qui scanne le code pour détecter le code malveillant.
Il possède de nombreuses fonctionnalités telles que:
- Minification du code CSS / Javascript
- Filtre les adresses IP
- Anti Force Brute
- Notifications par email ou Push
- Bloque les commentaires spam
- Retire le code HTML des commentaires
- etc.
Avec Swift Security, vous rendrez votre site WordPress plus sûr. Un grand avantage de ce plugin est que vous n’avez pas besoin de connaissances technique particulières.
Vendu au prix de $36 (environ €33), au moment où cet article est écrit, Swift Security est un plugin complet en terme de sécurité.
Avez vous choisi de cacher que vous utilisez WordPress?
Après avoir lu cet article, avez vous fait le choix de cacher que votre site utilise WordPress, ou n’allez vous rien changer? Quelles mesures avez-vous pris pour cacher votre CMS préféré, et comment cela a-t-il fonctionné pour vous? Partagez vos points de vue et expériences dans les commentaires ci-dessous!
Si cet article vous a intéressé, Partagez le, il intéressera probablement d’autres personnes. Merci!
Publié à l'origine le : 1 février 2016 @ 16 h 12 min