Quel plugin sécurité pour Wordpress ?

3 principes pour comprendre le piratage de sites web

1. Exploiter les vulnérabilités

Le pirate cible en priorité les technologies les plus déployées car c'est là qu'il aura le plus de chances de trouver des faiblesses à exploiter.
Deux sites sur trois sont édités sous le CMS Wordpress. Les opportunités d'expoiter leurs vulnérabilités sont donc abondantes.

2. Une action en trois temps

1. Dans un premier temps, le pirate va chercher une faille pour entrer dans le système ;
   
   
2. Ensuite il voudra injecter un code (script)... ;
   
   
3. ... qui lui permettra enfin de réaliser d'autres actions, parfois malveillantes.
   Il pourra récupérer des informations, cyber-squatter votre site et déclencher des actions comme l'envoi d'emails, rediriger vers d'autres sites, télécharger des virus, etc.
   Il utilise vos pages référencées pour afficher ses contenus, souvent dans une langue inconnue, pour faire la promotion de produits douteux.

3. Tous les coups sont permis

Parlons de Wordpress car cette solution concerne une majorité des éditeurs, mais l'approche reste comparable pour les autres solutions comme Prestashop, etc. Dans 90% des cas les pirates exploitent les failles existantes ouvertes par les plugins. Ce sont surtout des failles connue sur un module obsolète qui n'a pas été mis à jour.
Les failles sur le thème ou sur le coeur Wordpress sont plus rares.

L'autre possibilté sera par fishing email (un clic vers une page miroir de celle que vous souhaitiez consulter),etc. et le pirate pourra aspirer vos infos ou génér des actions malveillantes.

Supprimer un fichier infecté via le FTP ne suffit pas car le pirate aura aussi installé de quoi regénérer son système en boucle, des backdoors (portes dérobées),etc.

Les 4 actions clés à avoir mises en place pour remettre un site d'aplomb

1. Avoir configuré des alertes (connecté en admin son site apparait normal) ;

2. Avoir accès aux LOG (fichier de connexion) sur au moins 6 mois ;

3. Avoir des sauvegardes (copies backup) sur au moins 6 mois ;

4. Etre capable de gérer tout cela ou mandater un tiers compétent (webmaster expérimenté, agence web, etc.).

Mesures préventives à faire immédiatement

Mieux vaut prévenir que guérir !

L'éditeur d'un site auto-hébergé aura pour responsabilité d'administrer le serveur, le conserver à jour, le sécuriser et éviter autant que possible qu'aboutisse toutes les tentatives d'intrusions.

Hébergement serveur : cloisonner !

La mauvaise pratique serait de mettre tout ses sites sur un seul serveur sans cloisonnement comme pourrait l'être une arborescence de fichiers dans un ordinateur. Comment revoir son architecture multi-sites ?

En tant qu'administrateur, vous pouvez mettre en place une série de mesures au niveau du gestionnaire (Cpanel, Plesk, etc.) pour cloisonner vos sites. C'est le concept des "lunes" sur O2 Switch. L'équivalent existe chez PlanetHoster.

Même pour un bon administrateur, il sera impossible de nettoyer 100 sites infectés. Autant prendre les devants et limiter les possibilités d'infection en cascade.

Passer par un proxy

Le proxy comme Cloudflare se positionne entre le nom de domaine et le serveur un peu comme une page de cache.
L'installation du proxy est gratuite, elle est même nécessaire pour respecter le consenterment sur l'installation des cookies dans l'esprit des RGPD/ GDPR.

Le Proxy peut faire tampon et éviter de surcharger votre serveur lors d'une attaque DDoS (pour saturer le serveur) induisant une perte de délivrabilité des pages. Cela pourrait être embettant quand un robot d'indexation scanne votre site par exemple.

Lors de l'installation de la base de donnée

Remplacer le préfix de la base de donnée par défaut (_WP) par autre chose.

Ne pas utiliser "admin" comme identifiant et uiliser un mot de passe fort.

Dans le backoffice du CMS

• Supprimer tous les plugins non essentiels. Les désactiver ne suffit pas.
• Actions au niveau du fichier .htaccess à la racine

En tant qu'éditeur, vous pouvez mettre en place une série de mesures au niveau du CMS (Wordpress)

Revoir le Login

Choisir un mot de passe fort

Les failles sont multiples mais avant d'aller plus loin, la première étape sera d'utiliser un mot de passe unique, fort (majuscule, minuscule, chiffre, caractères spéciaux) et assez long.
8 caractères, c'est insuffisant.

A moins d'avoir une mécanique pour générer et retenir des mots de passe uniques, l'univers nuémrique nous sollicite pour toujours plus de comptes à sécuriser, dond de mots de passe à reternir.
Plutôt que d'utiliser un calpin que l'on peut perdre, l'idéal sera d'utiliser un gestionnaire de mot de passe.

Installer un limiteur de tentatives de connexions

Par défaut les sites Wordpress ont le backoffice d'administration accessible à l'adresse suivante :

• monnomdedomaine.com/login,
• monsite.com/admin,
• wordpress.com/wp-admin.

Le pirate n'aura aucun mal à trouver votre interface de connexion sur laquelle il va pouvoir mener des attaques de force brute pour tenter de casser votre mot de passe admin.

Une action simple et efficace consiste à rendre privé votre adresse de connexion. WPS hide login.
L'autre action qui va de paire sera de limiter le nombre de tentatives de connexions par période de temps. WPS limit login.

Quelle solution pour sécuriser son site Wordpress ?

réglages XML, plugin Sucuri, sécurité login, que faire ?

Pour une gestion simple, le top reste d'utiliser Wordfence Free, en gratuit donc :

• Pare-feu applicatif, capable de bloquer les actions malveillantes sur son serveur ;
• scanner de logiciels malveillants (malwares) pour détecter et bloquer l'injection de code malveillant ;
• limite des tentatives de connexion à l'admin ;
• authentification à deux facteurs, renforce le niveau de sécurité ;
• fonctionnalités de sécurité complètes dont alerte email.

Copies de backup : Updraft Plus

En gratuit, l'outil propose des solutions de sauvegarde très intéressantes. De plus et cela doit être un critère fort, il offre des possibilités de restauration très pratiques au cas où vous devriez réinstaller rapidement une version antérieure non infectée.

Et bien évidemment, tenir son CMS à jour, limiter au maximum l'usage de plugins, les tenir à jour ou les supprimer. Vous gagnerez en performances et en sérénité ce qui n'a pas de prix.