Dans les derniers mois nous avons reçu plusieurs appels d’entreprises et organisations aux prises avec des problèmes de hacking sur leurs sites ou blogs WordPress. Dans la pluspart des cas ces attaques étaient bénignes et nous avons remis les sites en bon état de marche tout en leur prodiguant quelques conseils que je partage avec vous.
Tout d’abord il faut savoir que la sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans n’importe quel domaine. Souvent on a tendance à penser qu’en premier lieu l’hébergeur est responsable. Il faut quand même savoir qu’un hébergeur, c’est un peu comme le propriétaire d’un immeuble qui loue des appartements. Il va s’assurer que les commodités de bases reliées au bon fonctionnement de l’ensemble soient respectées mais il ne peut pas être tenu responsable si vous perdez vos clés, à qui vous les prêtez ou si vous n’avez pas un système d’alarme ou une porte blindée.
Il faut quand même savoir que WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. Le problème du hacking est sans fin. Plus on prend des mesures pour sécuriser WordPress, plus WordPress propose des mises à jour pour améliorer sa sécurité, plus les hackers redoublent d’ingéniosité pour déjouer les embuches.
Quelques recommandations de base quelques peu techniques pour les néophytes mais bonnes à savoir ci-dessous.
Précautions indispensables
- Faire des mises à jour de WordPress et des plugins régulièrement.
- Une installation WordPress necessite 3 sortes de mots de passe : un pour le FTP, un pour la base de données, un pour se connecter à l’admin. Il est évident que plus ces mots de passe circulent entre plusieurs personnes, plus les risques augmentent. Conseil: si un de vos collègues, employés, fournisseurs met fin à sa relation avec votre projet, changez ces mots de passe.
- Utiliser des mots de passe puissants (majuscules, minuscules, chiffres, caractères spéciaux)
D’autres astuces assez utiles
- Masquer la version de WordPress que vous utilisez.
- Renommer le préfixe des tables WordPress dans la base de données.
- Si votre blog n’est pas installé dans un sous-répertoire, vous pouvez remonter le dossier wp-config.php dans le dossier parent.
- Protéger l’accès au wp-config.php via .htaccess
Ok donc une fois ces opérations complétées, vous êtes mieux protégés mais pas invulnérables, alors il faut faire du monitoring, prévoir des solutions de rechanges et des plan B au cas ou votre site se ferait grignoter comme un morceau de gruyère par une souris gourmande:
- Installer le plugin Login LockDown qui permet de protéger l’accès à votre admin. Si une personne cherche à se connecter et que l’opération échoue plusieurs fois, l’accès se bloque pour une période déterminée. C’est vous qui décidez du nombre de tentatives et du délai d’inaccessibilité.
- Installer le plugin Antivirus qui permet de scanner votre thème à la recherche de failles et de virus.
- Installer le plugin WP Database Back-up qui permet de recevoir un backup de votre base de données par courriel et suivant une fréquence que vous choisissez. Donc votre back-up ne reste pas sur le serveur, il est à l’extérieur bien au chaud dans votre boite de courriel.
- Installer le plugin WordPress Security Scan qui va régulièrement vous envoyer des alertes sur tout ce qui se passe sur votre site: mise à jour de WordPress et de plugins à faire, possibilité de vulnérabilités, inactivité du serveur etc.
- Installer le plugin Secure WordPress qui va effectuer certaines tâches que j’ai mentionnées dans les astuces assez utiles.
J’aurai une dernière recommandation pour dormir tranquille. Il s’agit de VaultPress, un plugin développé par Automattic la maison de mère de WordPress. Ce plugin payant ( 15 $/mois) permet de connecter en permanence votre site aux serveurs de WordPress. Le site est régulièrement scanné et sauvegardé. Ce qui est intéressant c’est que même si vous avez fait vos devoirs et qu’un incident survient, vous pouvez rapidement en quelques clics restaurer votre site immédiatement. De plus vous avez accès aux ingénieurs et techniciens de WordPress qui pourront vous conseiller et vous guider sur la marche à suivre.
Pour ce qui est des commentaires spams, il y a bien sûr Akismet aussi en provenance de Automattic. A noter que Akismet est désormais payant, on parle de 5 $/mois pour un petit site ou blog professionnel mais c’est un excellent plugin très performant.
Pour terminer sachez que nous offrons un service qui s’appelle La Clinique WordPress. Nous pouvons faire un audit de vos installations, faire des recommandations et intervenir. Nous offrons aussi des forfaits annuels de suivi et entretien, en bref nous mettons sous surveillance vos installations, faisons les mises à jour et intervenons en cas de problèmes.