Les conseils pour bien sécuriser son site WordPress en 2024.
WordPress est le CMS (Content Management Software) prédominant du marché. A l'échelle mondiale, il équipe près de 50% des sites web. Il est donc logiquement le plus attaqué. Il faut dire que les failles ne manquent pas : 42% des sites WordPress seraient vulnérables. Cela représente des milliards de sites web. Il est pourtant possible de protéger son site WordPress contre les attaques, en respectant quelques bonnes pratiques et en utilisant des outils tels qu'un WAF (Web Application Firewall) comme ProtectMy.site.
C'est ce que nous allons étudier dans cet article en vous dévoilant les 18 conseils pour protéger efficacement son site WordPress.
Quelles sont les vulnerabilités WordPress ?
Pour comprendre comment bien protéger son site WordPress, il faut comprendre où sont les failles et les points de vulnérabilité. D'autant que les chiffres sont inquiétants : en 2022, le nombre de failles de sécurité sur WordPress à augmenté de 328% selon le site "Patchstack". Fini le temps de l'insouciance : mettre un site WordPress en ligne réclame aussi une compétence en cybersécurité, ou bien d'avoir un partenaire tel que ProtectMy.site.
Quelles sont les sources des failles ?
Le noyau de WordPress représente seulement 1% des failles de sécurité. Cela représente tout de même de l'ordre d'une vingtaine d'évènement de cybersécurité de niveau critique par an. A l'échelle d'un logiciel aussi complexe, c'est peu. Mais pour un logiciel installé sur Internet à des milliards d'exemplaires, les conséquences peuvent être dramatiques. C'est donc un point à particulièrement prendre en compte.
Les thèmes WordPress représentent 6% des failles de cybersécurité découvertes chaque année. Un thème pour WordPress ne contient pas uniquement des indications de mise en forme en HTML et CSS, mais aussi du code PHP. Les graphistes ne sont pas toujours des spécialistes des languages de programmation, et souvent, ils partent d'un thème open source pour l'adapter. Il embarquent alors les failles de ce thème initial et le suivi des mises à jour pourrait s'en trouver compliqué. Il faut donc avoir un suivi permanent des mises à jour des thèmes WordPress.
Sans surprise, les plugins et extensions WordPress représentent l'immense majorité des failles de sécurité (93%). L'atout de ce CMS, c'est le vaste catalogue d'extensions disponibles. Mais c'est aussi son point faible. Les extensions ne sont pas réalisées par l'équipe de développement de WordPress. Le niveau de qualité et de résistance au risque de cybersécurité est donc hétérogène. Pire, les extensions WordPress les plus populaires ont été la cible de failles critiques particulièrement sévères. Là aussi, une stratégie doit être mise en place pour contrer les attaques, avec une veille active. Mais il faut savoir qu'une faille peut rester ouverte des mois sans être corrigée, et même, pour 26% d'entre elles, les développeurs ne gérant plus leur extension, il se pourrait qu'elles ne soient jamais corrigées. 87 thèmes et plugins ont tout simplement été retirés en 2022 pour cette raison.
Quelles sont les attaques les plus courantes ?
Quand un fichier du noyau ou d'une extension WordPress est vulnérable, c'est généralement qu'il est possible d'exploiter un type d'attaque connu sur une partie de son code. Une attaque réellement nouvelle est assez peu probable. Détaillons les exemples les plus courants :
Une faille XSS, ou Cross-Site Scripting, est une vulnérabilité de sécurité courante dans les applications web. Elle survient lorsque des données non fiables sont envoyées vers une page web sans validation ou échappement approprié. Cela peut permettre à un attaquant d'injecter du code malveillant (généralement du code JavaScript) dans une page web, ce qui est ensuite exécuté par le navigateur des utilisateurs qui consultent cette page. Elle représentent presque 50% des attaques contre les sites WordPress. Il est pourtant possible de les détecter en amont du site web.
Une faille CSRF, ou Cross-Site Request Forgery (falsification de requête intersite en français), est une vulnérabilité de ybersécurtité qui permet à un attaquant de forcer un utilisateur à effectuer des actions non désirées sur un site web auquel l'utilisateur est authentifié. Cette attaque exploite le fait que les navigateurs web envoient automatiquement les cookies d'authentification associés à un site spécifique lorsqu'une requête est effectuée sur ce site. Le scénario typique d'une attaque CSRF implique deux sites web : le site victime (où l'utilisateur est authentifié) et le site malveillant contrôlé par l'attaquant. L'attaquant insère généralement du code malveillant (généralement du code JavaScript) dans une page web, par exemple d'un site WordPress. Lorsque l'utilisateur visite cette page, le code malveillant déclenche des requêtes HTTP vers le site victime en utilisant les informations d'authentification de l'utilisateur, sans que l'utilisateur en soit conscient. Il existe là aussi des techniques pour détecter et bloquer ce type d'attaques de façon générique, en donnant certaines indications spécifiques au navigateur web du visiteur du site.
Une attaque par injection SQL est une technique malveillante dans laquelle un attaquant insère du code SQL non autorisé dans une requête SQL. Cela se produit généralement à travers des champs de saisie sur un site web, tels que des formulaires de recherche ou de connexion, où les utilisateurs peuvent entrer des données. L'objectif de cette attaque est d'exploiter des vulnérabilités dans la gestion des requêtes SQL d'une application pour accéder, manipuler ou supprimer des données dans la base de données. Dans le cas d'un site WordPress, une attaque par injection SQL pourrait permettre d'accéder à la base de données pour récupérer les identifiants de connexion des utilisateurs, pour modifier les contenus du site, pour intégrer un malware dans le site web, etc... Il s'agit d'un type d'attaque très connu, donc pouvant être bloqué de façon générique. Mais parfois, un fichier PHP ou une requête a été mal codé et c'est la faille.
Quelles sont les bonnes pratiques pour sécuriser son site WordPress ?
Il faut agir à 3 niveaux. Sur le CMS WordPress lui-même, il est nécessaire de respecter quelques conseils simples et efficaces. Malheureusement, ils ne permettent pas de se protéger contre les failles 0day, celles qui ne sont pas encore corrigées. En amont du site WordPress, un filtre peut être mis en place pour bloquer les attaques génériques sur les failles non connues. Il permettra aussi d'endurcir le site web et de protéger son interface d'administration. Enfin, le serveur d'hébergement lui-même peut être ciblé par les hackers. Il doit lui-aussi être protégé.
Endurcir son site WordPress.
Conseils génériques dès qu'on installe un site web sous WordPress :
1/ Il faut toujours choisir la dernière version de WordPress car elle est censée corriger toutes les failles connues. Donc on ne reprend pas sa vieille sauvegarde, car on risque alors de laisser des vulnérabilités disponibles aux personnes malveillantes.
2/ Modifier le chemin de l'interface d'administration : Laisse le chemin par défaut "/wp-admin" expose le site aux attaques par brute-force. Grâce à un logiciel automatique, toutes les combinaisons de mots de passe peuvent être essayées et votre accès administrateur peut devenir compromis.
3/ Bloquer les attaque par brute-force : Inutile de laisser un hacker essayer tous les mots de passe possibles. Le bloquer au bout de 3 ou 5 tentatives devrait calmer ses ardeurs.
4/ Modifier le compte administrateur par défaut : Moins on laisse les informations par défaut, plus on complique la tâche d'un hacker, et plus on augment le niveau de cybersécurité de son site WordPress. L'idéal est de donner des comptes nominatifs.
5/ Installer uniquement le thème dont on a besoin : On ne laisse pas de fichiers inutiles dans son installation WordPress. Donc les thèmes non retenus doivent être supprimés. Et le thème choisi doit être tenu à jour.
6/ Installer uniquement les extensions nécessaires : On ne laisse pas les extensions inutiles, car elles augmentent la surface d'attaque possible et engendrent une charge de travail supplémentaire pour la veille de cybersécurité et les mises à jour.
7/ Configurer les mises à jour automatiques de WordPress, des thèmes et des extensions : pour bénéficier au plus vite des mises à jour de sécurité. Il est possible, par contre, que cela entraine des période d'indisponibilité. Il faut donc une supervision de son site web.
8/ Prévoir une sauvegarde quotidienne de son site WordPress : Seul moyen de revenir vers une version stable en cas de problème. La durée de rétention de la sauvegarde doit être d'au moins 7 jours, plus idéalement 15 jours.
9/ Disposer d'une veille de cybersécurité : Avoir un suivi des alertes qui peuvent vous concerner permet de gagner du temps pour protéger plus rapidement votre site WordPress. Vous laissez moins de temps aux hackers pour exploiter la faille sur votre site web.
Ajouter un Web Application Firewall devant votre site WordPress.
Un WAF, ou Web Application Firewall, traite les requêtes web devant votre site WordPress. Il les filtre et n'envoie vers votre site web que les requêtes saines. Le WAF peut être intégré à votre hébergement, mais il est plus sûr d'utiliser un WAF externe, tel que ProtectMy.site, car il sépare le risque et forme un blouclier devant votre serveur et votre CMS.
Le WAF est indispensable en complément des bonnes pratiques de sécurité WordPress : il est le seul en capacité de bloquer les attaques 0day. Ces attaques concernent les vulnérabilité activement exploitées, mais qui ne sont pas encore divulguées et patchées. Il aide aussi a diminuer la charge de votre hébergement web, ce qui contribue à accélérer votre site, surtout en cas de pic de visites.
Que doit faire un WAF pour améliorer la sécurité de votre site WordPress ?
10/ Activer un blacklistage des IP malveillantes : Grâce à des échanges de listes entre spécialistes de la cybersécurité, les IP déjà connues pour leur caractère malveillant peuvent être bloquées avant même qu'elles en tentent une attaque. C'est le rôle du firewall, qui permet aussi de bloquer les attaques en déni de service (ddos).
11/ Activer un blacklistage comportemental : En analysant les comportements des utilisateurs, il est possible de détecter ceux qui ont une attitude malveillante. Le firewall permet de les bloquer et de stopper net leur attaque.
12/ Améliorer le niveau de sécurité SSL : Le WAF permet de gérer finement les certificats SSL/TLS et de n'activer que les protocoles de chiffrement réputés sûrs. Cela améliore le niveau de confiance des moteurs de recherche pour votre site web.
13/ Configurer le "Content Security Policy" : Le CSP est une solution pour bloquer les attaques XSS (Cross Site Scripting) en indiquant au navigateur les sites que vous considérez fiable pour votre installation WordPress. Configurer la stratégie CSP sur le WAF, par exemple avec ProtectMy.site, permet de rendre celle-ci fiable et non attaquable en cas de faille sur votre site.
14/ Bloquer les requêtes malveillantes avec OWASP : Les règles OWASP analysent les requêtes pour bloquer les attaques génériques, telles que les injections SQL, les tentatives XSS ou CSRF, même sur des fichiers pour lesquels on ne sait pas encore qu'ils sont vulnérables.
15/ Sécuriser l'interface d'administration WordPress : Véritable Graal pour le hacker, cette partie de votre site doit être particulièrement protégée. Le WAF peut bloquer les accès sur ce chemin particulier pour autoriser uniquement une adresse IP de confiance, ou bien activer une protection par certificat client. Ainsi, seuls les administrateurs légitimes peuvent y accéder et toute attaque devient impossible.
Protéger son hébergement web.
En séparant le Web Application Firewall de votre hébergement web, vous créez un sas qui cache votre véritable serveur d'hébergement. Il faut néanmoins respecter les bonnes pratiques pour la gestion de votre serveur web ou de votre hébergement.
Les bons critères pour choisir son hébergement web sécurisé pour WordPress.
16/ Votre serveur web doit disposer d'un firewall : En bloquant les ports des services inutiles, et en ouvrant sélectivement ceux qui sont nécessaires, vous diminuez la surface d'attaque possible.
17/ Détecter et bloquer les attaques par brute-force : Grâce à un analyseur de logs, votre hébergement doit blacklister les IP malveillantes en fonction de leur comportement.
18/ Proposer une sauvegarde déconnectée de votre site ou serveur : Toujours indispensable si nécessité de revenir sur une version précédente, la sauvegarde doit avoir au moins une rétention de 7 jours, idéalement 15 jours. Pour un serveur web, la sauvegarde permet la remise en service sans avoir a effectuer à nouveau toute la configuration.
Conclusion : Bonnes pratiques WordPress + WAF !
L'association des bonnes pratiques de cybersécurité pour WordPress, avec un WAF tel que ProtectMy.site, vous offre le meilleur niveau de sécurité pour votre site web. En activant les 2 niveau de protection, vous compliquez la tâche des hackers et bloquez les attaques automatiques, réalisées par les robots qui scrutent l'ensemble des sites WordPress.
Tant que les propriétaires et les concepteurs de sites web n'appliquent pas ces principes de barrière de cybersécurité, permises par des services comme ProtectMy.site, les sites WordPress resteront vulnérables. Mais si vous préférez que ce soit les autres qui soient vulnérables, et surtout pas vous, vous pouvez nous contacter pour en savoir plus sur notre service et nos prestations.