Un WordPress vraiment protégé

Sécuriser WordPress, mythes et réalités

La sécu­ri­té, ce n’est pas mon métier. Mais du haut de mes quinze ans de Word­Press sans pira­tage, je me suis dit que je pouvais faire le point sur la sécu­ri­té de Word­Press, les failles réelles et les erreurs des débu­tants. Enfin, disons que je vais donner un point de vue très person­nel sur la ques­tion qui devrait aider les amateurs à se faire une idée sur les bonnes pratiques.

Le strict minimum pas vraiment utile

Word­Press est-il une passoire comme les anti-Word­Press se plaisent à le répé­ter sur les forums de déve­lop­peurs ? Évidem­ment que non puisque sinon la plupart des sites tour­nant sous le moteur Word­Press seraient infec­tés. Un Word­Press tout nu ne craint rien tant qu’il est à jour (on ne va pas comp­ter les failles au niveau de l’hébergement ou un ordi­na­teur vérolé). 

La seule faiblesse, toujours souli­gnée sur le Web, c’est la page login. Elle est expo­sée aux attaques des bots qui cherchent à devi­ner iden­ti­fiant et mot de passe par essais succes­sifs. Évidem­ment, si vous avez un mot de passe fort non utili­sé ailleurs, il est impos­sible pour les bots de le devi­ner rapi­de­ment, surtout qu’ils listent plutôt les iden­ti­fiants et mots de passe qui traînent sur le Web. Ils vont vite passer à un autre site la plupart du temps. Mais si vous avez une boutique en ligne ou un site aux données sensibles, vous n’êtes pas à l’abri d’attaquants plus patients.

securite echopluigins porte login

Pour contrer cette menace, la réponse que l’on trouve partout depuis des années c’est « dépla­cer l’URL de la page de login ». La seconde, c’est de limi­ter les tenta­tives de connexion. Fonda­men­ta­le­ment, ce ne sont pas de mauvaises idées mais, para­doxa­le­ment, elles fragi­lisent les sites. Pour­quoi cela ? C’est qu’une fois instal­lée une exten­sion de dépla­ce­ment URL ou de blocage, beau­coup d’utilisateurs amateurs sont persua­dés qu’ils ont fait le plus dur et que leur site est parfai­te­ment proté­gé. C’est évidem­ment faux puisque le vrai et durable danger pour un site Word­Press, ce sont les exten­sions et les thèmes qui amènent d’éventuelles failles de sécu­ri­té problé­ma­tiques (déve­lop­peur incons­cient, thème pas mis à jour…). 

Le second problème que je vois avec le dépla­ce­ment de l’URL du login, c’est que l’on modi­fie un compor­te­ment par défaut de Word­Press et je consi­dère toute modi­fi­ca­tion de ce type inop­por­tune car elle veut géné­rer des problèmes de compa­ti­bi­li­té avec d’autres exten­sions – et ne parlons pas des gens qui oublient au bout d’un moment quelle est l’URL du login.

À rete­nir : dépla­cer l’URL de login ou bloquer les attaques à ce niveau n’est pas suffi­sant pour sécu­ri­ser son WordPress.

Bouts de code

Un autre mantra qui peut être contre­pro­duc­tif pour les gens qui se mettent à Word­Press, c’est la phobie des exten­sions. « Je ne veux pas ajou­ter une exten­sion, je préfère un bout de code, c’est plus léger ». C’est évidem­ment très rela­tif puisque si le bout de code fait la même chose que l’extension, vous n’y gagnez rien. Dans le cas de la sécu­ri­té, ça se traduit par une accu­mu­la­tion de bouts de code qui servent à tout : ça va de la sécu­ri­sa­tion du très impor­tant fichier wp-config.php au dépla­ce­ment entier des fichiers vers un réper­toire secret. Toutes ces ficelles ont un point commun : elles commencent à dater. Elles datent très exac­te­ment du temps où il n’y avait pas d’extension de sécu­ri­té complète pour Word­Press. Les utili­sa­teurs en étaient réduits à cher­cher des recettes sur le Web. Person­nel­le­ment, je consi­dère qu’elles n’ont pas de néces­si­té. Si un pirate peut avoir accès à wp-config.php ou plus géné­ra­le­ment au serveur où sont entre­po­sés vos fichiers, il a la possi­bi­li­té de nuire qui dépassent l’accès aux fichiers cachés. Ces bouts de code ont un autre incon­vé­nient : en cas de problème sur le site, il faudra faire une véri­fi­ca­tion sur tous ces ajouts.

À rete­nir : reco­pier des bouts de code pour sécu­ri­ser son site est une solu­tion obso­lète et contraignante

Faisons simple

Je ne connais qu’une seule et bonne méthode pour sécu­ri­ser un site : instal­ler une (et une seule) solu­tion de sécu­ri­té/­pare-feu.

Les exten­sions de sécu­ri­té protègent complè­te­ment un site sans faille de sécu­ri­té. En cas de faille (exten­sion ou thème mal codé, ordinateur/​smartphone véro­lé, héber­geur pira­té), il ne va pas obli­ga­toi­re­ment pouvoir empê­cher le pira­tage. Mais il saura vous préve­nir de tout évène­ment suspect.

Elles doivent donc (et les complètes le font) :

  1. préve­nir d’un évène­ment lié à la sécu­ri­té – chan­ge­ment de statut d’une exten­sion (instal­lée, acti­vée, etc), utili­sa­tion d’un fichier php récent, mise à jour de règles de sécu­ri­té lorsqu’une faille est décou­verte sur une exten­sion, aver­tis­se­ment lorsqu’une exten­sion ou un thème néces­site une mise à jour immédiate
  2. proté­ger la page login
  3. gérer les règles de sécu­ri­té de base liées à WordPress
  4. permettre la compa­rai­son suite à une modi­fi­ca­tion d’un fichier – c’est une possi­bi­li­té que je n’active pas parce que ça signi­fie que vous doublez l’espace serveur néces­saire et je ne peux pas me le permettre
securite echoplugins coffre

Voici les trois exten­sions que je conseille pour des raisons plus ou moins valables.

1. Ninja Firewall

Moi aussi j’ai instal­lé des petites exten­sions de sécu­ri­té et rajou­té des bouts de code en pensant que ça suffi­sait bien comme ça. Et j’avais une peur bleue de me faire bloquer hors de mon site par une exten­sion de sécu­ri­té. Mais c’était à une autre époque, un autre temps… À force de lire des choses au sujet du pira­tage, je me suis déci­dé à sauter le pas. Ninja Fire­wall a été un choix évident parce qu’elle est consi­dé­rée comme l’extension de sécu­ri­té qui impacte le moins la vitesse d’une instal­la­tion Word­Press. Elle est aussi consi­dé­rée comme très effi­cace (cf. plus loin).

2. SecuPress (pas testée)

Déve­lop­pée par une partie de l’équipe de WP Rocket, on peut imagi­ner que c’est du sérieux. De plus, déve­lop­pée par une équipe fran­çaise, ça peut aider en cas de problème. Et c’est une bonne raison pour la préfé­rer à la concurrence.

3. Wordfence (pas testée)

La plus popu­laire des exten­sions de sécu­ri­té. Diffi­cile de l’écarter de cette liste mais elle est répu­tée pour son poids sur le fonc­tion­ne­ment de WordPress.

Atten­tion, il ne faut instal­ler qu’une seule exten­sion de sécu­ri­té à la fois. Sinon les risques d’interférence sont trop impor­tants et vous risquez de voir votre site tout cassé.

Complément indispensable

Le complé­ment indis­pen­sable à l’extension de sécu­ri­té, c’est évidem­ment l’extension de sauve­garde (backup). La base de données en prio­ri­té et de manière quoti­dienne. Et les fichiers, par FTP et moins fréquemment.

La vraie faille WordPress dont personne ne parle

Assez étran­ge­ment, je ne lis jamais rien sur ce qui me paraît un grave problème de sécu­ri­té lié aux exten­sions de Word­Press. Lorsque vous instal­lez une exten­sion, vous êtes préve­nu lorsqu’une mise à jour est dispo­nible. Mais jamais lorsque cette exten­sion est reti­rée du dépôt offi­ciel. Or, une des raisons les plus probables de ce retrait, c’est la décou­verte d’une faille de sécu­ri­té pas corri­gée. Si bien que vous pouvez traî­ner une exten­sion problé­ma­tique dans votre instal­la­tion pendant des années sans même savoir qu’elle a été reti­rée du dépôt. La seule façon que je connaisse de surveiller l’âge des exten­sions instal­lées est l’extension Vendi Aban­do­ned Plugin Check mais même elle ne vous dira pas si l’extension est reti­rée du dépôt.

dossier securite echoplugins porte close

Trop tard, mon WordPress a été piraté !

Si c’est le cas, il vous faut le nettoyer de fond en comble. Ne faites pas confiance aux exten­sions qui se vantent de nettoyer votre site. Elles détec­te­ront des fichiers problé­ma­tiques mais il est impos­sible de savoir si elles ont vrai­ment tout nettoyé. Car il faut nettoyer les fichiers suspects dans tous les réper­toires et les entrées suspectes dans la base de données. C’est un travail de longue haleine qui oblige à mettre les mains dans le cambouis et vous obli­ge­ra à un peu d’autoformation si FTP ou phpMyAd­min ne veulent rien dire pour vous – dans ce cas-là, un peu de lecture utile ici https://​www​.echo​des​plu​gins​.li​-an​.fr/​t​u​t​o​r​i​a​u​x​/​m​o​n​-​p​r​e​m​i​e​r​-​w​o​r​d​p​r​e​ss/.

Cet excellent tuto­riel va vous permettre de faire tout ce travail pas à pas : https://​wpfr​.net/​s​u​p​p​o​r​t​/​s​u​j​e​t​/​s​o​l​u​t​i​o​n​s​-​d​e​-​d​e​p​a​n​n​a​g​e​-​p​o​u​r​-​u​n​-​s​i​t​e​-​h​a​c​k​e​-​p​i​r​a​te/


La suite unique­ment pour les curieux


Que valent les extensions de sécurité WordPress ? (version complotiste)

securite comparatif plugin
plus troll que ça, tu meurs

Impos­sible pour un clam­pin moyen de vrai­ment tester une exten­sion de sécu­ri­té. On peut comprendre les fonc­tion­na­li­tés mais est-ce que c’est bien program­mé, est-ce que ça pense à tout ? Heureu­se­ment, il y Plugin­Vul­ne­ra­bi­li­ties pour nous dire la véri­té vraie.

Vous ne trou­ve­rez pas d’extension Plugin Vulne­ra­bi­li­ties sur le dépôt. Elle en a été reti­rée en 2017 pour compor­te­ment dépla­cé : le déve­lop­peur faisait la réclame de son produit en déni­grant la concur­rence. Et c’est toujours le cas sur le site offi­ciel https://​www​.plugin​vul​ne​ra​bi​li​ties​.com/. À l’en croire, si Plugin Vulne­ra­bi­li­ties protège un site à 100%, la concur­rence fait au mieux… 36%. Et, hour­ra, c’est Ninja Firewall.

Il y a évidem­ment un côté risible à ces chiffres puisque si c’était réel­le­ment le cas, seuls les sites proté­gés par Plugin Vulne­ra­bi­li­ties échap­pe­raient au pira­tage. Mais la lecture de leur blog est néan­moins instruc­tive si vous vous inté­res­sez à la sécu­ri­té de votre site. Leurs articles souligne de manière éclai­rante les dysfonc­tion­ne­ments des sites plus connus d’analyse de sécu­ri­té ou même de l’équipe de gestion du dépôt (qui méri­te­rait un article à elle toute seule) ou d’Automattic. Vous y décou­vri­rez que l’installation d’Elemen­tor est décon­seillée vu les mauvaises pratiques de sécu­ri­té de cette exten­sion – dont plusieurs failles ont été décou­vertes récemment.

Est-ce que je conseille­rai leur produit ? Fran­che­ment, non. En dehors du prix prohi­bi­tif, le peu d’informations sur les options de leur pare-feu est pour le moins léger – l’extension gratuite se conten­tait d’informer des failles poten­tielles dans les exten­sions instal­lées. Ils proposent d’ailleurs une exten­sion pour navi­ga­teur qui fait le même travail et que je vais tester.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site embarque des cookies pour vous offrir la meilleur expérience possible