Un WordPress vraiment protégé

Sécuriser WordPress, mythes et réalités

La sécu­ri­té, ce n’est pas mon métier. Mais du haut de mes quinze ans de Word­Press sans pira­tage, je me suis dit que je pouvais faire le point sur la sécu­ri­té de Word­Press, les failles réelles et les erreurs des débu­tants. Enfin, disons que je vais donner un point de vue très person­nel sur la ques­tion qui devrait aider les amateurs à se faire une idée sur les bonnes pratiques.

Les questions que vous vous posez

Word­Press est-il fragile d’un point de vue sécurité ?

R. Non
Un Word­Press tout nu (sans exten­sion et avec un thème par défaut) est sécu­ri­sé. Dès qu’une faille est décou­verte, une mise à jour auto­ma­tique est faite par l’équipe de WordPress.

Modi­fier l’URL de login va-t-il sécu­ri­ser mon site ?

R. Non
Contrai­re­ment à une idée reçue très popu­laire – et reprise par les solu­tions de sécu­ri­té pour promou­voir leur produit – ce n’est pas la page login qui va permettre aux virus de s’installer sur votre site. Plus d’informations sur le sujet plus bas.

Proté­ger la page de login va-t-il sécu­ri­ser mon site ?

R. Non
Même réponse que pour la ques­tion précédente.

Une double authen­ti­fi­ca­tion va-t-elle sécu­ri­ser mon site ?

R. Non
Une double authen­ti­fi­ca­tion protège les comptes des membres de votre site mais n’aura aucun effet protec­teur global en cas de pira­tage du site.

La page login

La page de connexion (login) est deve­nue avec le temps une espéce de passage obli­gé dans la commu­ni­ca­tion des exten­sions de sécu­ri­té. Selon elles, il faut à tout prix la proté­ger, voire la dépla­cer. Est-ce vrai­ment néces­saire, quels sont les gains possibles ? Voici mes réponses.

Pendant long­temps, la page login était la cible privi­lé­giée des attaques pour deux raisons simples :

  1. l’identifiant de l’administrateur était admin par défaut et les utili­sa­teurs ne le chan­geait pas ;
  2. les utili­sa­teurs se conten­taient d’un mot de passe faible et basique.

Ces deux éléments simpli­fiaient gran­de­ment le travail des pirates et des exten­sions deve­nues très popu­laires sont venues rassu­rer les utili­sa­teurs de Word­Press en dépla­çant l’URL du login ou en proté­geant cette page des attaques de force brute (attaques qui cherchent à devi­ner iden­ti­fiant et mot de passe par essais successifs).

Est-ce utile de déplacer l’URL du login ?

De nos jours, il n’y a aucun inté­rêt à faire cette mani­pu­la­tion dans le cas où vous avez choi­si un iden­ti­fiant et un mot de passe fort non utili­sés sur d’autres plates-formes.

Les pirates utilisent main­te­nant des bases de données de mots de passe et iden­ti­fiant récu­pé­rés sur des sites pira­tés. Ils ne cherchent pas à casser des mots de passe en listant tout ce qui est possible. Vu la longueur suggé­rée de ces mots de passe, cela leur pren­drait un temps inutile. Vous avez un mot de passe unique et long ? Vous ne risquez rien.

Est-ce utile de protéger la page de login ?

Pour les raisons citées plus haut, proté­ger la page de login n’ajoute aucun élément de sécu­ri­té à votre site. Par contre, en limi­tant ces attaques et en bloquant les robots nocifs, vous allé­gez votre site. Une exten­sion de protec­tion à ce niveau à donc un inté­rêt même s’il n’est pas sécuritaire.

securite echopluigins porte login

Bouts de code

Un autre mantra qui peut être contre­pro­duc­tif pour les gens qui se mettent à Word­Press, c’est la phobie des exten­sions. « Je ne veux pas ajou­ter une exten­sion, je préfère un bout de code, c’est plus léger ». C’est évidem­ment très rela­tif puisque si le bout de code fait la même chose que l’extension, vous n’y gagnez rien. Dans le cas de la sécu­ri­té, ça se traduit par une accu­mu­la­tion de bouts de code qui servent à tout : ça va de la sécu­ri­sa­tion du très impor­tant fichier wp-config.php au dépla­ce­ment entier des fichiers vers un réper­toire secret. 

Toutes ces ficelles ont un point commun : elles commencent à dater. Elles datent très exac­te­ment du temps où il n’y avait pas d’extension de sécu­ri­té complète pour Word­Press. Les utili­sa­teurs en étaient réduits à cher­cher des recettes sur le Web. Person­nel­le­ment, je consi­dère qu’elles n’ont pas de néces­si­té. Si un pirate peut avoir accès à wp-config.php ou plus géné­ra­le­ment au serveur où sont entre­po­sés vos fichiers, il a la possi­bi­li­té de nuire qui dépassent l’accès aux fichiers cachés. 

Ces bouts de code ont un autre incon­vé­nient : en cas de problème sur le site, il faudra faire une véri­fi­ca­tion sur tous ces ajouts.

À rete­nir : reco­pier des bouts de code pour sécu­ri­ser son site est une solu­tion obso­lète et contraignante

Mais alors d’où viennent les virus ?

Essen­tiel­le­ment de failles de sécu­ri­té au niveau des exten­sions ou du thème – c’est pour cette raison qu’il faut les main­te­nir à jour.

Les autres raisons connues sont :

  • les appa­reils utili­sés pour se connec­ter vérolés ; 
  • une faille de sécu­ri­té au niveau de l’hébergeur.

Faisons simple

Je ne connais qu’une méthode effi­cace pour sécu­ri­ser un site :

instal­ler une (et une seule) exten­sion de sécu­ri­té/­pare-feu.

Les exten­sions de sécu­ri­té protègent complè­te­ment un site sans faille de sécu­ri­té. En cas de faille (exten­sion ou thème mal codé, ordinateur/​smartphone véro­lé, héber­geur pira­té), il ne va pas obli­ga­toi­re­ment pouvoir empê­cher le pira­tage. Mais il saura vous préve­nir de tout évène­ment suspect.

Elles doivent donc (et les complètes le font) :

  1. préve­nir d’un évène­ment lié à la sécu­ri­té – chan­ge­ment de statut d’une exten­sion (instal­lée, acti­vée, etc), utili­sa­tion d’un fichier php récent, mise à jour de règles de sécu­ri­té lorsqu’une faille est décou­verte sur une exten­sion, aver­tis­se­ment lorsqu’une exten­sion ou un thème néces­site une mise à jour immédiate
  2. proté­ger la page login
  3. gérer les règles de sécu­ri­té de base liées à WordPress
  4. permettre la compa­rai­son suite à une modi­fi­ca­tion d’un fichier – c’est une possi­bi­li­té que je n’active pas parce que ça signi­fie que vous doublez l’espace serveur néces­saire et je ne peux pas me le permettre
securite echoplugins coffre

Voici les trois extensions que je conseille pour des raisons plus ou moins valables

1. NinjaFirewall

Moi aussi j’ai instal­lé des petites exten­sions de sécu­ri­té et rajou­té des bouts de code en pensant que ça suffi­sait bien comme ça. Et j’avais une peur bleue de me faire bloquer hors de mon site par une exten­sion de sécu­ri­té. Mais c’était à une autre époque, un autre temps… À force de lire des choses au sujet du pira­tage, je me suis déci­dé à sauter le pas. Ninja­Fi­re­wall a été un choix évident parce qu’elle est consi­dé­rée comme l’extension de sécu­ri­té qui impacte le moins la vitesse d’une instal­la­tion Word­Press. Elle est aussi consi­dé­rée comme très effi­cace (cf. plus loin).

2. SecuPress (pas testée)

Déve­lop­pée par une partie de l’équipe de WP Rocket, on peut imagi­ner que c’est du sérieux. De plus, déve­lop­pée par une équipe fran­çaise, ça peut aider en cas de problème. Et c’est une bonne raison pour la préfé­rer à la concurrence.

3. Wordfence (pas testée)

La plus popu­laire des exten­sions de sécu­ri­té. Diffi­cile de l’écarter de cette liste mais elle est répu­tée pour son poids sur le fonc­tion­ne­ment de WordPress.

Atten­tion, il ne faut instal­ler qu’une seule exten­sion de sécu­ri­té à la fois. Sinon les risques d’interférence sont trop impor­tants et vous risquez de voir votre site tout cassé.

Complément indispensable

Le complé­ment indis­pen­sable à l’extension de sécu­ri­té, c’est évidem­ment l’exten­sion de sauve­garde (backup). La base de données en prio­ri­té et de manière quoti­dienne. Et les fichiers, par FTP et moins fréquemment.

Et le WAF de mon hébergeur ?

De nombreux héber­geurs proposent à leurs clients une protec­tion sous forme de WAF (Web Appli­ca­tion Fire­wall) qui est une solu­tion de sécu­ri­té qui protège toutes les appli­ca­tions que vous installez.

J’y vois un para­doxe : alors que vous êtes seul respon­sable de ce qui se passe sur votre site et que votre héber­geur ne vous aide­ra a prio­ri que pour des problèmes liés aux serveurs, il vous ajoute une couche de sécu­ri­té que vous contrô­lez plus ou moins.

Mon expé­rience avec le WAF de mon héber­geur Always­da­ta est pour le moins miti­gée. Always­da­ta propose diffé­rents types de WAF dont un desti­né aux instal­la­tions de Word­Press. Avoir le choix est une bonne chose parce que l’on peut consi­dé­rer que chaque appli­ca­tion a des besoins et des contraintes diffé­rentes. Le WAF en ques­tion s’est révé­lé très effi­cace. Voire trop effi­cace. Instal­lé alors que Guten­berg en était à ses prémices, il bloquait carré­ment les fonc­tion­na­li­tés du nouveau moteur d’édition de Word­Press. Et je passais mon temps à désac­ti­ver des règles du WAF pour faire fonc­tion­ner correc­te­ment les exten­sions que j’installais. Ça n’avait plus aucun sens. Une solu­tion de ce type ne devrait pas rajou­ter des contraintes dans la gestion de votre site.

Si il est utile que l’hébergeur installe des protec­tions au niveau des serveurs pour contrer des attaques qui les visent – je pense notam­ment aux attaques DoS – je ne vois pas l’intérêt de rajou­ter une couche exté­rieure à Word­Press que vous ne pouvez pas confi­gu­rer suivant vos besoins. De plus, les exten­sions mettent à jour en temps réel leurs règles de sécu­ri­té en fonc­tion des failles décou­vertes. Ce n’est pas le cas des WAF.

Dans le cadre d’un héber­ge­ment mutua­li­sé, préfé­rez une exten­sion de sécu­ri­té à toute solu­tion propo­sée par votre héber­geur pour proté­ger direc­te­ment votre instal­la­tion Word­Press afin de ne pas rajou­ter une couche de complexi­té inutile à la gestion du site, pour être sûr d’avoir la main sur la sécurité.

La vraie faille WordPress dont personne ne parle

dossier securite echoplugins porte close

Assez étran­ge­ment, je ne lis jamais rien sur ce qui me paraît un grave problème de sécu­ri­té lié aux exten­sions de Word­Press. Lorsque vous instal­lez une exten­sion, vous êtes préve­nu lorsqu’une mise à jour est dispo­nible. Mais jamais lorsque cette exten­sion est reti­rée du dépôt offi­ciel. Or, une des raisons les plus probables de ce retrait, c’est la décou­verte d’une faille de sécu­ri­té pas corri­gée. Si bien que vous pouvez traî­ner une exten­sion problé­ma­tique dans votre instal­la­tion pendant des années sans même savoir qu’elle a été reti­rée du dépôt. La seule façon que je connaisse de surveiller l’âge des exten­sions instal­lées est l’extension Vendi Aban­do­ned Plugin Check mais même elle ne vous dira pas si l’extension est reti­rée du dépôt.

Trop tard, mon WordPress a été piraté !

Si c’est le cas, il vous faut le nettoyer de fond en comble. Ne faites pas confiance aux exten­sions qui se vantent de nettoyer votre site. Elles détec­te­ront des fichiers problé­ma­tiques mais il est impos­sible de savoir si elles ont vrai­ment tout nettoyé. Car il faut nettoyer les fichiers suspects dans tous les réper­toires et les entrées suspectes dans la base de données. C’est un travail de longue haleine qui oblige à mettre les mains dans le cambouis et vous obli­ge­ra à un peu d’autoformation si FTP ou phpMyAd­min ne veulent rien dire pour vous – dans ce cas-là, un peu de lecture utile ici https://​www​.echo​des​plu​gins​.li​-an​.fr/​t​u​t​o​r​i​a​u​x​/​m​o​n​-​p​r​e​m​i​e​r​-​w​o​r​d​p​r​e​ss/.

Cet excellent tuto­riel va vous permettre de faire tout ce travail pas à pas : https://​wpfr​.net/​s​u​p​p​o​r​t​/​s​u​j​e​t​/​s​o​l​u​t​i​o​n​s​-​d​e​-​d​e​p​a​n​n​a​g​e​-​p​o​u​r​-​u​n​-​s​i​t​e​-​h​a​c​k​e​-​p​i​r​a​te/

La suite unique­ment pour les curieux

Que valent les extensions de sécurité WordPress ? (version complotiste)

securite comparatif plugin
plus troll que ça, tu meurs

Impos­sible pour un clam­pin moyen de vrai­ment tester une exten­sion de sécu­ri­té. On peut comprendre les fonc­tion­na­li­tés mais est-ce que c’est bien program­mé, est-ce que ça pense à tout ? Heureu­se­ment, il y Plugin­Vul­ne­ra­bi­li­ties pour nous dire la véri­té vraie.

Vous ne trou­ve­rez pas d’extension Plugin Vulne­ra­bi­li­ties sur le dépôt. Elle en a été reti­rée en 2017 pour compor­te­ment dépla­cé : le déve­lop­peur faisait la réclame de son produit en déni­grant la concur­rence. Et c’est toujours le cas sur le site offi­ciel https://​www​.plugin​vul​ne​ra​bi​li​ties​.com/. À l’en croire, si Plugin Vulne­ra­bi­li­ties protège un site à 100%, la concur­rence fait au mieux… 36%. Et, hour­ra, c’est NinjaFirewall.

Il y a évidem­ment un côté risible à ces chiffres puisque si c’était réel­le­ment le cas, seuls les sites proté­gés par Plugin Vulne­ra­bi­li­ties échap­pe­raient au pira­tage. Mais la lecture de leur blog est néan­moins instruc­tive si vous vous inté­res­sez à la sécu­ri­té de votre site. Leurs articles soulignent de manière éclai­rante les dysfonc­tion­ne­ments des sites plus connus d’analyse de sécu­ri­té ou même de l’équipe de gestion du dépôt (qui méri­te­rait un article à elle toute seule) ou d’Automattic. Vous y décou­vri­rez que l’installation d’Elemen­tor est décon­seillée vu les mauvaises pratiques de sécu­ri­té de cette exten­sion – dont plusieurs failles ont été décou­vertes récemment.

Est-ce que je conseille­rai leur produit ? Fran­che­ment, non. En dehors du prix prohi­bi­tif, le peu d’informations sur les options de leur pare-feu est pour le moins léger – l’extension gratuite se conten­tait d’informer des failles poten­tielles dans les exten­sions instal­lées. Ils proposent d’ailleurs une exten­sion pour navi­ga­teur qui fait le même travail et que je vais tester.

Étiquettes

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Ce site embarque des cookies pour vous offrir la meilleur expérience possible

ACCEPTER PLUS D’INFOS