Archives pour l'étiquette Sécurité

Empêcher de se connecter avec une adresse mail

Depuis la version 4.5 de WordPress,  il est possible de se connecter à l’administration d’un site en utilisant l’adresse mail à la place du nom de l’utilisateur.
Cette possibilité, disponible sur de nombreux sites grands publics (commerce en ligne, réseaux sociaux…)  présente l’inconvénient d’affaiblir la sécurité, car il est plus facile pour un pirate de trouver une adresse mail qu’un identifiant inventé.
Cet article montre comment retirer cette fonctionnalité.

Modifier l’accès à wp-login.php

Le fichier « wp-login.php » gère la connexion, mais aussi la réinitialisation des mots de passe, la déconnexion, la reconnexion pour renouveler une session expirée ainsi que la possibilité pour un visiteur de s’inscrire en ligne.
Modifier l’accès au fichier wp-login.php protège la partie administration du site qui permet de gérer le site : publier des articles, créer des utilisateurs, ajouter des extensions…

Ce tutoriel présente une extension (plugin) qui modifie l’adresse de connexion standard (wp-login.php) et bloque l’utilisation des adresses « alias » : login, wp-admin, admin et dashboard. Elle fonctionne en mono-site et en multi-site.
Il suffit de la placer dans le répertoire « plugins », ou encore mieux le répertoire « mu-plugins ».

Déplacer wp-content, plugins et uploads

« wp-content », « plugins » et « uploads » sont des  sous-répertoires de l’installation d’un site WordPress. Les pirates le savent, et trouvent ainsi facilement l’adresse des extensions et des thèmes lorsqu’ils tentent d’exploiter une faille de sécurité.
WordPress permet de les déplacer et / ou les renommer. À partir de ce moment, toutes les attaques basées sur l’installation standard tapent dans le vide.

Il faut savoir que n’importe quel site est exposé à ce type d’attaques, même pour un site avec une faible visibilité.

Ce tutoriel nécessite un minimum d’expérience en développement informatique.

La sécurité d’un site WordPress avec wp-config.php

Une erreur de configuration d’un site internet peut être catastrophique pour sa sécurité. Or, la configuration d’un site WordPress se définit dans le fichier wp-config.php.

Les paramètres de connexion à la Base de Données, les clés de sécurité sont autant d’informations contenues dans le fichier wp-config.php qui permettraient à un pirate de prendre le contrôle du site. Heureusement, quelques précautions permettent de protéger l’accès au fichier wp-config.php alors que quelques instructions ajoutées dans wp-config.php permettent d’améliorer la sécurité du site.

Ce tutoriel ne nécessite aucune connaissance en programmation.

Protéger WordPress par de bonnes pratiques

Protéger un site WordPress commence par de bonnes pratiques qui ne nécessitent aucune connaissance en informatique.

Toujours utiliser des mots de passe forts, choisir des identifiants difficiles à trouver, mettre rapidement en place les mises à jour, supprimer les fichiers inutiles ou utiliser une extension de sécurité, autant d’actions qui rendent les intrusions plus difficiles.

Ceux qui ont des connaissances informatiques, pourront aussi consulter une série d’articles sur la sécurité.

La principale faille de sécurité
La principale faille de sécurité

Sécuriser WordPress avec .htaccess

Sécuriser WordPress doit être la première préoccupation après l’installation d’un site sur un hébergement. Cet article présente des directives à ajouter au fichier .htaccess pour protéger son site.

Ne croyez pas que votre site n’intéresse pas les pirates de l’Internet. Leurs attaques sont systématiques, et ils exploitent toutes les failles qu’ils peuvent trouver. En prenant le contrôle de votre site, ils peuvent modifier l’affichage de certaines pages, l’utiliser pour envoyer des spams ou créer des liens pour améliorer leur référencement. Bilan, votre site risque d’être bloqué par votre hébergeur ou banni par les moteurs de recherche en plus de faire de vous le complice involontaire d’escrocs, mafieux et autres terroristes. Autant tout faire pour éviter ce type de conséquences.

Crypter les échanges avec un site WordPress, gratuitement

Crypter les échanges entre un ordinateur et un site WordPress évite que des pirates interceptent des données sensibles, à commencer par l’identifiant / mot de passe utilisé pour se connecter.

Pour crypter, il faut installer un certificat, mais  certains hébergeurs installent automatiquement un certificat gratuit avec leurs offres mutualisées.
Ce type de certificat, partagé entre de multiples domaines internet, déclenche des alertes de sécurité pour les visiteurs du site. On ne peut donc basculer tout le site en HTTPS.
Une procédure simple permet d’utiliser les certificats mutualisés, mais elle nécessite un paramétrage du navigateur. Les gestionnaires du site (administrateurs, rédacteurs…) peuvent l’utiliser pour sécuriser leur accès au site.

ATTENTION : cette procédure améliore la sécurité par rapport à un échange HTTP, mais n’est pas aussi sécurisée qu’un véritable échange HTTPS, avec un certificat dont la validité est vérifiée à chaque échange.

WordPress en https

Le protocole  HTTPS permet de crypter, donc de rendre illisible par un tiers, le contenu des échanges entre un ordinateur et un site WordPress.
Avec HTTP, un pirate surveillant votre liaison (wifi, réseau local, internet) peut aisément voir des informations sensibles : identifiants de connexion, paramétrage du site, informations bancaires… Pire, il peut modifier le contenu de la page renvoyée par le serveur pour insérer du code malveillant sans que vous vous en aperceviez.

Pour utiliser HTTPS, il faut installer un certificat électronique sur son serveur. Avec WordPress, on peut choisir de crypter les échanges :

  • dans l’administration et durant la phase de connexion (login),
  • pour l’ensemble du site,
  • ou pour certains articles et/ou pages.