Sécuriser un site WordPress en 2024 (recommandé par un Hacker)

Réponse rapide : mot de passe fort + mise à jours permettent d’éliminer 95% des risques.

En tant que rentier digital protéger mes actifs numériques est juste… vital ! Sécuriser un site WordPress est essentiel pour protéger les données sensibles, prévenir les attaques malveillantes et garantir une expérience sûre et fiable aux utilisateurs.

La base pour sécuriser WP

Mots de passe

Premièrement, je ne plaisante pas avec la sécurité des mots de passe. Un mot de passe robuste, c’est la base. L’idéal est de le coupler avec un gestionnaire de mots de passe genre Lastpass.

Pour renforcer la sécurité au niveau de la connexion, bien que changer l’URL de connexion soit une pratique courante, je mise plutôt sur la solidité de mes mots de passe, rendant inutile la modification de l’URL d’administration.

Mises à jour

Puis, je garde tout à jour : les thèmes, les plugins, et le cœur de WordPress. C’est crucial car les hackers exploitent en priorité les failles connues comme celles recensées sur ExploitDB.

Pour pallier ma tendance à procrastiner les mises à jour, j’utilise un plugin d’auto-updater qui prend le relais pour moi ou MainWP qui permet de gérer de nombreux site en un seul endroit.

Minimalisme

Plus vous avez de code en ligne, plus vous augmentez votre surface d’attaque.

Je vous conseille de garder le nombre d’extension au minimum, et de ne garder qu’un seul thème. N’installez que des thèmes et des plugins ayant une bonne réputation (nombreuses installation), et de provenance sûre.

Plugin sécurité wordpress

Côté plugins, je reste assez minimaliste. Wordfence est mon choix privilégié pour la sécurité. Il inclut un firewall d’application web (WAF) qui agit comme un pare-feu, bloquant les requêtes suspectes même si une faille est présente.

Sa capacité à repousser les tentatives de brute force et son option d’AntiBot dans la version gratuite sont particulièrement précieuses pour alléger la charge sur le serveur.

Authentification 2FA

Wordfence permet également une authentification forte à 2 facteurs. Je recommande celle-ci sur votre gestionnaire multisite MainWP.

Configuration WordPress

Je recommande d’éditer la configuration PHP pour désactiver certaines fonctions dangereuses et de configurer correctement le serveur pour empêcher l’escalade des répertoires.

Ces mesures, bien que simples, sont souvent négligées mais cruciales pour la sécurité d’un site WordPress.

Configuration PHP Dans php.ini

disable_functions= exec,passthru,shell_exec,system,proc_open,popen,parse_ini_file,show_source

(Sur O2Switch, passer par l’interface)

Faut-il désactiver XML-RPC si j’ai Wordfence ?

TLDR : Non

La question de savoir s’il faut désactiver XML-RPC sur WordPress, même lorsque vous utilisez Wordfence, dépend largement de vos besoins spécifiques et de la manière dont vous utilisez votre site. XML-RPC est une interface de programmation d’applications (API) qui permet à des applications externes de communiquer avec votre site WordPress, offrant la capacité de publier des articles, de gérer des commentaires, et d’effectuer d’autres tâches à distance.

Si vous utilisez des applications qui nécessitent XML-RPC, comme l’application WordPress mobile ou certains plugins comme Jetpack, désactiver XML-RPC pourrait interrompre le fonctionnement de ces outils. En outre, Wordfence a amélioré sa capacité à bloquer les attaques par force brute via XML-RPC, rendant moins nécessaire la désactivation complète de XML-RPC pour des raisons de sécurité.

Cependant, si vous n’utilisez pas d’applications qui nécessitent XML-RPC et que vous souhaitez minimiser la surface d’attaque de votre site, désactiver XML-RPC pourrait être une mesure de sécurité supplémentaire valable. Il est vrai que les attaques DDoS via XML-RPC pingbacks et les attaques par force brute via XML-RPC sont des préoccupations, mais comme mentionné, des plugins comme Wordfence sont capables de contrer efficacement ces tentatives d’attaque.

En résumé, si Wordfence est correctement configuré sur votre site, il peut offrir une protection suffisante contre les abus liés à XML-RPC sans nécessiter sa désactivation. Cependant, évaluer l’utilisation et les besoins spécifiques de votre site vous aidera à déterminer si la désactivation de XML-RPC est appropriée pour vous. Si vous décidez de désactiver XML-RPC et que vous utilisez des plugins ou des applications qui en dépendent, soyez conscient que vous pourriez rencontrer des dysfonctionnements.

Sauvegardes WordPress

Les backups sont votre ceinture de sécurité… Rappelez-vous quand OVH à brûlé.. Ils ne sécurisent pas directement le site, mais en cas de hack, avoir une politique de backup solide est un filet de sécurité indispensable. Le minimum à faire, car je sais que nous sommes tous fainéants, est de faire des backup sur les money sites (ceux qui rapportent de l’argent).

Isolation des sites

Je veille aussi à l’isolation des sites sur le serveur, notamment si vous êtes chez O2Switch pour limiter les dégâts en cas de compromission.

Cela signifie créer des environnements séparés pour chaque site, évitant ainsi qu’un hack sur un site puisse s’étendre aux autres et ne compromette tous vos sites.

Toujours isoler ses money-sites. Pour ma part, je met les money-site sur PlanetHoster et le Reste sur O2switch.

Sécurisation serveurs

Si vous installez vos serveurs sur un VPS vous devez sécuriser votre machine linux. L’installation de Fail2Ban est un must pour moi.

Cela permet de bannir automatiquement les IP après un certain nombre de tentatives de connexion échouées, réduisant significativement le risque d’attaques réussies par brute force.

Multi-hosting Debian/Apache (Source Julien Gadanho)

Un seul utilisateur

sudo chmod -R 755 directory

sudo chown -R www-data:www-data directory

Configuration Apache

<Macro vhost $domain> <VirtualHost *:80>         # The ServerName directive sets the request scheme, hostname and port that         # the server uses to identify itself. This is used when creating         # redirection URLs. In the context of virtual hosts, the ServerName         # specifies what hostname must appear in the request's Host: header to         # match this virtual host. For the default virtual host (this file) this         # value is not decisive as it is used as a last resort host regardless.         # However, you must set it for any further virtual host explicitly.         #ServerName www.example.com           ServerAdmin webmaster@localhost         DocumentRoot "/var/www/$domain"         php_admin_value open_basedir "/var/www/$domain/:/tmp"         ServerAlias *           # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,         # error, crit, alert, emerg.         # It is also possible to configure the loglevel for particular         # modules, e.g.         #LogLevel info ssl:warn           ErrorLog ${APACHE_LOG_DIR}/error.log         CustomLog ${APACHE_LOG_DIR}/access.log combined           # For most configuration files from conf-available/, which are         # enabled or disabled at a global level, it is possible to         # include a line for only one particular virtual host. For example the         # following line enables the CGI configuration for this host only         # after it has been globally disabled with "a2disconf".         #Include conf-available/serve-cgi-bin.conf   </VirtualHost> </Macro> # vim: syntax=apache ts=4 sw=4 sts=4 sr noet Use vhost testndd1.xyz Use vhost testndd2.xyz

a2enmod macro

systemctl restart apache2

A ne pas faire

Vous mettez en danger vos sites si :

• vous installez des extensions ou thèmes crackés (nulled)
• mot de passe faible
• mots de passe identiques sur plusieurs sites/services

Détecter un site hacké

Pour diagnostiquer si un site WordPress est piraté, voici quelques points clés à vérifier :

• Apparition de contenu inattendu : Si vous découvrez des pages en japonais ou tout autre contenu qui semble hors de propos sur votre site, cela peut être un signe d’intrusion (site:)
• Redirections suspectes : Testez l’accès à votre site depuis Google pour voir si vous êtes redirigé vers d’autres sites, notamment des publicités. Les hackers utilisent parfois le « referrer » pour cibler uniquement les visiteurs venant de moteurs de recherche.
• Utilisation d’outils de vérification : Des services comme Sucuri SiteCheck peuvent scanner votre site gratuitement et détecter la présence éventuelle de malwares ou d’autres compromissions.
• Vérification du FTP : Examinez la racine de votre installation WordPress. Un WordPress propre a une structure de fichiers bien définie. La présence de fichiers inconnus ou suspects, tels que about.php à la racine, est un indicateur d’infection.
• Changements dans la console de recherche : Des messages d’alerte dans la Google Search Console sur du contenu spam ou des activités de phishing hébergées sur votre domaine indiquent clairement un problème.
• Fluctuations de trafic anormales : Une baisse ou une hausse inexpliquée du trafic peut être le symptôme d’une activité malveillante, surtout si cela correspond à des redirections ou à de l’affichage de contenu non désiré.
• Réactions des visiteurs ou de la communauté : Les retours des utilisateurs peuvent aussi être un indicateur. Si des visiteurs signalent des problèmes ou des comportements étranges lorsqu’ils visitent votre site, il est temps de mener une enquête.

La première étape face à un site potentiellement piraté est de réaliser un diagnostic précis en suivant ces points. Ensuite, la désinfection peut commencer, souvent avec l’aide d’outils spécialisés ou en faisant appel à des professionnels de la sécurité WordPress pour nettoyer le site et restaurer son fonctionnement normal.

Vidéo Sécurité WordPress

Pour aller plus en détail, regardez cette vidéo qui présente le point de vue d’un Hacker Julien Gadanho

Conclusion

En résumé, ma stratégie de sécurisation de WordPress repose sur des mises à jour régulières, des mots de passe forts, une sélection judicieuse de plugins de sécurité, une bonne politique de backups, et des mesures techniques spécifiques au niveau du serveur. Chaque étape est importante et contribue à former une barrière solide contre les menaces potentielles.

Si vous êtes hackés, vous pouvez contacter Julien pour ses services de désinfection. 👉 Contacter Julien (question, prestation) : gadhack123@protonmail.com