Sécurisez votre WordPress avant d’être hacké

Peut-être que vous êtes aussi comme moi et que vous détestez faire les mises à jour, pourtant elles restent actuellement cruciales pour éviter les failles de sécurités. Voici mon expérience de la semaine…

Je me fais hacker

Depuis le début de cette semaine, plusieurs fois le site de Webbax est passé « offline », tout simplement parce que l’hébergeur Infomaniak nous bloque parce que nous continuons à nous faire hacker en boucle.

C’est le genre de processus pénible, parce que pas de site et pas de shop = pas de vente et forcément une mauvaise image aux yeux des clients. L’hébergeur Infomaniak est très clair sur ses conditions, vous n’avez pas la dernière version de WordPress et vous êtes hacké ? Faites une mise à jour pour qu’on vous débloque (pas trop le choix).

Faire une mise à jour dans l’urgence

Forcément hier j’avais déjà beaucoup de choses urgentes, à traiter… mais en plus il fallait que je mette à jour mon WordPress en « vitesse grand V ». Cela est problématique, car une mise à jour engendre toujours de nouveaux conflits inattendus.

Il faut mettre à jour :

  • le noyau WordPress
  • tous les plugins associés
  • le thème utilisé

Il faut changer les accès

  • du serveur FTP
  • du back-office WordPress

Le risque qu’un blocage survienne peut-être important et malgré tout, je dois avouer que la mise à jour s’est bien passée… Pourtant, j’ai mis à jour en masse beaucoup d’éléments sans forcément avoir un contrôle sur tout le site (j’ai dû faire une confiance aveugle à WordPress). Il n’y a pas eu de crash et l’opération a été un succès, contrairement à une mise à jour Prestashop, qui bien souvent nécessite de déployer les grands moyens et qui ne permet pas l’improvisation.

Wordfence

Et plus tard dans la semaine je me refais à nouveau hacker encore, pourtant les plugins et WordPress sont bien à jour. Pour contrer ce problème je décide donc d’installer le plugin Wordfence pour améliorer la sécurité du site. Directement je souscris à l’option « Premium » à 99$ pour 1 an, parce qu’avoir un site à l’arrêt c’est vraiment pas le top.

Le prix de la sécurité ? Finalement c'est raisonnable moins de 10 CHF par mois, oui j'achète ! Mieux vaux un site toujours en ligne quitte à payer un peu plus.
Le prix de la sécurité ? Finalement, c’est raisonnable moins de 10 CHF par mois, oui j’achète ! Mieux vaux un site toujours en ligne quitte à payer un peu plus.

Le plugin est facile à installer, vous avez juste quelques réglages de base à faire et vous êtes sécurisé. Il va pouvoir scanner votre site et vous dire quels sont les fichiers malveillant, cela m’a permis de faire du nettoyage et de supprimer scripts vicieux, mais il faut quand même regarder le contenu du fichier pour être sûr que vous pouvez le supprimer, l’oeil d’un expert web ça aide pour approbation.

Le scanner intégré est vraiment intelligent et trouve des failles que l'hébergeur n'est pas capable d'identifier. Vous pouvez réaliser une belle opération de nettoyage assez facilement.
Le scanner intégré est vraiment intelligent et trouve des failles que l’hébergeur n’est pas capable d’identifier. Vous pouvez réaliser une belle opération de nettoyage assez facilement.

Il y’a un seul élément que j’ai décidé de ne pas mettre à jour c’est le thème WordPress que j’utilise, tout simplement parce que cela va écraser tous les changements que j’ai effectués à l’intérieur et qu’il faudra refaire l’intégration. Donc pour le moment, c’est le seul élément restant qui n’a pas été patché volontairement.

Faut-il utiliser WordPress ?

C’est la question qu’on peut se poser, car plus la solution est populaire… plus votre risque de vous faire hacker est grand. Cela nécessite aussi de faire des mises à jour régulières et cela est donc aussi parfois pénalisant pour le client. On en revient aussi à une constatation… je pense qu’il y’a moins de risques de se faire hacker avec un script PHP « maison » criblé de failles… qu’un WordPress sécurisé… Pourquoi ? Parce que les hackers visent des CMS populaires tout simplement.

Ou se trouvent principalement les failles ? Dans les plugins que vous installez (plus de 50% des cas), essayez donc de vous limiter à quelques plugins seulement et assurez-vous que ceux-ci sont tenus à jour régulièrement.
Ou se trouvent principalement les failles ? Dans les plugins que vous installez (plus de 50% des cas), essayez donc de vous limiter à quelques plugins seulement et assurez-vous que ceux-ci sont tenus à jour régulièrement.

Bilan

Encore aujourd’hui le site a été hacké (juste avant que j’installe le plugin Wordfence… reste donc à voir si demain le site résiste aux prochaines attaques. Quand on est confronté à ce genre de problème c’est toujours agaçant, forcément j’ai repoussé beaucoup de mise à jour pour éviter des bugs… mais la sanction a été rude. Pour la suite, je vais tâcher de régulièrement mettre chaque mise à jour qui sera proposée dans le back-office.

7 réflexions au sujet de « Sécurisez votre WordPress avant d’être hacké »

  1. Bonsoir,
    Mêmes problèmes avec Joomla… Mais il me semblait que les mises à jour de WordPress étaient automatiques.

    Pour finir je conseil à mes clients, pour les sites de présentation, des sites statiques. Ils ne pourront pas le mettre à jour eux-même mais économiserons sur les migrations et mies à jour…

    1. Bonjour,

      Sur WordPress, il me semble que les mises à jour du coeur sont automatiques, mais il faut approuver cela normalement dans la configuration WordPress.

      Avec du code manuel on contourne certains problèmes, mais on perd aussi en souplesse. Cette manière de faire peut correspondre à certains types de clients avec des exigences très basiques.

      Merci pour votre visite !

  2. Pour ma part, je te recommande MAinWP qui te permettra de mettre à jour automatiquement tes plugins et le noyau de WordPress, mais aussi NinjaFirewall qui souvent est plus efficace que Wordfence …

    1. Très intéressant, je vais tâcher de regarder ces deux plugins qui peuvent amener un plus. Je vais déjà voir pour peut-être mettre en place MainWP et si Wordfence flanche, je le couplerai à NinjaFirewall pour tester.

      Merci pour ces recommandations !

    1. Hello,

      C’est ce que j’aurai dû idéalement faire je pense, j’ai entrevu ça hier quand j’hésitais à faire la mise à jour du thème. A nouveau, je pense qu’au moment de la conception, il faut éviter le bricolage, car c’est toujours pénible à maintenir.

      Merci pour ta remarque, je vais utiliser cette méthode pour la prochaine refonte.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *