WordPress est un formidable outil, puissant, collaboratif, et largement reconnu pour sa fiabilité. Malheureusement, sa large utilisation en fait la cible privilégiée des pirates, qui cherchent sans cesse de nouvelles failles à exploiter.
J’ai déjà traité du sujet dans plusieurs articles (Sécuriser son thème wordpress, simplement et rapidement !, Plugin de sécurité, vraiment utile ?) mais de nouvelles solutions apparaissent. Nous allons ici nous concentrer sur des extensions complémentaires à des solutions plus complètes de sécurité, visant un domaine en particulier.
1. Blackhole for Bad Bots
Cette extension est un peu la copie de certaines sécurités présentes sur les serveurs ou data centers. L’idée est d’ajouter de faux liens sur votre site, avec des règles de type « nofollow » qui indiquent aux robots d’indexation de ne pas suivre un lien. Les « mauvais » robots qui chercheront à crawler votre site web à la recherche d’informations sensibles (mails, url de login, informations sur votre version de wordpress) vont volontairement transgresser ces règles et donc accéder au faux lien… et le piège se refermera sur eux pour bannir l’ip du robot. Malin n’est-ce pas ?
Le plugin dispose de quelques paramètres, dont des alertes en temps réel.
2. Block Bad Queries (BBQ)
BBQ a été développé par Jeff Star tout comme le plugin précédent. Vous pouvez d’ailleurs voir l’ensemble de son oeuvre sur son site. Il vous permet de bloquer les requête faites via l’url, les paramètres trop longs ou reconnus malveillants, notamment ceux écrits en base64.
Il est aussi entièrement personnalisable et vous pouvez facilement ajouter d’autres paramètres à bloquer. De plus, il agit comme un firewall en scannant votre traffic (seulement les requêtes à vrai dire) pour éventuellement détecter les mauvaises.
Ce plugin n’est pas indispensable car, en général, ce travail est réalisé par l’hébergeur qui dispose d’un « vrai » firewall, ou par des solutions de sécurité plus complètes qui jouent le même rôle. Mais cela peut s’avérer utile si vous ne disposez pas d’hébergeur dédié à WordPress, ou ne souhaitez pas de solution trop lourde.
3. Disable XML-RPC
Ce genre d’extension est apparu après la mise en place de l’API intégrée à WordPress, avec la mise à jours 3.5 qui l’active par défaut. Le problème est que cette API comportait initialement beaucoup de failles (corrigées par la suite) et on en découvre encore de nouvelles. L’API utilise le protocole XML-RPC qui permet donc d’accéder à votre site web pour en récupérer des informations et interagir avec. Si vous n’avez pas l’utilité d’un tel protocole (qui est aussi utilisé par certains CRM, ERP, etc.) il est très fortement recommandé de le désactiver. Cette extension vous permet de manière très simple de le faire.
4. Google Apps Login Premium
Google Apps Login Premium n’est pas une extension de sécurité à proprement parler, mais elle résout en bloc tous vos problèmes de sécurité liés à la connexion. Cette extension remplace partiellement ou totalement (selon les options) la connexion via le système classique de compte et vous permet de vous connecter via votre compte Google. Réellement pratique pour les entreprises, cela permet à n’importe quel utilisateur de votre domaine (par exemple mb@1min30.com) de se connecter d’un seul clic et, par la même occasion, si le compte n’existe pas, d’en créer un automatiquement.
La force de l’outil réside dans la connexion asynchrone avec Google. Si vous supprimez le compte Google, l’utilisateur ne pourra plus se connecter à votre site, et vous n’aurez qu’un endroit pour la gestion de vos utilisateurs.
La sécurité est un élément important de votre site, et doit être au coeur de vos préoccupations. Chaque entreprise ne peut pas dédier une personne pour gérer cela, mais avec quelques connaissances et grâce à certaines extensions et bonnes pratiques, vous pouvez déjà prendre les premières mesures de sécurité et bloquer une bonne partie des attaques, pour vous éviter bien des problèmes.
Bien entendu, ces extensions ne sont pas indispensables. Vous pouvez très bien réaliser cela directement dans le code de votre site, ce sera plus léger et plus adapté. Mais si vous n’avez ni le temps ni les ressources, installez donc ces extensions. Elles ne sont pas très lourdes et vous protègent contre des attaques moins « classiques ».
Ces extensions viennent en complément d’autres bonnes pratiques, c’est pourquoi je vous réinvite à lire mes articles sur ce sujet, Sécuriser son thème wordpress, simplement et rapidement !, Plugin de sécurité, vraiment utile ?.
Si vous souhaitez réaliser votre site WordPress, nous produisons des sites personnalisés et sécurisés. Nous avons également réalisé un livre blanc : comment convertir vos visiteurs en clients pour approfondir vos connaissances en inbound marketing, aspect essentiel d’un site web.