Nous sommes le Mardi 9 Mai 2017 et le blog du modérateur ainsi que quelques comptes Twitter bien informés nous révélaient la découverte par David Golunski (ici) d’une faille potentiellement dangereuse nommée CVE-2017-8295. Celle-ci permettait à des hackers mal intentionnés (parce qu’ils en existent des bons si si) de pouvoir récupérer l’administration de bon nombre de sites WordPress par la fonctionnalité de Réinitialisation du Mot de Passe. Sans vouloir rentrer dans les détails, le pré-requis pour mettre à profit cette faille était que la boite email liée au compte Admin des sites WordPress soit saturée.
Panique à bord, mais après vérification aucun des sites de nos clients n’étaient touchés par cette faille. Cette dernière attaque et les précédentes, nous ont poussé à prendre des mesures découlant des questions suivantes : si une faille est détectée sur le core de WordPress, qu’en est-il des plugins et des thèmes ? Est-ce que je peux me permettre de mettre en péril ma vitrine sur internet ou celle de mes clients ? Faut-il se séparer de WordPress et migrer vers une solution plus sure ?
Pour comprendre pourquoi WordPress est autant sujet aux attaques, nous pouvons prendre le parallèle avec Windows. WordPress est au CMS ce que Windows est au système d’exploitation. La part de marché qu’il représente montre qu’il est un outil pertinent mais en fait une cible de choix pour les hackers. Un hacker aura plus tendance à attaquer une solution pérenne qu’une autre qui tombe en désuétude. Est-ce que cela vous contraint à ne plus utiliser Windows ? Non. De plus, si un exode massif se créé d’un CMS à un autre, les hackers ne feront que suivre le mouvement. Pas bête les bougres… La solution n’est donc pas de fuir mais de se protéger. Il nous faut donc seulement mettre en place des mécanismes nous permettant de nous protéger afin d’être vigilant au quotidien et parer à toutes attaques éventuelles.
Sécuriser vos formulaires
Il vous faut savoir que sur WordPress, la première faille de sécurité se situe sur les formulaires de connexion ou de commentaire. Les hackers profitent de la relative faille de votre site internet pour envoyer par ce biais une multitude de requête. Pour s’en prémunir, veillez à installer des sécurisations.
La première est de modifier l’url de connexion à votre back-office. En effet, WordPress propose deux urls, communes à tous les sites, afin de se connecter à votre Tableau de bord. Il s’agit de /wp-login et /wp-admin. Pour aller plus loin, consultez l’article dédié ici.
La seconde est de rendre inviolable vos commentaires. Pour ce faire, suivez les étapes ci-après :
- Réglez vos « Options de discussion »: rendez-vous dans le Tableau de Bord, puis Réglages, puis Discussion.
- Installez un plugin de sécurisation de formulaire type Google reCaptcha ou validation arithmétique (addition, soustraction, …). Cela a pour objectif une validation manuelle que les robots auront beaucoup de mal à exécuter. Ainsi, seuls les personnes physiques pourront valider le formulaire.
Exemple ici sur un formulaire de connexion, valable aussi pour les commentaires.
- Installez un plugin de gestion des commentaires fiable type Disqus. En tant qu’expert, ceux-ci ont leur propre système de sécurisation.
Choisir ses plugins
Le choix de vos plugins est un élément essentiel de votre propension à lutter contre les attaques futures. Il existe plus de 50 000 extensions WordPress et bon nombre d’entre-elles ne sont pas maintenues. Ainsi, il s’agit d’un formidable point d’accès pour les logiciels malveillants de s’insérer dans votre site internet. Prenez donc l’habitude, si vous n’êtes pas un adepte de WordPress et/ou que vous ne connaissez pas le plugin que vous installez, de vérifier si le plugin est régulièrement mis à jour et que le support est actif. Sur le store WordPress, une mention apparait lorsque le plugin n’est plus maintenu.
Exemple de plugin non maintenu. La mention apparait en haut de l’écran du store WordPress.
N’hésitez pas à renoncer à un plugin, même s’il convient parfaitement à votre besoin, pour un autre peut-être moins efficace mais mieux maintenu.
Sauvegarde automatique ou manuelle régulière
Parce que l’on est à l’abris de rien, un plugin défaillant, une attaque globale, une faille, il est nécessaire de réaliser des backups réguliers de votre site. Selon la taille de votre business et le nombre de mises à jour effectuées par vos services, la cadence de sauvegarde sera plus ou moins importante :
- Pour un site vitrine : une sauvegarde tous les 6 mois sera suffisante si votre contenu n’évolue pas,
- Pour un site catalogue : une sauvegarde mensuelle et/ou une sauvegarde lorsque vous réalisez un gros update de votre offre produit,
- Pour un blog : en fonction de votre rythme de publication, une sauvegarde hebdomadaire ou mensuelle,
- Pour un site eCommerce : une sauvegarde hebdomadaire pour les petits sites, une sauvegarde quotidienne pour les plus importants afin de ne perdre aucune commande en back-office.
Pour réaliser ces sauvegardes, deux solutions s’offrent à vous : la sauvegarde automatique par l’utilisation d’un plugin et la sauvegarde manuelle via les outils natifs de WordPress.
La procédure de sauvegarde manuelle est la suivante :
- Connectez-vous à votre Tableau de bord puis rendez-vous dans Outils,
- Cliquez sur Exporter,
- Sélectionnez Tout le contenus puis Télécharger le fichier d’export
Écran d’exportation de WordPress
Un fichier est alors enregistré sur votre ordinateur. Il contient vos données d’administrations, vos utilisateurs, vos articles et pages, les liens vos fichiers médias, etc. Si votre site est victime d’une attaque, nettoyez votre site et reprenez ce fichier. Si vous avez correctement réalisé la procédure, votre site sera comme neuf !
La procédure de sauvegarde automatique (préconisée) est quant à elle un peu moins fastidieuse. Elle nécessite l’utilisation d’un plugin. Il en existe plusieurs sur le marché, mais le plus performant est, selon nous, le plugin UpdraftPlus, disponible en version gratuite et en version premium. Pour de petits sites, la version gratuite est tout à fait suffisante. Pour les sites à contenus important ou à fort traffic, nous vous recommandons d’investir dans la version Premium. Elle vous permettra une configuration plus poussée de vos backups.
Updraftplus dans le Store WordPress
Son utilisation est assez simple. Il vous suffit de sélectionner le contenu que vous souhaitez sauvegarder, de configurer la cadence de backup (hebdomadaire, mensuelle, annuelle) et de choisir l’endroit de stockage de la sauvegarde : FTP, Dropbox, GoogleDrive, Amazon, etc . Et voilà, vous n’avez plus rien à faire ! Si votre site est victime d’une attaque malveillante, ce backup vous permettra de le rétablir sans soucis.
Mises à jour du core WordPress et des Plugins
Enfin, arrêtons-nous sur une des étapes les plus importantes de la sécurisation de votre site WordPress, les mises à jour du core WordPress et des plugins. Vous l’avez certainement constatés si vous êtes un utilisateur assidu de WordPress, des mises à jour apparaissent régulièrement dans votre back-office. Elles sont matérialisés par une petite pastille rouge dans votre sidebar, au niveau des onglets Extensions et Tableau de bord.
L’écran Mises à jour de WordPress
Les mises à jour de WordPress
Directement gérées par Automattic (l’éditeur de WordPress), ces mises à jour permettent l’ajout de fonctionnalités, la résolution de petit bugs et, ce qui nous intéresse ici, le renforcement de la sécurisation de votre CMS. Les hackers sont malins et évoluent, Automattic se doit donc dans la mesure du possible de parer à toute attaque. Et il est primordial de votre côté de réaliser ces mises à jour le plus régulièrement possible. Elles vous garantiront une installation saine et la moins vulnérable possible.
Pour ce faire, rendez-vous sur votre back-office puis dans l’onglet Tableau de bord > Mises à jour. Si votre installation WordPress nécessite une mise à jour un message apparait. Il vous suffit juste de cliquer sur le bouton « Mettre à jour WordPress ». Veillez à réaliser un backup de votre site avant toute mise à jour de WordPress.
Les mises à jour de vos Plugins
Elles sont gérées par les éditeurs des plugins eux-mêmes et peuvent : soit répondre à une mise à jour de WordPress, soit à une résolution de bugs ou un ajout de fonctionnalités, soit à la nécessité d’améliorer la sécurisation du addon. Parce qu’ils sont moins bien construits, les plugins sont souvent les portes d’entrées des hackers. Veillez donc à ce qu’ils soient régulièrement mis à jour par leurs éditeurs respectifs et assurez-vous de posséder toujours la dernière version sortie. Cela vous évitera bien des déboires.
Pour ce faire, suivez la même procédure que pour la mise à jour WordPress ci-dessous. Sélectionnez l’ensemble des plugins à mettre à jour si vous souhaitez rendre cette étape moins fastidieuse.
En résumé
- Sécurisez les « portes d’entrées » visibles de votre site web : formulaire de contact, d’inscription, de connexion
- Veillez à ce que vos plugins soient maintenus par leurs éditeurs
- Préférez un plugin moins performant mais à jour
- Définissez un planning de sauvegarde en fonction de votre besoin
- Procédez aux mises à jour régulière de WordPress et de vos plugins
Pour conclure, nous pouvons constater qu’il n’existe malheureusement pas de solutions miracles. Une personne mal intentionnée arrivera toujours à ses fins si elle le souhaite vraiment. Toutefois, des procédures simples sont à votre disposition pour vous prémunir du « hacking » courant et évitez que votre site tombe en rade un beau matin. Elles vous permettront également de stockez vos informations, vos contenus, vos commandes, … et de pouvoir les récupérer facilement si besoin. Si vous avez une quelconque difficulté dans leurs mises en oeuvre, postez un commentaire ci-dessous ou rendez-vous sur notre formulaire de contact. Nous nous ferons un plaisir de vous aider !