Sécuriser et nettoyer votre thème WordPress des virus

Sommaire de la sécurité sur WordPress

WordPress est-il un CMS sur ?

Avant de commencer à utiliser un outil, on se pose tous une question légitime : cet outil est-il sur ? Ai-je besoin d’un antivirus ? Existe t-il une grande menace à opter pour cette solution ? … La liste des questions est longue et surtout légitime. Aujourd’hui, nous sommes des millions à utiliser WordPress pour créer nos sites internet. Ce CMS possède beaucoup d’avantages : polyvalent, peu onéreux, facile à prendre en main, … mais comme tout outil informatique créé par l’homme, il possède des failles que certains font exploiter pour endommager votre site. Les « pirates » ou « hackers » attaquent des sites pour plusieurs raisons : 

  • Black Hat SEO : En insérant des codes malicieux sur votre site, ils gonflent la popularité de leur site de spam. Généralement, ces codes malicieux insèrent des liens vers des sites douteux. Faites bien attention à ces liens car les moteurs de recherche n’apprécient guère les liens cachés. En terme de référencement naturel (SEO), ces liens peuvent avoir un impact très négatifs, alors faites bien attention à ce point !
  • Vol de donnée : Certains sites possèdent des données utilisateurs (mails utilisateurs et autres informations sensibles) qui valent de l’argent sur des places de marché avec du contenu illégal. 
  • Rançon : A l’image de ce qui se fait sur les ordinateurs, les pirates peuvent demander une rançon pour restituer l’accès à votre site internet. 
  • Un concurrent mal intentionné : Le monde du web est sans pitié et il tout a fait possible de payer quelqu’un pour faire tomber le site internet de quelqu’un d’autre. Si votre site internet ne possède pas un minimum de sécurité, vous risquez de tout perdre. 

La liste pourrait se rallonger mais je m’arrête ici. Le but est de vous faire comprendre que vous devez accorder un minimum d’importance à la sécurisation de votre site / blog WordPress sous peine de tout perdre. La menace est bien réelle et je peux témoigner. Tous les jours, mon serveur est la cible d’attaque et j’ai eu quelques sueurs froides plusieurs fois. 

Je vais vous donner, au travers de ce guide, des astuces et des outils pour avancer plus sereinement. Attention, je ne dis pas qu’en appliquant tous les conseils ci-dessous, vous serez à l’abri. Le risque zéro n’existe pas et vous devez rester vigilant ! Bonne sécurisation ! 

Comment un hacker peut-il attaquer WordPress ?

Comme je vous le disais précédemment, du moment qu’un humain écrit du code informatique, il est impossible qu’il ne créé pas dans le même temps une faille de sécurité. C’est tout à fait normal et pour corriger cela, vous avez des mises à jour régulière à faire.

Mais pourquoi diable les pirates s’attaquent-ils à WordPress ? Imaginez un parc de sites représentant plus de 32% du parc global des sites internet dans le monde et vous aurez votre réponse. WordPress est aujourd’hui le CMS le plus populaire dans le monde et il normal que des gens malveillants cherchent à utiliser les failles de ce CMS. Si vous voulez comprendre les différentes méthodes pour attaquer WordPress, voici quelques exemples :

  • Injection SQL : Le pirate va réussir à s’introduire au sein de votre base de donnée. Cette intrusion peut découler de la découverte d’un mot de passe utilisateur ou par un bout de code présent dans un plugin ou un thème téléchargé de manière illégale. Comme je l’explique souvent, il est tout à fait naturel de vouloir tester certain plugin ou thème avant de penser à l’acheter. Mais de grâce, n’utilisez jamais un thème ou un plugin premium téléchargé illégalement sur un site en production. N’allez pas gâcher un travail de longue haleine pour 40$.
  • Cross-site Scripting (XSS) : Le hacker va pouvoir injecter du JavaScript ou autre bout de code au sein de votre site via un champ de formulaire et ainsi donner une autre expérience de votre site à vos utilisateurs sans que vous vous en rendiez compte. Par exemple, le pirate peut afficher une publicité en lieu et place de votre site. Le Cross-site Scripting est l’attaque la plus fréquente. 
  •  Upload de fichiers : J’ai eu ce cas assez souvent. Quand on configure mal les autorisations utilisateurs sur les fichiers de WordPress (Voir Permissions fichiers), le pirate peut mettre en ligne des fichiers comme des fichiers .php. Ce fichier va ensuite infecter le reste de votre site. 
  •  Brute force : Attaque assez basique mais terriblement efficace si vous avez un mot de passe simple. Le pirate va tenter de s’introduire sur votre site en utilisant des librairies de mot de passe. Nous allons voir ci-dessous comment éviter cela. 
  •  Déni de service (Dos ou DDos) : Si vous suivez l’actualité, vous avez surement entendu parler de ce type d’attaque. Il s’agit de submerger les capacités du serveur sur lequel est hébergé le site internet en envoyant du trafic vers celui-ci. Ce trafic est souvent du trafic zombie. Les pirates disposent d’un parc d’ordinateur infectés qu’ils contrôlent. Si votre ordinateur possède un trojan, malware ou autre, il se peut que vous participiez à ces attaques sans vous en rendre compte ! 
La liste est vraiment longue comme vous pouvez le voir et j’ai choisi de vous présenter les principales méthodes utilisées par les pirates pour compromettre la sécurité de votre site WordPress. 

Règles de sécurité de base pour éviter les ennuis avec WordPress

Si vous souhaitez éviter les ennuis avec la sécurité de votre site WordPress, il existe des règles de base à respecter. Rien de compliquer mais surtout beaucoup de bon sens ! 

  • Veillez à avoir un ordinateur sans virus. C’est le point de départ. Si votre ordinateur possède un virus, il peut très bien se propager à votre installation WordPress. 
  •  Mot de passe sécurisé. Ce point est vraiment pris à la légère alors je répète certaines règles à absolument respecter pour les mots de passes : le mot de passe doit contenir des chiffres, caractères spéciaux, majuscule, doit être long et surtout éviter de mettre le même mot de passe pour tous vos sites, services, … Si un pirate met la main si celui-ci, les dégâts peuvent être très lourds. 
  •  Evitez de vous connecter à votre site WordPress via un WIFI Public. Les réseaux WIFI sont une bénédiction mais sachez que des personnes mal intentionnées peuvent aspirer les données qui transitent. Si jamais vous n’avez pas le choix, prenez un VPN. Faites attention ! 
  • Faites attention aux permissions fichiers et droits utilisateurs. N’accordez jamais une permission 777 à un fichier ou a un dossier sur votre installation WordPress. Cela signifie que tout le monde peut faire ce qu’il veut ! Si vous n’arrivez pas uploader une image ou modifier un fichier, faites autrement ! Si vous ajoutez des utilisateurs sur votre site, ne donnez pas les droits administrateurs à n’importe qui. 
  •  Utilisez le protocole SFTP plutôt que FTP. Quand on souhaite mettre en ligne des fichiers sur notre installation WordPress, on se tourne naturellement vers Filezilla ou Cyberduck pour effectuer ces tâches. Dans la mesure du possible, utilisez le protocole SFTP. Ce dernier, contrairement au FTP est plus sécurisé. 
  •  Installez un antivirus. Si vous souhaitez sécuriser votre installation, pourquoi ne pas installer un plugin de sécurité ? Vous allez avoir droit à des fonctionnalités comme un firewall, un bloqueur de brute force, un scanner de malware, … 
  •  Mettez à jour WordPress. Je sais que recevoir des notifications pour mettre à jour tel plugin ou tel thème peut être ennuyant mais je vous recommande vivement d’effectuez ces dernières. Ces updates contiennent des correctifs de sécurité ! 
  • Faites des sauvegardes. Ce point est souvent négligé et on se rend compte de l’utilité de faire des sauvegardes quand on a tout perdu. Téléchargez un plugin de sauvegarde si vous ne savez pas comment télécharger votre base de données et vos fichiers.  

Protéger WordPress avec le .htaccess

.htaccess par défaut de WordPress

Le fichier .htaccess de WordPress est créé par défaut du moment que vous changez les permaliens de votre site internet et ressemble à ce qui suit. 

Désactiver l'accès aux répertoires

Par défaut, les serveurs Apache permettent l’exploration des fichiers et des répertoires. C’est un peu laisser la maison ouverte avec les clés sur la porte afin que les pirates volent vos données et détruisent votre site WordPress. Pour changer cela, il suffit d’ajouter ce bout de code dans votre fichier .htaccess

Extensions admis pour /wp-content/

Si vous souhaitez éviter les ennuis avec les fichiers de type .php dans vos dossiers /wp-content/, vous pouvez utilisez le bout de code ci-dessous. Attention, vous devez créer un nouveau fichier .htaccess à placer dans le dossier /wp-content/ (et non dans le fichier .htaccess à la racine du site). 

Bloquer l'accès à /wp-includes/

Le dossier /wp-includes/ de WordPress contient les fichiers essentiels au bon fonctionnement de WordPress. Vous n’avez pas, normalement, à toucher à ce dossier. Pour avoir vécu une infection de ce dossier, je vous recommande de placer ce bout de code dans votre fichier .htaccess

Restreindre l'accès au fichier wp-config.php

Le fichier wp-config.php contient des données essentielles pour votre site WordPress (nom de base de données, login utilisateurs, …). Il conviendra de protéger ce fichier via le bout de code suivant à placer dans le fichier .htaccess

Bloquer des IP avec le .htaccess

Si vous remarquez que des personnes semblent vous chercher des ennuis, vous pouvez les bloquer grâce à leur adresse IP. Que cela soit des bots ou des personnes, placez le bout de code suivant en changeant l’adresse IP par celle souhaitée. 

Prévenir l'injection de script malicieux

Les hackers qui essayent d’infecter votre site internet vont tenter de changer les variables GLOBALS et REQUEST. Le bout de code ci-dessous empêche cela. 

Plugins pour sécuriser WordPress

Wordfence

Wordfence est vraiment le plugin indispensable si vous souhaitez avoir l’esprit en paix. J’utilise personnellement ce plugin car j’ai été à mainte reprise infecté par des malwares, trojan, … et autres bestioles et Wordfence est d’une efficacité redoutable pour les détecter et les supprimer. 

Le plugin Wordfence possède une partie Scan, une partie Firewall et des options qui vont vous permettre, par exemple, de bloquer des utilisateurs malveillants selon leur IP. 

La partie Scan va parcourir tous les fichiers de votre installation à la recherche de fichiers malicieux et va vous faire un compte rendu à la fin. A partir de là, vous pourrez supprimer ces fichiers. 

La partie Firewall va vous permettre de mettre en place des sécurités contre des utilisateurs ou des bots qui utilisent de manière illicite votre site et vos ressources. Ce firewall est évolutif. Il apprend selon les règles que vous lui imposez mais aussi par les retours de la communauté. 

Le plugin Wordfence est gratuit mais son modèle est celui d’un freemium. Si vous souhaitez accéder à des options de protection avancées, il faudra payer. Mais je vous rassure, j’ai la version gratuite depuis des années et je m’en sors très bien ! 

wordfence-virus-wordpress

Theme Authenticity Checker (TAC)

Ce plugin WordPress est sans aucun doute le plus connu et le plus efficace pour vous aider à lutter contre tout code malicieux. Theme Authenticity Checker est un plugin WordPress gratuit qui va analyser votre site Internet à la recherche de lignes de codes suspects.

Si jamais un lien crypté se cache dans votre thème WordPress, vous aurez droit à un joli message d’erreur rouge avec les erreurs en questions. TAC est facile à utiliser donc n’hésitez pas à l’installer !

tac-plugin-wordpress

WordPress Exploit Scanner

Comme pour le plugin WordPress TAC, WordPress Exploit Scanner va chercher dans les fichiers de votre site internet afin de trouver des traces d’activités suspectes.

Comme pour les autres plugins WordPress cités dans cette liste, WordPress Exploit Scanner n’a pas la capacité de stopper une attaque sur votre site, juste de vous indiquer les fichiers compromis.

Parmi les options de recherche, WES peut scanner simplement la base de donnée, seulement les fichiers, les fichiers et la base de donnée ou alors sur un mot-clé particulier.

exploit-scanner-wordpress

Anti-Malware Security and Brute-Force Firewall

Petit plugin intéressant dans la mesure oû il permet de bloquer la majorité des malwares grâce à une base de données mise à jour fréquemment. Autre point intéressant, il permet de bloquer les attaques de Brute Force mais aussi des petites attaques sournoises comme le User Enum ! 

GOTMLS-wordpress-plugin

11 réflexions sur “Sécuriser et nettoyer votre thème WordPress des virus”

  1. Merci beaucoup votre article ma beaucoup aider grâce a toutes ces explications jai pu réglé mon problème rapidement… encore merci 🙂
    Cordialement

  2. Bonsoir,
    Depuis 3 semaines je ne peux plus mettre d’articles car ils disparaissent lorsque je clique sur mettre à jour. Je viens de télécharger toutes « vos armes » anti-nuisibles. Le scan m’indique « vulnerability » scan en orange. Y a t-il une manipulation à faire pour voir ce
    qu’il y a à supprimer ? Je n’y comprends pas grand chose.
    Merci de m’aider

  3. Bonjour,
    J’ai lu un peu trop tard votre articles. 🙁
    je suis actuellement en train de construire un site wp. Ca fait près de 6 mois que je suis dessus. Je boss dessus de temps à autre.
    Mon site n’est pas indexé par les moteur. j’utilise egalement un nom de domaine provisoire.
    je pensais le mettre en ligne au mois de novembre.
    Bref,
    Mon site à été bloqué par google aujourdhui. J’ai une page rouge avec ecrit que le site est frauduleux.
    Firefox a bloqué cette page, car elle pourrait vous amener à réaliser des actions dangereuses comme installer un logiciel ou révéler des informations personnelles telles que vos mots de passe ou votre numéro de carte bancaire.

    Avis émis par Google Safe Browsing.

    Auriez-vous des suggestions pour rélgler ce problème.

    merci d’avance.

    1. Bonjour @Al,

      Non car il s’agit d’une expression régulière (Regex) qui va vous permettre d’interdire l’upload des fichiers jpeg et jpg. J’espère que c’est plus clair maintenant 🙂

  4. SUPER ET MERCI.
    J’avais un site WP infecté depuis plusieurs mois et ni SECUPRESS, ni EXPLOIT SCANNER n’avais trouvé le problème.
    Avec WORDFENCE a été rapidement localisé et j’ai pu traiter rapidement.
    Maintenant je vais le protéger.
    Philippe

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut