WordPress est le CMS le plus utilisé dans le monde, mais aussi le plus attaqué. Relais de spam, stockage de contenus illicites…il existe de nombreuses raisons de pirater votre WordPress pour les hackers, toujours plus créatifs. Heureusement, un collectif français d’experts Worpdress a crée Secupress, une véritable armure contre la menace.
Comment et pourquoi attaquer un blog WordPress ?
Bien entendu, il vous est difficile de comprendre pourquoi votre Blog WordPress, celui que vous avez passé tant d’heures à créer pour votre atelier de poterie, n’existe plus qu’au travers d’une erreur 500 dans votre navigateur. Pourquoi vous ? Qui vous en veut à ce point ? Votre voisine ? Quelqu’un du village ? Rassurez-vous (ou pas!) : ceux qui ont fait ça n’ont pas la moindre idée de qui vous êtes et de ce que vous rédigiez sur votre blog. Ce qui les a fait venir à vous et détruire ainsi votre site, ce sont les « portes ouvertes » de votre hébergement. Les hackers s’en prennent à votre site car ce dernier présente des failles ; ces dernières sont souvent provoquées par des modules obsolètes et/ou dont la sécurité est défaillante, ou par le manque de mise à jour de votre plateforme WordPress.
Mais pourquoi faire ? Les serveurs qui attaquent votre site se servent de la ressource que vous représentez, en tant que lieu de stockage ou de bande passante, pour distribuer du contenu ou des données illicites. Ainsi, votre site peut servir à relayer des virus ou être utiliser pour l’envoi de mails frauduleux appelés spams. Dans le cas où votre plateforme WordPress a été attaquée, vous pouvez suivre les tutoriels proposés par votre hébergeur afin de reprendre la main sur votre blog. Souvent, cela passe par la reconstruction à partir d’une sauvegarde, en contrôlant que cette dernière soit antérieure à l’infection subie. Dans le pire des cas, il faut reconstruire et repartir à zéro. Que vous ayez subi un piratage ou pas, il est impératif d’installer au plus vite une extension de sécurisation comme Secupress et bien sûr sauvegarder régulièrement votre site.
Secupress : la sécurité devient facile
Ensemble, nous allons découvrir la version gratuite du module que propose Secupress pour sécuriser votre blog WordPress. Secupress propose cette version gratuite dotée des principales fonctionnalités, mais qu’il faudra compléter par une licence si l’on veut réellement avoir une protection à toutes épreuves. La liste comparative des fonctionnalités des deux versions vous permettra d’apprécier les différences et la profondeur de protection proposée par la solution Secupress.
L’installation du module s’exécute en un clin d’œil sur le back office du site WordPress. La configuration est entièrement assistée et l’extension se met rapidement au travail, grâce à une série d’action automatisées. Dotée d’une interface graphique particulièrement léchée, Secupress scanne le site et au travers d’un système de notation, attribue à l’installation son niveau de sécurisation.
Lors de la première installation de l’extension à laquelle j’ai procédé, le site en question avait subi des attaques provenant de serveurs russes en chinois et s’était retrouvé inopérant durant plusieurs jours. L’extension Secupress une fois installée avait alors attribué la note E sur son échelle de A à G, indiquant de manière explicite qu’un certain nombre d’actions pouvaient être menées afin de sécuriser les principaux points faibles du CMS. Mieux que ce simple constat, le module Secupress propose de réaliser ces actions en cliquant simplement sur un bouton ! Quelques minutes plus tard, un rapport indique que les premières étapes ont été réalisées : changement du préfixe de la base de données, mise en place d’un pare-feu, lutte contre les attaques de type Brute Force… La note est maintenant C contre E au départ : nul doute que l’action du module est d’entrée bénéfique pour la sécurité du Blog.
Une liste des actions exécutées est présente dans la rubrique « logs ». Un boution « Fix it » vous permet d’autoriser le module à automatiser certains actions pour vous, notamment la mise à jour automatique des modules, ce qui est relativement commode. Les 35 points de sécurité traités par le module Secupress sont listés sous la note attribuée, avec pour chacun l’état de protection actuel de votre site WordPress sous l’appréciation « Good » ou « Bad ». Ainsi, vous pouvez voir sur quels points il vous faudra encore faire progresser votre protection, sachant que la version gratuite du module ne vous permettra pas d’atteindre une meilleure note que C.
La version gratuite est-elle suffisante?
Certains aspects de la protection très poussée du module Secupress ne sont accessibles qu’avec l’achat de la licence Pro, que nous vous recommandons et dont le tarif n’est pas inaccessible. Pourquoi passer en version payante? La simple perpective de risquer de perdre le contenu de votre site, les billets de blog que vous aurez rédigés, les supports comme les images et vidéos, les fiches produits et les historiques de vente dans le cadre d’un site e-commerce… Ajouté à cela le temps que vous avez passé, et/ou le temps que vous passeriez en cas de piratage, ces arguments nous semblent bien suffisants pour vous pousser à vous fendre de la somme requise pour acheter le licence Pro de Secupress. Cette dernière vous donnera accès à de nombreuses possibilités supplémentaires, comme le système d’alerte/notifications, la double authentification au back office, la planification des tâches en vue de leur automatisation, un antispam, la possibilité de déplacer/cacher l’url du back office, un scanner de virus/malwares PHP ou encore le support par des experts.
En conclusion, l’extension Secupress assure une sécurité très complète d’un site WordPress et ne nécessite aucune compétence particulière à sa mise en œuvre. Secupress est le fruit du travail de plusieurs experts en sécurité français, dont le travail est reconnu depuis longtemps dans l’univers WordPress français. N’attendez plus, offrez vous la sécurité parfaite !
À propos : Jean-Hugues Delhaye
Jean-Hugues a crée de nombreux sites Internet vitrine et e-commerce sur la plateforme WordPress. Confronté aux problématiques de sécurité des sites Web, il a étudié et testé les solutions les plus en vue du marché pour ce CMS.