• 10 heures
  • Moyenne
Licence

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 07/12/2022

Évitez le piratage du site

Sécurisez WordPress

Maintenant que nous avons vu comment sécuriser WordPress, demandons-nous comment réagir lors d’un piratage.

Réagissez face à un piratage

Passez en mode maintenance

Si le site est piraté ou que vous êtes en train de faire une opération sur votre site, il est important de mettre le site en mode maintenance. Cela évitera que vos visiteurs puissent interagir avec votre site et interférer dans le traitement en cours.

Pour mettre le site en mode maintenance, il suffit de mettre le code suivant dans functions.php  :

function maintenace_mode() {
    if ( !current_user_can( 'administrator' ) ) {
        wp_die('Maintenance.');
    }
}
add_action('get_header', 'maintenace_mode');

On utilise le hook action get_header  pour injecter un bout de code de maintenance.

Le code  if ( !current_user_can( 'administrator' ) )   permet de vérifier si la personne qui accède à WordPress n’est pas administrateur. Dans ce cas-là, le code wp_die('Maintenance.');  permet de bloquer l’affichage de la page, et d’écrire ‘Maintenance’.

Ainsi, en étant connecté avec un compte administrateur, on peut continuer à parcourir le site, alors que toute autre personne verra seulement le mode ‘Maintenance’.

N’y a-t-il pas des extensions pour faire la même chose ?

Bien sûr que si. Pour cela, si vous allez dans les extensions du back office et que vous cherchez un plugin avec le mot clé “Maintenance”, vous trouverez des extensions qui font le job.

Cependant, si votre site est complètement ou partiellement hors service, il vous sera difficile d’ajouter un plugin. C’est pour cela que la méthode manuelle est utile à connaître.

Adoptez les bonnes pratiques

Pour sécuriser un site WordPress, il y a plusieurs points importants à traiter, que je vous explique :

Sauvegarder régulièrement votre site

Il est important de prévenir, mais parfois il faut guérir. Si vous êtes piraté ou avez engendré un bug fatal, il faudra parfois revenir en arrière. Avoir des sauvegardes régulières permet de s’assurer de revenir à un état antérieur du site pas trop éloigné.

Par exemple, dans l’e-commerce, il est intéressant de sauvegarder tous les jours les fichiers, et toutes les heures la base de données. On évite ainsi de perdre des commandes.

En faisant des recherches, vous trouverez facilement divers plugins permettant de faire des sauvegardes, comme par exemple UpdraftPlus, VaultPress, BackWPup et bien d’autres.

Installer une extension de sécurité

Il existe diverses extensions WordPress qui s’occupent de bien sécuriser votre site en limitant des accès, en bloquant les tentatives de piratage, en prévenant certaines utilisations malveillantes, etc.

Personnellement, sur l’ensemble des sites que je gère, j’installe systématiquement l’extension iThemes Security. Ce plugin est gratuit, et son paramétrage est très simple.

De plus, il permet de se protéger des attaques brute force. C'est-à-dire des attaques où le pirate essaie une infinité de combinaisons pour se connecter. Au bout de quelques tentatives, l’IP est blacklisté et ne peut plus tenter de se connecter.

Mettre à jour votre site WordPress et les plugins régulièrement

Comme nous l'avons vu précédemment, mettre à jour régulièrement son site WordPress évite l’apparition de failles de sécurité. Il est donc important de penser à faire des mises à jour régulières.

Choisir un hébergement adapté et sécurisé

Il existe beaucoup d'hébergeurs de sites web pouvant accueillir WordPress.

Ils font globalement très bien le travail, mais certains proposent des services complémentaires, comme les sauvegardes, des modes maintenance avancés, une gestion de logs avancée, et surtout une protection contre les attaques DDoS.

Analyser le piratage grâce à l'extension WordFence

Et si vous avez déjà été piraté, comment analyser les dégâts et les corriger ?

Pour ma part, je vous conseille l’extension Wordfence Security, qui fait office de firewall, mais l’extension iThemes Security vue précédemment fait l’affaire.

L’extension Wordfence Security permet surtout de faire du scan de malware. Cette fonction scan parcourra l’ensemble du code de votre WordPress, et analysera s'il y a des écarts de code avec le code normalement attendu pour la version actuelle de WordPress. De plus, l'extension connaît les bouts de code malveillants.

À la fin de l’analyse, on obtient un rapport qui donne une liste de tous les dangers dans votre code, des suggestions de correction, et surtout leur degré de dangerosité. Si jamais vous n’avez pas fait les mises à jour d’extensions, les écarts de mises à jour seront indiqués, ainsi que le degré de dangerosité.

En résumé

  • Mettre à jour WordPress et les plugins est fondamental pour assurer la sécurité de votre site, mais aussi pour le bon fonctionnement au fil du temps.

  • WordPress est la cible de beaucoup de piratages, car il est très utilisé à travers le monde.

  • Il est important de bien se poser les questions sur la mise en place des bonnes pratiques pour sécuriser son site WordPress.

  • En cas de piratage, il faut pouvoir analyser ce qui a été modifié et apporter des corrections adéquates, tout en pensant bien à sécuriser le site. L’extension “Wordfence Security” est idéale pour cela.

Ce cours touche à sa fin ! Au prochain chapitre, revenons sur tout ce que vous avez vu. Puis validez vos acquis de cette dernière partie avec un quiz !

Exemple de certificat de réussite
Exemple de certificat de réussite