Notre dossier WordPress sur le sujet de la sécurité continue. Nous allons voir que certains plugins, vraiment légers, peuvent permettre de sécuriser assez efficacement votre site contre certaines techniques de piratage. Cependant, les plugins sont paradoxalement une des premières cause de vulnérabilité de votre site WordPress.
Notre premier plugin va donc nous permettre de contrôler la sécurité des autres plugins, si ceux-ci ont déjà été analysés, bien entendu.
Vérifier la sécurité des plugins de sécurité…
Je ne peux que vous inviter à visiter le site de Boîte à Web et éventuellement installer le plugin de contrôle de sécurité des autres plugins WordPress Plugin Security Checker.
Ce plugin met en relation votre installation de plugins à la base de données des plugins analysés par Julio Potier, consultant en sécurité web. Vous pourrez ainsi savoir si vos plugins installés sont sécurisés, et, à défaut, en demander une analyse.
Limiter le nombre de tentatives de connexion
Le plugin Login Lockdown permet de limiter le nombre de tentatives de connexion d’une même adresse IP sur un certain laps de temps. Le but de ce plugin est de limiter les attaques par force brute.
Cette technique consiste à tester toutes les clés possibles, jusqu’à trouver la bonne. C’est une technique longue qui peut nécessiter des heures, jours, voire des années pour trouver votre mot de passe. Cette méthode est souvent facilité par l’utilisation d’un dictionnaire (de noms ou mots de passe communs).
D’où l’intérêt d’avoir un mot de passe complexe.
Authentification forte
Le plugin BAW More Secure Login permet d’ajouter un second facteur de sécurité (en plus de votre mot de passe) lors de l’identification d’un utilisateur. Ce second facteur n’est pas stocké en base de donné et doit être imprimé par vos soins. Il a la forme d’un tableau avec 64 codes. Chacun des codes peut vous être demandé de manière aléatoire lors de l’authentification à l’interface d’administration.
Cette carte est renouvelable à chaque changement de mot de passe. Il est donc recommandé de changer régulièrement de mot de passe et de carte pour optimiser la sécurité de la connexion à l’interface d’administration de votre site.
Pour plus de détails je vous invite à lire la page dédiée à ce plugin : Boite à Web – More Secure Login
Ajouter une identification HTTP
Grâce au plugin AskApache Password Protect, il est possible de rajouter une identification HTTP à l’interface d’administration, avant même d’arriver sur l’interface de connexion de WordPress. Cette solution un peu trop contraignante pour certains (demande une double authentification) n’a pas grand succès, mais c’est pourtant une bonne solution de sécurité.
WP AntiVirus
WP AntiVirus vous permet, entre autre, de scanner votre thème courant afin d’y déceler les failles courantes.
Il surveille les injections malveillantes et vous met en garde contre d’éventuelles attaques.
Ce plugin scan des contenus classiques, il est donc évident qu’il risque de louper certaines choses à peine cachée. Pour plus d’informations sur le fonctionnement de ce plugin, je vous invite à lire l’article de Julio au sujet du plugin TAC, un outil similaire à WP AntiVirus.
BulletProof Security
Le plugin BulletProof Security est un outil très complet qui vous permet de vérifier les failles de type : XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL Injection (Glossaire).
Je vous invite à en lire la présentation sur le site de WordPress.org.
WP Security Scan
Le plugin WP Security Scan vous permet de créer un backup de votre base de données, de changer le préfixe des tables de données de WordPress, de contrôler la présence de fichier .htaccess dans certains dossiers, etc.
Et bien d’autres…
… comme :
- Exploit Scanner – Scan votre installation (fichiers et bases de données) à la recherche de signes suspicieux
- Ultimate Security Checker – Scan votre installation à la recherche de failles déjà testées
- Chap Secure Login – Permet de vous identifier sans transmettre en clair votre mot de passe
- One-Time Password – Permet une connexion à votre admin avec un mot de passe à usage unique
- User Role Editor – Permet de changer les capacités d’un rôle utilisateur
- BackWPUp – Permet de faire des backups de vos données
- Audit Trail – Permet de connaître les dernières actions des utilisateurs dans l’admin
WordPress Firewall 2 – Analyse les requêtes pour stopper les attaques les plus évidentesAttention, faille de sécurité détectée par Boite à Web.
Cette liste est extraite des slides de Julio Potier.
Ok mais pas trop…
Il est important d’essayer d’installer des plugins complémentaires. Pour ma part, j’ai un plugin qui me permet de gérer des backups, un autre qui m’a permis de contrôler mon installation actuelle (thème, base de données, etc.) que j’ai déjà désinstallé puisque mon installation n’a pas prévu de bouger, et un qui est à l’affût des différentes failles classiques.
Sommaire du dossier
- Conseils de sécurité pour bien débuter
- Quelques plugins pour améliorer la sécurité de WordPress
- Améliorer la sécurité de WordPress avec quelques hooks
- Sécuriser davantage WordPress avec le fichier .htaccess
Partager la publication "Dossier WordPress – Quelques plugins pour améliorer la sécurité de WordPress"
Merci pour les citations ! 🙂
J’insiste que le fait de ne PAS installer trop de plugins de sécurité voire, de ne pas installer trop de plugins tout court.
Si vous le faites, essayez de vous renseigner sur sa sécurité, chaque plugin peut ouvrir une faille sur votre site.
Pour « WP Antivirus », c’est comme « TAC » ? Je ne suis pas fan … lisez cet article vous comprendrez http://baw.li/tac
Je suis en train de créer d’autres plugins de sécu en ce moment, petite folie 🙂 hehe
Oui WP Antivirus doit fonctionner sur le même système d’analyse des « choses évidentes » que le plugin TAC, donc est forcément très limité.
J’avais déjà lu ton article sur TAC, très bonne démonstration. Je le rajoute en référence pour ne pas tromper le lecteur dans l’utilité d’un plugin de ce type.
C’est cool de t’avoir dans la sphère active de WordPress, surtout en sécu, ça manque !
Merci pour la liste ! ça pourrait s’avérer utile !
Merci pour ce superbe article pour sécuriser vos site web je vous recommande l extension Better WP Security.
bonjour,
surtout pas installer le plugin Better WP Security, il ralentit un site, il « ‘casse les sites », il opère des opérations dangereuses, Boit à Web l’a signalé sur un site.
Hello. Faudra que je jette un œil à ça alors. J’éditerai l’article en conséquence. Merci 🙂
Salut,
Merci pour cette liste d’extensions permettant d’améliorer la sécurité de son blog WordPress. Après m’être fait piraté un blog de niche, je cherche maintenant sans cesse les meilleures manières d’optimiser sa sécurité sur WordPress.
J’ai encore pas mal à faire mais mes blogs deviennent de plus en plus compliqués à pirater !
Au plaisir de te lire et à bientôt,
Hugo.