C’est un fait, WordPress est une solution exposée, et qui nécessite un certain niveau d’expertise afin de répondre aux exigences de sécurité.
WordPress fait tourner 35% de tous les sites web, y compris ceux qui n’ont pas de système de gestion de contenu ou avec un CMS personnalisé. Rapporté aux sites disposant d’un CMS connu, WordPress détient une part de marché de 62%.
Cette popularité (totalement justifiée) explique la potentielle vulnérabilité de sites développés à l’aide de WordPress par une large communauté d’utilisateurs « non techniciens ».
Nous ne sommes pas représentatifs de cette large communauté.
Un hébergement de qualité 🏰
C’est un pré-requis essentiel, l’infrastructure serveur doit être finement configurée afin de garantir la sécurité des applicatifs. Nous avons en interne un service dédié à l’hébergement, et des outils de protection et de monitoring afin de prévenir toute attaque.
Nous proposons également un système d’astreintes afin de résoudre les éventuels problèmes pouvant survenir en dehors des plages usuelles de travail.
Des bonnes pratiques ✔️
À titre d’exemple (et cette liste n’est donc pas exhaustive), les mesures suivantes sont mises en œuvre lors de chaque déploiement :
Modification des préfixes des tables
Par défaut, les tables dans la base de données de WordPress possèdent toutes le préfixe wp_
. Si le préfixe reste inchangé, cela peut permettre à des scripts automatisés de tenter des injections SQL sur des failles connues de WordPress ou de certains plugins.
Modification des clés de sécurité secrètes SALT
Les clés de sécurité SALT de WordPress sont un outil de cryptage qui aide à sécuriser la connexion de votre site WordPress.
Stockées dans le fichier de configuration wp-config.php
de WordPress, ces fameuses clés sont vides par défaut. Il convient donc de les définir.
Modification de l’URL d’administration
Par défaut, l’interface d’administration est accessible en ajoutant /wp-admin au domaine du site. Cette URL peut être modifiée afin de protéger l’accès. Si néanmoins cette modification n’est pas faite, les protocoles de sécurité lors de l’identification bloqueront un utilisateur qui essaierait de forcer la connexion.
La modification de l’URL d’accès à l’interface d’administration peut être couplée à une authentification « serveur », qui imposera la saisie d’un double couple « identifiant / mot de passe » afin de pouvoir accéder au Back Office.
Des mises à jour régulières 🆙
Nous procédons régulièrement à la mise à jour des environnements de pré-production et de production. Il est à noter que WordPress se met à jour de manière autonome (mises à jour mineures), et nous notifie lorsque des mises à jour sont disponibles.
Des extensions qualifiées 🛡
Les extensions que nous installons sont qualifiées et auditées. Nous sommes attentifs à limiter le nombre d’extensions installées, dans un souci de sécurité et de performance.
Une surveillance continue 🔬
Que les sites ne soient pas affectés par les attaques ne signifie pas qu’il n’y en a pas. Aussi nous assurons nous d’historiser toute l’activité serveur ainsi que l’activité Back Office.
Lors de tentatives d’identification répétées et infructueuses, les IPs sont automatiquement blacklistées.
Un accompagnement permanent 🧞♂️
Et enfin, car il n’est pas possible de tout sécuriser à 100%, il est rassurant de pouvoir compter sur une équipe mobilisée dans les rares cas où ça coupe.