Notre dossier WordPress sur le sujet de la sécurité continue. Nous allons voir que certains plugins, vraiment légers, peuvent permettre de sécuriser assez efficacement votre site contre certaines techniques de piratage. Cependant, les plugins sont paradoxalement une des premières cause de vulnérabilité de votre site WordPress.

Notre premier plugin va donc nous permettre de contrôler la sécurité des autres plugins, si ceux-ci ont déjà été analysés, bien entendu.

Vérifier la sécurité des plugins de sécurité…

Je ne peux que vous inviter à visiter le site de Boîte à Web et éventuellement installer le plugin de contrôle de sécurité des autres plugins WordPress Plugin Security Checker.

Ce plugin met en relation votre installation de plugins à la base de données des plugins analysés par Julio Potier, consultant en sécurité web. Vous pourrez ainsi savoir si vos plugins installés sont sécurisés, et, à défaut, en demander une analyse.

Limiter le nombre de tentatives de connexion

Le plugin Login Lockdown permet de limiter le nombre de tentatives de connexion d’une même adresse IP sur un certain laps de temps. Le but de ce plugin est de limiter les attaques par force brute.
Cette technique consiste à tester toutes les clés possibles, jusqu’à trouver la bonne. C’est une technique longue qui peut nécessiter des heures, jours, voire des années pour trouver votre mot de passe. Cette méthode est souvent facilité par l’utilisation d’un dictionnaire (de noms ou mots de passe communs).
D’où l’intérêt d’avoir un mot de passe complexe.

Authentification forte

Le plugin BAW More Secure Login permet d’ajouter un second facteur de sécurité (en plus de votre mot de passe) lors de l’identification d’un utilisateur. Ce second facteur n’est pas stocké en base de donné et doit être imprimé par vos soins. Il a la forme d’un tableau avec 64 codes. Chacun des codes peut vous être demandé de manière aléatoire lors de l’authentification à l’interface d’administration.
Cette carte est renouvelable à chaque changement de mot de passe. Il est donc recommandé de changer régulièrement de mot de passe et de carte pour optimiser la sécurité de la connexion à l’interface d’administration de votre site.

Pour plus de détails je vous invite à lire la page dédiée à ce plugin : Boite à Web – More Secure Login

Ajouter une identification HTTP

Grâce au plugin AskApache Password Protect, il est possible de rajouter une identification HTTP à l’interface d’administration, avant même d’arriver sur l’interface de connexion de WordPress. Cette solution un peu trop contraignante pour certains (demande une double authentification) n’a pas grand succès, mais c’est pourtant une bonne solution de sécurité.

WP AntiVirus

WP AntiVirus vous permet, entre autre, de scanner votre thème courant afin d’y déceler les failles courantes.
Il surveille les injections malveillantes et vous met en garde contre d’éventuelles attaques.
Ce plugin scan des contenus classiques, il est donc évident qu’il risque de louper certaines choses à peine cachée. Pour plus d’informations sur le fonctionnement de ce plugin, je vous invite à lire l’article de Julio au sujet du plugin TAC, un outil similaire à WP AntiVirus.

BulletProof Security

Le plugin BulletProof Security est un outil très complet qui vous permet de vérifier les failles de type : XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL Injection (Glossaire).

Je vous invite à en lire la présentation sur le site de WordPress.org.

WP Security Scan

Le plugin WP Security Scan vous permet de créer un backup de votre base de données, de changer le préfixe des tables de données de WordPress, de contrôler la présence de fichier .htaccess dans certains dossiers, etc.

Et bien d’autres…

… comme :

  • Exploit Scanner – Scan votre installation (fichiers et bases de données) à la recherche de signes suspicieux
  • Ultimate Security Checker – Scan votre installation à la recherche de failles déjà testées
  • Chap Secure Login – Permet de vous identifier sans transmettre en clair votre mot de passe
  • One-Time Password – Permet une connexion à votre admin avec un mot de passe à usage unique
  • User Role Editor – Permet de changer les capacités d’un rôle utilisateur
  • BackWPUp – Permet de faire des backups de vos données
  • Audit Trail – Permet de connaître les dernières actions des utilisateurs dans l’admin
  • WordPress Firewall 2 – Analyse les requêtes pour stopper les attaques les plus évidentesAttention, faille de sécurité détectée par Boite à Web.

Cette liste est extraite des slides de Julio Potier.

Ok mais pas trop…

Il est important d’essayer d’installer des plugins complémentaires. Pour ma part, j’ai un plugin qui me permet de gérer des backups, un autre qui m’a permis de contrôler mon installation actuelle (thème, base de données, etc.) que j’ai déjà désinstallé puisque mon installation n’a pas prévu de bouger, et un qui est à l’affût des différentes failles classiques.

Sommaire du dossier

  1. Conseils de sécurité pour bien débuter
  2. Quelques plugins pour améliorer la sécurité de WordPress
  3. Améliorer la sécurité de WordPress avec quelques hooks
  4. Sécuriser davantage WordPress avec le fichier .htaccess

Partager la publication "Dossier WordPress – Quelques plugins pour améliorer la sécurité de WordPress"

  • LinkedIn
  • Twitter
  • WhatsApp
  • Pocket
  • Reddit