Sécuriser son CMS Wordpress

Décembre 2016

Facile à mettre en ligne et très répandu, le système de gestion de contenu (CMS) Wordpress a également ses limites. Quelques brèches de sécurité ont été mises à jour : ces failles peuvent être exploitées aussi bien par des internautes malveillants que par des robots hackers. Comment sécuriser ces brèches et adopter les bons réflexes de protection ?


Les principaux points à sécuriser sur Wordpress

Sécuriser l'accès à l'administration du site

Lorsque le CMS est activé, il est accessible avec un identifiant "admin" par défaut. L'identifiant doit être modifié. Pour cela, créer un nouvel identifiant d'administration et supprimer l'identifiant "admin", en se connectant avec le nouveau profil d'administration.
Tableau de bord > Utilisateurs > tous les utilisateurs, choisir "admin" et supprimer. Confirmer la suppression.



Si des articles sont attribués à l'identifiant "admin", il est possible lors de cette étape de les attribuer à un autre auteur.
Bon à savoir : choisir un identifiant d'administration qui diffère de la signature des articles, par exemple avec une lettre en plus ou en moins.

Le mot de passe doit également être sécurisé. Choisir un mot de passe renforcé, avec des chiffres, des lettres, des symboles et des majuscules. Prévoir des mots de passe différents dans le cas où le site est accessible à plusieurs administrateurs.

Restreindre les droits des utilisateurs

Si plusieurs rédacteurs sont amenés à intervenir sur le site, vérifier les rôles d'administration de chacun. Le CMS Wordpress propose plusieurs rôles : administrateur, éditeur, auteur, contributeur, abonné.
Limiter le rôle d'administrateur au strict minimum, afin d'éviter les mauvaises manipulations ou que des extensions et nouveaux thèmes non sécurisés ne soient installés.

Il est également possible de limiter aux éditeurs l'installation d'extensions ou de thèmes de façon manuelle :
Accéder au fichier wp-config.php à la racine du FTP,
Ajouter la ligne define( 'DISALLOW_FILE_EDIT', true );

Désactiver l'accès à l'administration depuis le site

Certains thèmes proposent un accès à l'administration directement depuis le site. Dans ce cas, chaque utilisateur inscrit peut, dans la mesure des permissions définies, accéder aux contenus du CMS.
Il est préférable de désactiver cette option, afin d'éviter les tentatives d'intrusion et l'inscription en masse par des robots (voir ci-dessous : vérifier les nouveaux abonnés).

Renommer l'accès au panneau d'administration

Par défaut, le tableau de bord est accessible depuis l'adresse www.monsite.fr/wp-login.php, ou wp-admin. C'est donc sur cette adresse que des hackers peuvent tenter de se connecter pour corrompre la base de données.

Il est possible de modifier ce lien, afin de personnaliser l'adresse d'accès au tableau de bord et la rendre moins visible. Cette manipulation est possible depuis la base MySQL.

Certaines extensions, comme Rename WP-login, proposent de changer le lien. Attention à bien noter la nouvelle url, puisque l'ancienne ne sera plus accessible.

Bonnes pratiques au quotidien

Effectuer une sauvegarde régulière du contenu de son site

Si le site est attaqué, ou qu'il fait l'objet d'une tentative de hack et qu'une faille de sécurité est détectée, il sera alors plus facile d'utiliser une sauvegarde saine pour reconstruire la base du site.
Ces sauvegardes peuvent être automatisées à l'aide d'extensions sur le tableau de bord de Wordpress.

Quelques exemples :
  • BackWPup autorise la sauvegarde automatique sur un emplacement déterminé, soit sur un ordinateur soit sur un espace de stockage externe, par exemple Dropbox,
  • BackUp Wordpress propose également une sauvegarde automatisée des fichiers, en incluant la base de données et les fichiers de l'installation Wordpress.

A noter : il est possible de réaliser soi-même une sauvegarde régulière, en copiant les fichiers depuis le ftp.

Vérifier la sécurisation des extensions

Avant de télécharger une nouvelle extension sur le CMS, vérifier le nombre de notes, ainsi que les avis des internautes donnés sur Wordpress.org/plugins.

Des avis négatifs, ou un nombre très bas de bonnes notes peuvent être révélateurs d'un manque de sécurisation d'une extension. Il peut également s'agir d'extensions sensibles, contenant un cheval de Troie pour ouvrir une porte aux hackers.

Supprimer les thèmes et extensions inutilisés

Parce qu'ils peuvent également présenter des failles, il est nécessaire de supprimer les thèmes et les extensions qui ne sont plus utilisés sur le CMS.

Les thèmes inutilisés peuvent être supprimés depuis le tableau de bord > apparence > thèmes. Sélectionner un thème inutilisé et le supprimer.

Les extensions sont accessibles depuis extensions > extensions installées. Lorsqu'elles ne sont pas actives, les extensions peuvent être désinstallées en cliquant sur "supprimer". Si elles ne sont pas utilisées mais activées, il faut les désactiver avant de les supprimer.

Vérifier les nouveaux abonnés

Une tentative de hack peut également commencer par une simple inscription sur le site. Pour vérifier les utilisateurs inscrits sur le wordpress, accéder au tableau de bord > tous les utilisateurs.

Un rôle est donné à chaque utilisateur inscrit sur le site : administrateur, éditeur, auteur, contributeur, abonné. Le rôle d'abonné ne dispose d'aucun droit, néanmoins cela peut constituer une première porte d'entrée aux tentatives de hack.

Sélectionner les profils non reconnus > supprimer > appliquer.
Vérifier que les abonnés n'ont pas posté d'articles, de liens cachés ou enregistré des mots-clés, qui pourraient être visibles par les moteurs de recherche et porter préjudice au référencement du site.


Surveiller et nettoyer les commentaires

Les commentaires peuvent également être nettoyés régulièrement, notamment pour éviter les liens malveillants sur le blog.

Certaines extensions proposent ce type de sélection automatique. C'est le cas du plug-in Akismet, qui peut être activé depuis le tableau de bord, à condition de renseigner une clé API accessible gratuitement.
Ce type d'extension classe automatique les commentaires indésirables dans la catégorie "indésirables".

Maintenir Wordpress et ses extensions à jour

Installer les mises à jour lorsqu'elles sont proposées sur le tableau de bord. Cela vaut aussi bien pour la version du CMS, que pour les différentes extensions installées.
Lorsque le CMS ou les extensions sont mis à jour, les failles qui ont été détectées sur une version précédente sont corrigées. Sans mise à jour, la faille est donc toujours présente.

Dans le cadre d'une mise à jour importante, il convient de vérifier la compatibilité des extensions. Dans le cas contraire, l'incompatibilité des extensions peut ralentir le CMS, voire causer des dysfonctionnements sur l'ensemble du site.
  • S'assurer de la compatibilité des extensions,
  • Désactiver les extensions incompatibles avant la mise à jour,
  • Effectuer la mise à jour et activer les extensions une à une.


Pour vérifier la compatibilité des extensions, tableau de bord > extensions > sélectionner l'extension à mettre à jour. La compatibilité avec la version du CMS est précisée par l'auteur.

Wordpress 3.9

La version Wordpress 3.9 propose une mise à jour importante. Elle entraîne des changements, notamment au niveau de l'éditeur visuel et des fonctionnalités liées aux images. Elle prend également en compte les mises à jour de sécurité déjà proposées par Wordpress 3.8.2.

Quelques unes des modifications de sécurité apportées dès la version Wordpress 3.8.2 :
Correction d'une faille qui permettait de forcer l'authentification via des cookies,
Rectification des droits de publication d'articles depuis un compte contributeur,
Correction de la gestion des pinbgacks menant à des requêtes abusives.

Source : Codex Wordpress.org

Wordpress 3.9.2

Avec la version Wordpress 3.9.2, le CMS propose une nouvelle version de sécurité valable pour toutes les versions précédentes. Elle prend en compte les failles mises à jour en juillet 2014.

Elle corrige une possible faille dans le processus XML de PHP pouvant provoquer des dénis de service.

Plusieurs points ont également été corrigés :
Correction de la possibilité d'exécuter du code dans un widget (WordPress n'est pas affecté par défaut),
Empêcher la diffusion d'information via des attaques d'entités XML dans la librairie externe GetID3,
Ajout de protection contre les attaques en force brute contre les jetons CSRF,
Contient d'autres correctifs de sécurité additionnels, comme la prévention des attaques XSS qui pourraient être déclenchées par des administrateurs.

Source : Wordpress.org

Wordpress 4.0

La version 4.0 du CMS Wordpress, proposée au téléchargement à partir du 4 septembre 2014, facilite la publication de contenus.

L'intégration de contenus provenant des médias sociaux est mieux prise en compte. L'url d'un tweet, ou l'url d'une vidéo Youtube suffisent à leur intégration dans l'éditeur visuel.

Les fichiers médias peuvent être visualisés dans une grille infinie, sous forme de vignette. L'aspect de la bibliothèque de médias s'en trouve donc modifié.

L'éditeur visuel s'adapte à la taille du texte, afin de faciliter l'ajout de contenus.

Dans la catégorie « extensions », les résultats de recherche sont présentés avec des informations complémentaires. Les dates de dernières mises à jour, ainsi que la compatibilité sont plus visibles.

Depuis le 20 novembre 2014, WordPress propose une mise à jour de sa dernière version 4.0. La mise à jour 4.0.1 corrige plusieurs failles de sécurité, et notamment des failles qui pouvaient affecter particulièrement les versions antérieures à WordPress 4.0.

Le téléchargement de la nouvelle version a été effectué de façon automatique sur les sites qui supportent cette fonctionnalité. Pour les sites en WordPress 3.9.2, 3.8.4, ou 3.7.4, les versions 3.9.3, 3.8.5, ou 3.7.5 sont conseillées pour assurer une meilleure sécurité. Pour les versions antérieures, un passage à une version mise à jour est conseillé.

En savoir plus sur Wordpress.org

Wordpress 4.2 Powell

Baptisée Powell en hommage au pianist de jazz Bud Powell, la version Wordpress 4.2 mise sur le partage des contenus. Elle a été déployée fin avril 2015.

Nouvelles fonctionnalités de partage et d'écriture
La fonctionnalité Press This est étoffée dans cette nouvelle version du CMS. Elle permet de partager rapidement un article, une vidéo ou un lien depuis son blog, à condition d'installer l'application sur son navigateur.
Les liens Tumblr et Kickstarter s'intègrent mieux dans un article.
La mise à jour du CMS prend également en compte les émojis, tout comme les caractères chinois, japonais et coréens.

Amélioration de la prévisualisation des thèmes et des extensions
La prévisualisation des thèmes est plus pointue. Elle permet de s'assurer du rendu d'un nouveau template avant tout installation.
La mise à jour des plugins est gérée directement depuis la rubrique des extensions, sans ouvrir une page de chargement pour chaque mise à jour.

Patch correctif Wordpress 4.2.2
Une version Wordpress 4.2.2 corrective est disponible depuis le 28 avril 2015. Elle corrige une faille de sécurité critique, qui permettait une injection de code JavaScript via les commentaires.

Patch correctif Wordpress 4.2.3

Une mise à jour de sécurité 4.2.3 est proposée depuis le 23 juillet 2015 aux administrateurs de site. Elle est particulièrement recommandée, puisqu'elle corrige une faille de sécurité majeure. Les administrateurs qui ont recours à la mise à jour automatique n'ont pas de manipulation à effectuer sur leur CMS, sinon vérifier que la mise à jour a été correctement effectuée.

Les failles majeures corrigées :
  • Une faille XSS qui touchait les versions 4.2.2 et précédentes, susceptible de permettre à des utilisateurs ayant le rôle de contributeur ou d'auteur de compromettre un site,
  • Une faille permettant à un utilisateur avec le simple rôle de souscripteur de créer un brouillon d'article.

Consulter l'ensemble des bugs corrigés sur Wordpress.org

La version Wordpress 4.3 est prévue pour août 2015.
En savoir plus sur Wordpress.org

Source Wordpress.org « Benny »

Wordpress 4.5 Coleman

Quelques mois après la mise à jour Wordpress 4.4, une nouvelle version du CMS est disponible. Elle est baptisée Coleman en l’honneur du musicien Coleman Hawkins.
Les évolutions proposées :
  • Raccourcis clavier pour faciliter la mise en page ou ajouter des liens hypertexte en même temps qu’on rédige un texte,
  • Aperçu du rendu responsive du site sur mobile, tablette ou desktop depuis la fonctionnalité apparence > personnaliser,
  • Support possible des logos personnalisés depuis les thèmes qui ne le permettaient pas encore, en utilisant la fonctionnalité d’édition du logo dans la partie apparence > personnaliser,
  • Modération des commentaires améliorée,
  • Réduction de la taille des images facilitée…


Source Wordpress.org 4.5 Coleman

A voir également :

Ce document intitulé «  Sécuriser son CMS Wordpress  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.