Sécurité sur WordPress : les ex­ten­sions les plus im­por­tantes

L’im­por­tance d’un mot de passe sécurisé est souvent sous-évaluée. Les uti­li­sa­teurs devraient s'en tenir aux re­com­man­da­tions données par WordPress pour une meilleure sécurité. Certaines ex­ten­sions pré­sen­tent toutefois des pro­tec­tions sup­plé­men­taires. Dans ce sens, l’extension Limit Login Attempts est un outil efficace contre les « attaques par force brute » où les hackers tentent de dé­ver­rouil­ler les accès d’uti­li­sa­teurs. Pour cela, ils réalisent des com­bi­nai­sons de mots de passe les plus fré­quem­ment utilisés avec les noms des uti­li­sa­teurs. S’ils par­vien­nent à trouver le bon accès, cela peut engendrer des pertes de données ou des chan­ge­ments non autorisés de codes sources. Lors de ces ten­ta­tives, les scripts ex­pé­ri­men­tent près de mille mots de passe par minute. Si l’uti­li­sa­teur a installé l’extension Limit Login Attempts, le nombre de ten­ta­tives in­fruc­tueuses lors de l’iden­ti­fi­ca­tion est réduit : il est possible par exemple de régler le blocage du compte pendant une longue période après quatre ten­ta­tives in­fruc­tueuses. Étant donné que l’extension recueille l’adresse IP de l’uti­li­sa­teur, cela n’a aucune influence sur la connexion de l’ad­mi­nis­tra­teur. Ac­tuel­le­ment, la plupart des solutions clé en main proposent comme fonc­tion­na­lité premium un pare-feu contre les attaques par force brute en vue d’une sécurité maximale sur Wordpress.

Grâce l’extension WP Secure Login, il est possible de sécuriser son compte en ajoutant un mot de passe sup­plé­men­taire. Celui-ci est uti­li­sable par le biais de l’ap­pli­ca­tion Google et est ré­gu­liè­re­ment actualisé. L’extension Two-Factor Au­then­ti­fi­ca­tion ne seconde fois.

Les solutions clés en main combinent des fonctions de sécurité diverses et variées dans une seule extension de sécurité WordPress. Leur but est d’éviter les failles de sécurité et de combler celles déjà exis­tantes, autrement dit, de sécuriser WordPress au maximum. L’avantage de ces solutions clés en main telles que iThemes Security est qu’elles sont ac­ces­sibles aux uti­li­sa­teurs peu ex­pé­ri­men­tés. Leurs fonctions es­sen­tielles exigent très peu de con­nais­sances. On peut citer en exemple l’extension WP Security Plugin, simple d’uti­li­sa­tion et qui surveille les sites Internet face aux risques po­ten­tiels. En plus d’iden­ti­fier les problèmes, le plugin envoie aux uti­li­sa­teurs des re­com­man­da­tions et des outils pour les résoudre. Les multiples fonctions de ces ex­ten­sions con­vien­nent aussi à des uti­li­sa­teurs ex­pé­ri­men­tés. Le plugin Acunetix WP Security propose par exemple un gé­né­ra­teur de mots de passe ainsi qu’un outil de base de données. L’extension Bul­let­proof Security permet de se défendre contre des attaques spé­ci­fiques telles que XSS, RFI, CRLF, CSRF, Base64, des in­jec­tions de codes et des in­jec­tions SQL. Les codes sources im­por­tants sont par con­sé­quent protégés.

Un hé­ber­ge­ment par IONOS implique la pré-ins­tal­la­tion de quelques plugins. Des ex­ten­sions de sécurité peuvent bien entendu être ajoutées par les uti­li­sa­teurs, im­pli­quant que leurs sources de té­lé­char­ge­ment soient dignes de confiance. La qualité de l’extension est aussi im­por­tante : WP Update Notifier permet par exemple de la vérifier. Les failles de sécurité les plus visibles sont dans le meilleur des cas ra­pi­de­ment reconnues et refermées par les dé­ve­lop­peurs. On ne peut profiter de ces dé­ve­lop­pe­ments que si les mises à jour sont faites ré­gu­liè­re­ment. WP Update Notifier n’est pas une extension de sécurité classique, mais elle notifie ré­gu­liè­re­ment les mises à jour ef­fec­tuées con­cer­nant les plugins, thèmes et autres ins­tal­la­tions. Les clients de IONOS profitent ici du « Safe Mode ». S’il est activé à l’ins­tal­la­tion, toutes les autres ap­pli­ca­tions sont au­to­ma­ti­que­ment mises  à jour.

Afin de contrôler le statut de sécurité de son site Internet, il est conseillé de se procurer l’extension Security Ninja qui pourra réaliser environ 30 tests sur le site. Le programme simule entre autre une attaque par  force brute. Les failles peuvent être détectées ra­pi­de­ment et ra­pi­de­ment  réparées à l’aide des ex­ten­sions.