Ces derniers temps, mon blog était HS à deux reprises. Deux fois où mes différents sites ont été attaqués, mes fichiers modifiés, bref, tout a été retourné. Mon hébergement a immédiatement bloqué mon site, ce qui est normal.
J’ai donc nettoyé mes sites WordPress, fichier par fichier, en essayant de comprendre les différents problèmes.

Les attaques peuvent être assez différentes donc ce n’est pas simple de s’y retrouver. WordPress est tellement utilisé aujourd’hui qu’il est la cible de nombreux hacker. Je pensais être protégé avec les quelques petites choses mises en place, mais je me suis trompé. Et je crois que je ne suis pas encore protégé à 100%…

Ce chantier m’a permis de remettre mes connaissances (finalement assez faibles) à plat et faire un point sur WordPress et la sécurité en général. J’ai réalisé que j’avais négligé certains éléments depuis le temps. On estime rapidement qu’on est en sécurité quand tout se passe bien. Mais quand on regarde d’un peu plus près, on réalise, par exemple, qu’on a des plugins pourtant bien pratiques, qui n’ont pas été mis à jour depuis… 9 ans ! Grosse erreur !

Ce qui est en place aujourd’hui et ce que je conseille

Première chose de base, il ne faut pas avoir un compte administrateur « admin », mais le renommer.
Deuxième chose évidente aujourd’hui, c’est avoir un mot de passe complexe : une minuscule, une majuscule, un chiffre, un caractère spécial et au moins 8 caractères. Pour ma part, je vais encore plus avec un mot de passe très complexe.
Si votre WordPress est chez un hébergeur, je vous conseille également de mettre un mot de passe complexe à votre FTP.

Ensuite, il faut faire très attention au nombre de plugins et thème. Une dizaine de plugins maximum, et autant ne laisser que le thème qui est en place sur votre site. Il faut bien se dire qu’en avoir beaucoup va multiplier vos changes d’avoir des failles. Tout ce qui est fait par des développeurs extérieurs n’est pas sûr. Même si les mises à jour sont régulières sur WordPress, ce n’est pas le cas de tous ces modules. Par conséquent, contrôler cette partie-là de votre site est essentiel.

Les plugins de sécurité. Il en existe beaucoup et ce n’est pas facile de choisir. J’en ai actuellement 3 qui me paraissent répondre à mes besoins. Mais j’ai l’impression qu’il me manque encore quelque chose.
J’utilise Wordfence, iThemes Security et Anti-Malware.

iThemes Security

Wordfence et iThemes Security ont des fonctions similaires. J’avoue ne pas savoir lequel je dois garder ou encore si je dois garder les deux. Mais j’ai le sentiment qu’ils sont complémentaires. Quoi qu’il en soit, vous pouvez scanner vos fichiers, analyser votre site, protéger des répertoires…bref, de nombreuses options utiles. J’ai iThemes Security depuis quelques jours seulement alors je démarre seulement le test. Je pourrai détailler ce plugin si ça en intéresse certain.
Anti-Malware permet de faire un scan complet de votre site. Je pense que les deux plugins que je viens de citer vont pouvoir le remplacer mais pour le moment, il s’avère très efficace lorsque j’ai besoin de lui.

Wordfence

Ce que je voudrais mettre en place

Je ne peux pas chaque matin analyser mes sites WordPress pour les mettre à jour. Pour le moment, je me suis mis un rappel sur mon iPhone afin d’y penser. Mais je voudrais pouvoir le faire seulement de temps en temps…

Je souhaite pouvoir empêcher les hackers de déposer des fichiers vérolés sur mon serveur ou modifier des fichiers existants en rajoutant des lignes de codes…malveillantes.

Je voudrais par ailleurs modifier mon répertoire d’administration car, toute personne qui utilise WordPress sait comment accéder à l’administration. J’aurais dû y penser avant…

A l’heure où j’écris ces lignes, je n’ai pas encore réussi à vaincre mon problème. Deux fichiers importants de WordPress sont modifiés quotidiennement.
Chaque jour, j’essaye une nouvelle manipulation pour renforcer la sécurité de mon site, sans succès pour le moment.
Hier matin, j’ai retiré les droits d’écritures sur ces fichiers. Mais les hackers ont réactivé les droits et ont mis à nouveau leur ligne de code.

Aujourd’hui, j’ai également installé un antivirus sur mon MacBook Pro. Il y a trouvé plus de 800 fichiers à supprimer… il est fort possible que cette infection ait eu des répercussions sur mon problème.

Je réalise aujourd’hui (il était temps !) à quel point la sécurité est importante et difficile à gérer mais aussi que l’ensemble de mes sites sont touchés, par conséquent, le problème est encore plus complexe.

Je pense sérieusement à réinstaller tous mes sites, mais ça prend un temps fou. À suivre dans quelques semaines pendant mes vacances.

Voilà dans un premier temps les étapes à suivre/que je vais suivre. J’en reparlerai selon l’évolution et selon vos remarques.