Fiabilité et sécurité des plugins WordPress

Posté par | content

 

WordPress est une plateforme très reconnue pour créer et mettre en ligne un blog relativement vite, et sans connaissances particulières en informatique. A l’origine, le système de gestion de contenu est sécurisé à condition de suivre un certain nombre de précautions et d’appliquer les mises à jour lorsqu’elles celles-ci sont disponibles.
Des plug-ins ainsi que les thèmes vous sont proposés pour ajouter des fonctionnalités supplémentaires en plus de celles installées par défaut. A ce jour, pas moins de 31 273 plugins sont recensés sur le répertoire officiel de WordPress.

 

On pourrait penser que les plugins wordpress répertoriés dans ce catalogue sont testés mais il n’en est rien, et Il est impossible de certifier leur fiabilité à 100% ! Quand on installe une nouvelle extension, on est face à l’inconnu et tout peut basculer : des failles de sécurité, une programmation hasardeuse, injection de code malveillant, volontairement ou par incompétence.

 

Néanmoins, vous pouvez installer l’extension Plugin Security Checker qui vous permet de savoir si vos plugins installés, activés ou non, sont reconnus pour être sécurisés ou s’ils contiennent des failles. Après son installation, allez ensuite sur la page d’administration des extensions. Une notice vous informe si les plugins sont reconnus, à patcher ou à supprimer.

 

D’autre part, des plugins sont légions pour sécuriser votre blog WordPress, et vous ne pourrez pas protéger efficacement votre site à 100%. Malgrès tout, il est possible de mettre en place certains outils qui vous aideront à décourager provisoirement les attaques et renforcer la sécurité de votre site. En voici quelques-uns.

 

1/ Buddypress Security Check stoppe les inscriptions massives de spammeurs, affectant les sites wordpress :

Ce plugin ajoute un autre champ dans votre formulaire d’inscription qui vous oblige à effectuer un petit calcul mathématique afin de continuer le processus d’adhésion au site. Il stoppe les inscriptions massives générées par les robots. Mais il ne permet pas d’éliminer les spammeurs, ni ne gère les membres inscrits ou les messages envoyés entre eux.

 

Pour rappel, Buddypress est un système de gestion de contenu pour créer un réseau social dynamique. Il permet à vos internautes de se connecter sur votre site en remplissant un profil, créer des groupes de discussions, et d’échanger entre inscrits.

 

L’activation de ce plugin génère très souvent l’arrivée massive de membres fictifs comme des bots, et/ou des scripts automatiques qui balayent le web en permanence, en passant directement par la base de données.

 

http://wordpress.org/plugins/bp-security-check

 

2/ Limit Login Attempts Limite les tentatives de connexion :

Sur un site WordPress, il est facile d’essayer et sans aucune limite, des combinaisons de login et de mot de passe pour se connecter à son interface d’administration. L’extension Limit Login Attempts permet de limiter les tentatives de connexion, et bloque l’ip pour un certain temps après un nombre donné d’erreurs de login.

 

Information importante :

En aucun cas, votre hébergeur ne pourra mettre en place des règles fail2ban (un framework permettant d’éviter ou du moins limiter les intrusions sur votre serveur) ou similaires, car vous bloqueriez l’accès de votre site à certaines ip (surtout si ce dernier est une boutique en ligne) mais aussi l’accès aux autres sites si vous êtes en hébergement mutualisé.

 

http://wordpress.org/plugins/limit-login-attempts

 

3/ Wordfence, un plugin pour une sécurité renforcée :

Wordfence commence par vérifier si votre site est déjà infecté en faisant une analyse côté serveur de votre le code source avec le référentiel WordPress (thèmes et plugins compris). Si il trouve une différence, vous recevrez un message d’avertissement.
Ce plugin scanne régulièrement les fichiers du site, thèmes et plugins suivant les paramètres de configuration mises en place, détecte les malwares (virus, chevaux de troie, etc). Si des fichiers ont été modifiés il montrera exactement les changements apportées par rapport aux fichiers originaux et pourra, le cas échéant, restaurer tout seul les fichiers infectés.

 

Les URLs suspectes seront aussi détectées dans vos pages, vos articles, les commentaires et les plugins installés, en se basant sur la liste noire éditée par Google, la Safe Browsing List. Google balaye en permanence tout le web pour le compte de son moteur de recherche, en utilisant deux sources pour différencier les pages dangereuses ou anodines. Vous pourrez définir le nombre de tentatives avant blocage ainsi que le nombre maximal de requêtes autorisées par minute.

 

Votre trafic Internet en temps réél est lui aussi analysé, et permet de voir tous les accès à votre site, les visiteurs, robots, pages 404, logins/logouts, etc… Utile si vous cherchez à identifier une IP spécifique, contrairement aux outils comme Google Analytics, qui ne vous montrera que les visiteurs humains.

 

Vous aurez donc des informations détaillées sur tous les accès à vos pages (localisation, adresse IP, navigateur et système d’exploitation utilisés, etc), et fera le tri entre les visiteurs et les robots, et repèrant les comportements suspects.

 

http://wordpress.org/plugins/wordfence/

 

4/ Block Bad Queries :

Block Bad Queries est un plugin simple et puissant qui protège le site et serveur contre les requêtes URLs malveillantes. Il vérifie tout le trafic entrant et bloque les requêtes de tentatives de piratage contenant des éléments dangereux tels que les eval (), base64_ et les chaînes de demande trop longues, les exploits de failles XSS, SQL injection, ou CSRF/XSRF.

 

Le plugin scanne trois parties de la requête, en vérifiant volontairement ces variables connues pour être potentiellement dangereuse :

  • La ‘Request URI’
  • La ‘Query String’
  • Le ‘User Agent’

 

http://wordpress.org/plugins/block-bad-queries

 

© Platine 26/05/2014