Comment sécuriser votre site WordPress avec l’outil Tiger Protect d’o2switch

En moyenne, 90 000 attaques par minute ciblent des sites WordPress. À chaque seconde qui s’écoule, un site internet à travers le monde se retrouve hacké. Et le coût moyen d’une cyberattaque pour une entreprise s’élève à environ 14 720 €. 

Bouh, tout ça fait flipper. Mais promis, on ne cherche pas à vous effrayer. On expose juste des faits concrets. Pour vous protéger de toutes ces menaces, une nécessité : sécuriser votre site. 

Parmi les outils que vous pouvez utiliser pour y parvenir, il y a Tiger Protect d’o2switch. Proposé en exclusivité par l’hébergeur français à ses utilisateurs, il permet de mettre en place différentes règles de sécurité béton.

Mais comment fonctionne-t-il ? Comment le configurer ? Et son usage unique vous assure-t-il une sécurité optimale pour votre site ? C’est ce que vous saurez après avoir lu notre avis sur Tiger Protect.

Point transparence : Cette page est sponsorisée. Certains liens vers l’hébergeur o2switch sont des liens d’affiliation. Si vous vous procurez un hébergement chez eux, WPMarmite touchera une commission. En contrepartie, nous vous offrons une réduction de 15% sur le prix normalement proposé par o2switch. Pour profiter de votre code de réduction, il vous suffit de passer par ce lien.
Grâce à l’affiliation, WPMarmite est en mesure de rémunérer le travail de recherche et d’écriture des rédacteurs du blog. Sachez que nous restons impartiaux. Si nous vous recommandons en priorité o2switch, c’est parce que nous utilisons ce service depuis plusieurs années et sommes convaincus de sa qualité. Si un produit n’en vaut pas la peine, nous le disons (ou nous n’en parlons pas).

Qu’est-ce que Tiger Protect chez o2switch ?

Tiger Protect est un outil exclusif développé par o2switch pour personnaliser les règles de sécurité au niveau du serveur web de votre compte d’hébergement, à partir de votre interface cPanel.

Il est automatiquement inclus dans votre offre unique d’hébergement, quel que soit le plan que vous choisissez (Grow, Cloud ou Pro).

Au sujet de son système de protection, qui agit comme un véritable « bouclier » pour votre site, l’hébergeur basé à Clermont-Ferrand précise que que « toutes les requêtes sont contrôlées avant l’arrivée sur vos pages par des serveurs “WAF”. »

WAF est l’abréviation de Web Application Firewall (Pare-Feu applicatif web). Ce pare-feu applicatif aide à protéger votre site en filtrant et en surveillant le trafic HTTP.

Avant d’ajouter : « l’outil n’est pas qu’un “simple” WAF comme pourrait l’être ModSecurity par exemple. La majorité des règles proposées sont des règles exclusives à o2switch et sont le fruit de plusieurs années de recherches et affinage. »

Pare-feu, blocage d’IP et de robots

Alors avec Tiger Protect chez o2switch, que pouvez-vous faire ? Avant d’entrer dans le détail des options proposées et de leur paramétrage, voici un petit aperçu – non exhaustif – de ce qu’il est possible de réaliser avec lui : 

• mettre en place un pare-feu Web Application Firewall (WAF) pour surveiller et filtrer le trafic HTTP/HTTPS entrant sur votre site web. Comme l’indique cet article, ce pare-feu « analyse les requêtes pour détecter et bloquer les attaques par injection SQL, les tentatives d’intrusion, les attaques par force brute, et d’autres types d’attaques de sécurité web » ; 
• activer des règles de sécurité spécifiques à WordPress, comme par exemple limiter les attaques par force brute ; 
• bloquer des adresses IP et des robots malveillants ; 
• détecter automatiquement des attaques DDOS ;
• bloquer l’accès à des fichiers PHP et de développement ; 
• bloquer l’accès à votre site à tous les robots ou systèmes automatisés si vous suspectez un piratage ; 

En outre, sachez que Tiger Protect représente une solution de surveillance en temps réel de votre site web.

Grâce à des règles de sécurité génériques et actives par défaut, Tiger Protect  détecte les activités suspectes et les menaces potentielles. Et il y répond dans la foulée, sans aucune action requise de votre part. 

Tiger Protect fait partie de la dizaine d’outils exclusifs que vous trouverez uniquement chez o2switch. Parmi eux, on pourrait aussi vous citer les excellents outils « Mon Univers web », qui permet de créer des sous-comptes d’hébergement cloisonnés de votre compte d’hébergement principal (on appelle ça des lunes o2switch). Ou encore WP Tiger, une boîte à outils qui vous facilite la gestion et l’administration de vos sites WordPress grâce à de multiples fonctionnalités (mises à jour, sauvegardes, sécurité, performance, création d’une pré-production, etc.).

Quelles sont les fonctionnalités de sécurité offertes par Tiger Protect ?

Après cette présentation générale, plongeons-nous un peu plus dans les détails de Tiger Protect chez o2switch. 

Au total, l’outil propose cinq catégories de règles de sécurité : 

1. Générique.
2. WordPress.
3. Robots.
4. Adresses IP.
5. ModSecurity.

Sans plus tarder, place aux présentations de chaque famille.

Règles de sécurité génériques de TigerProtect chez o2switch

Les règles de sécurité génériques peuvent être activées sur n’importe quel type de site internet, et pas seulement sur votre CMS WordPress.

Comme son nom l’indique, la règle principale « Sécurité par défaut d’o2switch » est activée par défaut pour tous les noms de domaine hébergés.

o2switch précise qu’elle « peut changer régulièrement » et qu’elle est mise à jour « en fonction des attaques ou scans détectés par nos équipes ».

Dans le détail, cette règle principale contient de nombreuses sous-règles, telles que : 

• des blocages sur des adresses IP considérées malveillantes sur des ressources sensibles (par exemple une IP qui souhaite accéder à votre page /wp-login.php) ; 
• une analyse de requêtes HTTP pour voir si elles correspondent à des modes d’attaques connus ;
• le blocage de l’accès à des fichiers PHP qui ne devraient pas exister.

La bonne pratique ici consiste à laisser active cette option chez vous. En dehors de ça, vous pouvez aussi agir sur quatre règles supplémentaires : 

• « Contrôle du navigateur sur les pages d’administration courantes » : permet de vérifier qu’une requête à destination de vos pages d’administrations (ex : votre page wp-admin) est bien réalisée depuis un vrai navigateur web. Si un robot tente de se connecter à votre page d’administration, il se retrouve bloqué ; 
• « Bloquer l’accès aux fichiers de développement » comme les fichiers .env, .git, etc. Cela concerne aussi les fichiers .sql, relatifs à votre base de données WordPress. Si un robot tente de télécharger le fichier de sauvegarde de votre base de données, il sera bloqué.
• « Bloquer l’accès direct aux fichiers .php ». Attention, cette cette règle est incompatible avec WordPress, ne l’activez surtout pas ! ; 
• « Mode Je suis attaqué ». Vous pouvez activer cette règle si votre site WordPress se fait attaquer automatiquement par des bots. L’outil vérifiera que les requêtes sont réalisées par de vrais navigateurs web. o2switch recommande de « n’activer cette sécurité que lorsque le site est attaqué ».

Petit arrêt au stand avant de poursuivre. Activez une règle de sécurité seulement si vous avez bien conscience de ses répercussions éventuelles. Dans le doute, abstenez-vous. Si vous souhaitez vous lancer, procédez progressivement. Activez une règle, puis voyez l’impact qu’elle a sur l’interface visible de votre site. Vous rencontrez un problème ? Désactiver la règle en question.
N’hésitez pas à demander conseil à l’équipe support d’o2switch avant de passer à l’action. Elle répond vite et bien et délivre d’excellents conseils.

Règles de sécurité WordPress

Après les règles de sécurité génériques, Tiger Protect propose trois règles spécifiques à WordPress. Voilà qui devrait vous intéresser ;-).

La première permet de contrôler les requêtes vers le fichier xmlrpc.php. Quésaco ? Le fichier xmlrpc.php, présent nativement sur toute nouvelle installation fraîche du CMS, permet à votre site de communiquer avec des serveurs externes, tels que des applications tierces. 

Ce fichier n’est pas toujours utile et sa désactivation va s’imposer la plupart du temps, sauf si vous vous trouvez dans un cas de figure bien spécifique (on vous explique tout dans cet article).

Si c’est judicieux dans votre cas, activez cette règle de sécurité pour bloquer le fichier. Juste avant, vérifiez quand même que vous n’avez pas désactivé cette option dans une extension de sécurité dédiée ou généraliste (type Solid Security, ex iThemes Security). Ceci afin de ne pas faire double-emploi.

La deuxième règle (« Mettre en place un taux limite sur le /wp-login.php ») permet de limiter les attaques par force brute sur vos pages d’administration (wp-login.php et wp-admin).

À ce sujet, o2switch précise que « l’activation systématique de cette sécurité n’est pas nécessairement recommandée. Il faut voir en fonction du contexte et tester que cela fonctionne bien avec votre site internet. »

Enfin, la troisième règle vous permet de bloquer l’accès direct aux fichiers .php sensibles de WordPress afin qu’ils ne soient pas utilisés directement.

Il s’agit d’une règle spécialement conçue pour les sites WordPress, « avec des exceptions pour éviter de bloquer des usages légitimes ».

Vous pouvez donc l’activer… si vous êtes certain d’utiliser ces fichiers sensibles. 

Cette règle de sécurité bloquera l’accès aux fichiers dans wp-includes, wp-content/uploads/*.php mais ne bloquera pas l’accès au wp-login.php ou admin-ajax.php.

Règles de sécurité en lien avec les robots

Le troisième onglet de réglages de Tiger Protect concerne les règles de sécurité en lien avec les robots (SEO, malveillants et GoogleBot).

Parmi les options à votre disposition, on recense : 

• « Contrôler les requêtes venant des robots SEO » : pour bloquer totalement ou limiter le nombre de requêtes effectués par des robots de SEO d’outils comme comme Majestic, Semrush, Ahrefs, etc. Ces robots peuvent réaliser un nombre importants de requêtes vers vors site, ce qui consomme des ressources ; 
• « Contrôler les requêtes venant des robots malveillants ou suspects ». Vous pouvez les bloquer, et par ricochet économiser des ressources qui seront utilisés pour répondre aux visites légitimes ; 
• « Contrôler les requêtes venant des faux robots Google Bot » : pour bloquer les requêtes venant de robots se faisant passer pour le Google Bot ;
• « Contrôler les requêtes n’ayant pas de User-Agent » : pour bloquer les requêtes venant de logiciels ne définissant pas de User-Agent. Lorsque c’est le cas, les requêtes sont souvent lancées par des robots ou à des fins malveillantes ou inutiles.

Règles de sécurité des adresses IP

Sans transition, passons au quatrième onglet proposé par Tiger Protect : les règles qui se basent sur l’adresse IP du visiteur, son origine et sa réputation.

Ici, vous avez le choix parmi deux règles : 

1. « Bloquer le trafic venant des adresses IP du réseau Tor ». Le réseau Tor permet d’anonymiser le trafic internet. Son navigateur permet par exemple d’accéder au Dark Web, ce qui rend très complexe le traçage d’une visite provenant de ce réseau. Le souci, c’est qu’une part importante provenant du trafic du réseau Tor est malveillante. Si vous souhaitez le bloquer, activez cette option.
2. « Bloquer le trafic venant des adresses IP ayant une mauvaise réputation » : tout est dit dans l’intitulé. 

Règles ModSecurity

Enfin, vous pouvez aussi agir au niveau du pare-feu applicatif ModSecurity. Cela concerne le dernier onglet de réglages de Tiger Protect.

Comme le détaille o2switch, « ModSecurity est un pare-feu applicatif complémentaire qui permet d’analyser et filtrer les requêtes entrantes sur votre site internet ».

Par défaut, cette règle de sécurité est activée. Si ModSecurity ne cause pas de problème avec votre site WordPress, o2switch vous recommande de le laisser actif. 

Comment accéder à Tiger Protect et le configurer sur votre hébergement o2switch ?

Accédez à cPanel

Maintenant que vous connaissez l’éventail des possibilités offertes par Tiger Protect, découvrez la marche à suivre pour activer telle ou telle règle de sécurité.

Vous allez voir, o2switch a tout fait pour vous faciliter la vie. C’est simple comme bonjour. Afin d’accéder à Tiger Protect, rendez-vous sur votre interface cPanel.

Le cPanel d’o2switch est une interface d’administration qui vous permet de gérer, configurer, surveiller et renforcer la sécurité de votre site WordPress et de votre serveur en quelques clics, sans aucune compétence technique requise.

Pour cela, cliquez sur le lien de connexion contenu dans l’e-mail intitulé « Bienvenue chez o2switch », reçu après la commande de votre espace d’hébergement principal.

Cet email contient aussi votre identifiant et votre mot de passe, que vous devrez renseigner sur la page de connexion :

Si cet email ne vous dit rien ou que vous ne le retrouvez plus sur votre boîte email, il existe deux solutions alternatives pour vous connecter à cPanel depuis le navigateur de votre choix (Chrome, Opera, Firefox, etc.) : 

1. Tapez l’URL de votre site, suivie de :2083. Par exemple : votresite.fr:2083.
2. Tapez l’adresse de secours. Lorsque le port 2083 est bloqué, saisissez l’URL de votre site, et ajoutez cpanel. juste devant votre domaine. Exemple : https://cpanel.votre-domaine.tld.

Vous avez réussi à vous connecter ? Parfait. En haut de votre espace technique, vous devriez apercevoir un encart intitulé « Les outils exclusifs o2switch ».

Lorsque vous l’avez dans le viseur, cliquez sur l’outil « Tiger Protect » :

Si tout va bien, vous vous retrouverez sur le tableau de bord de l’outil, avec les cinq onglets de réglages dont on a parlé dans la partie précédente.

Comment configurer une règle de sécurité Tiger Protect chez o2switch ?

Alors, prêt à passer à l’action ? Avez-vous identifié une règle de sécurité à activer sur le champ ?

Pour cela, procédez dans l’ordre suivant : 

• Sélectionnez le nom de domaine de votre choix dans le menu déroulant.

• Rendez-vous sur l’action qui vous intéresse dans l’onglet de votre choix. Vous remarquerez la présence d’un petit bouton à activer. Afin d’y parvenir, cliquez dessus pour le passer sur la couleur orange, et le tour est joué. Pour la désactiver, opérez l’action inverse (si l’encoche n’est plus orange, l’option est désactivée).

Lorsque vous souhaiterez activer une règle de sécurité, vous verrez que Tiger Protect d’o2switch vous propose de choisir parmi une ou plusieurs actions à effectuer.

Cette ou ces action(s) diffèrent en fonction de la règle de sécurité. En fonction de la règle, vous pourrez par exemple : 

• Tout bloquer (403) ;
• Bloquer que les requêtes de type GET ou POST ;
• Mettre en place un taux limite (pour limiter le nombre de connexions maximum et par IP) ;
• Vérifier que la requête vient d’un vrai navigateur web, via un challenge (Proof of work) qui peut être soit simple, soit complexe (un challenge complexe est donc plus complexe à valider pour un navigateur qu’un challenge simple).

o2switch précise que les règles de sécurité s’activent instantanément, en quelques secondes à peine.

Enfin, vous pouvez aussi, si vous le souhaitez : 

• activer un mode « Bulk » (en masse), pour changer les règles de sécurité pour plusieurs noms de domaine à la fois ; 
• remettre à zéro tous vos réglages.

Quels sont les avantages de Tiger Protect pour les utilisateurs d’o2switch ?

Comme vous venez de le voir, Tiger Protect est un bouclier multi-facettes efficace à différents niveaux. Vous savez à présent le paramétrer comme un chef. 

Pour aller plus loin, présentons les multiples avantages concrets qu’il vous procure, en tant qu’utilisateur d’o2switch.

Tiger Protect, c’est d’abord un outil simple d’utilisation. Et ça, c’est vraiment un très gros plus. Certes, certaines options et leurs intitulés pourront vous sembler un peu barbares.

Mais pour les activer, il n’y a rien de savant. Aucune compétence technique avancée n’est requise (un débutant peut tout à fait s’en sortir seul).

La gestion centralisée rend l’ensemble digeste, puisque tout est concentré depuis un tableau de bord unique. Grâce à cela, vous disposez d’un contrôle total sur la protection de votre site sans avoir à jongler entre différents outils.

Précisons également que Tiger Protect est constamment mis à jour pour contrer les nouvelles menaces et améliorer ses performances.

En parlant de performances, soulignons que l’outil libère des ressources précieuses pour votre site, en éliminant le trafic inutile et dangereux. En effet, chaque attaque ou requête malveillante consomme des ressources de votre serveur.

En le sollicitant moins, vous améliorez la vitesse de chargement de vos pages et leur réactivité.

Et enfin, forcément, votre site bénéficie d’une couche de sécurité renforcée et proactive, sans surcoût (Tiger Protect est inclus dans chaque offre d’hébergement d’o2switch). Tiger Protect identifie et bloque les menaces avant qu’elles n’atteignent votre site. 

Du coup, vous gagnez en tranquillité d’esprit : finis les tracas liés aux tentatives de piratage, aux injections SQL ou aux attaques de type XSS et consorts.

Tiger Protect est-il suffisant pour protéger mon site ou dois-je utiliser d’autres outils ?

Pour protéger votre site WordPress, Tiger Protect constitue un rempart indéniable. Il agit principalement comme un pare-feu au niveau de l’infrastructure serveur proposée par o2switch. 

Pour simplifier, il filtre le trafic entrant avant même qu’il n’atteigne votre installation WordPress. C’est déjà super, mais cela amène aussi une question importante : est-il suffisant pour protéger votre site WordPress ?

La réponse est non. Si Tiger Protect propose une couche de sécurité essentielle (à savoir le pare-feu applicatif), à assimiler à une première ligne de défense, il ne s’occupe pas d’autres aspects primordiaux pour la sécurité de votre site : 

• il n’agit pas sur les vulnérabilités présentes dans un plugin, un thème ou le Cœur de WordPress lui-même, si elles ne sont pas issues d’une attaque externe qu’il reconnaîtrait avant qu’elle atteigne votre site ; 
• il n’a pas accès aux fichiers qui pourraient être mal codés au sein de vos extensions et thèmes ; 
• il ne peut rien contre les erreurs humaines : usage de mots de passe faibles, mises à jour WordPress non effectuées, fichiers sensibles laissés accessibles, etc. ; 
• il ne s’occupe pas des mises à jour de votre site, indispensables pour le sécuriser.

Par conséquent, on vous recommande en parallèle d’utiliser une extension de sécurité généraliste en plus de Tiger Protect. 

Faites votre choix parmi des solutions comme Solid Security (ex iThemes Security), WordFence, ou encore SecuPress. 

La plupart d’entre-elles proposent des options de base pour durcir encore plus la sécurité de votre site : changer l’URL de connexion, limiter les tentatives de connexion, désactiver l’exécution de code dans certains répertoires, bloquer les adresses IP après des tentatives échouées, forcer l’utilisation de mots de passe forts, etc. 

Et bien sûr,  assurez-vous que chaque outil (Tiger Protect et votre extension de sécurité) n’agisse pas en même temps sur telle ou telle règle de sécurité.

Bonnes pratiques complémentaires pour une sécurité optimale de votre site WordPress

Pour prolonger ce que nous venons d’expliquer et rendre votre site encore plus sécurisé, pensez également à adopter sans attendre les bonnes pratiques suivantes : 

• mettez à jour le Coeur de WordPress, vos extensions et votre thème régulièrement ; 
• utilisez des mots de passe forts et uniques, par exemple à l’aide d’un outil dédié comme Dashlane (lien aff) ; 
• sauvegardez votre site à fréquence régulière, afin de de disposer d’une copie récente si jamais vous avez besoin de le restaurer ; 
• utilisez un certificat SSL pour passer votre site en HTTPS (consulter notre guide dédié pour tout savoir sur l’installation et la gestion d’un certificat SSL chez o2switch) ; 
• sécurisez votre fichier .htaccess ; 
• changez l’identifiant « admin » par défaut ; 
• supprimez les thèmes et extensions inutilisés ; 
• n’installez des extensions et thèmes que depuis des sources fiables, comme le répertoire officiel WordPress.

Pour aller plus loin en matière de sécurité, consultez la série de vidéo réalisée en collaboration avec Julio Potier, le créateur de l’extension SecuPress.

Si les vidéos commencent à dater un peu, il y a tout un tas de conseils encore d’actualité à appliquer sur votre site :

Vous gérez plusieurs sites WordPress à la fois ? Faites comme nous : simplifiez-vous la vie avec un outil de gestion et de maintenance comme WP Umbrella (lien aff). Cet outil intuitif et très simple à utiliser permet de maintenir (sauvegardes, mises à jour, restauration, rapports de maintenance, etc.) et surveiller vos sites WP depuis un seul et même tableau de bord.

Conclusion

Simple à utiliser et intuitif, l’outil Tiger Protect d’o2switch vous assure une protection solide de votre site WordPress contre de nombreuses menaces courantes.

Tout au long de ces lignes, vous avez notamment découvert : 

• les avantages, les fonctionnalités et le mode de fonctionnement de Tiger Protect ; 
• comment activer les règles de sécurité qu’il propose.  

Pour une protection optimale de votre site WordPress, ne vous contentez pas seulement de configurer Tiger Protect. Couplez-le à une extension de sécurité généraliste et pensez à appliquer les bonnes pratiques en matière de sécurité.

Vous souhaitez profiter de Tiger Protect pour sécuriser votre site WordPress ? Rapprochez-vous d’o2switch, un hébergeur fiable, performant et sécurisé.

o2switch est l’hébergeur de choix de WPMarmite depuis 2017. La qualité de leurs services est top, tout comme leur service-client.

Si vous souhaitez en savoir plus sur ce prestataire que l’on recommande les yeux fermés, cliquez juste en dessous 👇👇👇 .