Développement web

    Comment sécuriser votre site WordPress?

    Ch@rly 66By Aucun commentaire18 Mins Read
    securiser
    WordPress est très convivial pour les débutants et facile à apprendre, mais de nombreux utilisateurs oublient souvent un facteur : la sécurité. Dans cet article, nous passerons en revue en détail les avantages et les inconvénients de la sécurité WordPress et vous donnerons des conseils pour rendre votre site Web plus sûr.

    Créer votre propre site WordPress est à la fois excitant et écrasant. Vous devez faire beaucoup pour tout mettre en place, du choix d’un thème à la rédaction de votre premier article de blog. Pourtant, le seul facteur que beaucoup de gens négligent est la sécurité.

    WordPress est très convivial pour les débutants et facile à apprendre, mais cela s’accompagne de quelques mises en garde. Les pirates aiment profiter des utilisateurs relativement inexpérimentés et pirater de nouveaux sites Web. Ils le font pour accéder à des informations sensibles ou utiliser le site pour propager des logiciels malveillants à des visiteurs peu méfiants.

    Après tout, WordPress alimente près de 35 % du Web . Cela signifie que plus d’un tiers de tous les sites partagent des vulnérabilités similaires, ce qui en fait une cible lucrative pour les pirates. Alors, WordPress vaut-il vraiment la peine d’être utilisé ? Ne sommes-nous pas simplement en train de nous exposer à être piratés ?

    La vérité est que, avec les bonnes connaissances, utiliser WordPress est sans doute aussi sûr, sinon plus sûr, que de créer votre propre site Web. Il est impossible de développer un site Web imprenable qui ne sera jamais violé. Même si vous essayez de créer votre propre site à partir de zéro, n’oubliez pas que vous êtes seul.

    Les utilisateurs de WordPress ont accès à des centaines de ressources, comme celle-ci, qui peuvent aider à corriger les failles de sécurité, la rendant pratiquement impénétrable. Passons en revue en détail les avantages et les inconvénients de la sécurité WordPress et donnons quelques conseils pour rendre votre site Web plus sûr.

    WordPress : un produit Open Source est-il vraiment sécurisé ?

    WordPress est open source, ce qui signifie que le code qui exécute votre site Web peut être examiné librement par quiconque le souhaite. Cela inclut les pirates à la recherche de vulnérabilités à exploiter. Dans cet esprit, est-il sûr d’utiliser des plateformes open source ?

    Il se trouve que l’utilisation de plates-formes open source peut être beaucoup plus sûre que la création de votre propre site, surtout si vous n’avez aucune idée de ce que vous faites. De nombreux programmeurs sauront comment créer un système sécurisé, mais vous devrez souvent embaucher un ingénieur en sécurité pour être entièrement protégé. Et même dans ce cas, vous devrez maintenir votre propre code et le maintenir à jour, et cela coûte cher.

    Le code de WordPress n’est pas seulement parcouru par les pirates. Il est également maintenu par l’ équipe de sécurité de WordPress , des développeurs bénévoles, des hackers éthiques et d’autres parties intéressées avec de bonnes intentions. Donc, même si quelque chose passe à travers, il y a de fortes chances qu’il soit rapidement attrapé.

    La plupart des failles de sécurité ne sont même pas causées par une vulnérabilité dans une installation WordPress à jour. Ils se produisent parce que les gens ne tiennent pas WordPress et ses plugins à jour, ils peuvent installer accidentellement des logiciels malveillants ou utiliser des mots de passe non sécurisés. Si vous suivez les bonnes pratiques, il y a de fortes chances que vous soyez parfaitement en sécurité.

    Cela dit, examinons certaines des choses que vous pouvez faire pour protéger votre site WordPress.

    Sécurité WordPress : liste de contrôle en 9 étapes

    1. Choisissez l’hébergement sécurisé

    L’hébergement de mauvaise qualité est l’un des principaux facteurs à l’origine de ces vulnérabilités de sécurité . 

    Investissez dans un hébergeur qui accorde une grande importance à la sécurité. Vous ne vous rendez pas service si vous pensez que les coûts d’hébergement moins chers l’emportent sur la sécurité. Une partie de votre étude de marché doit inclure l’examen du dossier de sécurité de la société d’hébergement. Sont-ils soucieux de la sécurité ? S’appuient-ils sur les dernières technologies et normes ? 

    Ceci est également vrai pour l’hébergement mutualisé. Bien qu’il s’agisse d’une option moins chère, cela signifie également que vous partagez l’espace du serveur avec d’autres clients. Malheureusement, il suffit qu’un site Web soit infecté et que le logiciel malveillant se propage sur tous les sites du réseau. 

    C’est pourquoi nous devrions envisager de passer au cloud, au VPS ou à l’hébergement dédié lorsque nous pouvons nous le permettre.

    De plus, nous devrions rechercher un hébergeur qui offre les services suivants :

      • Logiciel serveur à jour – Trop d’hôtes fonctionnent encore sur PHP 5, qui a depuis longtemps perdu le support. À ce stade, les serveurs doivent au moins utiliser PHP 7.0+. Il en va de même pour d’autres logiciels comme cPanel, MySQL ou d’autres programmes de base de données, et le système d’exploitation.
      • Surveillance et suppression des logiciels malveillants – Choisissez un hôte qui s’efforce activement de détecter et de prévenir les infections par des logiciels malveillants, et propose éventuellement une analyse et une suppression des logiciels malveillants en cas de violation. Tous les hébergeurs n’ont pas de politique pour supprimer les logiciels malveillants d’un site infecté, et parmi ceux qui le font, certains factureront un supplément pour ce service.
      • Pare-feu et autres mesures de sécurité – Il existe de nombreuses façons pour les hébergeurs d’augmenter la sécurité de leur serveur. Le plus efficace d’entre eux est peut-être de s’appuyer sur un pare-feu car il empêche l’accès extérieur non autorisé au serveur. Il peut être judicieux de vérifier si un fournisseur a mis en place ce moyen de prévention et d’autres avant de faire un choix.

    2. Installez un certificat SSL

    Un certificat Secure Sockets Layer (SSL) crypte les données servies entre l’utilisateur et votre site Web. SSL vous accorde une URL https et un certificat qui va avec, sans quoi les utilisateurs recevront une notification rouge « Non sécurisé » dans la barre d’adresse lors de la visite de notre site.

    Les navigateurs bloquent de plus en plus l’accès aux sites Web sans SSL, ce qui en fait un incontournable pour tout site Web WordPress.

    La migration de votre site Web WordPress vers HTTPS peut être un processus difficile pour les sites Web existants. Votre site Web est migré en suivant ces quatre étapes, qui peuvent facilement être automatisées avec  Really Simple SSL. 

    1. Procurez-vous votre certificat SSL. Comme SSL est devenu la norme d’or, la plupart des fournisseurs d’hébergement vous fourniront un certificat gratuit qui peut être activé dans votre tableau de bord d’hébergement. Si votre hébergeur vous facture un certificat SSL ou ne vous en fournit pas du tout, vous pouvez générer votre certificat Let’s Encrypt gratuit .

    Vous pouvez également vous tourner vers IdenTrust et Comodo pour la certification SSL

    2. Activez SSL. Une fois votre certificat SSL installé, vous pouvez facilement l’activer avec le plugin gratuit Really Simple SSL

    3. Mettez à niveau toutes les requêtes vers https. Maintenant que votre site est sécurisé sur https, vous devez empêcher tout visiteur de visiter (délibérément ou accidentellement) la version non sécurisée (http) de votre site. Cela se fait généralement avec une redirection 301. Tous les liens vers les ressources utilisées sur votre site (par exemple, les images, les scripts, etc.) devront être mis à jour en https pour empêcher vos visiteurs de voir un avertissement « site non sécurisé » dans leur navigateur.

    4. Appliquez SSL.  Pour sécuriser davantage votre site, vous pouvez ajouter des en-têtes de sécurité à votre site, qui appliquent davantage SSL et ajoutent une couche de sécurité supplémentaire

    3. Sauvegardez votre site Web

    Avant même de commencer à apporter des modifications à votre site, avant de mettre à jour WordPress ou d’installer un plugin, la toute première chose à faire est de configurer vos sauvegardes. De cette façon, quel que soit le pire des cas, une modification accidentelle du code, un problème WordPress, une base de données corrompue, nous avons une solution.

    Même si notre site est piraté et que les dommages sont irréparables, nous n’aurons pas à tout recommencer à zéro.

    Les sauvegardes manuelles , la copie de fichiers et leur transfert manuel vers un disque dur ou un cloud sont gratuites mais chronophages. Certes, nous pouvons le faire aussi souvent (une fois par jour) ou aussi rarement que nous le souhaitons. Bien qu’une sauvegarde effectuée une fois tous les 6 mois puisse être un peu risquée.

    Vérifiez si votre hébergeur propose des sauvegardes automatisées hebdomadaires, mensuelles ou quotidiennes. Ce service est généralement commercial, mais parfois gratuit. Si tel est le cas et que votre hébergeur sauvegarde à la fois vos fichiers et votre base de données, vous n’avez rien d’autre à faire. Bien que ce soit une bonne idée de conserver quelques sauvegardes manuelles au cas où.

    Plugins de sauvegarde WordPress

    Courant ascendantPlus

    Si notre hébergeur ne propose pas de sauvegardes de sites Web, ou si la sauvegarde fournie par notre hébergeur exclut des fichiers ou notre base de données, nous pouvons également compter sur des plugins.

    C’est une bonne idée d’avoir au moins une solution solide pour chaque site Web que vous possédez ou administrez, et les plugins de sauvegarde WordPress peuvent fournir cette couche de protection supplémentaire.

    iThemes en est un bon exemple. Ce plugin de sécurité propose des sauvegardes de base de données gratuites, ainsi que sa suite d’outils et de correctifs. Leur plugin associé BackupBuddy vous permet également de faire une sauvegarde complète du site.

    Les plugins gratuits ou freemium comme UpdraftPlus , BackUpWordPress et VaultPress font également le travail efficacement et valent la peine d’être vérifiés. 

    N’oubliez pas que même si vous décidez de vous fier à un plugin de sauvegarde, vous aurez toujours besoin d’un plugin de sécurité, tel que Wordfence , si vous voulez rester en sécurité.

    N’attendez pas qu’il soit trop tard. Mettre en place votre sécurité à la dernière minute est aussi efficace que réparer les trous de votre toit lors d’un orage. 

    Passer environ une heure à configurer vos sauvegardes et votre sécurité vous fera économiser des mois, voire des années de travail.

    4. Gardez vos plugins et votre thème en sécurité

    Si vous avez choisi un bon hébergeur et que vos sauvegardes sont configurées, vous disposez d’une assez bonne infrastructure de sécurité. Mais il y a encore quelques choses que vous devez faire pour sécuriser complètement votre site. 

    Un plugin obsolète ou un thème non sécurisé est l’énorme passerelle pour infiltrer votre site Web. Les tenir à jour aide à combler les lacunes potentielles, empêchant ainsi que cela ne se produise.

    La mise à jour des composants de votre site est aussi simple que d’accéder à votre tableau de bord d’administration WP et de vérifier les notifications de mise à jour sous Tableau de bord > Mises à jour .

    Mises à jour du plug-in Dasboard

    Marquez les thèmes ou plugins que vous souhaitez mettre à jour en cochant les cases, puis cliquez sur le bouton en haut/en bas pour commencer à les mettre à jour. Si vous avez l’habitude d’ignorer ces alertes, il est temps d’arrêter. 

    Comme vous le savez, les plugins et les thèmes peuvent être mis à jour via les onglets Plugins et Thèmes . De plus, tous les thèmes tiers premium ne proposent pas de mises à jour automatiques, vous pouvez donc consulter leurs sites Web de temps en temps.

    Plus important que la mise à jour de vos plugins et thèmes, gardez WordPress à jour.

    39% des sites WordPress piratés étaient obsolètes. Parfois, vous devrez peut-être repousser une mise à jour car elle peut interférer avec un plugin que vous utilisez, mais vous devrez éventuellement perdre le plugin pour enregistrer votre site. Laisser WordPress obsolète pendant des mois est peut-être la pire chose que vous puissiez faire.

    (Conseil de pro : sauvegardez toujours votre site avant d’introduire des mises à jour. Juste au cas où il y aurait un problème.)

    Pendant que vous y êtes, vous devez supprimer le numéro de version de votre code source.

    Par défaut, les sites Web WordPress portent une balise META contenant le numéro de version de WordPress que le site utilise. Nous devons convenir avec les spécialistes de la sécurité que cela rend la vie trop facile pour les pirates. 

    Vous pouvez supprimer manuellement le numéro de version de WordPress en plaçant un code simple dans votre fichier functions.php . Si, comme nous l’avons suggéré, vous utilisez un plugin de sécurité WordPress, beaucoup d’entre eux masquent automatiquement votre version WP. Si vous envisagez d’utiliser un plugin de performance, le plugin Perfmatters inclut également une option pour masquer la version WP .

    5. Installez des plugins et des thèmes à partir de sources fiables

    Une autre grosse erreur que commettent les utilisateurs de WordPress consiste à obtenir leurs plugins et thèmes auprès de fournisseurs peu fiables. Un mauvais thème ou plugin peut corrompre, défigurer ou injecter des logiciels malveillants dans vos pages. 

    Les sites Web et les développeurs tiers ne sont pas approuvés par WordPress et, en tant que tels, vous ne savez jamais ce que vous obtenez. Il serait préférable d’éviter tout ce qui provient de sites Web inconnus. Si le plugin en question a de nombreuses critiques positives et semble être populaire, il devrait être suffisamment sûr pour être installé. 

    De mauvais plugins peuvent passer entre les mailles du filet.

    Même si un plugin est dans le répertoire officiel , il n’est pas garanti qu’il soit sûr. Avant de télécharger quoi que ce soit à partir du référentiel, jetez un œil aux statistiques répertoriées dans la barre latérale à droite de la page. Évitez de télécharger des plugins qui n’ont pas été mis à jour au cours de la dernière année ou plus, qui ont moins de quelques centaines d’installations ou qui reçoivent des notes faibles. 

    Comment sécuriser votre site WordPress? 7

    Il en est de même pour les thèmes. WordPress propose quelques thèmes dans le référentiel de thèmes (y compris notre propre thème Hello ). Si, comme de nombreux utilisateurs, vous recherchez plus de variété, assurez-vous de n’acheter vos thèmes qu’auprès de fournisseurs et de créateurs de confiance et bien connus dans la communauté.

    Vous devez éviter les plugins et les thèmes WordPress « annulés ». Le logiciel nul est un terme utilisé pour les plugins premium distribués gratuitement et sans autorisation.

    En plus d’être discutables et peut-être illégaux, les thèmes et plugins annulés représentent un énorme risque pour la sécurité. S’appuyer sur un développeur agissant déjà de manière contraire à l’éthique pour ne pas inclure de logiciels malveillants dans le code est à peu près aussi sensé que de demander à une souris de garder votre fromage.

    Certains distributeurs annulés incluent du code qui provoque l’apparition d’un nombre excessif d’annonces sur votre site, distribue des logiciels malveillants ou corrompt carrément votre base de données. De plus, vous n’aurez accès à aucune mise à jour, ce qui peut vous rendre vulnérable aux attaques lorsque le logiciel devient obsolète.

    Dans l’ensemble, il est dans notre intérêt d’éviter tous les plugins annulés et d’installer uniquement des logiciels à partir du référentiel WordPress ou de fournisseurs de confiance.

    6. Désactiver l’édition de fichiers

    WordPress est livré avec un ensemble d’éditeurs de thèmes et de plugins faciles à atteindre. Vous pouvez les trouver sous Apparence > Éditeur de thèmes et plugins > Éditeur de plugins . Ceux-ci permettent un accès direct au code de votre site.

    Comment sécuriser votre site WordPress? 8

    Bien que ces outils soient utiles pour certains, de nombreux utilisateurs de WordPress ne sont pas des programmeurs et n’auront jamais besoin de toucher à quoi que ce soit ici. Jouer avec ce code sans savoir ce que vous faites est un moyen sûr de casser les choses. Si vous êtes un tel utilisateur, il est préférable de simplement désactiver l’édition de fichiers, car les pirates peuvent utiliser l’éditeur de fichiers pour exécuter rapidement du code malveillant ou supprimer des parties entières de votre site Web. Désactiver cela les ralentit.

    Vous pouvez également désactiver les éditeurs de thèmes et de plugins avec une seule ligne de code dans wp-config.php . Si vous avez besoin de modifier votre site ou vos plugins, réactivez-les temporairement. Alternativement, vous pouvez les modifier via un client FTP.

    La désactivation de l’édition de fichiers n’empêchera pas nécessairement les attaquants de faire des dégâts, mais cela peut dérouter les pirates moins expérimentés et les arrêter dans leur élan. À tout le moins, cela leur rendra la tâche un peu plus difficile et nous donnera plus de temps pour réaliser que quelque chose ne va pas.

    7. Renforcez votre processus de connexion

    Comment sécuriser votre site WordPress? 9

    Lorsque quelqu’un découvre votre mot de passe sans recourir à l’exploitation du code du site, c’est très probablement le résultat d’attaques par force brute. Cela implique d’essayer de force diverses combinaisons de lettres et de chiffres jusqu’à ce qu’ils obtiennent le bon mot de passe.

    Parfois, un attaquant potentiel essaiera des combinaisons courantes, avant de passer à l’utilisation de programmes exécutant un processus automatisé qui essaie plusieurs combinaisons de mots de passe aléatoires par seconde.

    Si vous commencez à vous sentir comme si vous pouviez aussi bien abandonner tout espoir de garder vos sites sécurisés, ne le faites pas. Il existe des tonnes de façons de ralentir les pirates, de dissuader et même d’empêcher les attaquants de faire des choses comme des attaques par force brute.

    L’installation par défaut de WordPress repose à chaque fois sur un chemin de connexion similaire. Ce qui en fait une cible privilégiée et facile pour les pirates essayant des mots de passe courants ou facilement devinables.

    La raison pour laquelle tant de personnes continuent d’utiliser WordPress est que bon nombre de ces problèmes sont facilement résolus.

    8. Créez une combinaison de connexion solide

    La première et la plus importante étape consiste à choisir un nom d’utilisateur et un mot de passe appropriés. Nous pourrions masquer la page de connexion sous une URL différente, mais si votre connexion est quelque chose d’aussi banal que admin/mot de passe, cela ne ferait aucune différence une fois que les pirates l’auraient trouvé. 

    Voici une liste de noms d’utilisateur que vous devriez absolument éviter.

    • Admin – C’était le nom d’utilisateur par défaut de WordPress et c’est donc celui qui sera certainement essayé lors d’une attaque par force brute.
    • Votre vrai nom ou surnom – Il s’agit à la fois d’informations publiques et aussi faciles à deviner que « admin ». De plus, il peut être judicieux de créer un profil séparé sans droit d’administrateur pour publier du contenu. De cette façon, le nom d’utilisateur de la connexion principale n’apparaît pas sur le site Web.
    • Toute information personnelle – y compris l’anniversaire, etc. N’utilisez un détail personnel que s’il s’agit de quelque chose que personne ne pourrait jamais savoir.
    • Le titre de votre site, ou quelque chose de manifestement lié à celui-ci  – « Chatons » pour une agence d’adoption de chats, etc.

    Vous devez également choisir un mot de passe sécurisé. L’essentiel est le même : évitez les informations personnelles, les choix évidents comme « mot de passe » ou tout ce qui est clairement lié à votre site Web.

    Un bon mot de passe comporte plus de 10 caractères, utilise une variété de caractères et évite les mots et expressions courants . Les meilleurs mots de passe sont une longue série de lettres, de chiffres et de symboles complètement aléatoires que personne ne pourrait jamais deviner. Des services comme Secure Password Generator peuvent vous aider à les créer.

    Si vous avez du mal à vous souvenir de vos informations de connexion, envisagez d’utiliser un service comme LastPass .

    9. Verrouillez votre page de connexion

    Par défaut, n’importe qui peut se connecter à votre site Web en accédant à votresite.com/wp-admin . Vous pouvez les arrêter dans leur élan en modifiant entièrement l’URL. WPS Hide Login vous permet de le basculer vers ce que vous voulez. Installez-le simplement et accédez aux paramètres du plugin pour le modifier.

    Vous devez utiliser un chemin de connexion qui n’est pas évident. Cela pourrait les dissuader un peu si vous le changez en quelque chose comme /login ou /new-login , mais s’ils sont déterminés, ils comprendront cela assez rapidement. Par conséquent, il est préférable de choisir quelque chose de très difficile à deviner comme /jacksparrowshideout .

    Ensuite, installez un plugin pour limiter les tentatives de connexion. N’importe qui peut spammer votre serveur avec des centaines de requêtes jusqu’à ce qu’il le devine correctement. Un plugin qui limite les tentatives de connexion ne leur donnera que quelques chances avant qu’ils ne soient verrouillés. Il peut également détecter et rediriger les robots hors de votre page de connexion.

    Alternativement, vous pouvez activer un CAPTCHA pour les ralentir encore plus.

    À ce stade, la plupart des pirates rechercheront des cibles plus faciles. Ils peuvent continuer à essayer une fois leur temps écoulé, mais pendant ce temps, nous pourrions vérifier nos journaux d’audit , remarquer leurs tentatives d’accès et émettre une interdiction IP. 

    Vous pouvez également essayer Cloudflare Rate Limiting . Cela détecte automatiquement la force brute ainsi que les attaques DDoS et bloque l’adresse IP incriminée.

    La dernière étape consiste à configurer une authentification en deux étapes à l’aide d’un plugin. En plus d’exiger un nom d’utilisateur et un mot de passe pour entrer, il demande au visiteur un troisième authentificateur. Le plus courant est une vérification par SMS d’un message envoyé à votre téléphone. Un pirate pourrait être en mesure d’accéder à votre courrier électronique, mais il est très peu probable qu’il puisse voler votre téléphone.

    Protégez WordPress

    Une installation intacte de WordPress est ouverte aux attaquants. Négliger la sécurité vous rend vulnérable aux pirates qui cherchent à défigurer, supprimer ou même injecter votre site avec des logiciels malveillants. 

    Cependant, une journée passée à installer et à configurer les bons plugins de sécurité et à combler tous ces petits trous pourrait faire toute la différence.

    En suivant les conseils que nous vous avons fournis, votre site sera beaucoup plus à l’abri des attaquants. La grande partie est que bon nombre de ces méthodes sont des actions «réglez-le et oubliez-le». Changez simplement un paramètre et vous n’aurez pas besoin d’y penser pendant longtemps.

    En résumé : choisissez un hébergeur de confiance avec des serveurs sécurisés, installez un certificat SSL si vous collectez des données utilisateur, sauvegardez votre site Web et maintenez à jour votre installation et vos thèmes, et assurez-vous d’avoir une connexion sécurisée. Faites tout cela et les pirates, en particulier les pirates amateurs, seront arrêtés à la porte.

    Votre site WordPress a-t-il déjà été piraté ? Comment avez-vous réussi à récupérer votre site Web et à le nettoyer ? Nous aimerions entendre votre histoire dans les commentaires.

    Tweetez
    Partagez
    Enregistrer
    Partagez
    0 Partages
    Share.

    Related Posts

    Add A Comment

    Leave A Reply