Le guide de sécurité WordPress pour assurer la sécurité de votre site

Le guide de sécurité WordPress pour assurer la sécurité de votre site

01 février 2023

Les menaces de sécurité ne sont pas uniques à WordPress.

Chaque plate-forme, qu'elle soit privée ou open source, est attaquée 24h/24 et 7j/7.

Heureusement, la communauté WordPress fournit de nombreuses solutions pour faciliter le travail.

Voici quelques étapes clés à suivre pour protéger un site WordPress contre les menaces de sécurité.

Comment protéger un site WordPress

Il existe huit actions fondamentales que tous les éditeurs WordPress doivent prendre en compte afin d'atténuer les activités malveillantes et les vulnérabilités.

Suivre ces bonnes pratiques vous aidera à vous assurer qu'un site WordPress est prêt à faire face à l'assaut des pirates qui explorent les sites Web tous les jours :

  • Utilisez HTTPS.
  • N'utilisez pas le mot "admin" comme nom d'utilisateur d'administrateur.
  • Imposez l'utilisation de mots de passe forts.
  • Mettez à jour les plugins et les thèmes.
  • < li>Plan de sauvegarde du site Web.
  • Minimiser l'utilisation des plugins.
  • Authentification à deux facteurs.
  • Installer un pare-feu WordPress et un scanner de vulnérabilité.
  • Utilisez HTTPS.
  • N'utilisez pas le mot "admin" comme nom d'utilisateur d'administrateur.
  • Imposez l'utilisation de mots de passe forts.
  • Mettez à jour les plugins et les thèmes.
  • Minimiser l'utilisation des plugins.
  • Authentification à deux facteurs.
  • Installer un pare-feu WordPress et un scanner de vulnérabilité.
  • Passons en revue chacun d'eux un peu plus en détail.

    1. Ajouter HTTPS/SSL

    À l'heure actuelle, la plupart des sites utilisent HTTPS. Mais si votre site n'utilise pas le protocole HTTPS, consultez votre hébergeur pour ajouter un certificat SSL gratuit.

    Définissez simplement l'adresse WordPress et l'adresse du site en utilisant https://. Cela peut être accompli dans l'onglet Paramètres généraux.

    https://

    Si le site passe d'un état non sécurisé à un état sécurisé, alors le Le plug-in SSL vraiment simple (utilisé par plus de 5 millions de sites Web) mérite d'être examiné, car il simplifie vraiment la conversion en HTTPS en gérant les redirections et d'autres tâches connexes.

    Le plug-in SSL vraiment simple

    Really Simple SSL aide également à atténuer les menaces de sécurité telles que le détournement de clics et les attaques de falsification intersites en offrant la possibilité d'ajouter des en-têtes de sécurité.

    De nos jours, l'installation d'un certificat SSL est une tâche facile.

    De nombreux hébergeurs proposent des certificats SSL gratuits - en plus, c'est un classement connu chez Google.

    Après la conversion en HTTPS, il est conseillé de vérifier qu'aucune page ne demande de liens ou de contenu HTTP.

    Vérifier le contenu mixte est indispensable.

    Le contenu mixte se produit lorsque des éléments de site Web non sécurisés (scripts, images, vidéos, etc.) sont li à partir de pages HTTPS.

    Explorez votre site avec Missising Padlock pour identifier rapidement les cas de contenu, puis corrigez les erreurs en créant un lien vers les actifs HTTPS.

    Missising Padlock

    2. Utilisez un nom d'utilisateur administrateur sécurisé

    Un nombre écrasant d'attaques de sécurité contre l'écran de connexion WordPress sont effectuées avec le nom d'utilisateur "Admin".

    Il existe deux principaux types d'attaques qui tentent pour déchiffrer le mot de passe de connexion :

    • Force brute.
    • Attaque par dictionnaire.
  • Force brute.
  • Attaque par dictionnaire.
  • L'attaque par force brute se produit lorsque le logiciel de piratage automatisé essaie de deviner le mot de passe administrateur en utilisant différentes combinaisons de mots, lettres et chiffres.

    Une attaque par dictionnaire se produit lorsque le logiciel de piratage utilise des mots de passe communs pour essayer de deviner la connexion administrateur.

    Dans de nombreux cas, le nom d'utilisateur administrateur utilisé par ces logiciels est "Admin".

    Ne pas utiliser le mot "Admin" comme nom d'utilisateur est une étape simple qui aidera à sécuriser un site WordPress.

    Pour aller plus loin, vous pouvez créer une règle de pare-feu avec le plugin de sécurité Wordfence pour bloquer automatiquement tout humain ou bot qui essaie de se connecter avec le nom d'utilisateur Admin.

    3. Appliquer des mots de passe forts

    N'autorisez personne, en particulier les utilisateurs disposant de privilèges de niveau administrateur, à créer un mot de passe qui n'est pas fort.

    Même les utilisateurs disposant de faibles privilèges sur le site Web, comme le niveau abonné, peut devenir un vecteur d'attaque. Il est donc important d'appliquer des mots de passe forts à tous ceux qui peuvent se connecter au site WordPress.

    La cible populaire Le plugin WordPress iThemes Security, avec plus d'un million d'utilisateurs, offre une application de la force du mot de passe de connexion, ainsi qu'une authentification à deux facteurs.

    Le plugin WordPress iThemes Security

    Une politique de sécurité des mots de passe qui applique des mots de passe forts peut également être activé à l'aide du plugin de sécurité WordPress Wordfence.

    Wordfence

    4. Mettre à jour les plugins et les thèmes

    Certaines mises à jour des plugins, des thèmes et de l'installation principale de WordPress visent à corriger (corriger) les vulnérabilités.

    Si vous ne mettez pas à jour le logiciel, le site peut devenir vulnérable.

    La plupart des mises à jour fonctionnent correctement. En de rares occasions, une mise à jour peut modifier quelque chose dans le logiciel qui commence à entrer en conflit avec un autre plugin ou thème, provoquant le blocage du site.

    Si cela se produit, il est facile de restaurer le site à un état antérieur si le site a été sauvegardé.

    La meilleure façon de mettre à jour les plugins et les thèmes consiste à mettre en scène le site et à vérifier s'il fonctionne comme il se doit avec le logiciel mis à jour.

    Mais si vous ne faites pas de mise en scène du site, la deuxième option consiste à sauvegarder le site, puis à le mettre à jour.

    Testez le site pour vous assurer que tout fonctionne. Si le site fonctionne mal, annulez-le avec la sauvegarde.

    La troisième option consiste à configurer tous les plugins pour qu'ils se mettent à jour automatiquement afin que vous n'ayez même pas à y penser. Si quelque chose se casse, ramenez-le à son état précédent.

    5. Sauvegardez votre site Web WordPress

    La sauvegarde quotidienne d'un site Web est essentielle.

    Il y a beaucoup de choses qui peuvent mal tourner, et une sauvegarde sauvera la journée quand quelque chose de catastrophique arrive à le site.

    UpdraftPlus WordPress Backup Plugin, avec plus de 3 millions d'utilisateurs, est une solution populaire et fiable.

    UpdraftPlus WordPress Backup Plugin

    Je l'utilise sur tous mes sites Web et je peux la recommander en toute confiance.

    Cela m'a sauvé à l'occasion d'une refonte de site Web qui n'a pas aller si bien, me permettant de restaurer facilement le site à une version précédente.

    Une autre solution populaire est appelée WP Rollback.

    WP Rollback

    WP Rollback a plus 200 000 installations, et les personnes qui créent le logiciel sont des développeurs WordPress de confiance et experts.

    Cela fonctionne bien avec les thèmes et les plugins téléchargés à partir de WordP ress.org.

    6. Minimiser l'utilisation des plugins

    Chaque plugin installé augmente le risque que l'un d'entre eux expose le site à une vulnérabilité.

    Outre des raisons de sécurité, l'utilisation d'un trop grand nombre de plugins peut avoir un impact les performances du site, ainsi que d'augmenter le risque que le code entre deux plugins ou plus ait un conflit et plante le site.

    Planifiez à l'avance les plugins que vous souhaitez utiliser pour accomplir ce dont vous avez besoin.

    Certains plugins peuvent effectuer plusieurs tâches, éliminant ainsi le besoin d'installer un plugin autonome pour y parvenir une chose.

    7. Implémenter l'authentification à deux facteurs

    L'authentification à deux facteurs est ainsi appelée car il faut deux formes d'identification pour se connecter à un site WordPress avec cette fonctionnalité activée.

    Le premier facteur est le nom d'utilisateur et le mot de passe.

    Le deuxième facteur est une deuxième forme d'authentification, généralement avec une application comme Authy ou Google Authenticator qui se trouve sur le téléphone portable de l'utilisateur.

    Ainsi, même si un pirate parvient à accéder au nom d'utilisateur et au mot de passe, il ne pourra pas se connecter sans la deuxième authentification .

    Il existe de nombreux plugins WordPress parmi lesquels choisir pour ajouter cette fonctionnalité, notamment :

    WP 2FA

    WP 2FA est un choix populaire pour ajouter une authentification à deux facteurs.

    WP 2FA

    Il prend en charge plusieurs méthodes d'authentification à deux facteurs, y compris Google Authenticator, Authy, lien e-mail, e-mail OTP et notification push.

    Il existe des méthodes supplémentaires telles que authentification vocale et WhatsApp disponible avec la version Pro.

    Wordfence Login Security

    Wordfence est une marque digne de confiance. son plugin d'authentification autonome à deux facteurs prend en charge Authenticator, Authy, 1Password et FreeOTP.

    De plus, des plugins de sécurité comme Wordfence et iThemes Security ont également des options pour activer deux -authentification par facteur.

    Wordfence est une marque digne de confiance. son plugin d'authentification autonome à deux facteurs prend en charge Authenticator, Authy, 1Password et FreeOTP.

    Wordfence

    De plus, des plugins de sécurité comme Wordfence et iThemes Security ont également des options pour activer deux -authentification par facteur.

    WordfenceiThemes Security

    8. Installer un plugin de sécurité WordPress

    Les plugins de sécurité sont utiles car ils peuvent combler toutes les failles de sécurité et bloquer les pirates qui tentent de tirer parti de ces vulnérabilités.

    Il existe deux types de Plugins de sécurité WordPress :

    • Renforcement et analyse de la sécurité.
    • Pare-feu.
  • Renforcement et analyse de la sécurité.
  • Pare-feu.
  • Voici quelques outils que je recommanderais.

    Sucuri Security

    Sucuri est un choix fiable pour un plugin de sécurité. Il appartient à GoDaddy.

    Sucuri

    Sucuri analyse un site à la recherche de logiciels malveillants et offre des options pour renforcer le site contre les exploits.

    Choisir Sucuri est facile car il complète un plugin de pare-feu, tel que Wordfence .

    La version payante comprend également un pare-feu.

    Jetpack Protect

    Jetpack Protect est créé par Automattic, la société derrière WordPress.com, Akismet, WPScan et WooCommerce, entre autres.

    Jetpack Protect

    Jetpack Protect effectue une analyse quotidienne des logiciels malveillants du noyau, des plugins et des thèmes WordPress.

    Ce plugin gratuit est relativement nouveau - il a été transformé en un plugin autonome en 2022.

    Wordfence Security - Pare-feu, analyse des logiciels malveillants et sécurité de connexion

    Wordfence est un choix populaire pour la sécurité de WordPress. Il y a plus de 4 millions d'installations actives.

    Wordfence

    Wordfence agit comme un pare-feu pour protéger un site Web contre les attaques de piratage et peut interdire les robots de piratage automatisés et les pirates réels en temps réel si l'activité correspond au modèle d'un pirate.< /p>

    Les utilisateurs peuvent configurer le pare-feu Wordfence avec des règles qui peuvent immédiatement bloquer les pirates.

    Wordfence aide également à renforcer un site contre le piratage en fournissant une authentification à deux facteurs et en désactivant l'exécution de PHP dans les dossiers où PHP ne devrait pas s'exécuter.

    Un autre avantage de Wordfence est que le plugin envoie des rappels par e-mail lorsqu'un plugin a besoin d'une mise à jour.

    La version payante de Wordfence reçoit des règles de pare-feu pour se protéger contre les derniers exploits dès que Wordfence en a connaissance.

    • Lire  : 2 façons d'écraser les grattoirs et amp ; Hackers avec Wordfence
  • Lire  : 2 façons d'écraser les grattoirs et amp ; Hackers avec Wordfence
  • Lire

    Sécurité iThemes

    iThemes Security est un plugin tout-en-un qui analyse et renforce un site Web en tant que ainsi que bloque les mauvais bots en tant que pare-feu. Il y a plus d'un million d'installations actives.

    iThemes Security

    iThemes gère de nombreuses activités liées à la sécurité, ce qui en fait un choix populaire pour ceux qui préfèrent un plugin pour tout faire.

    Prenez WordPress supplémentaire Étapes de sécurité

    Ce sont les étapes supplémentaires pour créer une posture de sécurité solide.

    Vérifiez votre version de PHP

    PHP est le logiciel sur lequel WordPress s'exécute.

    Les versions obsolètes de PHP peuvent exposer un site à des failles de sécurité.

    Assurez-vous que la version PHP utilisée n'a pas atteint l'état de fin de vie (EOL).

    Recherchez les vulnérabilités en ligne

    Voici trois outils en ligne qui recherchent les vulnérabilités ou indiquent si un site a été piraté :

  • Sucuri Malware and Security Checker : analyse un site Web pour vérifier les vulnérabilités.
  • Sucuri Malware and Security Checker
  • Site de navigation sécurisée de Google État : indique si Google a rencontré une vulnérabilité sur un site Web.
  • Site de navigation sécurisée de Google État
  • JavaScript Vulnerability Scanner : teste si un site utilise du JavaScript vulnérable.
  • JavaScript Vulnerability Scanner

    L'avenir de la sécurité WordPress

    Les pirates attaquent tous les sites, indépendamment de ce système de gestion de contenu (CMS) est utilisé.

    WordPress est le CMS le plus populaire dans le monde, ce qui en fait une cible populaire pour les pirates.

    Heureusement, WordPress dispose d'une communauté massive qui travaille à sa sécurité, ce qui est un avantage que les autres plates-formes n'ont pas.

    Tous les propriétaires de sites Web WordPress devraient envisager de prendre le temps de s'assurer que des mesures sont en place pour assurer la sécurité totale de leurs sites WordPress.

    Plus de ressources :

    Plus de ressources :
    • Conseils pour augmenter la sécurité du site Web après une attaque russe
    • 7 conseils pour empêcher les pop-ups de nuire à votre référencement
    •  HTTP ou HTTPS ? Pourquoi avez-vous besoin d'un site sécurisé ?
  • Conseils pour augmenter la sécurité du site Web après une attaque russe
  • 7 conseils pour empêcher les pop-ups de nuire à votre référencement
  •  HTTP ou HTTPS ? Pourquoi avez-vous besoin d'un site sécurisé ?
  • Image sélectionnée : Shutterstock/fizkes

    Image sélectionnée : Shutterstock/fizkes