5 façons de sécuriser un site Web WordPress contre les pirates

WordPress est un système de gestion de contenu (CMS) populaire qui reçoit constamment des mises à jour de sécurité. Cependant, il reste vulnérable aux attaques de piratage. Que vous ayez un site de commerce électronique ou un blog, il est important d'apprendre comment sécuriser un site Web WordPress contre les pirates.

La bonne nouvelle est que vous n’avez pas besoin d’embaucher un expert en sécurité pour cette tâche. En prenant quelques précautions et en utilisant les bons outils, vous pouvez empêcher les pirates informatiques d’accéder à votre site Web et de voler vos données. ️

Attaques de piratage WordPress courantes

WordPress alimente 43 % des sites sur le Web, ce qui en fait une cible populaire parmi les pirates informatiques ^[1] .

‍ Certaines des attaques les plus courantes incluent :

• Scripts intersites (XXS) . C'est à ce moment-là que les pirates informatiques sont capables d'insérer du code malveillant dans le site, car le site Web en question ne valide pas ou ne nettoie pas correctement les entrées de l'utilisateur. Les attaques XXS ciblent généralement les sites qui acceptent le contenu généré par les utilisateurs via des forums, des sections de commentaires et des formulaires.
• Attaques par force brute . Les pirates peuvent essayer de pénétrer dans votre site en générant plusieurs combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce qu'ils trouvent les bonnes informations de connexion. La plupart d’entre eux utilisent des logiciels ou des scripts spécialisés pour automatiser les attaques par force brute.
• Attaques par injection en langage de requête structuré (SQL) . Les acteurs malveillants peuvent exploiter les vulnérabilités d'un site Web (ou des plugins qu'il utilise) pour insérer des commandes SQL nuisibles. Ils le font pour accéder à la base de données du site Web et voler des informations sensibles, telles que les détails de la carte de crédit.

Certains sites WordPress sont plus vulnérables que d’autres. Par exemple, si vous avez beaucoup de plugins sur votre site Web, cela offre davantage de points d’entrée potentiels pour les pirates.

De plus, si vous possédez une boutique en ligne, votre site Web pourrait être une cible plus attrayante qu’un blog personnel. En effet, de nombreux pirates informatiques recherchent des données sensibles telles que les numéros de carte de crédit et les identifiants de connexion.

Comment sécuriser un site Web WordPress contre les pirates (5 stratégies)

Une attaque de piratage informatique peut avoir des effets dévastateurs sur votre entreprise. Par conséquent, il est important que vous appreniez à sécuriser un site Web WordPress contre les pirates.

Heureusement, il n'est pas si difficile de protéger votre site. Examinons quelques précautions efficaces.

1. Activer l'authentification à deux facteurs
2. Changer l'URL de connexion WordPress
3. Limiter les tentatives de connexion
4. Assurez-vous que le noyau, les plugins et les thèmes sont toujours à jour
5. Choisissez un hébergeur sécurisé

1. Activer l'authentification à deux facteurs ‍

L'authentification à deux facteurs (2FA) est une procédure de sécurité utilisée sur de nombreux sites Web dotés de comptes d'utilisateurs. Une fois que vous avez saisi votre nom d'utilisateur et votre mot de passe, un site peut vous demander de saisir le code qui a été envoyé sur votre téléphone mobile ou votre adresse e-mail :

Cela ajoute une couche de sécurité supplémentaire, rendant encore plus difficile pour les pirates informatiques de mener à bien une attaque par force brute. En effet, deviner le nom d'utilisateur et le mot de passe ne suffirait pas pour accéder à un site.

En tant que propriétaire de site Web, vous pouvez ajouter 2FA à la page de connexion WordPress. Si vous utilisez un plugin comme WP 2FA, vous pouvez même l'appliquer aux autres utilisateurs de votre site Web, tels que les éditeurs et les auteurs :

Les utilisateurs peuvent choisir de recevoir un code à usage unique sur leur adresse e-mail personnelle ou de générer le code avec l'application de leur choix (telle que Google Authenticator ou Authy).

De plus, le plugin s'intègre à WooCommerce et à d'autres outils de commerce électronique et d'adhésion, vous pouvez donc également configurer 2FA pour vos clients et membres.

2. Modifiez l'URL de connexion WordPress ️

Une autre façon de prévenir les attaques par force brute consiste à modifier l’URL de connexion WordPress de votre site. Par défaut, l'utilisateur peut accéder au tableau de bord WordPress en ajoutant /login/, /admin/ ou /wp-login.php à l'URL du site. Cependant, cela permet aux pirates de trouver facilement votre page de connexion.

Vous pouvez modifier l'URL de connexion WordPress avec un plugin comme WPS Hide Login :

Cet outil vous permet de créer une URL de connexion personnalisée, en utilisant des lettres et des caractères aléatoires pour la rendre difficile à deviner. N'oubliez pas de mettre la page de connexion dans vos favoris ou de noter la nouvelle URL !

3. Limiter les tentatives de connexion

Comme mentionné précédemment, les pirates essaieront une multitude de combinaisons de mots de passe et de noms d’utilisateur pour pénétrer dans votre site. Vous pouvez arrêter les attaques par force brute en limitant le nombre de tentatives de connexion qu'un utilisateur peut effectuer.

Par exemple, vous pouvez autoriser uniquement deux tentatives de connexion infructueuses. Après cela, les utilisateurs seront exclus de la zone d'administration (ne vous inquiétez pas, les utilisateurs authentiques pourront réinitialiser leur mot de passe).

Limit Login Attempts Reloaded vous permet de limiter les tentatives de connexion sur l'écran de connexion par défaut de WordPress, ainsi que sur WooCommerce et toute page de connexion personnalisée sur votre site :

Le plugin empêchera une adresse IP et un nom d'utilisateur d'effectuer d'autres tentatives de connexion après qu'un nombre spécifié de tentatives ait été atteint. Par mesure de sécurité, vous souhaiterez peut-être limiter le nombre de tentatives de connexion à trois par utilisateur.

4. Assurez-vous que le noyau, les plugins et les thèmes sont toujours à jour ️

Les pirates peuvent accéder à votre site via une vulnérabilité dans un plugin ou un thème. Pour cette raison, les développeurs publient régulièrement des correctifs de sécurité pour leurs plugins et thèmes.

Cela signifie qu'il est très important que vous mettiez à jour vos plugins et thèmes dès qu'une nouvelle version est disponible. Il en va de même pour le logiciel WordPress, qui constitue un autre élément essentiel de la manière de sécuriser un site Web WordPress contre les pirates.

Vous pouvez vérifier les mises à jour de votre site en accédant à Dashboard > Updates . Ici, vous verrez tous les logiciels nécessitant une mise à jour :

Vous souhaiterez consulter cette page régulièrement pour assurer la sécurité de votre site. Alternativement, vous pouvez configurer des mises à jour automatiques. Pour ce faire, accédez simplement à la page Plugins et cliquez sur l'option Activer les mises à jour automatiques à côté du plugin :

Vous pouvez faire la même chose pour les thèmes.

Notez que les mises à jour mineures de WordPress sont généralement effectuées automatiquement par défaut sur la plupart des installations. Les mises à jour mineures se concentrent sur les mises à jour de sécurité et de maintenance et sont signalées par deux points – par exemple, WordPress 5.6.1 ou 5.5.3.

Cependant, des mises à jour majeures devront peut-être être lancées manuellement. Ce n'est pas un problème car vous pouvez attendre pour appliquer les mises à jour majeures du noyau. En effet, les mises à jour majeures se concentrent exclusivement sur l'ajout de nouvelles fonctionnalités plutôt que sur la création de correctifs de sécurité. Les mises à jour majeures n'ont qu'un seul point – par exemple WordPress 5.6 ou WordPress 5.5.

5. Choisissez un hébergeur sécurisé ️️

Si vous recherchez d'autres moyens de sécuriser un site Web WordPress contre les pirates informatiques, vous pouvez migrer vers un fournisseur d'hébergement plus fiable. Un bon hébergeur doit mettre en place plusieurs mesures de sécurité pour protéger ses clients.

Par exemple, ils doivent surveiller leurs serveurs pour détecter toute activité suspecte et mettre régulièrement à jour leurs logiciels et leur matériel. Si vous optez pour un plan d'hébergement WordPress géré, votre hébergeur effectuera probablement des sauvegardes quotidiennes et analysera votre site à la recherche de logiciels malveillants.

Si vous disposez d'un plan d'hébergement partagé, votre site partage les ressources du serveur avec de nombreux autres sites Web. Cela signifie qu'une faille de sécurité sur un autre site Web pourrait également avoir un impact sur votre site si votre hébergeur n'isole pas correctement les différents comptes.

Par conséquent, vous voudrez peut-être envisager de passer à un service plus sécurisé, comme un hébergement dédié ou un serveur privé virtuel (VPS). De cette façon, votre site est hébergé dans un environnement isolé et est moins susceptible d'être affecté par des problèmes de sécurité sur des sites Web tiers.

Sécurisez votre site WordPress aujourd'hui ️

Ils pourraient également accéder à ces données en effectuant des attaques par force brute.

Pour récapituler, voici comment sécuriser un site WordPress contre les pirates :

Pour des conseils plus généraux, vous pouvez consulter notre collection complète de conseils de sécurité WordPress.

Avez-vous des questions sur la façon de sécuriser un site Web WordPress contre les pirates ? Faites-nous savoir dans la section commentaires ci-dessous!