Un guide complet sur la façon de sécuriser votre site WordPress.

Publié: 2018-10-16
La plupart des gens, lorsqu'ils commencent à concevoir et à développer leur site Web, sont principalement soucieux de faire en sorte que les choses fonctionnent comme ils le souhaitent et que le site soit beau. La sécurité de WordPress n'est pas l'une de leurs principales préoccupations.

C'est drôle parce que presque tout le monde a entendu parler ou lu sur le piratage, mais quand il s'agit de nos sites, nous nous attendons à ce que cela ne nous arrive pas. Parce que pourquoi un hacker serait-il intéressé par une petite partie de nos affaires locales, n'est-ce pas ? Mauvais. La sécurité de WordPress est très importante et, par conséquent, votre site Web WordPress doit être correctement sécurisé et sécurisé. Regardons les raisons pour lesquelles!

Pourquoi et comment un hacker pirate-t-il votre site ?

Il est important de comprendre le raisonnement derrière un piratage de site Web avant de discuter des moyens de l'empêcher de se produire. Il peut y avoir plusieurs raisons pour lesquelles un pirate serait intéressé par votre site Web, même s'il s'agit d'un site de petite entreprise ou même d'un blog personnel.

Les deux principales raisons pour lesquelles un site est piraté sont - Premièrement, pour des raisons politiques telles que la défiguration de sites Web pour mettre en avant et distribuer du contenu qui soutient une idéologie ou un groupe particulier.

L'autre vise à gagner de l'argent par des moyens frauduleux. Comment cela fonctionne, le site Web piraté est utilisé comme intermédiaire pour distribuer des logiciels malveillants, et dans la plupart des cas, le propriétaire du site ne le sait même pas.

Il s'agit du marché noir en ligne qui opère via des sites piratés. Votre site Web a le potentiel de devenir une partie impliquée dans une activité criminelle !

Les autres répercussions négatives en plus de celles-ci sont :

  • Un site Web piraté et dégradé ternira la réputation de votre marque et causera également de graves embarras.
  • Les sites piratés sont généralement bloqués par le serveur d'hébergement, ce qui entraîne une perte d'activité.
  • Votre site, s'il est coupé, peut être utilisé comme proxy de spam.
  • Le coût de récupération peut être très élevé si votre site Web n'est pas sauvegardé.

Maintenant que nous avons brièvement établi pourquoi votre site peut être piraté, voyons comment un pirate trouverait et ciblerait votre site particulier parmi les millions disponibles en ligne.

Il doit être hautement improbable qu'un pirate cible votre site, n'est-ce pas ? Après tout, ce n'est qu'une goutte d'eau dans l'océan des sites Web. Eh bien, désolé d'éclater votre bulle, mais c'est faux !

Le piratage ne se fait pas manuellement. Les pirates utilisent des robots/programmes dont la seule fonction est de rechercher des sites Web vulnérables. Ces programmes s'exécutent généralement sur des serveurs cloud, où ils sont configurés et détruits selon les besoins, laissant peu ou pas de traces. Ils sont conçus pour découvrir des milliers de sites Web chaque heure. En trouvant un site, il est recherché des vulnérabilités, qui sont continuellement trouvées dans WordPress et ses plugins. Ils peuvent également être dus à des erreurs humaines telles que l'utilisation de mots de passe faciles à deviner ou un hébergement peu fiable ou non fiable.

Sécuriser votre site WordPress n'est donc pas une option mais une nécessité et nous sommes là pour vous aider tout au long du processus !

Votre guide pour sécuriser WordPress

À la fin de la longue liste de mesures de sécurité qui suivent, vous serez équipé pour que votre site Web WordPress soit entièrement garanti. Lorsqu'il s'agit de sécuriser des sites Web, des mesures primaires spécifiques doivent être prises par tout le monde.

Ce sont des choses non négligeables et pour la plupart simples qui iront loin et garderont votre WordPress raisonnablement sécurisé. Ensuite, il existe un autre ensemble de mesures pour ceux d'entre vous qui sont très paranoïaques quant à la sécurité de votre site Web et qui n'hésitent pas à faire un effort supplémentaire pour le garder extrêmement sécurisé.

Parlons d'abord du premier ensemble de mesures, c'est-à-dire des tâches de sécurité nécessaires que tous les propriétaires de sites Web doivent effectuer :

Modifier le nom d'utilisateur par défaut

L'un des moyens les plus simples et les plus rapides de sécuriser votre WordPress est de changer le nom d'utilisateur par défaut "Admin" en quelque chose qui n'est pas facile à deviner. Idéalement, vous devriez changer votre nom d'utilisateur d'administrateur lors de l'installation de WordPress lui-même, mais si vous ne l'avez pas fait, vous pouvez soit le renommer en utilisant phpMyAdmin, soit en exécutant un script Standardized Query Language sur votre base de données.

Quoi qu'il en soit, ce simple hack de sécurité WordPress aidera votre site Web à éviter de nombreuses tentatives de piratage aléatoires.

Utilisez un mot de passe fort et ne le réutilisez pas sur différentes plateformes

Les pirates savent que nous, en tant qu'êtres humains, essayons de garder des mots de passe sécurisés et identiques car nous avons tendance à les oublier. Les pirates savent comment en tirer parti, et ils ont généralement une liste des mots de passe les plus couramment utilisés qu'ils essaieront encore et encore jusqu'à ce qu'ils trouvent celui-là. Cette technique s'appelle forcer brutalement un mot de passe. Garder un mot de passe sécurisé et complexe est donc une étape simple vers la sécurisation de votre WordPress.

Une autre chose à garder à l'esprit est de ne jamais réutiliser les mots de passe. La réutilisation des mots de passe permet aux pirates d'accéder à tout le reste de vos comptes si même l'un d'entre eux est compromis. Oui, il peut être gênant et gênant pour vous de vous souvenir de tant de mots de passe différents et complexes, mais pour vous aider, de nombreux gestionnaires de mots de passe sur le marché vous aident à stocker et à protéger vos mots de passe. Nous vous suggérons de les utiliser.

Exécutez toujours la dernière version de WordPress

Il est essentiel de maintenir votre WordPress à jour car, à chaque mise à jour principale, WordPress corrige ses problèmes de sécurité récemment découverts. Souvent, les gens désactivent les mises à jour principales de WordPress car la dernière version peut ne pas être compatible avec certains plugins. La chose essentielle à retenir est qu'un site Web piraté est beaucoup plus problématique qu'un plugin temporairement cassé.

Ne modifiez pas le noyau de WordPress

L'édition des fichiers source principaux de WordPress est une idée terrible car elle enlève la facilité de mettre à jour automatiquement votre WordPress vers la dernière version, dont nous avons discuté de l'importance au point précédent. Si vous avez changé le noyau de WordPress, une mise à jour vers la version la plus récente vous fera perdre ces modifications.

Alors, que devez-vous faire si vous souhaitez modifier les fonctionnalités de WordPress ?

Écrire un plugin est la réponse. Il vous donne la liberté de faire ce que vous voulez sans avoir à faire de compromis sur le cœur de WordPress.

Il en va de même pour les thèmes et les plugins. Toute tentative d'ajustement du noyau entraînera une perte de capacité à mettre à jour vers la dernière version. Dans l'ensemble, il existe toujours d'autres façons d'obtenir la fonctionnalité que vous désirez et changer le noyau n'est pas la voie à suivre.

Assurez-vous que tous vos plugins et thèmes sont mis à jour

La raison derrière la nécessité de mettre à jour vos plugins et vos idées est la même que celle derrière la mise à jour de votre WordPress. Il est de votre responsabilité de les maintenir à jour avec la dernière version, que vous le fassiez manuellement ou automatiquement, pour protéger votre site contre les attaques de piratage.

Si vous utilisez des plugins téléchargés depuis WordPress.org, vous pouvez activer les mises à jour automatiques en arrière-plan, et pour toute autre mise à jour de plugin commerciale, vous devrez la gérer via leur mécanisme de plugin. Assurez-vous également de toujours garder vos abonnements au plugin actifs pour obtenir les dernières mises à jour.

Désormais, lorsqu'il s'agit de mettre à jour vos thèmes , vous pouvez vous inquiéter de ce qu'il adviendra de toutes les modifications que vous avez apportées à votre thème lorsque vous effectuez une mise à jour. Ce que vous devriez faire lorsque vous apportez des modifications aux thèmes, c'est de le faire via des "thèmes enfants" plutôt que d'apporter des modifications directement au thème réel.

Lorsque vous faites cela, vous pouvez facilement mettre à jour vos thèmes vers la dernière version sans perdre les modifications que vous avez apportées jusqu'à présent. Pour vérifier quels thèmes nécessitent des mises à jour, allez dans "Apparence" puis "Thèmes" dans votre WordPress. Vous pouvez également activer les mises à jour automatiques en arrière-plan de la même manière que pour les plugins.

Téléchargez toujours les plugins, les thèmes et les scripts uniquement à partir de leur source officielle

Il peut être tentant d'acquérir des thèmes et des plugins à partir de sources non officielles pour un meilleur prix ou gratuitement, mais ce n'est pas une bonne idée de le faire. En effet, bon nombre de ces thèmes et plugins piratés sont modifiés à tort par des pirates pour leur servir de porte dérobée leur permettant de mener à bien leurs plans pervers.

Vous devez toujours compter sur des sites sûrs pour trouver des plugins et des thèmes de qualité afin de vous assurer que votre WordPress est sécurisé. Le plus courant d'entre eux est WordPress.org. D'autres sites fiables sont WordPress.com, ThemeForest.net, CodeCanyon.net, etc.

Votre site doit toujours exécuter la dernière version de PHP

PHP est le moteur sous-jacent de WordPress, et il propose de nombreuses mises à jour de version.

Mais selon la page Global WordPress Statistics, près de 80 % des installations de WordPress tournent sur des versions de PHP qui ne sont plus supportées ! C'est une source de préoccupation car premièrement, votre site Web ne bénéficie pas des fonctionnalités de performance fournies avec les dernières versions et cela conduit également à ne pas corriger les problèmes de sécurité qui ont été trouvés dans la version précédente.

C'est pourquoi il est essentiel de s'assurer que votre site utilise la dernière version de PHP.

Lors de la mise à jour du noyau WordPress, les plugins et les thèmes sont une tâche assez claire. Les mises à jour de version de PHP dépendent principalement de votre serveur d'hébergement. C'est une des raisons pour lesquelles il est primordial de choisir un serveur d'hébergement sécurisé . Il mettra à votre disposition les dernières versions de PHP avec votre installation WordPress. Un service d'hébergement WordPress sécurisé aura également une équipe proactive dont le travail consiste à vérifier les dernières vulnérabilités auxquelles votre site est exposé et à prendre des mesures pour les atténuer.

Mettez à jour votre site uniquement via des réseaux de confiance

Qui n'aime pas utiliser le Wifi gratuit dans des endroits comme l'aéroport ou même un café local, n'est-ce pas ? Mais gardez à l'esprit que ces connexions Wifi ouvertes sont faciles à espionner. Vous devez éviter d'accéder à votre site d'administration WordPress via un tel réseau. Et surtout lorsqu'il s'agit de mettre à jour votre site Web, utilisez toujours des systèmes fiables comme celui de votre domicile ou de votre bureau.

Utiliser un antivirus

S'il y a un virus sur votre bureau, il peut se propager rapidement en se reproduisant sur votre site Web. Il s'agit d'un schéma généralement utilisé par les virus pour infecter votre site. Il peut alors espionner et accéder à vos mots de passe ou même à vos coordonnées bancaires et personnelles. C'est pourquoi vous devez vous assurer que votre poste de travail utilise un antivirus fiable et à jour.

Sécurisez votre site en utilisant les plugins de sécurité WordPress

Un plugin de sécurité vous permet de savoir à quelles vulnérabilités votre site est exposé et vous donne des conseils sur la façon de les corriger. L'utilisation d'un plugin est un moyen simple mais sûr de sécuriser votre site WordPress, et cela ne demande que très peu ou pas d'effort de votre part. Ils exécutent des analyses et vous donnent un examen détaillé de tous les problèmes détectés sur votre site Web.

Certains plugins de sécurité de confiance sont Total Security, Vulnerable Plugin Checker, iThemes Security Pro et Plugin Inspector.

Gardez votre site sauvegardé

Si toutes les mesures ci-dessus échouent et que la sécurité de votre site est toujours compromise, cette étape est ce qui vous sauvera.

Il est essentiel de créer et de planifier des sauvegardes pour votre site. Ces sauvegardes planifiées sont un élément indispensable de la politique de sécurité d'un site car elles garantissent que si votre site est compromis, il sera facilement restauré à une version antérieure aux dommages.

Pas seulement en cas de piratage, mais aussi en cas d'accident ou d'erreur technique, le fait d'avoir des sauvegardes vous permet de récupérer votre site et de le faire fonctionner à nouveau en un rien de temps.

La liste de nos principales mesures de sécurité essentielles se termine ici !

Nous avons maintenant atteint la deuxième partie où nous discuterons des conseils de sécurité WordPress pour nos fanatiques de la sécurité. Ceci est destiné aux administrateurs qui souhaitent différentes couches de protection pour leur site Web.  

Assurez-vous d'avoir défini les clés d'authentification secrètes de WordPress

Vous trouverez 8 clés de sécurité et d'authentification WordPress dans votre wp-config.php. Ce ne sont que des variables arbitraires qui rendent plus difficile la déduction de vos mots de passe WordPress en ajoutant un élément aléatoire à la façon dont ils sont stockés dans la base de données.

Voyons comment vous pouvez l'utiliser.

  • Tout d'abord, utilisez le générateur aléatoire WordPress pour générer un ensemble de clés.
  • Ensuite, modifiez votre fichier wp.config. Vous trouverez un emplacement pour ajouter les clés uniques générées à l'étape précédente dans la section "Clés uniques d'authentification".

Vous n'êtes pas censé partager ou rendre ces clés publiques.

Limiter les tentatives de connexion

Nous avons déjà parlé de la force brute et de la façon dont les pirates l'utilisent pour découvrir votre mot de passe. La mise en place d'un mécanisme pour limiter les tentatives de connexion est essentielle pour cette raison même.

Heureusement, il existe un plugin qui le fait pour vous. Le plug-in "Limit Login WordPress" détecte de nombreuses tentatives de mot de passe erronées et désactive les tentatives ultérieures pendant une durée spécifique, ce qui entraîne des efforts de force brute infructueux et améliore la sécurité de votre site.

Activer l'authentification à deux facteurs

L'authentification à deux facteurs ou 2FA est un moyen extrêmement efficace de sécuriser votre connexion WordPress. Lors de l'activation de 2FA, chaque fois que vous vous connectez à votre administrateur WordPress, vous aurez besoin d'un jeton de sécurité basé sur le temps (unique pour chaque utilisateur) en plus de votre mot de passe habituel. Ce jeton de sécurité expire dans un court laps de temps, qui est généralement de 60 secondes.

Il est donc extrêmement difficile pour quiconque d'accéder à votre connexion, même s'il dispose de vos identifiants de connexion (car il n'aura pas le jeton de sécurité actuel).

L'activation de 2FA est donc un moyen à toute épreuve de renforcer votre connexion et d'échapper aux attaques par force brute sur vos informations de connexion.

Désactiver l'exécution de PHP

Lorsque les pirates accèdent à votre site, l'une des premières choses qu'ils font est d'exécuter PHP à partir d'un répertoire. Une chose intelligente à faire est de désactiver complètement cela. Ensuite, même si une vulnérabilité était présente sur votre site Web WordPress, cette protection briserait de manière proactive le reste des efforts d'un pirate informatique pour entraver votre site.

C'est une étape importante vers la sécurité de WordPress et peut entraîner la rupture de certains thèmes et plugins qui peuvent en avoir besoin, mais il est toujours conseillé de l'implémenter dans les répertoires les plus risqués wp-includes et uploads.

Vous pouvez implémenter cette protection via votre fichier .htaccess en y ajoutant le code suivant :

  • <Fichiers *.php>
  • Commander Autoriser, Refuser
  • Refuser de tout
  • </Fichiers>

Désactiver l'édition de fichiers

Nous manipulons généralement des plugins et des fichiers de thèmes alors que nous en sommes encore aux premières étapes de la création d'un site Web, car par défaut, les administrateurs WordPress sont autorisés à modifier les fichiers PHP. Cependant, une fois notre site Web développé, nous n'utiliserons que très peu cette option d'édition.

Il est donc conseillé de désactiver l'édition de fichiers pour les administrateurs WordPress une fois que le site Web est opérationnel. En effet, même si un pirate parvient à se connecter à votre site, il sera dépourvu de privilèges d'édition et ne pourra pas modifier les fichiers pour exécuter ses stratagèmes malveillants. Pour désactiver l'édition de fichier, insérez la commande suivante dans le fichier wp-config.php : define('DISALLOW_FILE_EDIT', true);

Séparez vos bases de données WordPress

Si vous créez tous vos sites dans la même base de données et que même l'un d'entre eux est compromis, tous les autres sites WordPress hébergés sur la même base de données courent également une énorme menace de piratage. Lors de l'installation de votre WordPress, vous devez toujours créer une nouvelle base de données et lui attribuer un nom de base de données, une base de données et un mot de passe distincts. Assurez-vous qu'ils sont différents de tous les autres sites ou connexions que vous utilisez.

Cela signifie que si l'un de vos sites est piraté, l'infection cessera de se propager à vos autres sites, même sur le même compte d'hébergement partagé.

S'il n'est pas utilisé, désactivez XML-RPC

Une application peut accéder à votre WordPress via ce qu'on appelle une API (Application Programming Interface). Pour vous l'expliquer en termes simples, un exemple de XML-RPC utilise votre application téléphonique pour mettre à jour votre site. Il existe également des plugins spécifiques qui utilisent la fonctionnalité XML-RPC.

Cependant, si vous n'utilisez aucune application tierce et êtes sûr qu'aucun de vos plugins WordPress n'utilise votre site Web via XML-RPC, il est sage de le désactiver car XML-RPC peut être utilisé comme un outil pour pirater votre site Web. placer.

Sécurisez votre fichier wp-config.php

Le fichier wp-config.php est l'une des données les plus critiques qui stocke de nombreux paramètres de configuration nécessaires tels que les informations de connexion à votre base de données, les sels de mot de passe de hachage, etc. Vous ne voudriez pas que quiconque s'immisce ici, et donc, mesures de sécurité pour sauvegarder ce fichier de configuration critique de WordPress doit être pris.

Si vous n'avez pas désactivé PHP Execution (discuté au point 15), ajoutez cette commande à vos fichiers .htaccess :

  • <fichiers wp-config.php>
  • ordonner autoriser, refuser
  • refuser de tous
  • </fichiers>

Installer le pare-feu

Pour rester très simple, Software Fireballs empêche les objets d'entrer ou les empêche de sortir. Dans ce cas, ils aident à empêcher les pirates de s'approcher de votre site Web (ou de la partie de votre site Web). Vous devez utiliser un pare-feu d'application Web (WAF), et l'un des pare-feu les plus fiables et les plus open source généralement disponibles gratuitement avec les services d'hébergement WordPress est le pare-feu "ModSecurity".
Vous pouvez savoir si votre service d'hébergement le propose et si c'est le cas, vous pouvez en bénéficier et l'activer.

Idéalement, vous devriez également utiliser un pare-feu de réseau de diffusion de contenu (CDN) pour améliorer les performances de votre site en servant rapidement des ressources abondantes. Les CDN protègent également votre site Web contre de nombreux problèmes de sécurité WordPress.

Arrêter le rapport d'erreurs PHP

Le signalement d'erreurs est bénéfique au moment du développement d'un site Web car il vous informe des erreurs et vous permet de les corriger rapidement. Mais lorsque le rapport d'erreur est activé sur un site Web qui est opérationnel, il sert d'indices très importants pour les pirates et rend leur travail beaucoup plus confortable qu'il ne devrait l'être. Les rapports d'erreurs peuvent donner des informations vitales à quiconque les recherche.

Ainsi , la désactivation du rapport d'erreur PHP une fois le site en ligne garantit qu'au moins les risques de sécurité WordPress causés par la divulgation d'informations sensibles concernant votre site Web sont minimisés. Pour désactiver le rapport d'erreurs PHP, modifiez votre fichier php.ini comme indiqué ci-dessous :

  • rapport_erreur = 4339
  • display_errors=Désactivé
  • display_startup_errors=Désactivé
  • log_errors=Activé
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_repeated_errors=Activé
  • ignore_repeated_source=Désactivé
  • html_errors = Désactivé

Utilisez la journalisation de sécurité pour surveiller votre sécurité WordPress

Regarder vos journaux vous aide à découvrir quelles attaques se produisent sur votre site et vous permet de les arrêter. C'est un très bon moyen d'améliorer la sécurité de votre WordPress. Pour donner un exemple minimal, si vous découvrez que la majorité des tentatives de piratage proviennent d'une zone particulière, peut-être une zone à laquelle votre site Web ne répond pas, vous pouvez bloquer cette zone à l'aide de votre pare-feu. Il est conseillé d'utiliser un plugin d'audit de sécurité pour conserver des journaux d'audit réguliers.

C'est tout!

Avec cela, nous sommes arrivés à la fin de notre long guide complet pour sécuriser entièrement votre site WordPress. Il ne fait aucun doute que cette liste de contrôle aurait pu être un peu écrasante pour vous si vous n'aviez pas beaucoup réfléchi à la sécurité de votre site Web auparavant. Mais la bonne chose est que la plupart de ces étapes ne vous demanderont pas beaucoup d'efforts pour les exécuter, et au fil du temps, cela deviendra une partie intégrante de votre routine de maintenance WordPress. Pour être juste, la plupart d'entre vous ne suivront pas toutes les étapes mentionnées ci-dessus, et ce n'est pas grave. Mais plus vous prenez ces mesures de sécurité, plus votre site est sécurisé. Un petit effort supplémentaire de votre part ira loin !