3 façons de sécuriser votre site WordPress contre les attaques
Publié: 2017-12-27De nos jours, chaque site Web doit prendre la sécurité au sérieux. Cela est particulièrement vrai s'il utilise un système de gestion de contenu (CMS) tel que WordPress. Ce type de plateforme stocke généralement beaucoup d'informations sensibles, ce qui en fait une cible. Si quelqu'un pénètre par effraction dans votre site Web, vous devrez passer un temps précieux à comprendre comment il est entré et à réparer les dégâts.
La bonne nouvelle est que WordPress est très flexible lorsqu'il s'agit d'augmenter les mesures de sécurité de votre site Web. Par exemple, il existe plusieurs façons de protéger votre page de connexion contre les attaques et de la cacher aux personnes que vous ne connaissez pas. Avec quelques ajustements ici et là, votre site Web peut rapidement devenir une forteresse.
Dans cet article, nous allons discuter de l'importance de la sécurité WordPress. Ensuite, nous vous présenterons trois méthodes que vous pouvez utiliser pour rendre votre site Web plus sûr. Allons-y !
Pourquoi la sécurité WordPress est importante
Juste pour être clair, WordPress est déjà une plateforme très sécurisée prête à l'emploi. Cependant, c'est aussi un logiciel massif avec des millions d'utilisateurs et des milliers d'options de plugins et de thèmes. Avec tant de choses, il est naturel que certains utilisateurs finissent par avoir à faire face à des problèmes de sécurité. Dans la plupart des cas, vous pouvez retracer ces problèmes jusqu'à des informations d'identification facilement piratées, un échec de la mise à jour cohérente et d'autres erreurs de l'utilisateur.
D'un autre côté, vous serez beaucoup plus en sécurité si vous êtes le genre de personne qui reste à jour avec la dernière version de WordPress et surveille tous les plugins et thèmes que vous utilisez. Maintenir la sécurité de votre site peut sembler beaucoup de travail, mais être prudent est la meilleure chose à faire. Voici pourquoi:
- WordPress est une cible d'attaques. La popularité du système de gestion de contenu (CMS) en fait un favori des attaquants en ligne. Après tout, trouver une vulnérabilité dans un seul plugin ou thème peut les aider à accéder à des milliers de sites Web.
- Vous devez protéger les informations sensibles des utilisateurs. Même si vous ne traitez aucun numéro de carte de crédit via votre site Web, cela ne signifie pas que vous ne devez pas protéger la confidentialité de vos utilisateurs.
- Les pirates de l'air pourraient propager des logiciels malveillants via votre site Web. De nos jours, il est courant pour les attaquants d'utiliser des sites piratés pour diffuser des logiciels malveillants à leurs visiteurs. Inutile de dire que vous ne voulez pas que les appareils de vos utilisateurs soient infectés à cause de pratiques de sécurité laxistes de votre part.
Heureusement, vous pouvez faire beaucoup pour protéger votre site Web WordPress de manière préventive. Par exemple, utiliser un thème bien codé qui reçoit des mises à jour constantes est toujours une bonne idée. Notre propre thème Uncode a d'excellentes notes et fonctionnalités de sécurité, par exemple, et nous sommes toujours là pour répondre à toutes les questions que vous pourriez avoir sur la façon de protéger davantage votre site Web. Une fois que vous avez trié votre thème, vous pouvez prendre quelques autres mesures simples.
3 façons de sécuriser votre site WordPress contre les attaques
Dans cette section, nous vous apprendrons trois façons de sécuriser votre site Web WordPress contre les attaques, avec et sans plugins. Étant donné que vous apporterez des modifications assez importantes aux fonctionnalités de votre site Web, vous devez créer une sauvegarde avant de commencer. De cette façon, si quelque chose ne va pas (ce qui ne devrait pas être le cas !), vous pourrez restaurer votre site en quelques minutes et réessayer.
1. Utilisez l'authentification à deux facteurs (2FA)
Habituellement, tout ce qu'il faut pour se connecter à un site Web est votre nom d'utilisateur et votre mot de passe. Cependant, certains sites vont encore plus loin et vous demandent de saisir un code à usage unique envoyé à votre adresse e-mail ou à votre smartphone. C'est ce qu'on appelle l'authentification à deux facteurs (2FA). En utilisant cette méthode, même si quelqu'un obtient vos informations d'identification, il ne pourra toujours pas accéder à votre compte.
WordPress ne prend pas en charge 2FA prêt à l'emploi. Cependant, vous pouvez le mettre en œuvre en utilisant les bons outils. Il existe de nombreux excellents plugins 2FA disponibles, mais nous sommes friands de miniOrange Two Factor Authentication en raison de toutes les fonctionnalités qu'il offre :
Pour commencer avec cette technique, vous devez d'abord installer et activer le plugin. Ensuite, vous pourrez accéder à un nouvel onglet miniOrange 2-Factor depuis votre tableau de bord. La première fois que vous cliquerez dessus, vous devrez remplir quelques champs pour créer un compte miniOrange :
Ensuite, vous recevrez un code à usage unique par e-mail ou SMS, que vous pourrez utiliser pour activer le plugin.
Lorsque cela est fait, vous pouvez passer à l'onglet Configuration à deux facteurs en haut de l'écran et choisir les types de 2FA que vos visiteurs pourront utiliser. Pour offrir aux utilisateurs le plus d'options, nous vous recommandons d'utiliser la vérification par e-mail comme méthode par défaut :
Après avoir choisi les méthodes souhaitées, vous pouvez vous déconnecter. La prochaine fois que vous essaierez d'accéder à votre tableau de bord, vous verrez une option pour activer 2FA pour votre compte. Désormais, tous les utilisateurs de votre site pourront opter pour 2FA. Votre site WordPress en sera plus sûr !
2. Mettez sur liste blanche les adresses IP pouvant accéder à votre tableau de bord
Le tableau de bord WordPress est l'endroit où la plus grande partie de la magie se produit. En tant que tel, vous ne voulez pas que n'importe qui y ait accès. Seuls les membres de l'équipe de confiance doivent pouvoir accéder au tableau de bord de votre site et utiliser ses principales fonctionnalités.
Votre page de connexion est votre principale ligne de défense contre les intrusions indésirables. Cependant, les attaquants peuvent parfois accéder aux informations d'identification de l'un des membres de votre équipe. Si cela se produit, vous aurez besoin d'une deuxième ligne de défense pour les arrêter. C'est là qu'intervient votre fichier .htaccess .
Ce fichier vous permet de fournir des instructions spécifiques à votre serveur. Par exemple, vous pouvez lui dire de bloquer l'accès à votre tableau de bord pour toute personne dont l'adresse IP ne figure pas sur une liste pré-approuvée. Lorsque vous ajoutez une adresse IP à cette liste, vous la "mettez sur liste blanche". Cette méthode nécessite un peu de travail initial, mais elle peut transformer votre site Web en une forteresse.
Tout d'abord, vous devez connaître les adresses IP de tous vos collègues. Pour de meilleurs résultats, vous voudrez également vous assurer que ces adresses IP sont statiques. Les membres de l'équipe peuvent utiliser un site comme What is My IP pour connaître leurs adresses et contacter leurs fournisseurs d'accès Internet afin qu'ils puissent se voir attribuer une adresse statique s'ils n'en ont pas déjà.
Il est préférable d'éliminer ces tâches en premier, afin de pouvoir saisir toutes les adresses IP de la liste blanche en même temps. Lorsque vous avez la liste des adresses prête, vous devrez localiser et accéder au fichier .htaccess de votre site. Pour ce faire, nous vous recommandons d'utiliser le protocole de transfert de fichiers (FTP) et un outil tel que FileZilla.
Connectez-vous simplement à votre site Web à l'aide de vos informations d'identification FTP et accédez à votre dossier public_html . Ensuite, recherchez le fichier .htaccess dans :
Maintenant, faites un clic droit sur le fichier et choisissez l'option Afficher/Modifier . Cela ouvrira le fichier sur votre ordinateur en utilisant votre éditeur de texte par défaut. Il devrait déjà y avoir quelques lignes de code à l'intérieur, que vous ne voulez pas modifier. Au lieu de cela, faites défiler vers le bas du fichier et recherchez la ligne #END WordPress .
Vous devrez coller l'extrait de code suivant juste avant cette ligne :
<IfModule mod_rewrite.c>
RewriteEngine activé
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
Règle de réécriture ^(.*)$ - [R=403,L]
</IfModule>Ces cinq lignes de code indiquent à WordPress de vérifier l'adresse IP de toute personne essayant d'accéder à votre tableau de bord. Si leur adresse ne correspond pas à l'une de celles de votre liste blanche (il y en a deux dans l'exemple ci-dessus), ils obtiendront une erreur 403 :
Vous pouvez ajouter autant d'adresses que vous le souhaitez en utilisant le même format et bloquer également d'autres pages. Par exemple, si vous souhaitez bloquer votre page de connexion pour toute personne autre que celles figurant sur votre liste blanche, il vous suffit d'ajouter une ligne de code supplémentaire :
<IfModule mod_rewrite.c>
RewriteEngine activé
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OU]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
Règle de réécriture ^(.*)$ - [R=403,L]
</IfModule>Lorsque vous avez terminé d'apporter des modifications à .htaccess , enregistrez le fichier et fermez votre éditeur de texte. Vous devriez toujours pouvoir accéder à votre tableau de bord et à votre page de connexion comme d'habitude, à moins que vous n'ayez oublié de mettre votre propre adresse IP sur liste blanche !
3. Utilisez un plugin de sécurité WordPress complet
Si vous choisissez de ne prendre qu'une seule mesure pour protéger votre site Web WordPress, l'utilisation d'un plugin de sécurité peut vous permettre de tirer le meilleur parti. Il existe une tonne de plugins de sécurité populaires disponibles, et beaucoup sont capables de protéger votre site Web contre la plupart des types d'attaques.
L'un de nos favoris s'appelle All In One WP Security & Firewall. Il offre un large éventail de fonctionnalités et une interface conviviale :
Jusqu'à présent, nous avons beaucoup parlé de la sécurisation de vos pages de connexion et de tableau de bord WordPress. Ce plugin vous permet de faire les deux, en utilisant des fonctionnalités intégrées que vous pouvez activer en quelques clics. Par exemple, vous pouvez limiter le nombre de tentatives de connexion qu'une personne peut effectuer avant d'être temporairement bloquée sur le site. Cette fonctionnalité est disponible depuis l'onglet WP Security > User Login :
Vous pouvez également configurer le plug-in pour vous informer lorsque quelqu'un est verrouillé sur la page de connexion et bloquer complètement les adresses IP. All In One WP Security & Firewall comprend également un pare-feu complet, que vous pouvez configurer à partir de l'onglet WP Security > Firewall :
Dès que vous activez le plugin, votre premier geste devrait être de jeter un œil à sa documentation. Vous devrez apprendre à utiliser de nombreux paramètres, mais un cours intensif rapide devrait vous indiquer tout ce que vous devez savoir pour sécuriser votre site Web.
Enfin, Kinsta a de bonnes idées pour verrouiller votre site, consultez-le si vous avez besoin de plus de conseils sur la sécurité de WordPress.
Conclusion
La sécurité de WordPress est quelque chose dont vous voulez être proactif. Un petit effort consacré à la protection de votre site Web dès le début vous évitera beaucoup de maux de tête sur la route. Si vous avez de la chance, vous n'aurez jamais à faire face aux retombées d'intrusions indésirables sur votre site Web et vous pourrez plutôt vous concentrer sur son amélioration.
La bonne nouvelle est qu'il existe de nombreuses façons simples de sécuriser votre site Web. Encore une fois, voici trois de nos favoris :
- Utilisez 2FA sur votre page de connexion.
- Mettez en liste blanche les adresses IP des membres de votre équipe.
- Utilisez un plugin de sécurité WordPress complet.
Vous avez des questions sur la façon de protéger votre site WordPress ? Demandez dans la section des commentaires ci-dessous!