Comment sécuriser votre site Web WordPress : conseils de sécurité fonctionnels

Publié: 2021-11-30
logo wpmudev

20% de réduction sur WPMU Dev

Pour cet article, nous utiliserons l'hébergement et les outils WPMU DEV. Vous pouvez obtenir 20% de réduction sur WPMU DEV sur l'adhésion.

Coupon activé Lien

La sécurité de WordPress est un sujet énorme. Vous pouvez prendre plusieurs mesures pour sécuriser votre site WordPress et empêcher les pirates et les vulnérabilités d'endommager votre site de commerce électronique ou votre blog.

Bien que le logiciel de base de WordPress soit assez sécurisé et qu'il soit fréquemment examiné par des centaines d'ingénieurs, vous pouvez encore faire beaucoup pour assurer la sécurité de votre site.

Vous ne voulez pas vous réveiller un matin pour trouver votre site Web en désordre. Ainsi, aujourd'hui, nous couvrirons une variété de méthodes, de tactiques et d'approches que vous pouvez utiliser pour améliorer votre sécurité WordPress et rester en sécurité.

Pourquoi la sécurité du site Web est-elle importante ?

Tout site Web WordPress compromis peut nuire considérablement à votre trésorerie et à votre crédibilité. L'attaquant peut obtenir des données client, un mot de passe, injecter des programmes malveillants ou même infecter vos utilisateurs avec des logiciels malveillants.

Scénario terrible, les entreprises peuvent être amenées à dépenser des rançongiciels aux attaquants afin de récupérer l'accès au site Web. Selon Google, plus de 50 millions d'utilisateurs de sites Web ont été avertis qu'une page Web qu'ils visitent peut contenir des logiciels malveillants ou voler des données.

Il s'agit d'un site Web de statistiques en direct piraté en une journée.

sites piratés aujourd'hui
sites piratés aujourd'hui

De plus, chaque semaine, Google met sur liste noire environ 20 000 sites Web pour les logiciels malveillants et environ 50 000 sites Web pour le phishing. Si vous gérez une page d'entreprise, vous voudrez accorder de l'importance à la sécurité du site Web.

C'est en effet votre travail, en tant que propriétaire d'entreprise en ligne, de sécuriser le site Web de votre entreprise de la même manière qu'il est de votre responsabilité de protéger votre véritable magasin.

WordPress est-il une plateforme sécurisée ?

WordPress est-il sûr ?

C'est probablement la première question qui vous vient à l'esprit. Oui, pour la plupart.

WordPress est sûr tant que les propriétaires de sites Web prennent la sécurité au sérieux et adhèrent aux pratiques recommandées. L'utilisation de plugins et de thèmes sûrs, le maintien de processus de connexion responsables, l'utilisation de plugins de sécurité pour surveiller votre site et la mise à jour périodique sont toutes de bonnes pratiques.

WordPress, d'autre part, a la réputation d'être sujet aux failles de sécurité et donc de ne pas être une plate-forme sécurisée à utiliser pour une entreprise. La plupart du temps, cela est dû au fait que les utilisateurs continuent de suivre les pires pratiques de sécurité éprouvées par l'industrie.

comparaison des infections cms

Les pirates restent au top de leur jeu de cybercriminalité en utilisant d'anciens logiciels WordPress, des plugins annulés, une mauvaise administration du système, une gestion des informations d'identification et un manque d'expertise Web et de sécurité nécessaire parmi les utilisateurs WordPress non technophiles. Même les meilleures pratiques ne sont pas toujours suivies par les leaders de l'industrie. Parce qu'ils utilisaient une ancienne version de WordPress, Reuters a été piraté.

Cela ne veut pas dire que les vulnérabilités ne sont pas présentes. WordPress continue de dominer les sites Web infectés. Sucuri, une entreprise de sécurité multiplateforme, a travaillé dans une enquête du troisième trimestre 2017 (à 83 %). Il s'agit d'une augmentation par rapport au chiffre de 74 % de l'année précédente.

Avec WordPress alimentant plus de 42% de tous les sites Web sur Internet et des centaines de milliers de combinaisons de thèmes et de plugins parmi lesquelles choisir, il n'est pas surprenant que des vulnérabilités existent et soient continuellement identifiées. Cependant, il existe une forte communauté autour de la plateforme WordPress, qui veille à ce que ces problèmes soient résolus dans les meilleurs délais. À partir de 2021, l'équipe de sécurité de WordPress se compose d'environ 50 spécialistes, dont des développeurs principaux et des chercheurs en sécurité (contre 25 en 2017) ; environ la moitié sont des employés d'Automattic et quelques-uns travaillent dans le domaine de la sécurité Web.

Commencez avec un hébergement approprié

L'utilisation d'un hébergeur offrant plusieurs couches de sécurité est le moyen le plus simple de sécuriser votre site Web.

Économiser de l'argent sur l'hébergement de sites Web signifie que vous pouvez dépenser l'argent ailleurs au sein de votre organisation, il peut donc être tentant de vous inscrire auprès d'un fournisseur d'hébergement bon marché. Mais vous devriez résister à cette tentation.

Un hôte bon marché peut causer des maux de tête à l'avenir. Les données associées à votre URL pourraient être complètement supprimées et votre URL pourrait commencer à rediriger vers un autre endroit. Juste quelques exemples, il y a plusieurs autres raisons pour lesquelles vous devriez éviter de vous contenter d'un hébergement bon marché qui n'est pas digne de votre entreprise.

La sécurité supplémentaire fournie par un hébergeur de qualité est automatiquement attribuée à votre site Web si vous payez un peu plus. De plus, vous pouvez améliorer les performances de votre site WordPress en utilisant un bon service d'hébergement WordPress.

Créer une sauvegarde de site

Pour commencer, faites une sauvegarde de votre sauvegarde WordPress avant d'apporter des modifications à votre site Web.

Il existe de nombreux plugins de sauvegarde WordPress disponibles qui peuvent être utilisés pour atteindre le même objectif.

Il y en a des gratuits et des payants accessibles. cependant, seuls quelques-uns de ceux suggérés sont gratuits.

  • Courant ascendantPlus
  • BackWPup

Je suppose que vous avez installé et utilisé l'un des plugins WordPress de sauvegarde. Vous êtes maintenant prêt à passer à l'étape suivante.

Je recommande que les sauvegardes soient planifiées une fois que chaque article est publié. Après avoir apporté des modifications aux articles ou à la base de données du blog.

Créer des mots de passe forts

Vous pouvez faire beaucoup pour protéger votre site Web WordPress, mais peu de gens prêtent attention aux bases.

La création de mots de passe sécurisés est quelque chose que vous devriez faire pour tous vos sites de médias sociaux et comptes de messagerie.

De même, parce que les sites WordPress sont piratés comme tout le reste, il est essentiel d'adopter les mêmes précautions pour votre site WordPress. Peu importe la taille de votre blog. Tous piquent la curiosité des hackers. MDR!

Utiliser un mot de passe fort signifiait ne rien utiliser de personnel. Presque tout doit être évité, y compris votre nom, votre date de naissance, votre identifiant d'employé, le nom de votre petite amie et tout ce qui peut être deviné.

Il faut du temps pour déchiffrer un mot de passe

il est temps de casser le mot de passe
il est temps de casser le mot de passe

Avez-vous des problèmes pour trouver des idées de mots de passe créatifs ? Pour établir un mot de passe sûr, vous pouvez toujours utiliser n'importe quel outil de génération de mot de passe en ligne. J'utilise le générateur de mot de passe LastPass.

Modifier l'URL de connexion WP

"votresite.com/wp-admin" est l'URL par défaut pour se connecter à WordPress.

Si vous le laissez tel quel, vous risquez d'être victime d'un assaut par force brute visant à casser votre combinaison nom d'utilisateur/mot de passe.

Vous pouvez recevoir un grand nombre d'enregistrements de spam si vous autorisez les utilisateurs à s'inscrire pour des comptes d'abonnement. Modifiez l'URL de connexion de l'administrateur ou ajoutez une question de sécurité à la page d'inscription et de connexion pour éviter cela.

modifier l'url de connexion

Vous pouvez installer un plugin tel qu'une URL de connexion personnalisée ou WPS Hide Login pour modifier l'URL wp-login.

Changer le nom d'utilisateur WordPress

Lorsque vous créez un blog, vous avez le choix d'entrer un nom d'utilisateur, qui sera utilisé pour vous connecter à votre blog ou site Web.

La majorité des gens le laissent en « admin » par défaut et oublient de le changer par la suite.

Considérez à quel point il serait simple, même pour un pauvre hacker, de prédire cela. haha ! J'ai remarqué un sourire sur ton visage.

Vous devez le rendre unique et impossible à deviner. Si vous ne savez pas comment y parvenir, j'ai mis en place un tutoriel simple sur la modification de votre nom d'utilisateur WordPress.

Authentification à deux facteurs

Avez-vous déjà utilisé l'authentification à deux facteurs pour vos comptes Gmail ? Si vous le connaissez, vous avez probablement compris de quoi je parle.

L'authentification à deux facteurs est une technique simple pour protéger votre site WordPress contre les pirates.

Vous recevrez un OTP lors de la connexion si vous connectez votre blog à votre téléphone portable pour une authentification à deux facteurs. Vous pourrez vous connecter en saisissant ce numéro.

Cela porte la sécurité à un nouveau niveau et ajoute une autre couche au mélange. Une brève leçon sur l'authentification à deux facteurs WordPress peut être trouvée ici.

Protection par mot de passe de la page d'administration et de connexion de WordPress

Généralement, les pirates ont un accès illimité à votre dossier wp-admin et à votre page de connexion. Cela leur donne la possibilité de tester leurs compétences en piratage ou de lancer des attaques DDoS.

Côté serveur, vous pouvez implémenter une protection supplémentaire par mot de passe, qui arrêtera essentiellement ces demandes.

Suivez nos étapes étape par étape pour sécuriser votre WordPress wp-admin avec un mot de passe.

Limiter les tentatives de connexion

Dans WordPress, par défaut, les utilisateurs sont autorisés à essayer de se connecter autant de fois qu'ils le souhaitent. Si vous oubliez souvent quelles lettres sont en majuscules, cela peut aider, mais cela vous expose également à des attaques par force brute.

Vous pouvez limiter le nombre de tentatives de connexion jusqu'à ce que les utilisateurs soient temporairement bloqués. Cela réduit vos chances d'être attaqué par la force brute puisque le pirate est verrouillé avant que son attaque ne soit terminée.

En utilisant un plugin de tentatives de limitation de connexion WordPress, vous pouvez facilement activer cette fonctionnalité.

limiter les tentatives de connexion

En utilisant Paramètres > Tentatives de limite de connexion, vous pouvez modifier le nombre de tentatives de connexion une fois que vous avez installé le plugin.

Déconnectez les utilisateurs inactifs dans WordPress

Les utilisateurs connectés peuvent parfois s'éloigner de leurs écrans, ce qui présente un risque pour la sécurité. Quelqu'un peut prendre le contrôle de sa session, changer ses mots de passe et modifier son compte.

C'est pourquoi de nombreux sites Web bancaires et financiers verrouillent automatiquement les utilisateurs inactifs. Des fonctionnalités similaires peuvent également être implémentées sur votre site WordPress.

Le plugin Inactive Logout doit être installé et activé. Pour configurer les paramètres du plugin, cliquez sur Paramètres » Déconnexion inactive après l'activation.

Réglez la minuterie et un message de déconnexion et vous avez terminé. N'oubliez pas d'enregistrer vos modifications en cliquant sur le bouton Enregistrer les modifications.

Ajouter une question de sécurité dans l'écran de connexion WordPress

L'ajout d'une question de sécurité à votre écran de connexion WordPress rend l'accès non autorisé beaucoup plus difficile.

L'installation du plugin WP Security Questions vous permettra d'ajouter des questions de sécurité. Pour configurer les paramètres du plug-in, accédez à Paramètres »Questions de sécurité après son activation.

paramètres de question de sécurité wp

Consultez notre tutoriel sur la façon d'ajouter des questions de sécurité à WordPress pour plus d'informations.

Désactiver la navigation dans le répertoire

Une autre étape qu'un webmaster examine est la suivante. En ce qui concerne la sécurité des sites Web, c'est un fait peu connu.

Navigation dans l'annuaire

Cependant, si la navigation de votre répertoire racine est activée. Les fichiers tels que les thèmes, les plugins, les images et bien plus encore peuvent être consultés par un lecteur, un visiteur ou un pirate informatique.

Voici comment empêcher la navigation dans les répertoires dans WordPress à l'aide du fichier .htaccess.

Désactiver l'édition de fichiers

Dans votre tableau de bord WordPress, il existe un outil d'édition de code qui vous permet de modifier votre thème et vos plugins au fur et à mesure que vous configurez votre site.

Apparence>Éditeur est l'endroit où vous le trouverez. Vous pouvez également accéder à l'éditeur de plug-in en vous rendant dans Plugins> Éditeur.

Nous vous recommandons de désactiver cette fonctionnalité une fois votre site en ligne. Les pirates peuvent introduire un code subtil et nuisible dans votre thème et votre plugin s'ils obtiennent l'accès à votre panneau d'administration WordPress.

Le codage est souvent si subtil que vous ne réaliserez que quelque chose ne va pas avant qu'il ne soit trop tard.
Entrez simplement le code suivant dans votre fichier wp-config.php.

 define('DISALLOW_FILE_EDIT', true);

Ce processus vous aidera à empêcher la possibilité de modifier les plugins et les fichiers de thème à partir du tableau de bord.

Désactiver XML-RPC dans WordPress

Depuis WordPress 3.5, XML-RPC est activé par défaut pour vous aider à connecter votre site WordPress avec des applications mobiles et des services Web.

Une attaque par force brute peut être considérablement amplifiée par XML-RPC en raison de sa nature puissante.

Auparavant, si un pirate voulait essayer 500 mots de passe différents sur votre site, il devait se connecter 500 fois. Le plugin de verrouillage de connexion intercepterait et bloquerait ces tentatives.

Cependant, avec XML-RPC, un pirate peut utiliser la fonction system.multicall pour essayer des milliers de mots de passe avec seulement 20 ou 50 requêtes.

Par conséquent, si vous n'utilisez pas XML-RPC, vous devez le désactiver. Cela peut être géré par un pare-feu si vous utilisez le pare-feu d'application Web mentionné ci-dessus.

Masquer les fichiers wp-config.php et .htaccess

Alors que cacher les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d'y accéder est une méthode sophistiquée pour renforcer la sécurité de votre site, c'est une pratique intelligente si vous êtes sérieux au sujet de votre sécurité.

Nous conseillons fortement aux développeurs expérimentés d'adopter cette option, car il est essentiel de faire d'abord une sauvegarde de votre site et de continuer avec prudence. Toute erreur peut rendre votre site Web indisponible.

Après avoir effectué une sauvegarde, vous devez effectuer deux opérations pour masquer les fichiers :
Pour commencer, ajoutez le code suivant à votre fichier wp-config.php :

 <Files wp-config.php> order allow,deny deny from all </Files>

Vous ajouterez le code suivant à votre fichier .htaccess de la même manière.

 <Files .htaccess> order allow,deny deny from all </Files>

Bien que la procédure soit simple, vous devez vous assurer d'avoir une sauvegarde en cas de problème.

Supprimer la version WP

Nous avons déjà discuté des mises à jour de WordPress. Il est maintenant également logique de garder votre version de WordPress cachée aux pirates.

Je suis curieux de savoir comment ils peuvent voir la version de WordPress sur laquelle vous vous trouvez, étant donné que vous disposez des informations de connexion.

Les pirates peuvent facilement vérifier la version de WordPress en consultant la page source. Tout ce qu'ils ont à faire maintenant, c'est

CTRL F - clic droit (sur la page Web) - Afficher la source de la page (rechercher la version). Il ressemblera à l'étiquette ci-dessous.

Activer un pare-feu d'application Web

Vous connaissez probablement le concept de pare-feu, qui est un programme qui aide à protéger votre ordinateur contre divers types d'attaques malveillantes. Vous avez presque certainement un pare-feu installé sur votre PC.

Un pare-feu d'application Web (WAF) est un type de pare-feu spécialement conçu pour protéger les sites Web. Les serveurs, des sites Web particuliers ou de grands groupes de sites Web peuvent tous être protégés.

Un pare-feu d'application Web (WAF) sur votre site WordPress agira comme un pare-feu entre votre site et le reste d'Internet. Un pare-feu surveille les comportements suspects, détecte les agressions, les virus et autres événements indésirables et bloque tout ce qu'il juge dangereux.

Installer le certificat SSL

SSL, ou Secure Sockets Layer, est maintenant largement utilisé pour tous les types de sites Web. Initialement, SSL était nécessaire pour sécuriser un site Web pour des processus spécifiques, tels que le traitement des paiements. Aujourd'hui, cependant, Google a réalisé son importance et donne aux sites Web compatibles SSL un meilleur classement dans ses résultats de recherche.

SSL est requis pour tout site qui traite des données sensibles, telles que des mots de passe ou des numéros de carte de crédit. Toutes les données entre le navigateur Web de l'utilisateur et votre serveur Web sont transférées en texte brut si vous ne disposez pas d'un certificat SSL.

Les pirates peuvent être en mesure de lire ceci. L'utilisation d'un SSL crypte les informations importantes avant qu'elles ne soient envoyées entre leur navigateur et votre serveur, ce qui les rend plus difficiles à lire et augmente la sécurité de votre site.

comment fonctionne ssl
comment fonctionne ssl

Le prix SSL moyen pour les sites Web qui acceptent des informations sensibles est d'environ 70 à 199 dollars par an. Vous n'avez pas besoin de payer pour un certificat SSL si vous n'acceptez aucune donnée sensible. Presque tous les hébergeurs fournissent un certificat SSL Let's Encrypt gratuit que vous pouvez utiliser pour sécuriser votre site Web.

Dites non aux thèmes annulés

Un thème WordPress premium semble plus professionnel et offre plus d'options de personnalisation qu'un thème gratuit. Quoi qu'il en soit, il est difficile de prétendre que vous obtenez ce que vous payez avec un thème gratuit.

Tous les thèmes premium sont conçus par des développeurs hautement expérimentés et sont testés avant d'être publiés. Si quelque chose ne va pas avec votre site, vous pouvez obtenir une assistance complète. Il n'y a aucune restriction sur la personnalisation d'un thème. De plus, la mise à jour d'un thème est régulière.

Certains sites proposent également des thèmes annulés ou fissurés. Les thèmes annulés sont des versions de thèmes premium qui ont été piratés et qui sont disponibles illégalement. Cela peut mettre votre site en danger. Des codes malveillants cachés dans ces thèmes pourraient détruire votre site Web et votre base de données ou voler vos identifiants de connexion.

Bien que l'on puisse économiser un peu d'argent, il est important que tout propriétaire de site Web évite d'utiliser ces thèmes WordPress annulés.

Mise à jour régulière de la version WordPress

Le moyen le plus efficace de sécuriser votre site Web WordPress est de le maintenir à jour. Quelques modifications sont souvent apportées à chaque mise à jour, y compris les mises à jour de sécurité. La mise à jour régulière de votre logiciel peut vous empêcher de devenir la cible d'exploits et de failles dont les pirates sont connus pour profiter pour accéder à votre site.

Les mêmes raisons s'appliquent à la mise à jour des plugins et des thèmes.

Les mises à jour mineures sont automatiquement téléchargées par WordPress par défaut. Les mises à jour qui nécessitent des modifications majeures doivent cependant être effectuées directement via votre tableau de bord d'administration WordPress.

mises à jour wordpress

Modifier le préfixe de table de base de données

Vous avez peut-être remarqué une fenêtre de dialogue demandant un certain préfixe pour commencer quelque chose comme wp_ lors de l'installation de WordPress sur vos serveurs. C'est ce que cela implique. Il s'agit de la base de données de votre site WordPress. Le nom du dossier est wp_.

préfixe de table wp

Il n'est pas surprenant que tout ce qui est commun puisse être déduit par de soi-disant hackers. C'est aussi une bonne idée de modifier le préfixe de tout ce que vous avez créé. Tout se passe dans mywpsite_, friendswp_, et ainsi de suite.

Je peux simplement y parvenir en accédant à la base de données de votre site Web. Cependant, si vous n'êtes pas familier avec tous les détails techniques, des plugins sont toujours disponibles.

Installer le meilleur plugin de sécurité WordPress

Il existe plusieurs plugins de sécurité pour WordPress, gratuits et premium. Et c'est un excellent choix d'installer l'un des plugins pour votre site Web WordPress.

Dans ce guide, nous verrons comment nous pouvons créer un environnement de sécurité solide autour de notre site WordPress via Defender Pro construit par WPMU DEV.

Caractéristiques principales de Defender Pro

Les puissantes barrières de sécurité WordPress et les technologies de camouflage de Defender contre les pirates, les forceurs brutaux et les robots nuisibles.

  • Contrôles de sécurité réguliers
  • Verrouillage IP de géolocalisation
  • Masquage et sécurisation des identifiants
  • Journalisation des audits
  • Authentification à deux facteurs
  • Surveillance de la liste de blocage
  • Rapports sur les vulnérabilités
  • Restauration et réparation des fichiers modifiés

Installer le plug-in Defender Pro WordPress

caractéristiques du défenseur pro

Après avoir installé Defender Pro, vous trouverez une option catégorisée disponible, facile à comprendre même pour le débutant.

Tableau de bord, recommandations, analyse des logiciels malveillants, journalisation des audits, pare-feu, WAF, outils 2FA, paramètres, didacticiels.

Une fois l'analyse terminée, vous verrez un écran comme celui-ci dans le tableau de bord Defender Pro.

tableau de bord défenseur pro

Lorsque le site détecte un problème de sécurité, le plug-in fournit des conseils sur la manière de procéder pour y remédier. C'est intéressant.

Defender Pro va encore plus loin en fournissant des suggestions approfondies et exploitables, adaptées au site et répondant aux risques actuels et futurs.

défenseur pro a agi

Ce qui distingue ces suggestions, c'est que vous pouvez affiner l'action que vous entreprenez.

Si vous avez accidentellement activé « mettre à jour les anciennes clés de sécurité », vous pouvez toujours désactiver ou modifier la fréquence de rappel. Cela permet de maintenir le site sécurisé et à jour.

Conclusion – Sécurité WordPress

Une méthode de sécurisation de votre site WordPress peut prendre un certain temps, mais cela en vaudra la peine au final. Au lieu de finir par dire que mon site WordPress a été piraté.

Je vous ai montré à la fois les méthodes pour les utilisateurs de bricolage et aussi celle du plugin. Quoi qu'il en soit, vous optez pour la sécurité d'un site Web WordPress est crucial pour tous les utilisateurs.

logo wpmudev

20% de réduction sur WPMU Dev

Defender Pro est le fantastique plugin de sécurité pour protéger votre site WordPress. Vous pouvez obtenir 20% de réduction sur WPMU DEV sur l'adhésion.

Coupon activé Lien