WordPress Security – Conseils essentiels pour chaque propriétaire de site

Saviez-vous qu'il y a plus de 90 978 attaques sur les sites Web WordPress chaque minute ? Heureusement, même si ce nombre semble énorme, si vous suivez les règles de sécurité de base, vous pouvez empêcher la majorité des attaques potentielles et rendre votre site Web à l'épreuve des attaques.

Ou du moins, il est si difficile de s'y introduire que les pirates informatiques préfèrent cibler l'un des milliers de sites mal sécurisés. Ce qui n'est pas si difficile à faire, surtout si vous considérez que de nombreuses attaques sont effectuées après que des scanners de vulnérabilité automatisés ont trouvé des moyens potentiels d'y pénétrer. Alors, comment faire monter en flèche la sécurité de votre site WordPress ? Voici les 6 Conseils Essentiels.

1. Gardez votre installation WP, vos thèmes et vos plugins à jour

Une évidence mais souvent ignorée. Selon WordPress.org , 1/3 de tous les sites Web WordPress n'ont pas été mis à jour vers la dernière version. En plus de cela, près des 2/3 de tous les hébergeurs Web utilisent PHP plus ancien que 7.0. Les infrastructures d'installation et de serveur WordPress obsolètes constituent une grande menace pour votre site et augmentent le risque d'une violation réussie, car les pirates tenteront d'accéder à votre site Web en utilisant des vulnérabilités non corrigées.

En fait, si vous maintenez tous vos thèmes, plugins et WordPress à jour, vous serez plus en sécurité que 75 % de tous les sites légitimes, car on estime que trois sites sur quatre contiennent des vulnérabilités non corrigées. Heureusement, obtenir les dernières versions de vos plugins WP, thèmes et WP lui-même est assez simple – tout ce dont vous avez besoin est de quelques clics sur un bouton.

Dans le même temps, s'assurer que votre serveur exécute la dernière version de PHP peut prendre un peu plus de temps. C'est pourquoi il est préférable de contacter simplement votre support d'hébergement et de lui demander de vous indiquer comment vous pouvez le mettre à niveau vous-même ou même lui demander de le mettre à niveau pour vous.

2. Installez un scanner de logiciels malveillants et un pare-feu

Si vous pensiez que seul votre PC peut être affecté par des logiciels malveillants, des virus et des attaques par force brute, vous ne pourriez pas vous tromper davantage. Non seulement WordPress peut être affecté, mais c'est en fait le CMS de site Web le plus infecté , ce qui a probablement beaucoup à voir avec sa popularité.

La bonne nouvelle est qu'il existe de nombreux pare-feu et scanners de logiciels malveillants gratuits et payants pour WordPress. L'un des plus populaires est Wordfence Security , qui propose à la fois une analyse des logiciels malveillants et un pare-feu, et est disponible en versions gratuites et payantes.

3. Obtenez un VPS et transformez-le en forteresse

Comparé à un hébergement mutualisé, un VPS vous permet de contrôler chaque aspect de sa configuration. Grâce à cela, vous pouvez non seulement rendre votre site Web plus rapide, mais également vous assurer que son environnement d'hébergement - le serveur - est correctement sécurisé.

Sur un VPS non géré, c'est à vous de choisir le système d'exploitation (par exemple, CentOS est considéré comme plus sécurisé par rapport à Ubuntu), le pare-feu et les autres logiciels que vous installez, tels que les scanners de logiciels malveillants (que vous devez installer à la fois sur WordPress et sur le serveur lui-même).

De plus, en installant votre WordPress sur un VPS où vous avez un accès root, il est facile de changer des choses comme les mots de passe MySQL ou de renommer les dossiers WordPress et de reconfigurer ses fichiers pour réduire le risque d'une attaque potentielle. Bien qu'une partie de cela puisse également être effectuée à l'aide de plugins de sécurité

Naturellement, pour profiter de tous les avantages d'un serveur privé virtuel (vitesse, flexibilité et évolutivité pour n'en nommer que quelques-uns), vous devez louer un serveur auprès d'une entreprise qui propose différents forfaits tarifaires faciles à mettre à niveau si vous avez besoin de plus de ressources. Vous pouvez voir un excellent exemple d'une telle offre ici .

4. Cachez /wp-admin et votre installation WordPress

Pourquoi dire au monde que vous utilisez WordPress en premier lieu ? Bien qu'il s'agisse d'un excellent système de gestion de contenu, vous n'avez pas nécessairement à vous vanter de l'avoir exécuté. Surtout qu'il fournit à l'intrus potentiel des informations précieuses. Par exemple, à moins que vous ne masquiez WordPress, des sites Web tels que What WordPress Theme is That? divulguez des informations non seulement sur le thème que vous utilisez, mais également sur certains plugins. C'est comme dire au hacker hey, c'est comme ça qu'on peut entrer :

Alors, comment cachez-vous les informations de votre site WP aux regards indiscrets des intrus potentiels ? Heureusement, vous n'avez besoin d'aucune compétence technique. Là où il y a de la demande, il existe des plugins WordPress, que vous pouvez utiliser pour le faire – le plus populaire étant Hide My WP by the wave, qui peut masquer votre page de connexion et rendre invisibles les détails de votre site Web WordPress (malheureusement, il y a pas de version gratuite).

Alternativement, vous pouvez obtenir la version gratuite d' iThemes Security , qui ne vous offre pas autant d'options de masquage (bien qu'elle vous permette de masquer la page de connexion), mais comporte de nombreux autres avantages de sécurité.

5. Changez votre nom d'utilisateur WP et gardez-le caché

Tout comme vous ne devriez pas utiliser le mot mot de passe comme mot de passe réel, laisser le nom d'utilisateur par défaut de l' administrateur WordPress peut avoir des conséquences désastreuses. En fin de compte, c'est probablement la première chose qu'un intrus potentiel essaierait de deviner, donc en l'utilisant, vous leur permettez de comprendre incroyablement facilement les détails de votre compte administrateur.

Comment le changer ? Vous pouvez le faire de deux manières. Vous pouvez rechercher un plugin qui peut le faire pour vous ou suivre la voie manuelle. Personnellement, je préfère ce dernier – car c'est tout aussi rapide et facile, et n'importe qui peut le faire. Mais, comme WordPress ne vous donne pas d'option prête à l'emploi pour le changer, vous devez utiliser une petite solution de contournement. Tout d'abord, connectez-vous à votre site et accédez à Utilisateurs > Ajouter un nouveau.

Une fois là-bas, insérez le nom d'utilisateur de votre nouveau compte administrateur et assurez-vous de définir le rôle d'utilisateur sur Administrateur. Une fois cela fait, cliquez sur Afficher le mot de passe et modifiez ou copiez le mot de passe par défaut (sécurisé).

Une fois l'utilisateur créé, déconnectez-vous du site et connectez-vous avec le nouvel utilisateur. Accédez à Utilisateurs > Tous les utilisateurs et supprimez l'ancien compte administrateur WordPress. Mais ce n'est pas tout. Vous avez besoin d'un compte pour publier vos articles, n'est-ce pas ? Au lieu de les publier en utilisant un administrateur qui, en raison des permaliens, rend son nom d'utilisateur facile à deviner (sauf si vous jouez avec eux), allez-y et créez un compte séparé. Cette fois, au lieu de définir son rôle sur un administrateur, définissez-le sur un rôle qui n'a pas de capacités d'administrateur (comme celui d'un auteur ou d'un éditeur).

Une fois cela fait, continuez et définissez l'auteur de tous les messages existants sur le nouvel utilisateur (vous pouvez le faire dans Tous les messages> Modification rapide sous chaque article).

6. Sécurisez les comptes d'utilisateurs WordPress existants

Travaillez-vous avec des assistants virtuels ou avez-vous des employés qui peuvent accéder à votre site Web WordPress ? Dans ce cas, il est préférable de ne pas leur donner accès à tous les plugins et données. Au final, ils n'ont probablement pas besoin de pouvoir configurer tous les plugins de votre site. Et, à moins qu'il ne soit un développeur de confiance, il ne devrait certainement pas avoir accès à l'éditeur de thème. Comment restreindre leur accès ? L'un des moyens consiste à créer leurs comptes et à définir leurs rôles sur l'un des rôles par défaut du contributeur, de l'auteur ou de l'éditeur.

Mais que se passe-t-il si vous souhaitez les empêcher d'accéder à plus de ces rôles tout en leur donnant accès à des parties du site Web que les paramètres par défaut ne leur fournissent pas ? Dans ce cas, vous pouvez utiliser un plugin gratuit tel que User Role Editor , qui vous permet de créer de nouveaux rôles et de définir les éléments du site Web auxquels ils peuvent accéder.

7. Surveiller l'activité via le journal d'audit

Et que se passe-t-il si vous ne pouvez pas simplement empêcher vos utilisateurs d'accéder à la majorité des éléments vulnérables de votre site Web, mais souhaitez au moins savoir qui a changé ou édité quoi, en cas de problème ? Pour obtenir un aperçu sous la forme d'un journal d'audit complet, vous pouvez installer le journal d'audit de sécurité WP . Sa version gratuite est plus que suffisante pour vous donner un aperçu pratique de l'activité de vos employés et VA :

8. Rendre la connexion plus sécurisée à l'aide de Google Authenticator

En parlant d'utilisateurs, il y a encore une chose que vous pouvez faire pour rendre votre site encore plus sécurisé. Imaginez que vos identifiants WordPress (ou ceux de vos employés) soient volés. Dans ce cas, selon le rôle d'utilisateur de votre employé, un intrus pourrait avoir accès à l'ensemble du site Web WP. Pour éviter que cela ne se produise, envisagez d'ajouter une authentification à deux facteurs lors de la connexion. Le moyen le plus simple de le faire est le plugin Google Authenticator . Une fois cela fait, même si quelqu'un obtient votre nom d'utilisateur et votre mot de passe, il ne pourra pas se connecter sans le code fourni par l'application Google Authenticator.

Comme vous pouvez le constater, même si WordPress est considéré comme le système de gestion de contenu le plus vulnérable parmi tous les systèmes populaires, il n'est pas si difficile de minimiser ou même de se débarrasser complètement des risques les plus courants et de sécuriser les éléments les plus menacés de votre site Web.

Si vous suivez les conseils ci-dessus, restez prudent lorsque vous donnez accès à votre site à d'autres personnes et maintenez à jour les éléments de votre site, votre site Web et, avec lui, votre entreprise seront à l'abri de tout intrus potentiel. Sans parler du montant que vous pouvez économiser et qui n'a empêché que la faille de sécurité.