Sécurité WordPress : améliorez la sécurité de votre site en suivant ces étapes

Publié: 2018-05-23

Sur le Web, le plus grand nombre de sites Web fonctionnent sur la plate-forme WordPress. Cela signifie que WordPress règne sur le Web. Il attire l'attention d'éléments malveillants sur le Web. Par conséquent, Google interdit chaque année près de 20 000 sites Web pour logiciels malveillants et 50 000 sites Web pour hameçonnage.

Dans un tel scénario lamentable, la sécurité du site Web devient vitale. Les incidents d'attaques enregistrés sont les plus élevés sur la plate-forme WordPress en raison du nombre plus élevé de sites Web fonctionnant avec du code WordPress. Par conséquent, aujourd'hui, je voudrais souligner quelques étapes concrètes qui vous aideraient à sécuriser votre site Web WordPress.

Sécuriser l'entrée des utilisateurs de votre site WordPress

Dans la vraie vie, lorsque nous voulons sécuriser un local comme la maison, le bureau ou l'usine, nous examinons d'abord les points d'accès où des éléments malicieux ou malveillants peuvent essayer d'obtenir une entrée. La même stratégie doit s'appliquer pour sécuriser votre site Web WordPress.

Évaluons maintenant les points d'entrée possibles via des pirates ou des utilisateurs malveillants qui peuvent accéder à votre backend ou au code source. Par défaut, l'URL d'accès au backend de WordPress se termine par :

/wp-login.php ou /wp-admin/

Par conséquent, vous devez prendre les mesures appropriées pour bloquer l'entrée d'utilisateurs indésirables sur votre page principale WordPress.

Modifier l'URL de connexion

Si vous êtes un développeur WordPress, vous savez déjà comment modifier l'URL par défaut du backend du site, mais pour les utilisateurs expérimentés ou les utilisateurs de type bricoleur, un plugin ou une extension de sécurité avancée peut vous permettre de le faire. Ainsi, vous pouvez modifier

  • /wp-login.php vers /votre-nom-de-domaine-login.php
  • /wp-admin/ou /Votre-nom-de-domaine-admin/
  • /wp-login.php?action=register ou /Your-Domain-Name-registration

Ainsi, ce type d'URL personnalisée peut vous aider à vous protéger considérablement des attaques par force brute.

Changer le nom d'utilisateur

Par défaut, la plupart des développeurs WordPress définissent le mot-clé 'Admin/admin' comme nom d'utilisateur. Cela facilite le travail des pirates et des utilisateurs indésirables pour accéder au backend de votre site WordPress et ils doivent utiliser leur base de données Guess Work (GWDb) uniquement pour deviner le mot de passe.

Si vous modifiez votre nom d'utilisateur par défaut pour quelque chose d'imprévisible comme votre adresse e-mail, vous pouvez réduire la menace des attaquants et de leurs logiciels.

Changer le mot de passe

There are many ways to protect the password.

Tout comme le nom d'utilisateur, le mot de passe est toujours menacé. Il existe de nombreuses façons de protéger les activités de devinette de mot de passe. Par exemple, en utilisant un mot de passe très complexe avec une combinaison de minuscules, majuscules, chiffres et symboles.

Cependant, les tendances récentes de l'authentification à deux facteurs sont un moyen excellent et solide de sécuriser l'accès à votre backend pour tous les niveaux d'utilisateurs. Les téléphones portables/smartphones sont des appareils pratiques pour accéder à OTP (mot de passe à usage unique) afin d'authentifier le système 2FA.

Configurer le verrouillage et l'interdiction

Pour empêcher les tentatives de force brute et mettre en œuvre le verrouillage ou l'interdiction de ces adresses IP, il existe de nombreux plugins et logiciels disponibles pour reconnaître les tentatives répétées de connexion ou d'enregistrement. Les plugins vous permettent de définir un certain nombre de tentatives infructueuses et de fournir d'autres fonctionnalités pour empêcher l'accès non autorisé à votre site Web.

Sécurisation du tableau de bord d'administration de votre site Web WordPress

For WordPress backend users, the dashboard is the most engaging and highly used part of the backend.

Pour les utilisateurs du backend WordPress, le tableau de bord est la partie la plus engageante et la plus utilisée du backend. Il fournit tous les outils et options pour gérer l'intégralité du site Web, de l'utilisation par défaut à la personnalisation. Si quelqu'un réussit à pirater le tableau de bord, ce sera la plus grande victoire pour les pirates et la plus dommageable pour les propriétaires de sites Web.

Par conséquent, nous devrions prendre des mesures spéciales pour le tableau de bord d'administration WordPress . Voici les mesures possibles que nous pouvons désormais prendre en compte.

Prendre soin du répertoire 'wp-admin'

Tout est placé dans un répertoire wp-admin qui vous permet de gérer l'ensemble des sites Web, y compris les ressources et les fichiers. Par conséquent, empêcher l'accès non autorisé au répertoire signifie éliminer la plupart des pires dès le départ.

Il existe des plugins développés par la communauté WordPress pour protéger le répertoire par mot de passe. Ainsi, les utilisateurs administrateurs de WordPress doivent utiliser deux mots de passe différents pour accéder au tableau de bord. Un pour la page de connexion tandis qu'un autre pour le tableau de bord. Ces plugins génèrent automatiquement le fichier [.htpasswd] puis cryptent le mot de passe et configurent les autorisations du fichier.

Ajouter des utilisateurs administrateurs avec suffisamment de soin

Outre le super administrateur qui a tous les privilèges du backend, d'autres utilisateurs ont également accès au backend avec différents niveaux d'accès aux fonctionnalités et fonctions du backend. L'accès basé sur les rôles au backend est possible et vous pouvez leur attribuer différents noms d'utilisateur ainsi que des mots de passe que vous jugez les plus sûrs.

Surveiller les fichiers importants dans le répertoire d'administration

Vous pouvez utiliser certains plugins pour surveiller les activités suspectes de tous les utilisateurs administrateurs afin de prendre des mesures en temps réel chaque fois que des menaces de sécurité sont détectées.

Crypter les données

Security Socket Certificate (SSL)

Si vous avez mis en place un certificat de socket de sécurité (SSL) qui utilise la dernière technologie de cryptage pour protéger vos données stockées et échangées, vous pouvez empêcher tout problème entre les deux et sécuriser l'ensemble des zones d'administration WP ainsi que le site Web.

Sécurisation de la base de données de votre site WordPress

La plate-forme WordPress s'appuie fortement sur la base de données car tous les actifs du site Web sont stockés dans des bases de données dans des formats principalement tabulaires dans des types de bases de données SQL, qu'il s'agisse de textes, d'images, de code de mise en page, de contenu multimédia, et tout ce qui se trouve dans un site WordPress a sa place dans la base de données.

Pour protéger les bases de données des injections SQL et autres cyber-attaques, vous pouvez protéger votre base de données avec les mesures suivantes.

Définir le mot de passe pour la base de données

Vous pouvez définir un mot de passe fort pour votre base de données et restreindre l'accès à la base de données jusqu'au rôle de super administrateur afin de minimiser la falsification de la base de données ou les possibilités d'erreurs.

Changer le préfixe WP

Si vous envisagez d'installer un site Web WordPress, vous pouvez rencontrer un paramètre pour une table de base de données, et il s'agit du préfixe de table WP. Par défaut, c'est wp- et vous devez le changer pour empêcher les injections SQL comme les attaques de base de données. Vous pouvez le changer de wp- à Your-Domain-Name comme un préfixe personnalisé.

Effectuez une sauvegarde régulière de la base de données

Vous pouvez avoir la sauvegarde régulière de l'intégralité du site Web ou non, mais l'organisation de la sauvegarde de la base de données peut vous éviter la perte de données due à diverses raisons connues et inconnues. Aujourd'hui, nous avons des plugins de sauvegarde avec des privilèges spéciaux pour effectuer une sauvegarde de base de données à une fréquence différente .

Sécuriser l'hébergement de votre site WordPress

Aujourd'hui, l'hébergement d'un site Web est essentiel à son succès, car les moteurs de recherche nécessitent un hébergement idéal pour le référencement afin de répondre à ses exigences de classement. De même, les utilisateurs du site Web, y compris les utilisateurs principaux et les utilisateurs frontaux, l'optimisation des performances, l'optimisation de la conversion et les expériences des utilisateurs dépendent grandement de l'environnement d'hébergement et de la qualité de l'hébergement dans son ensemble.

Aujourd'hui, nous avons plusieurs options d'hébergement autres que les services d'hébergement communautaire WordPress par défaut comme l'hébergement partagé, l'hébergement VPS, l'hébergement dédié et surtout les services d'hébergement basés sur le cloud tels que Kinsta pour différentes échelles et tailles de sites Web.

Sécuriser le fichier wp-config.php

Secure wp-config.php File.

L'accès au fichier WordPress wp-config.php est une réalisation essentielle pour les pirates informatiques pour accomplir facilement leurs mauvaises intentions, car il contient des informations très critiques concernant l'ensemble de votre installation WordPress.

La meilleure façon est de déplacer le fichier à un niveau supérieur au répertoire racine. Vous pouvez le faire facilement car WordPress peut le voir même s'il se trouve en dehors du répertoire racine de WordPress. Ainsi, le serveur peut facilement le trouver à un niveau supérieur.

Interdire le fichier Modifier

Dans un serveur d'hébergement, la source de votre site Web contient plusieurs fichiers contenant des informations et des autorisations critiques pour faire fonctionner votre site en douceur. Si des pirates ou des éléments malveillants piratent le serveur et accèdent à ces fichiers, ils peuvent causer des dommages de différentes intensités.

Si vous interdisez l'édition de fichiers à toute personne autre que le super administrateur, vous pouvez facilement économiser ces pertes. Vous pouvez le faire en ajoutant simplement une ligne de code à la fin du fichier wp-config.

Soyez prudent lors de la définition des autorisations de répertoire

Les répertoires, sous-répertoires et fichiers sur votre serveur d'hébergement sont des aspects importants de la sécurité de WordPress. Si vous définissez des autorisations incorrectes pour ces composants de votre site Web. Vous pourriez augmenter les risques d'attaques une fois que le serveur est compromis de toute façon.

Par conséquent, vous devez définir l'autorisation 755 pour les répertoires/sous-répertoires et l'autorisation 644 pour les fichiers. En utilisant les outils du gestionnaire de fichiers disponibles dans l'hébergement/c-Panel, vous pouvez facilement définir ou modifier les autorisations. Pour plus d'informations sur les autorisations de fichiers - Comprendre les autorisations de fichiers et les utiliser pour sécuriser votre site .

Connexion correcte au serveur

Traditionnellement, nous utilisons le protocole FTP pour la connexion au serveur. Mais SFTP ou SSH est aujourd'hui un moyen plus sûr et plus fiable d'établir une connexion au serveur.

Sécurisation des thèmes et plugins de votre site WordPress

WordPress Security - Securing Themes of Your WordPress Site.

La plupart des thèmes et plugins WordPress sont développés par des développeurs tiers. Ceux-ci ne sont pas totalement fiables du point de vue de la sécurité. Par conséquent, vous devez prendre certaines mesures pour les rendre en toute sécurité. Par exemple:

Prendre des mises à jour régulières

Tout comme votre site Web WordPress, les développeurs/entreprises de plugins et de thèmes publient également des mises à jour pour suivre le rythme des versions de WordPress et corriger les bogues et les problèmes qu'ils découvrent grâce aux commentaires des utilisateurs. Essayez donc d'installer régulièrement leurs mises à jour via le tableau de bord en utilisant un plugin approprié.

Masquer les informations de version de WordPress

Pour les attaquants, connaître les informations de votre version de WordPress comme le numéro peut aider à développer une attaque sur mesure, et les informations de version sont facilement disponibles dans la source WordPress. Si vous pouvez supprimer ces informations de version vous-même, ou avec l'aide de votre développeur WordPress dédié , vous pouvez rendre la vie des attaquants un peu dure.

Conclusion

J'ai écrit le post ci-dessus en gardant à l'esprit les développeurs WordPress débutants et de niveau intermédiaire ainsi que les développeurs de plugins WordPress dédiés. Par conséquent, la mise en œuvre des conseils décrits pour sécuriser votre site WordPress s'avérerait difficile sans l'aide des plugins de sécurité WordPress appropriés et les plus récents. Je recommande les plugins suivants à installer pour votre site et le rendre plus sécurisé que jamais :

  • Tout en un WP Sécurité et pare-feu
  • Protection de connexion Brute Force
  • Sécurité à l'épreuve des balles
  • Authentificateur Google
  • iThemes Security, anciennement Better WP Security
  • Plugin WordPress Sucuri Security
  • WordFence
  • Protection de site antivirus WP

Si vous avez encore de la confusion et souhaitez avoir l'aide de mains expertes. Perception System fournit des services de développement WordPress ainsi que des installations pour embaucher un développeur WordPress pour aider les clients dans le besoin à rendre leur site complètement sûr et sécurisé.