WordPress est le système de gestion de contenu (CMS) le plus populaire pour tous les types de sites Web, des sites institutionnels aux magasins de commerce électronique.
Malheureusement, sa popularité a également attiré les cybercriminels exploitant les vulnérabilités de la plateforme. Les experts en cybersécurité de Wordfence ont même récemment découvert une attaque massive sur 1,6 million de sites WordPress qui s’appuyaient sur un pool de 16 000 adresses IP pour exécuter l’attaque. On peut dire que les hackers disposent d’un très bon moyen pour trouver et exploiter les failles de sécurité !
C’est pourquoi j’ai décidé de vous écrire un court article avec quelques bonnes pratiques que nous appliquons pour protéger les sites WordPress de nos clients externalisés.
Sommaire
10 conseils de sécurité WordPress pour sécuriser votre site
Peu importe les efforts que vous déployez pour lancer votre site Web, il peut toujours être à risque. C’est ainsi que fonctionne Internet et comment les attaques aléatoires sont effectuées.Cependant, la plupart des menaces peuvent être évitées si vous prenez le temps de mettre en œuvre ces 10 conseils de sécurité WordPress simples. Externaliser le site WordPress de notre client.
1- Mettez WordPress à jour régulièrement
À chaque nouvelle version, WordPress s’améliore et sa sécurité augmente également. Chaque fois qu’une nouvelle version sort, de nombreux bugs sont corrigés. Et, si une vulnérabilité particulièrement malveillante est découverte, la communauté des développeurs WordPress la corrige immédiatement et déploie rapidement une nouvelle version sécurisée.
N’ignorez pas les mises à jour, car de nombreux pirates informatiques ciblent délibérément les anciennes versions de WordPress avec des problèmes de sécurité connus.
Gardez donc un œil sur la zone de notification du tableau de bord et n’ignorez pas le message “Veuillez mettre à jour maintenant”.
2- Mettez à jour vos thèmes et plugins
Les thèmes et les plugins sont des composants essentiels de tout site Web WordPress. Malheureusement, ils sont un vecteur d’attaque et peuvent donc constituer une menace sérieuse pour la sécurité de votre site web…
Ne pas mettre à jour vos thèmes et plugins peut causer des problèmes. De nombreux pirates exploitent des failles connues en profitant de personnes trop paresseuses pour mettre à jour leurs plugins et thèmes. Elles doivent donc être mises à jour régulièrement.
Petit conseil en plus, si vous avez d’anciens thèmes et plugins que vous n’utilisez plus, surtout s’ils n’ont pas été mis à jour, supprimez-les !
3- Supprimez les informations que hackers pourraient utiliser
Saviez-vous que vous pouvez facilement trouver le numéro de version de votre site WordPress. En fait, si un pirate sait quelle version de WordPress vous utilisez, il lui est plus facile de concevoir l’attaque parfaite.
Pour trouver la version de votre site, rien de plus simple, vous pouvez utiliser un navigateur pour visualiser le code source ou votre [votre site]/flux. Vous devriez voir des lignes se terminant par “?v=x.x.x”. Ces chiffres correspondent aux versions de WordPress.
4- Sauvegardez régulièrement votre site
Quelle que soit la sécurité de votre site WordPress, il y a toujours place à amélioration. Mais en fin de compte, avoir une sauvegarde hors site quelque part est probablement la meilleure option.
Si vous avez une sauvegarde, vous pouvez toujours restaurer votre site WordPress dans un état de fonctionnement. Il existe des plugins qui peuvent vous y aider.
5- Limitez les tentatives de connexion et changez souvent votre mot de passe
La limitation du nombre de tentatives de connexion infructueuses verrouille l’utilisateur si l’utilisateur saisit un mot de passe incorrect plus d’une heure spécifiée. Il sera verrouillé pendant un certain temps. Vous pouvez contrôler les paramètres depuis le panneau d’administration. Il vous permet également de voir combien de personnes tentent de pirater votre site. Si vous constatez que la même adresse IP tente d’accéder à votre site, vous pouvez bloquer cette adresse IP.
Soyez également prudent lors de la création de nouveaux comptes utilisateurs si vous n’êtes pas le seul utilisateur ayant accès à votre site. Vous devez tout contrôler et essayer de restreindre tout type d’accès aux utilisateurs qui n’en ont pas nécessairement besoin.
Lors de l’installation de WordPress, vous ne devez jamais choisir “admin” comme nom d’utilisateur pour votre compte administrateur principal. Les pirates ont accès à un nom d’utilisateur aussi facile à deviner.Tout ce qu’ils ont à faire est de trouver le mot de passe et tout votre site Web tombera entre de mauvaises mains.
Astuce : Vous pouvez activer l’authentification à deux facteurs pour plus de sécurité.
6- Renommez votre URL de connexion
Par défaut, pour vous connecter au panneau d’administration de WordPress, vous devez ajouter /wp-admin à l’URL avec l’adresse. En conservant cette adresse par défaut, vous vous exposez à des attaques par force brute visant à trouver la bonne combinaison nom d’utilisateur/mot de passe.
Si vous autorisez les utilisateurs à s’inscrire à des comptes d’abonnement, vous pouvez également recevoir un flot d’inscriptions de spam. Pour éviter cela, vous pouvez modifier l’URL de connexion de l’administrateur ou ajouter des questions de sécurité aux pages d’inscription et de connexion.
7- Installez un antivirus et activez les analyses de sécurité
Je vous recommande d’installer Imunify360, c’est une solution de sécurité de serveur Web basée sur la technologie d’apprentissage automatique.
Imunify360 utilise une approche multicouche pour prévenir les attaques malveillantes et les comportements anormaux, y compris les attaques par force brute. Il ajoute une couche de sécurité supplémentaire à votre site Web en bloquant les scripts PHP qui contiennent du code qui pourrait nuire à votre site Web.
8- Personnalisez la base de données
Si vous avez déjà installé WordPress, vous connaissez le préfixe wp-table utilisé par la base de données WordPress. Je vous suggère de le changer en quelque chose d’unique. Un mot de passe fort pour l’utilisateur de la base de données principale est également important.
9 -Arrêter l’exécution de PHP dans WP-Content
Le meilleur conseil pour limiter l’utilisation des backdoors est de placer un fichier .htaccess dans le répertoire wp-content avec le contenu suivant.
Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpe?g|png|gif|js)$”>
Allow from all
</Files>
Cela empêchera l’exécution des fichiers PHP dans ce répertoire.
10- Appliquez les bon droits sur les fichiers WordPress
Bien qu’il s’agisse d’un processus avancé pour améliorer la sécurité de votre site, il est recommandé de sécuriser les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d’y pénétrer.
Pour masquer des fichiers, après la sauvegarde, vous devez faire deux choses :
Tout d’abord, allez dans votre fichier wp-config.php et ajoutez le code suivant :
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Sécurisez ensuite votre fichier .htaccess :
<files .htaccess=””>
order allow,deny
deny from all
</files>
En outre, l’application d’autorisations aux fichiers et aux répertoires est un excellent moyen de protéger votre site Web. En définissant les autorisations de répertoire sur “755” et les autorisations de fichier sur “644”, vous pouvez sécuriser l’ensemble du système de fichiers.
Je vous recommande d’installer le plugin iThemes Security, qui vous permet de contrôler les permissions sur les fichiers et les répertoires.
Etre accompagné par un expert en cybersécurité
Les étapes mentionnées ci-dessus ne font qu’effleurer la surface d’un audit de sécurité WordPress qui vous protège des cyber-attaques des “script kiddies”.
Nos experts en sécurité wordpress peuvent vous donner une approche plus détaillée.
Cet audit réalisé par nos analystes en cybersécurité vous permettra d’identifier les failles de sécurité. Les évaluations de vulnérabilité et les tests d’intrusion effectués par LecPac Consulting comprennent les éléments suivants :
- Votre serveur est mal configuré.
- Analyses de vulnérabilité spécifiques au noyau, aux plugins et aux thèmes WordPress.
- Recherche de porte dérobée pour identifier les vulnérabilités techniques et logiques de votre environnement.
Nous vous proposons également de mettre en place un agent SIEM pour collecter les journaux d’activité de votre site WordPress. Une vue d’ensemble de l’activité des utilisateurs et des serveurs est essentielle pour détecter, prévenir ou minimiser l’impact de toute faille de sécurité.