Les menaces de sécurité ne sont pas propres à WordPress.
Chaque plate-forme, qu’elle soit privée ou open source, est attaquée 24h/24 et 7j/7.
Heureusement, la communauté WordPress propose de nombreuses solutions pour vous faciliter la tâche.
Voici quelques étapes clés à suivre pour protéger un site WordPress contre menaces de sécurité.
Comment protéger un site WordPress
Il existe huit actions fondamentales que tous les éditeurs WordPress doivent prendre en compte afin d’atténuer les activités malveillantes et les vulnérabilités.
Le respect de ces meilleures pratiques vous aidera à vous assurer qu’un site WordPress est prêt à faire face à l’assaut des pirates qui explorent les sites Web chaque jour :
- Utilisez HTTPS.
- N’utilisez pas le mot « admin » comme nom d’utilisateur d’administrateur.
- Imposez l’utilisation de mots de passe forts.
- Mettre à jour les plugins et les thèmes.
- Plan de sauvegarde du site Web.
- Minimiser l’utilisation des plugins.
- Authentification à deux facteurs.
- Installez un pare-feu WordPress et un scanner de vulnérabilité.
Passons en revue chacun d’entre eux un peu plus en détail.
1. Ajouter HTTPS/SSL
À l’heure actuelle, la plupart des sites utilisent HTTPS. Mais si votre site n’utilise pas HTTPS, consultez votre hébergeur pour ajouter un certificat SSL gratuit.
Définissez simplement l’adresse WordPress et l’adresse du site en utilisant https://. Cela peut être accompli dans l’onglet Paramètres généraux.
Si le site passe d’un état non sécurisé à un état sécurisé, le Plugin SSL vraiment simple (utilisé par plus de 5 millions de sites Web) mérite d’être examiné, car il simplifie vraiment la conversion en HTTPS en gérant les redirections et d’autres tâches connexes.
Really Simple SSL aide également à atténuer les menaces de sécurité telles que le détournement de clic et les attaques de falsification intersites en offrant la possibilité d’ajouter des en-têtes de sécurité.
De nos jours, l’installation d’un certificat SSL est une tâche facile.
De nombreux hébergeurs proposent des certificats SSL gratuits. De plus, il s’agit d’un facteur de classement connu chez Google.
Après la conversion en HTTPS, il est conseillé de vérifier qu’aucune page ne demande de liens ou de contenu HTTP.
La vérification du contenu mixte est un must.
Le contenu mixte se produit lorsque des éléments de site Web non sécurisés (scripts, images, vidéos, etc.) sont liés à partir de Pages HTTPS.
Crawlez votre site avec Cadenas manquant pour identifier rapidement les instances de contenu mixte, puis corriger les erreurs en établissant un lien vers les actifs HTTPS.
2. Utilisez un nom d’utilisateur administrateur sécurisé
Un nombre écrasant d’attaques de sécurité contre l’écran de connexion WordPress sont effectuées avec le nom d’utilisateur “Admin”.
Il existe deux principaux types d’attaques qui tentent de déchiffrer le mot de passe de connexion :
- Force brute.
- Attaque de dictionnaire.
L’attaque par force brute se produit lorsque le logiciel de piratage automatisé essaie de deviner le mot de passe administrateur en utilisant différentes combinaisons de mots, de lettres et de chiffres.
Une attaque par dictionnaire se produit lorsque le logiciel de piratage utilise des mots de passe communs pour essayer de deviner la connexion de l’administrateur.
Dans de nombreux cas, le nom d’utilisateur administrateur utilisé par ces logiciels est “Admin”.
Ne pas utiliser le mot “Admin” comme nom d’utilisateur est une étape simple qui aidera à sécuriser un site WordPress.
Pour aller plus loin, vous pouvez créer une règle de pare-feu avec le Plugin de sécurité Wordfence pour bloquer automatiquement tout humain ou bot qui essaie de se connecter avec le nom d’utilisateur Admin.
3. Appliquer des mots de passe forts
N’autorisez personne, en particulier les utilisateurs disposant de privilèges de niveau administrateur, à créer un mot de passe qui n’est pas fort.
Même les utilisateurs disposant de faibles privilèges sur le site Web, comme le niveau d’abonné, peuvent devenir un vecteur d’attaque. Il est donc important d’appliquer des mots de passe forts à tous ceux qui peuvent se connecter au site WordPress.
La populaire Extension WordPress de sécurité iThemesavec plus d’un million d’utilisateurs, offre une application de la force du mot de passe de connexion, ainsi qu’une authentification à deux facteurs.
Une stratégie de sécurité de mot de passe qui applique des mots de passe forts peut également être activée à l’aide de la Clôture des mots Plugin de sécurité WordPress.
4. Mettre à jour les plugins et les thèmes
Certaines mises à jour des plugins, des thèmes et de l’installation principale de WordPress elle-même visent à corriger (corriger) les vulnérabilités.
L’absence de mise à jour du logiciel peut rendre le site vulnérable.
La plupart des mises à jour fonctionnent correctement. En de rares occasions, une mise à jour peut modifier quelque chose dans le logiciel qui commence à entrer en conflit avec un autre plugin ou thème, provoquant le blocage du site.
Si cela se produit, il est facile de restaurer le site à un état antérieur si le site a été sauvegardé.
La meilleure façon de mettre à jour les plugins et les thèmes est de mettre en scène le site et de vérifier si le site fonctionne comme il se doit avec le logiciel mis à jour.
Mais si vous ne mettez pas le site en scène, la deuxième option consiste à sauvegarder le site, puis à le mettre à jour.
Testez le site pour vous assurer que tout fonctionne. Si le site fonctionne mal, restaurez-le avec la sauvegarde.
La troisième option consiste à configurer tous les plugins pour qu’ils se mettent à jour automatiquement afin que vous n’ayez même pas à y penser. Si quelque chose se casse, ramenez-le à son état précédent.
5. Sauvegardez votre site Web WordPress
La sauvegarde quotidienne d’un site Web est essentielle.
Il y a beaucoup de choses qui peuvent mal tourner, et une sauvegarde sauvera le jour où quelque chose de catastrophique arrivera au site.
Plug-in de sauvegarde WordPress UpdraftPlusavec plus de 3 millions d’utilisateurs, est une solution populaire et fiable.
Je l’utilise sur tous mes sites Web et je peux le recommander en toute confiance.
Cela m’a épargné à l’occasion d’une refonte de site web qui ne s’était pas si bien passée, me permettant de restaurer facilement le site à une version précédente.
Une autre solution populaire s’appelle Restauration de WP.
WP Rollback compte plus de 200 000 installations et les personnes qui créent le logiciel sont des développeurs WordPress de confiance et experts.
Cela fonctionne bien avec les thèmes et les plugins téléchargés depuis WordPress.org.
6. Minimisez l’utilisation des plugins
Chaque plugin installé augmente les chances que l’un d’entre eux expose le site à une vulnérabilité.
Outre des raisons de sécurité, l’utilisation d’un trop grand nombre de plugins peut avoir un impact sur les performances du site, ainsi qu’augmenter le risque que le code entre deux plugins ou plus ait un conflit et plante le site.
Planifiez à l’avance les plugins que vous souhaitez utiliser pour accomplir ce dont vous avez besoin.
Certains plugins peuvent effectuer plusieurs tâches, éliminant ainsi le besoin d’installer un plugin autonome pour accomplir cette seule chose.
7. Mettre en œuvre l’authentification à deux facteurs
L’authentification à deux facteurs est ainsi appelée car il faut deux formes d’identification pour se connecter à un site WordPress avec cette fonctionnalité activée.
Le premier facteur est le nom d’utilisateur et le mot de passe.
Le deuxième facteur est une deuxième forme d’authentification, généralement avec une application comme Authy ou Google Authenticator qui se trouve sur le téléphone portable de l’utilisateur.
Ainsi, même si un pirate parvient à accéder au nom d’utilisateur et au mot de passe, il ne pourra pas se connecter sans la deuxième authentification.
Il existe de nombreux plugins WordPress parmi lesquels choisir pour ajouter cette fonctionnalité, notamment :
WP 2FA
WP 2FA est un choix populaire pour ajouter une authentification à deux facteurs.
Il prend en charge plusieurs méthodes d’authentification à deux facteurs, notamment Google Authenticator, Authy, le lien par e-mail, l’OTP par e-mail et la notification push.
Il existe des méthodes supplémentaires telles que l’authentification vocale et WhatsApp disponibles avec la version Pro.
Sécurité de connexion Wordfence
Clôture des mots est une marque de confiance. son plug-in d’authentification à deux facteurs autonome prend en charge Authenticator, Authy, 1Password et FreeOTP.
De plus, des plugins de sécurité comme Clôture des mots et Sécurité iThèmes ont également des options pour activer l’authentification à deux facteurs.
8. Installez un plugin de sécurité WordPress
Les plugins de sécurité sont utiles car ils peuvent combler toutes les failles de sécurité et bloquer les pirates qui tentent de tirer parti de ces vulnérabilités.
Il existe deux types de plugins de sécurité WordPress :
- Renforcement et analyse de la sécurité.
- Pare-feu.
Voici quelques outils que je recommanderais.
Sucuri Sécurité
Sucuri est un choix de confiance pour un plugin de sécurité. Il appartient à GoDaddy.
Sucuri analyse un site à la recherche de logiciels malveillants et propose des options pour renforcer le site contre les exploits.
Choisir Sucuri est facile car il complète un plugin de pare-feu, tel que Wordfence.
La version payante comprend également un pare-feu.
Jetpack Protéger
Jetpack Protéger est créé par Automattic, la société derrière WordPress.com, Akismet, WPScan et WooCommerce, entre autres.
Jetpack Protect effectue une analyse quotidienne des logiciels malveillants du noyau, des plugins et des thèmes WordPress.
Ce plugin gratuit est relativement nouveau – il a été transformé en un plugin autonome en 2022.
Wordfence Security – Pare-feu, analyse des logiciels malveillants et sécurité de connexion
Clôture des mots est un choix populaire pour la sécurité WordPress. Il y a plus de 4 millions d’installations actives.
Wordfence agit comme un pare-feu pour protéger un site Web contre les attaques de piratage et peut interdire les robots de piratage automatisés et les pirates réels en temps réel si l’activité correspond au modèle d’un pirate.
Les utilisateurs peuvent configurer le pare-feu Wordfence avec des règles qui peuvent immédiatement bloquer les pirates.
Wordfence aide également à renforcer un site contre le piratage en fournissant une authentification à deux facteurs et en désactivant l’exécution de PHP dans les dossiers où PHP ne doit pas s’exécuter.
Un autre avantage de Wordfence est que le plugin envoie des rappels par e-mail lorsqu’un plugin a besoin d’une mise à jour.
La version payante de Wordfence reçoit des règles de pare-feu pour se protéger contre les derniers exploits dès que Wordfence en a connaissance.
Sécurité iThèmes
Sécurité iThèmes est un plugin tout-en-un qui analyse et renforce un site Web et bloque les mauvais bots en tant que pare-feu. Il y a plus d’un million d’installations actives.
iThemes gère de nombreuses activités liées à la sécurité, ce qui en fait un choix populaire pour ceux qui préfèrent un plugin pour tout faire.
Prendre des mesures de sécurité WordPress supplémentaires
Ce sont les étapes supplémentaires pour créer une posture de sécurité solide.
Vérifiez votre version PHP
PHP est le logiciel sur lequel WordPress s’exécute.
Les versions obsolètes de PHP peuvent exposer un site à des failles de sécurité.
Assurez-vous que la version PHP utilisée n’a pas atteint le statut de fin de vie (EOL).
Analyser la vulnérabilité en ligne
Voici trois outils en ligne qui analysent les vulnérabilités ou indiquent si un site a été piraté :
L’avenir de la sécurité WordPress
Les pirates attaquent tous les sites, quel que soit le système de gestion de contenu (CMS) utilisé.
WordPress est le CMS le plus populaire au mondece qui en fait une cible populaire pour les pirates.
Heureusement, WordPress a une communauté massive qui travaille pour le garder en sécurité, ce qui est un avantage que les autres plates-formes n’ont pas.
Tous les propriétaires de sites Web WordPress devraient envisager de prendre le temps de s’assurer que des mesures sont en place pour assurer la sécurité totale de leurs sites WordPress.
Davantage de ressources:
Image en vedette : Shutterstock/fizkes
to www.searchenginejournal.com
Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931