Guide de sécurité WordPress : Sécuriser WordPress 2024
Imaginez un peu :
Vous ouvrez votre site WordPress, les yeux brillants, la queue touffue, et vous êtes prêt à télécharger votre dernier article de blog... mais vous tombez sur un tas de contenus bizarres qui incitent les gens à acheter des pilules pharmaceutiques sur des sites web douteux.
C'est le pire cauchemar de la plupart des webmasters, mais c'est quelque chose qui peut arriver à votre site WordPress... si vous ne mettez pas en place les bonnes pratiques de sécurité.
Nous n'essayons pas de vous effrayer - WordPress est sécurisé. Il dispose d'une équipe dédiée à la sécurité et d'une armée de contributeurs et de développeurs compétents qui l'aident à le rester.
Mais si vous ne construisez pas sur cette base sécurisée en suivant les meilleures pratiques de sécurité de WordPress, vous pourriez ouvrir la porte à des acteurs malveillants pour qu'ils s'introduisent sur votre site web.
Dans cet article, nous allons vous aider à découvrir ces meilleures pratiques afin que ce scénario cauchemardesque ne devienne pas une réalité.
À cette fin, nous allons couvrir les sections suivantes :
Dans cet article
- WordPress est-il sûr ?
- Pourquoi vous ne devriez pas attendre pour prendre au sérieux la sécurité de WordPress
- 20 choses que vous pouvez faire dès maintenant pour la sécurité de WordPress
- 1. Comprendre les thèmes de base de la sécurité de WordPress
- 2. Appliquer rapidement les mises à jour de WordPress
- 3. Utiliser des mots de passe forts pour tout
- 4. Utiliser des plugins de confiance
- 5. Sécurisez votre ordinateur
- 6. Verrouillez votre page de connexion
- 7. Effectuer des sauvegardes régulières
- 8. Utiliser un hébergement sécurisé
- 9. Installer un certificat SSL et utiliser HTTPS
- 10. Utiliser SFTP et ne pas stocker les mots de passe
- 11. Désactiver XML-RPC
- 12. Désactiver l'édition de fichiers
- 13. Contrôler les questions de sécurité
- 14. Sécuriser les fichiers et dossiers clés de WordPress
- 15. Mettre en œuvre des autorisations de fichiers appropriées
- 16. Envisager l'enregistrement des activités
- 17. Ajouter les derniers en-têtes de sécurité
- 18. Sécuriser votre base de données
- 19. Désactiver les liens chauds
- 20. Mettre en place une protection DDoS à l'avance
- Quels sont les risques en cas de violation d'un site ?
- Comment savoir si votre site WordPress a été piraté ?
- Trois meilleurs outils et plugins de sécurité pour WordPress
- Concentrez-vous sur ces trois points pour obtenir le meilleur retour sur investissement en matière de sécurité WordPress
- Surveiller, identifier et réparer les failles de sécurité de WordPress
Même s'il vous faudra quelques heures pour mettre en œuvre les meilleures pratiques décrites dans cet article, ce petit investissement aujourd'hui vous rapportera des dividendes à l'avenir, sous la forme d'un site WordPress sécurisé et à toute épreuve.
Nous testons et étudions rigoureusement chaque produit que nous recommandons sur HeroThemes. Notre processus d'évaluation. Nous pouvons également percevoir une commission si vous effectuez un achat par l'intermédiaire de nos liens.
WordPress est-il sûr ?
WordPress alimente plus de 43 % de tous les sites web sur l'internet, ce qui en fait une cible juteuse pour les acteurs malveillants.
Le fait que WordPress soit si populaire signifie également qu'il est utilisé par une grande variété de personnes, y compris des personnes ayant des niveaux de connaissances très différents. Pensez à un développeur expérimenté par rapport à quelqu'un qui vient de lancer son premier blog... et à tous ceux qui se trouvent entre les deux.
Il y a de bonnes et de mauvaises nouvelles...
Bonne nouvelle :
WordPress est sûr. C'est pourquoi il est utilisé par tant de personnes ordinaires, ainsi que par degrandes organisations telles que la Maison Blanche des États-Unis et Facebook.
Facebook et la Maison Blanche ne confieraient pas leurs sites web à une plateforme non sécurisée. En outre, 43 % des sites web sur l'internet ne fonctionneraient pas sur WordPress s'il n'était pas sécurisé.
Mauvaise nouvelle:
Beaucoup de sites WordPress sont piratés . Dans les rapports de Sucuri sur les sites piratés, WordPress est régulièrement la plateforme la plus piratée(n'oubliez pas qu'elle est très populaire).
Alors, comment WordPress peut-il être sûr et avoir des sites piratés ? Ne s'agit-il pas de choses mutuellement exclusives ?
La réponse se trouve entièrement dans la façon dont les gens utilisent WordPress.
Si vous êtes proactif et que vous suivez les meilleures pratiques en matière de sécurité, comme celles que nous allons aborder dans cet article, vous pouvez sécuriser votre site WordPress et éviter les problèmes.
WordPress dispose d'un vaste dispositif de sécurité, comprenant une équipe de sécurité officielle de plus de 50 membres et un ensemble de développeurs expérimentés qui créent des extensions sécurisées et signalent les problèmes potentiels.
Ces personnes font un excellent travail pour sécuriser WordPress, mais vous devez quand même faire votre part si vous voulez qu'il le reste.
Si vous ne vous appuyez pas sur le travail acharné des contributeurs de WordPress et ne suivez pas les meilleures pratiques, vous pouvez commettre des erreurs qui ouvrent des brèches dans le logiciel WordPress, qu'il s'agisse de l'utilisation d'un mot de passe faible, de l'installation d'un plugin vulnérable ou d'autre chose.
Pourquoi vous ne devriez pas attendre pour prendre au sérieux la sécurité de WordPress
La sécurité de WordPress est l'une de ces choses qui semblent ne pas avoir d'importance... jusqu'à ce qu'elle en ait une vraiment.
Il est donc facile de reléguer la sécurité au second plan, car il est difficile d'établir un lien entre les améliorations apportées à la sécurité et les indicateurs de croissance tels que le trafic ou le chiffre d'affaires.
Nous sommes un peu brutaux ici, mais cette façon de penser est incroyablement peu perspicace. La mise en œuvre de la liste de contrôle de sécurité WordPress ci-dessous demande un peu de temps et éventuellement un peu d'argent, mais ces coûts sont dérisoires par rapport à ce que vous "paierez" si votre site fait l'objet d'une violation.
Une seule faille de sécurité vous "coûtera" facilement plus en termes de perte de temps, de revenus, de trafic SEO et de confiance avec vos visiteurs.
En fait, vous ne voulez pas jouer avec la sécurité de votre site. Consacrez-y du temps dès maintenant pour vous prémunir contre des coûts considérables par la suite.
20 choses que vous pouvez faire dès maintenant pour la sécurité de WordPress
Jusqu'à présent, nous avons parlé de théorie. Nous allons maintenant passer à des tactiques concrètes pour verrouiller votre site, en commençant par une liste de contrôle de sécurité WordPress que vous pouvez mettre en œuvre pour protéger votre site dès aujourd'hui.
1. Comprendre les thèmes de base de la sécurité de WordPress
Avant de modifier quoi que ce soit sur votre site, vous devez comprendre les thèmes de base de la sécurité de WordPress :
- Limiter l'accès - limiter l'accès à votre site, tant par des méthodes intentionnelles (comptes d'utilisateurs) que par des méthodes non intentionnelles (vulnérabilités).
- Contenir les problèmes - si un acteur malveillant obtient un accès, vous voulez limiter les dommages qu'il peut causer.
- N'utilisez que des tiers de confiance - bien que le noyau de WordPress soit sécurisé, chaque extension que vous ajoutez à votre site constitue une vulnérabilité potentielle.
2. Appliquer rapidement les mises à jour de WordPress
Pour protéger votre site des nouvelles failles de sécurité, il est essentiel d'appliquer rapidement les mises à jour du noyau de WordPress, les mises à jour des plugins et les mises à jour des thèmes. Cela est particulièrement vrai pour les mises à jour de sécurité, que vous devez appliquer immédiatement*.
*Les mises à jour de sécurité comportent deux points dans le numéro de version, par exemple 5.9.1. Vous pouvez attendre pour appliquer les mises à jour de fonctionnalités majeures, qui ne comportent qu'un seul point - par exemple 5.9.
3. Utiliser des mots de passe forts pour tout
L'utilisation de mots de passe forts et uniques pour votre compte d'administration WordPress, votre compte d'hébergement et d'autres outils (par exemple, les identifiants SFTP) peut contribuer à prévenir les attaques par force brute et d'autres types d'attaques basées sur la connexion.
Pour stocker les mots de passe en toute sécurité, vous pouvez utiliser un gestionnaire de mots de passe tel que Bitwarden ou LastPass. Ces gestionnaires de mots de passe peuvent également vous aider à générer des mots de passe uniques.
4. Utiliser des plugins de confiance
N'installez que des plugins provenant de développeurs de confiance qui assurent encore activement la maintenance du plugin pour tenir compte des nouvelles versions de WordPress et des vulnérabilités récemment découvertes.
5. Sécurisez votre ordinateur
Assurez-vous que l'ordinateur que vous utilisez pour accéder à votre site WordPress est propre. Utilisez un logiciel antivirus de qualité et effectuez régulièrement des analyses de logiciels malveillants.
6. Verrouillez votre page de connexion
Outre l'utilisation de mots de passe forts, vous pouvez protéger votre page de connexion en utilisant des tactiques telles que la limitation des tentatives de connexion et l'authentification à deux facteurs. Vous pouvez le faire avec des plugins gratuits spécifiques comme Limit Login Attempts Reloaded et Two Factor Authentication. Vous pouvez également utiliser certains des plugins de sécurité WordPress que nous aborderons plus loin dans cet article.
Vous pouvez également modifierl' URL de connexion de WordPress. Bien que cela n'ajoute pas beaucoup de sécurité supplémentaire si vous mettez en œuvre les conseils ci-dessus, cela peut réduire le trafic des robots.
7. Effectuer des sauvegardes régulières
Faire des sauvegardes régulières et les stocker dans un endroit sûr est un élément important de la sécurité de WordPress. Si vous disposez d'une sauvegarde récente, une faille de sécurité dans le pire des cas n'est qu'un inconvénient et non une catastrophe en ce qui concerne les données de votre site.
La plupart des hébergeurs WordPress gérés proposent aujourd'hui des sauvegardes automatiques hors site. Si ce n'est pas le cas, vous pouvez utiliser un plugin comme UpdraftPlus.
8. Utiliser un hébergement sécurisé
Utilisez un hébergeur WordPress de haute qualité qui met en œuvre des protocoles de sécurité solides tels que des pare-feu et des analyses de logiciels malveillants. Bien que vous ne deviez pas vous fier uniquement à votre hébergeur, un hébergeur WordPress de qualité peut contribuer grandement à la sécurisation de votre site WordPress.
9. Installer un certificat SSL et utiliser HTTPS
Assurez-vous d'avoir installé un certificat SSL et configuré votre site pour forcer tout le trafic vers la version sécurisée HTTPS. Cela garantit que toutes les données qui transitent entre le navigateur web d'un visiteur et le serveur de votre site sont cryptées.
Vous pouvez consulter l'équipe d'assistance ou la documentation de votre hébergeur pour savoir comment installer un certificat SSL. Des plugins comme Really Simple SSL peuvent vous aider à forcer le trafic HTTPS sur votre site.
10. Utiliser SFTP et ne pas stocker les mots de passe
Veillez à utiliser SFTP lorsque vous vous connectez au serveur de votre site, plutôt que FTP simple(qui n'est pas crypté). En outre, évitez de stocker vos mots de passe SFTP dans votre client FTP, à moins qu'ils ne soient cryptés et protégés par un mot de passe.
11. Désactiver XML-RPC
XML-RPC permet à certaines applications, comme une application iPhone, de se connecter à votre site WordPress. La plupart des gens n'utiliseront jamais ces applications pour se connecter, ce qui signifie que XML-RPC n'est qu'un vecteur de vulnérabilité inutile pour les attaques par force brute ou DDoS.
Pour cette raison, la plupart des gens désactivent XML-RPC, ce que vous pouvez faire avec un plugin comme Disable XML-RPC ou l'un des plugins de sécurité générale dont nous parlerons plus tard.
12. Désactiver l'édition de fichiers
Par défaut, WordPress permet aux utilisateurs de l'administration de modifier directement les fichiers de thèmes et de plugins à partir du tableau de bord de WordPress, ce qui constitue une énorme vulnérabilité si un acteur malveillant parvient à accéder à votre tableau de bord.
Vous pouvez le désactiver en ajoutant une ligne à votre fichier wp-config.php.
13. Contrôler les questions de sécurité
La mise en place de politiques régulières de surveillance de la sécurité peut vous aider à détecter les problèmes avant qu'ils ne s'aggravent. Nous reviendrons sur les bonnes pratiques de surveillance plus loin dans ce billet.
14. Sécuriser les fichiers et dossiers clés de WordPress
Certains fichiers et dossiers de WordPress sont particulièrement vulnérables. Vous devez donc veiller à sécuriser le fichier wp-config.php ainsi que les dossiers wp-admin et wp-includes.
15. Mettre en œuvre des autorisations de fichiers appropriées
Les autorisations de fichiers contrôlent l'accès des utilisateurs et des programmes aux fichiers et dossiers de votre serveur d'hébergement. Si elles sont mal configurées, elles peuvent permettre à des acteurs malveillants d'accéder à des fichiers importants tels que le fichier wp-config.php ou le fichier .htaccess.
Pour connaître les permissions appropriées pour WordPress, vous pouvez lire cette page de WordPress.org.
16. Envisager l'enregistrement des activités
L'enregistrement des activités vous permet de suivre ce qui se passe sur votre site, ce qui peut vous aider à détecter les comportements suspects avant qu'ils ne deviennent un problème majeur.
Pour mettre en place l'enregistrement des activités, vous pouvez utiliser un plugin spécialisé comme WP Activity Log. Certains plugins de sécurité WordPress polyvalents intègrent également une fonctionnalité de journalisation.
17. Ajouter les derniers en-têtes de sécurité
Les en-têtes de sécurité HTTP peuvent aider à sécuriser votre site en contrôlant la façon dont les navigateurs web interagissent avec le contenu de votre site. Vous les configurerez généralement au niveau du serveur - KeyCDN a publié un excellent article expliquant les en-têtes de sécurité les plus importants.
18. Sécuriser votre base de données
L'utilisation d'un préfixe de table de base de données unique et d'un nom de base de données unique peut rendre l'injection de contenu malveillant dans votre base de données légèrement plus difficile pour les acteurs malveillants, bien que certains experts s'interrogent sur son utilité. Étant donné que cette modification est facile à appliquer, elle en vaut la peine, même s'il s'agit d'une petite quantité de "sécurité par l'obscurité".
19. Désactiver les liens chauds
Le fait que d'autres sites créent des liens hypertextes vers vos images ne constitue peut-être pas un risque direct pour la sécurité, mais cela peut avoir un effet négatif sur votre serveur en termes de gaspillage de ressources.
20. Mettre en place une protection DDoS à l'avance
Prévoyez un plan pour faire face aux attaques par déni de service distribué. Vous pouvez demander à votre hébergeur quelles protections il a mises en place ou ajouter votre site à Cloudflare afin de pouvoir activer rapidement le mode "Je suis attaqué" de Cloudflare en cas de besoin.
Quels sont les risques en cas de violation d'un site ?
Il existe trois types de risques principaux en cas de violation de votre site...
Risques pour les visiteurs de votre site web
Si vous stockez des données sur vos visiteurs, des acteurs malveillants pourraient avoir accès à toutes ces informations, ce qui pourrait entraîner des problèmes d'usurpation d'identité ou de vol financier en fonction des données que vous stockez.
Les acteurs malveillants peuvent également essayer de tromper les utilisateurs en leur faisant télécharger des fichiers malveillants et en infectant leurs ordinateurs.
Risques pour les propriétaires de sites
Une faille de sécurité peut entraîner des problèmes directs sous la forme de perte de données, de perte de temps et d'indisponibilité du site. Si vous n'effectuez pas de sauvegardes régulières(ce qui, espérons-le, n'est pas le cas après avoir lu ce guide), vous risquez même de perdre l'intégralité de votre site et de devoir le reconstruire à partir de zéro.
Une violation peut également entraîner des problèmes moins tangibles, tels qu'une perte de confiance de la part de vos visiteurs ou une atteinte générale à votre réputation.
Risque pour les autres sites
Si vous utilisez un hébergement partagé et/ou si vous hébergez certains de vos autres sites sur le même compte d'hébergement, la violation d'un site peut rapidement se propager à d'autres sites si ces derniers ne sont pas étroitement isolés les uns des autres. Ainsi, l'infection d'un site peut avoir un effet domino sur d'autres sites, même si ces derniers sont sécurisés.
Comment savoir si votre site WordPress a été piraté ?
Il y a deux façons de savoir si votre site a été piraté :
- Signes réactifs - vous découvrez un problème parce que vous le voyez sur votre site.
- Signes proactifs - vos protocoles de surveillance de la sécurité vous avertissent du problème avant qu'il ne se manifeste sur votre site.
L'idéal est d'utiliser des outils qui vous permettent de résoudre les problèmes de manière proactive, plutôt que d'attendre qu'ils deviennent un problème. Vous pourrez ainsi minimiser les dommages causés à votre site.
Signes réactifs de piratage informatique
- Alerte du navigateur - la plupart des navigateurs affichent un avertissement si vous visitez une page infectée. Si cela se produit lorsque vous visitez votre propre site, vous savez que vous avez un problème.
- Alerte du moteur de recherche - Google avertit également les visiteurs s'ils cliquent sur un lien menant à un site infecté. Le message indique quelque chose comme "Ce site peut être piraté".
- Services aux webmasters - si vous utilisez Google Search Console, Google vous signalera les problèmes de sécurité si vous allez dans Sécurité et actions manuelles → Problèmes de sécurité.
- Visiteurs web - si les visiteurs web rencontrent un contenu malveillant, ils peuvent vous en informer directement.
Signes proactifs de piratage informatique
- Scanner de logiciels mal veillants - un scanner de logiciels malveillants peut détecter un code malveillant sur votre serveur, même s'il n'a pas encore commencé à affecter le front-end de votre site.
- Vérifications de l'intégrité des fichiers - si les fichiers principaux de WordPress ne correspondent pas aux versions officielles, c'est le signe que quelque chose ne va pas sur votre site. La plupart des plugins de sécurité vous alerteront automatiquement si un fichier central a été modifié.
- Moniteurs de trafic - la surveillance du trafic de votre site WordPress vous aidera à détecter les irrégularités au fur et à mesure qu'elles se produisent.
Le plugin Wordfence offre des analyses de sécurité pour WordPress
Trois meilleurs outils et plugins de sécurité pour WordPress
Si vous souhaitez avoir l'esprit tranquille en ce qui concerne la sécurité de WordPress, vous pouvez envisager d'utiliser un plugin ou un service dédié à la sécurité de WordPress.
Bien que ces outils n'éliminent pas complètement la nécessité d'être vigilant, ils peuvent prendre en charge la plupart des meilleures pratiques en matière de sécurité WordPress.
En voici trois parmi les meilleurs :
1. Wordfence
Wordfence est le plugin de sécurité WordPress le plus populaire sur WordPress.org. Il dispose d'un ensemble complet de fonctionnalités permettant de protéger et de contrôler tous les aspects de la sécurité de votre site :
- Pare-feu d'application web (WAF ) pour bloquer de manière proactive les menaces avant qu'elles ne nuisent à votre site. Inclut un ensemble de définitions constamment mises à jour pour bloquer les menaces émergentes.
- Analyse des logiciels malveillants et de la sécurité pour détecter les infections ou les failles de sécurité.
- Fonctionnalités de sécurité de connexion incluant la limitation des tentatives de connexion, l'authentification à deux facteurs, la protection contre les fuites de mots de passe, la désactivation/durcissement de XML-RPC, et plus encore.
- Enregistrement en temps réel pour détecter les acteurs malveillants.
- Notifications pour vous alerter instantanément des problèmes potentiels sur votre site.
- De nombreuses autres tactiques de renforcement plus modestes , notamment la détection des modifications de fichiers.
- Tableau de bord de sécurité central qui vous permet de gérer la sécurité de plusieurs sites à partir d'un seul endroit.
Il existe une version gratuite sur WordPress.org et Wordfence Premium à partir de 99 $.
2. Sucuri
Sucuri, c'est deux choses :
- Un plugin gratuit sur WordPress.org qui met en œuvre des pratiques de base de renforcement de la sécurité.
- Un service de pare-feu payant qui s'installe devant votre serveur et bloque le trafic malveillant avant qu'il n'atteigne votre site.
Pour une protection optimale, vous devez utiliser les deux outils.
Le plugin gratuit Sucuri met en œuvre les fonctions de renforcement de la sécurité suivantes :
- Contrôle de l'intégrité des fichiers
- Journaux d'audit
- Surveillance automatique de la liste noire
- Options de renforcement de base telles que la désactivation de l'édition de fichiers et le blocage de certains fichiers PHP
- Surveillance des échecs de connexion pour détecter les attaques par force brute
- Alertes de sécurité automatiques par courrier électronique
Pour utiliser le service de pare-feu, vous devez changer les serveurs de noms de votre domaine pour Sucuri et le pare-feu de Sucuri protégera votre site au niveau du réseau.
Le plugin Sucuri est gratuit, mais le pare-feu coûte 10 dollars par mois. Vous pouvez également payer pour un plan de sécurité complet pour votre site web, qui inclut le nettoyage et la suppression des logiciels malveillants. Ces plans sont proposés à partir de 200 $ par an.
3. iThemes Security
iThemes Security est un autre outil populaire qui peut vous aider à renforcer votre site et à le surveiller pour détecter les problèmes de sécurité.
Voici ce qu'il peut faire :
- Le scanner de site détecte automatiquement les vulnérabilités connues de votre site.
- Protection de la connexion, y compris l'authentification à deux facteurs, la limitation des tentatives de connexion, les appareils de confiance, les exigences en matière de mot de passe fort, etc.
- Journaux de sécurité comprenant l'enregistrement des événements de sécurité et l'enregistrement de l'activité des utilisateurs.
- Détection des modifications de fichiers pour vérifier si les fichiers principaux ont été modifiés.
- Notifications par courrier électronique pour vous alerter instantanément des problèmes de sécurité potentiels.
- Durcissement général de WordPress comprenant la désactivation de XML-RPC, la désactivation de l'édition de fichiers, la vérification des permissions de fichiers, et plus encore.
iThemes Security n' offre pas de pare-feu - les développeurs recommandent de l'associer au service de pare-feu de Sucuri si vous souhaitez un pare-feu.
Bien qu'il existe une version gratuite limitée d'iThemes Security sur WordPress.org, vous aurez besoin d'iThemes Security Pro pour une protection optimale. Il est proposé à partir de 80 $.
Concentrez-vous sur ces trois points pour obtenir le meilleur retour sur investissement en matière de sécurité WordPress
Comme beaucoup de choses dans la vie, la sécurité de WordPress suit le principe 80/20 de Pareto. En d'autres termes, si vous vous concentrez sur quelques tactiques fondamentales de sécurité WordPress, vous serez en grande partie en mesure d'avoir un site sécurisé.
Ainsi, même si nous pensons qu'il est important de suivre la liste de contrôle de sécurité de WordPress que nous avons partagée ci-dessus, le fait de se concentrer sur trois domaines seulement vous protégera de la plupart des problèmes liés à la sécurité de WordPress.
Passons-les en revue...
1. Les plugins
Si le logiciel de base de WordPress est sûr(à condition de le maintenir à jour), les plugins introduisent des variables que l'équipe de base ne peut pas contrôler, ce qui en fait l'un des plus grands vecteurs d'attaque pour les acteurs malveillants.
Cependant, les plugins sont également une partie essentielle de WordPress, donc ne pas les utiliser n'est pas une option réaliste.
Voici trois façons de continuer à bénéficier des plugins tout en minimisant considérablement les risques :
- Évitez les plugins abandonnés - si un plugin n'est plus maintenu, cela signifie qu'il n'y a plus personne pour corriger les problèmes nouvellement découverts et assurer sa compatibilité avec les nouvelles versions de WordPress.
- N'achetez qu'auprès de développeurs réputés - utilisez des développeurs de confiance tels que HeroThemes qui respectent les meilleures pratiques en matière de sécurité WordPress et restent à l'affût des nouvelles menaces.
- Mettez régulièrement à jour - même les meilleurs plugins des meilleurs développeurs peuvent parfois présenter des vulnérabilités récemment découvertes. Les développeurs de qualité corrigeront ces vulnérabilités avant qu'elles ne deviennent un problème - à condition que vous fassiez rapidement les mises à jour.
2. Attaques par force brute
Les attaques par force brute sont un vecteur d'attaque courant qui consiste à s'introduire dans votre site par la page de connexion. Peu importe la sécurité du reste de votre site - si un acteur malveillant parvient à deviner votre nom d'utilisateur et votre mot de passe, il a les clés de la porte d'entrée.
Voici comment vous protéger :
- Utilisez des mots de passe forts et uniques - choisissez un mot de passe fort pour tous vos comptes et ne réutilisez pas le même mot de passe à plusieurs endroits.
- Limitez les tentatives de connexion - empêchez les gens de forcer brutalement votre page de connexion en limitant les tentatives de connexion infructueuses et/ou en ajoutant un CAPTCHA.
- Pensez à l'auth entification à deux facteurs - pour encore plus de sécurité, vous pouvez envisager d'utiliser l'authentification à deux facteurs par SMS ou, idéalement, une application pour smartphone ou une clé matérielle.
- Nom d'utilisateur unique - n'utilisez pas "admin" comme nom d'utilisateur et essayez de rendre votre nom d'utilisateur difficile à deviner.
3. Compte d'hébergement
Votre site WordPress peut être parfaitement verrouillé, mais si un acteur malveillant accède à votre compte d'hébergement, il peut faire à peu près tout ce qu'il veut sur votre site.
Pour éviter cela, il est essentiel de verrouiller votre compte d'hébergement et votre serveur :
- Utilisez des mots de passe forts - comme pour votre compte WordPress, utilisez des mots de passe forts et uniques pour vos comptes d'hébergement et SFTP.
- Activez l'authentification à deux facteurs - la plupart des fournisseurs d'hébergement prennent en charge l'authentification à deux facteurs - profitez-en.
- Utilisez SF TP - connectez-vous toujours par SFTP et non par FTP non crypté.
- Ne pas stocker les mots de passe SFTP - ne pas stocker les mots de passe SFTP non chiffrés dans votre client FTP.
Surveiller, identifier et réparer les failles de sécurité de WordPress
Si vous mettez en œuvre toutes les tactiques de sécurité WordPress ci-dessus, vous devriez, avec un peu de chance, ne jamais avoir à faire face à une faille de sécurité.
Cependant, il est toujours possible que quelque chose passe à travers les mailles du filet, c'est pourquoi il est important d'avoir un plan en place pour détecter et résoudre les problèmes de sécurité.
Surveillance des vulnérabilités
- Analysez votre site - utilisez des outils tels que Sucuri SiteCheck pour détecter les problèmes liés aux listes noires et analysez votre serveur à l'aide d'un plugin de sécurité.
- Google Search Console - faites attention aux avertissements dans la section des problèmes de sécurité.
- Utilisez la commande Google site dans la recherche - recherchez site:votresite.com pour voir si Google a indexé un contenu qui semble malveillant. Il peut s'agir d'un contenu que vous n'avez pas créé ou d'un contenu dont les titres et les méta-descriptions sont bizarres.
- Journal d'activité - parcourez le journal d'activité de votre site pour repérer les activités suspectes.
- Vérifiez les analyses - recherchez des creux ou des pics inexpliqués dans vos analyses de trafic.
- Fichier .htaccess - faites attention aux modifications apportées à votre fichier .htaccess, car c'est là que de nombreux acteurs placent des redirections malveillantes ou établissent des règles d'agent utilisateur pour dissimuler leur spam SEO aux visiteurs humains.
Identifier les problèmes
Une fois que vos efforts de surveillance ont permis de détecter un problème, il est temps d'identifier le problème spécifique de votre site afin de le résoudre et de le remettre en état de marche. Pour ce faire, vous pouvez utiliser un plugin de sécurité pour analyser votre site et identifier les fichiers malveillants et les portes dérobées.
Réparation de votre site
Une fois que vous avez identifié le problème spécifique, il est temps de corriger votre site.
Vous pouvez suivre plusieurs voies différentes en fonction de la gravité de l'infection et de votre niveau de connaissance :
- Utilisez un plugin de sécurité - de nombreux plugins de sécurité offrent des correctifs en un clic, soit en nettoyant le fichier, soit en ramenant votre site à une version propre.
- Engagez un expert - si vous vous sentez dépassé, vous pouvez payer pour un service d'expert comme les services de sécurité des sites Web de Sucuri ou de nettoyage des sites de Wordfence.
- Effectuer un nettoyage manuel - si vous avez les connaissances techniques nécessaires, vous pouvez nettoyer votre site manuellement - MalCare propose un guide détaillé sur la manière d'effectuer un nettoyage manuel.
Si votre site a été mis sur liste noire par Google, vous devrez également demander une révision après avoir nettoyé votre site. Vous pouvez le faire à partir de la section " Problèmes de sécurité " de Google Search Console.
Assurer la sécurité de votre site WordPress
WordPress est sûr, mais la façon dont les gens utilisent WordPress n'est pas toujours sûre.
Prendre un peu de temps maintenant pour créer un plan proactif pour la sécurité de WordPress portera ses fruits sous la forme d'un site sécurisé et évitera d'avoir à gérer une violation à l'avenir.
Vous pouvez mettre en œuvre les conseils de cet article et suivre une liste de contrôle de la sécurité de WordPress, comme celle de Wordfence. Si vous avez besoin d'un coup de main, vous pouvez également faire appel à un développeur ou à un service de maintenance WordPress.
La sécurité de WordPress n'est pas non plus quelque chose que vous êtes seul à faire. Toute la communauté WordPress est sur votre site et vous aide à créer des sites plus sûrs.
Chez HeroThemesnous nous concentrons sur la création de plugins et de thèmes sécurisés et fiables qui vous permettent d'étendre votre site WordPress tout en le sécurisant. De nombreux autres développeurs font de même.
Si vous vous en tenez à de telles extensions et que vous suivez d'autres bonnes pratiques en matière de sécurité, vous pourrez profiter des avantages d'un site WordPress sécurisé.