Quand il s’agit de la sécurité de WordPress, il ya beaucoup de choses que vous pouvez faire pour verrouiller votre site pour empêcher les pirates et les vulnérabilités d’affecter votre site ecommerce ou votre blog. La dernière chose que vous voulez, c’est de vous réveiller un matin pour découvrir votre site en désordre. Donc, aujourd’hui, nous allons partager beaucoup de conseils, de stratégies et de techniques que vous pouvez utiliser pour améliorer votre sécurité WordPress et rester protégé.
Si vous êtes un client Kinsta, vous n’avez pas à vous soucier de la plupart de ces problèmes, car nous offrons des corrections de piratage gratuits ! Mais même avec cette garantie, vous devriez toujours suivre les meilleures pratiques de sécurité.
WordPress est-il sécurisé ?
La première question que vous vous posez certainement, WordPress est-il sécurisé ? Pour la plupart, oui. Cependant, WordPress est généralement mal perçu parce qu’il est sujet à des vulnérabilités de sécurité et qu’il n’est pas, par nature, une plateforme sûre à utiliser pour une entreprise. Le plus souvent, cela est dû au fait que les utilisateurs continuent de suivre les pires pratiques de sécurité éprouvées de l’industrie.
L’utilisation d’une version WordPress obsolète, des plugins Nulled, une mauvaise administration système, gestion des identifiants et le manque de connaissances Web et de sécurité nécessaires chez les utilisateurs WordPress non techniciens permettent aux pirates de maîtriser leur jeu cyber-crime. Même les chefs de file de l’industrie n’utilisent pas toujours les meilleures pratiques. Reuters a été piraté car il utilisait une version obsolète de WordPress.
Fondamentalement, la sécurité n’est pas une question de systèmes parfaitement sécurisés. Une telle chose pourrait bien être imgérable, ou impossible à trouver et/ou à maintenir. Ce qu’est la sécurité, c’est la réduction des risques, et non l’élimination des risques. Il s’agit d’employer tous les contrôles appropriés à votre disposition, dans la mesure du raisonnable, qui vous permettent d’améliorer votre posture globale en réduisant les chances de devenir une cible et de vous faire pirater par la suite. – Codex de la Sécurité WordPress
Cela ne veut pas dire que les vulnérabilités n’existent pas. Selon a une étude de T3 2017 de Sucuri, une société de sécurité multiplateforme, WordPress continue d’être en tête des sites Web infectés sur lesquels ils ont travaillé (à 83%). Ceci est en hausse par rapport à 74% en 2016.
WordPress propulse plus de 43.5% de tous les site sur internet, et avec des centaines de milliers de combinaisons de thèmes et de plugins, il n’est pas surprenant que des vulnérabilités existent et soient constamment découvertes. Cependant, il y a aussi une grande communauté autour de la plateforme WordPress, pour s’assurer que ces choses sont corrigées dès que possible. En 2024, l’équipe de sécurité de WordPress est composée d’environ 50 experts (contre 25 en 2017) dont des développeurs et chercheurs en sécurité – environ la moitié sont employés par Automattic et plusieurs travaillent dans le domaine de la sécurité Web.
Vulnérabilités WordPress
Consultez les différents types de vulnérabilités de sécurité WordPress ci-dessous.
- Backdoors
- Pharma Hacks
- Tentatives de connexion par Brute-force
- Redirections Malveillantes
- Cross-site Scripting (XSS)
- Deni de Service
Backdoors
La vulnérabilité bien nommée backdoor fournit aux pirates des passages cachés en contournant le cryptage de sécurité pour accéder aux sites web WordPress via des méthodes anormales – wp-admin, SFTP, FTP, etc. Une fois exploitées, les backdoors permettent aux pirates de faire des ravages sur les serveurs d’hébergement avec des attaques de contamination inter-sites – compromettant ainsi plusieurs sites hébergés sur le même serveur. Au deuxième trimestre 2016, Sucuri a signalé que les backdoors continuent d’être l’une des nombreuses mesures prises par les attaquants après le piratage, 71 % des sites infectés ayant une forme quelconque d’injection par une backdoor.
Les backdoors sont souvent cryptées pour apparaître comme des fichiers système WordPress légitimes, et se frayer un chemin vers les bases de données WordPress en exploitant les faiblesses et les bugs des versions obsolètes de la plateforme. Le fiasco du TimThumb était un excellent exemple de vulnérabilité par la backdoor exploitant des scripts en arrière plan et des logiciels obsolètes compromettant des millions de sites Web.
Heureusement, la prévention et le traitement de cette vulnérabilité est assez simple. Vous pouvez scanner votre site WordPress avec des outils comme SiteCheck qui peuvent facilement détecter les backdoors communes. L’authentification à deux facteurs, le blocage des adresses IP, la restriction de l’accès administrateur et la prévention de l’exécution non autorisée de fichiers PHP s’occupent facilement des menaces de backdoors courantes, dont nous parlerons plus loin. Canton Becker a également un excellent article sur le nettoyage des problèmes de backdoor sur vos installations WordPress.
Pharma Hacks
L’exploit Pharma Hack est utilisé pour insérer du code malhonnête dans les versions obsolètes des sites web et extensions WordPress, ce qui amène les moteurs de recherche à retourner les annonces de produits pharmaceutiques lorsqu’un site web compromis est recherché. La vulnérabilité est plus une menace de spam que les logiciels malveillants traditionnels, mais donne aux moteurs de recherche suffisamment de raisons de bloquer le site sur les accusations de distribution de spam.
Les parties mobiles d’un Pharma Hack incluent les backdoors dans les extensions et les bases de données, qui peuvent être nettoyées en suivant les instructions de ce blog de Sucuri. Cependant, les exploits sont souvent des variantes vicieuses d’injections malveillantes cryptées cachées dans les bases de données et nécessitent un processus de nettoyage approfondi pour corriger la vulnérabilité. Néanmoins, vous pouvez facilement prévenir les Pharma Hacks en utilisant des hébergeurs WordPress recommandés avec des serveurs à jour et en mettant régulièrement à jour vos installations, thèmes et extensions WordPress. Des hébergeurs comme Kinsta offrent également des correctifs de piratage gratuits.
Tentatives de connexion par Brute-force
Les tentatives de connexion par Brute-force utilisent des scripts automatisés pour exploiter les mots de passe faibles et accéder à votre site. L’authentification en deux étapes, la limitation des tentatives de connexion, la surveillance des connexions non autorisées, le blocage des adresses IP et l’utilisation de mots de passe forts sont parmi les moyens les plus simples et les plus efficaces pour prévenir les attaques par force brute. Mais malheureusement, un certain nombre de propriétaires de sites Web WordPress ne parviennent pas à appliquer ces pratiques de sécurité, alors que les pirates informatiques peuvent facilement compromettre jusqu’à 30 000 sites Web en une seule journée à l’aide d’attaques par force brute.
Redirections malveillantes
Les redirections malveillantes créent des portes dérobées dans les installations WordPress en utilisant FTP, SFTP, wp-admin, et d’autres protocoles et injectent des codes de redirection dans le site. Les redirections sont souvent placées dans votre fichier .htaccess et d’autres fichiers WordPress sous forme codée, dirigeant le trafic Web vers des sites malveillants. Nous allons passer en revue quelques moyens que vous pouvez suivre pour prévenir ces derniers dans nos étapes de sécurité WordPress ci-dessous.
Cross-Site Scripting (XSS)
Le Cross-Site Scripting (XSS) est l’injection d’un script malveillant dans un site Web ou une application de confiance. L’attaquant l’utilise pour envoyer un code malveillant, généralement des scripts côté navigateur, à l’utilisateur final sans qu’il le sache. Le but est généralement de récupérer des cookies ou des données de session ou peut-être même de réécrire du HTML sur une page.
Selon WordFence, Les vulnérabilités Cross-Site Scripting sont les vulnérabilités les plus courantes des plugins WordPress, avec une marge significative.
Déni de service
Peut-être la plus dangereuse de toutes, la vulnérabilité de déni de service (DoS) exploite les erreurs et les bogues dans le code pour submerger la mémoire des systèmes d’exploitation des sites web. Les pirates ont compromis des millions de sites web et obtenu des millions de dollars en exploitant des versions dépassées et contenant des bug de logiciels WordPress avec des attaques de type DoS. Bien que les cybercriminels à motivation financière soient moins susceptibles de cibler les petites entreprises, ils ont tendance à compromettre les sites web vulnérables désuets en créant des chaînes de botnet pour attaquer les grandes entreprises.
Même les dernières versions du logiciel WordPress ne peuvent pas se défendre de manière exhaustive contre les attaques DoS de grande envergure, mais elles vous aideront au moins à éviter d’être pris dans le feu croisé entre les institutions financières et les cybercriminels sophistiqués. Et n’oubliez pas le 21 octobre 2016. C’était le jour où Internet s’est effondré en raison d’une attaque DDoS DNS. Découvrez pourquoi il est important d’utiliser un fournisseur DNS premium pour augmenter la sécurité de WordPress.
Guide de sécurité WordPress 2024
Selon les statistiques en direct sur Internet, plus de 100 000 sites Web sont piratés chaque jour.😮 C’est pourquoi il est si important de prendre un peu de temps et de passer en revue les recommandations suivantes sur la façon de mieux renforcer votre sécurité WordPress.
Nous nous assurerons de garder ce message à jour avec des informations pertinentes au fur et à mesure que les choses changent avec la plateforme WordPress et que de nouvelles vulnérabilités émergent.
- Hébergement WordPress Sécurisé
- Utiliser la dernière version de PHP
- Des noms d’utilisateur et des mots de passe intelligents
- Dernières Versions
- Protéger l’administration WordPress
- Authentication à deux facteurs
- HTTPS – Certificat SSL
- Durcissement du wp-config.php
- Désactiver XML-RPC
- Cacher la version de WordPress
- Headers de sécurité HTTP
- Extensions de sécurité WordPress
- Sécurité de la base de données
- Connexions sécurisées
- Permissions des fichiers et du serveur
- Désactiver l’édition dans le tableau de bord
- Prévenir le Hotlinking
- Toujours effectuer des sauvegardes WordPress
- Protection DDoS
1. Investissez dans un hébergement WordPress sécurisé
Quand il s’agit de la sécurité de WordPress, il y a beaucoup plus qu’un simple verrouillage de votre site, bien que nous vous donnerons les meilleures recommandations sur la façon de le faire ci-dessous. Il existe également une sécurité au niveau du serveur Web dont votre hébergeur WordPress est responsable. Chez Kinsta, nous prenons la sécurité très au sérieux et nous nous occupons d’un grand nombre de ces questions pour nos clients.
Il est très important que vous choisissiez un hébergeur en qui vous pouvez avoir confiance pour votre entreprise. Ou si vous hébergez WordPress sur votre propre VPS, vous devez avoir les connaissances techniques pour faire ces choses vous-même. Et pour être honnête, essayer d’être un sysadmin pour économiser 20 $ par mois est une mauvaise idée.
Le durcissement du serveur est la clé du maintien d’un environnement WordPress parfaitement sécurisé. Il faut plusieurs couches de mesures de sécurité au niveau matériel et logiciel pour s’assurer que l’infrastructure informatique hébergeant les sites WordPress est capable de se défendre contre les menaces sophistiquées, tant physiques que virtuelles.
Pour cette raison, les serveurs hébergeant WordPress doivent être mis à jour avec les derniers systèmes d’exploitation et logiciels (de sécurité) ainsi que testés et analysés pour détecter les vulnérabilités et les logiciels malveillants. Un exemple récent de cela s’est produit lorsque nous avons récemment dû patcher NGINX pour les vulnérabilités de sécurité OpenSSL qui ont été découvertes.
Les pare-feux au niveau du serveur et les systèmes de détection d’intrusion devraient être en place avant l’installation de WordPress sur le serveur afin de le garder bien protégé même pendant les phases d’installation de WordPress et de construction du site Web. Cependant, tous les logiciels installés sur la machine destinés à protéger le contenu de WordPress doivent être compatibles avec les systèmes de gestion de base de données les plus récents afin de maintenir des performances optimales. Le serveur doit également être configuré pour utiliser un réseau sécurisé et des protocoles de chiffrement de transfert de fichiers (comme SFTP au lieu de FTP) afin de cacher le contenu sensible aux intrus malveillants.
Chez Kinsta, nous utilisons les serveurs les plus rapides de Google Cloud Platform et un réseau premium pour tous nos clients WordPress afin de garantir un hébergement WordPress rapide et sécurisé. Un grand avantage de ceci est qu’il est construit sur un modèle de sécurité qui a été construit au cours des 15 dernières années, et qui sécurise actuellement des produits et services tels que Gmail, Search, etc. Google emploie actuellement plus de 500 professionnels de la sécurité à plein temps. Tous les sites chez Kinsta sont également protégés par notre intégration gratuite de Cloudflare, qui comprend un pare-feu sécurisé de niveau entreprise ainsi qu’une protection DDoS gratuite.
Kinsta utilise également des conteneurs Linux (LXC), et LXD pour les orchestrer, en plus de la plateforme Google Cloud qui nous permet d’isoler complètement non seulement chaque compte, mais chaque site WordPress séparé. Il s’agit d’une méthode beaucoup plus sûre que celle offerte par les autres concurrents.
2. Utiliser la dernière version de PHP
PHP est l’épine dorsale de votre site WordPress et il est donc très important d’utiliser la dernière version sur votre serveur. Chaque version majeure de PHP est généralement entièrement prise en charge pendant deux ans après sa sortie. Pendant ce temps, les bugs et les problèmes de sécurité sont corrigés et les correctifs sont réguliers. A l’heure actuelle, toute personne utilisant la version 7.1 de PHP ou inférieure n’a plus de support de sécurité et est exposée à des vulnérabilités de sécurité non corrigées.
Et devinez quoi ? Selon la page officielle de WordPress Stats, à ce jour, plus de 57% des utilisateurs de WordPress sont encore en PHP 5.6 ou inférieur. Si vous combinez cela avec PHP 7.0, 77,5% des utilisateurs utilisent actuellement des versions de PHP qui ne sont plus supportées. C’est effrayant ! Parfois, il faut du temps aux entreprises et aux développeurs pour tester et assurer la compatibilité avec leur code, mais ils n’ont aucune excuse pour exécuter quelque chose sans support de sécurité.
Parfois, il faut du temps aux entreprises et aux développeurs pour tester et assurer la compatibilité avec leur code, mais ils n’ont aucune excuse pour exécuter quelque chose sans support de sécurité. Sans parler de l’impact énorme sur les performances des anciennes versions.
Vous ne savez pas quelle version de PHP vous utilisez actuellement ? La plupart des hébergeurs incluent habituellement ceci dans une requête header sur votre site. Une façon rapide de vérifier est d’exécuter votre site à travers Pingdom. Cliquez sur la première requête et recherchez un paramètre X-Powered-By
. Généralement, cela montrera la version de PHP que votre serveur web utilise actuellement. Cependant, certains hébergeurs suppriment cet en-tête pour des raisons de sécurité. Kinsta supprime cet en-tête par défaut pour protéger votre site.
Chez Kinsta, nous ne recommandons que l’utilisation des versions stables et supportées de PHP, incluant 8.0 et 8.1. PHP 5.6, 7.0 et 7.1 ont été éliminés progressivement. Vous pouvez même passer d’une version PHP à l’autre en cliquant sur un bouton dans le tableau de bord MyKinsta.
Si vous êtes chez un hébergeur WordPress qui utilise cPanel, vous pouvez généralement passer d’une version PHP à l’autre en cliquant sur « PHP Select » dans la catégorie des logiciels.
3. Utilisez des noms d’utilisateur et des mots de passe intelligents.
Étonnamment, l’une des meilleures façons de renforcer la sécurité de WordPress est d’utiliser simplement des noms d’utilisateur et des mots de passe intelligents. Cela semble assez facile, n’est-ce pas ? Eh bien, consultez la liste annuelle 2019 de SplashData des mots de passe les plus populaires volés tout au long de l’année (triés par ordre de popularité).
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwerty
- iloveyou
C’est exact ! Le mot de passe le plus populaire est « 123456 », suivi d’un étonnant « password ». C’est une des raisons pour lesquelles chez Kinsta, sur les nouvelles installations WordPress, nous forçons l’utilisation d’un mot de passe complexe pour votre connexion wp-admin (comme nous le voyons ci-dessous sur notre processus d’installation en un seul clic). Ce n’est pas facultatif.
La fonction du coeur de WordPress wp_hash_password
utilise le système de hachage de mot de passe phpass et huit passages de hachage MD5.
Certaines des meilleures mesures de sécurité partent de l’essentiel. Google a quelques grandes recommandations sur la façon de choisir un mot de passe fort. Ou vous pouvez utiliser un outil en ligne comme Strong Password Generator. Vous pouvez en savoir plus ici sur la façon dont vous pouvez changer votre mot de passe WordPress.
Il est également important d’utiliser des mots de passe différents pour chaque site Web. La meilleure façon de les stocker est de le faire localement dans une base de données cryptée sur votre ordinateur. Un bon outil gratuit pour cela est KeePass. Si vous ne voulez pas suivre cette voie, il y a aussi des gestionnaires de mots de passe en ligne comme 1Password ou LastPass. Même si vos données sont hébergées en toute sécurité dans le nuage, elles sont généralement plus sûres puisque vous n’utilisez pas le même mot de passe sur plusieurs sites. Il vous empêche également d’utiliser des sticky notes.
Et en ce qui concerne l’installation de WordPress, vous ne devriez jamais utiliser le nom d’utilisateur par défaut « admin ». Créez un nom d’utilisateur WordPress unique pour le compte administrateur et supprimez l’utilisateur « admin » s’il existe. Vous pouvez le faire en ajoutant un nouvel utilisateur sous « Utilisateurs » dans le tableau de bord et en lui attribuant le rôle « Administrateur » (voir ci-dessous).
Une fois que vous avez attribué le rôle administrateur au nouveau compte, vous pouvez revenir en arrière et supprimer l’utilisateur « Admin » d’origine. Assurez-vous que lorsque vous cliquez sur supprimer, vous choisissez l’option « Attribuer tout le contenu à » et sélectionnez votre nouveau profil d’administrateur. Ceci assignera la personne en tant qu’auteur de ces messages.
Vous pouvez également renommer manuellement votre nom d’utilisateur administrateur actuel dans phpMyAdmin avec la commande suivante. Assurez-vous de sauvegarder votre base de données avant de modifier les tables :
UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';
4. Toujours utiliser la dernière version de WordPress, des plugins et thèmes
Une autre façon très importante de renforcer votre sécurité WordPress est de toujours le maintenir à jour. Cela inclut le noyau WordPress, les plugins et les thèmes (ceux du référentiel WordPress et ceux qui sont Premium). Ceux-ci sont mis à jour pour une raison, et bien souvent ils incluent des améliorations de sécurité et des corrections de bugs. Nous vous recommandons de lire notre guide détaillé sur comment fonctionnent les mises à jour automatiques de WordPress.
Malheureusement, des millions d’entreprises utilisent des versions obsolètes des logiciels et extensions WordPress, et continuent de croire qu’elles sont sur la bonne voie pour réussir en affaires. Elless citent des raisons pour ne pas se mettre à jour telles que « leur site se cassera » ou « les modifications de base seront parties » ou « le plugin X ne fonctionnera pas » ou « ils n’ont tout simplement pas besoin de la nouvelle fonctionnalité ».
En fait, les sites Web se cassent surtout à cause de bugs dans les anciennes versions de WordPress. Les modifications de base ne sont jamais recommandées par l’équipe WordPress et les développeurs experts qui comprennent les risques encourus. Et les mises à jour de WordPress incluent principalement des correctifs de sécurité indispensables ainsi que les fonctionnalités supplémentaires nécessaires à l’exécution des dernières extensions.
Saviez-vous qu’il a été rapporté que les vulnérabilités des extensions représentent 55,9 % des points d’entrée connus des pirates informatiques ? C’est ce que WordFence a trouvé dans une étude où ils ont interviewé plus de 1 000 propriétaires de sites WordPress qui avaient été victimes d’attaques. En mettant à jour vos extensions, vous pouvez mieux vous assurer que vous n’êtes pas une de ces victimes.
Il est également recommandé d’installer uniquement des plugins fiables. Les catégories « featured » et « popular » du dépôt WordPress peuvent être un bon point de départ. Ou téléchargez-les directement à partir du site Web du développeur. Nous déconseillons fortement l’utilisation des plugins et thèmes WordPress Nulled.
Tout d’abord, on ne sait jamais ce que le code modifié peut contenir. Cela peut facilement conduire au piratage de votre site. Le fait de ne pas payer pour les plugins WordPress premium n’aide pas non plus la communauté dans son ensemble à se développer. Nous devons soutenir les développeurs.
Voici comment supprimer correctement un thème WordPress.
Vous pouvez utiliser un outil en ligne comme VirusTotal pour analyser un plugin ou les fichiers d’un thème afin de détecter tout type de malware.
Comment mettre à jour le coeur de WordPress
Il existe deux façons simples de mettre à jour votre installation WordPress. Si vous êtes un client de Kinsta, nous avons fourni des sauvegardes automatiques avec une option de restauration en un seul clic. De cette façon, vous pouvez tester de nouvelles versions de WordPress et d’extensions sans avoir à vous soucier de briser quoi que ce soit. Vous pouvez aussi faire un premier test dans notre environnement de développement.
Pour mettre à jour le coeur de WordPress, vous pouvez cliquer sur « Mises à jour » dans votre tableau de bord WordPress et cliquer sur le bouton « Mettre à jour maintenant ».
Vous pouvez aussi mettre à jour votre WordPress en téléchargeant la dernière version et en l’envoyant via SFTP.
Suivez les étapes ci-dessous pour mettre à jour votre installation existante :
- Supprimez les anciens dossiers
wp-includes
etwp-admin
. - Envoyez les nouveaux dossiers
wp-includes
etwp-admin
. - Télécharger les fichiers individuels à partir du nouveau dossier
wp-content
dans votre dossierwp-content
existant, en écrasant les fichiers existants. Ne PAS supprimer votre dossierwp-content
existant. Ne ne supprimer AUCUN dossier ou fichier existant dans votre dossierwp-content
(sauf pour ceux qui sont écrasés par les nouveaux fichiers). - Téléchargez tous les nouveaux fichiers libres du répertoire racine de la nouvelle version vers votre répertoire racine WordPress existant.
Comment mettre à jour les extensions WordPress
La mise à jour de vos extensions WordPress est un processus très similaire à la mise à jour du coeur de WordPress. Cliquez sur « Mises à jour » dans votre tableau de bord WordPress, sélectionnez les extensions à mettre à jour et cliquez sur « Mettre à jour les extensions ».
De même, vous pouvez également mettre à jour une extension manuellement. Il suffit de récupérer la dernière version de l’extension depuis le site du développeur ou du répertoire WordPress et de la télécharger via FTP, en écrasant l’extension existante dans le répertoire /wp-content/plugins
.
Il est également important de noter que les développeurs ne tiennent pas toujours leurs extensions à jour. L’équipe de WP Loop a fait une excellente analyse du nombre d’extensions WordPress dans le répertoire qui ne sont pas à jour avec le coeur de WordPress actuel. Selon leurs recherches, près de 50% des extensions du répertoire n’ont pas été mises à jour depuis plus de 2 ans.
Cela ne signifie pas que l’extension ne fonctionnera pas avec la version actuelle de WordPress, mais il est recommandé de choisir des extensions qui sont activement mises à jour. Les extensions obsolètes sont plus susceptibles de contenir des failles de sécurité.
Utilisez votre meilleur jugement lorsqu’il s’agit d’extensions. Regardez la date de « Dernière mise à jour » et le nombre d’évaluations d’une extension. Comme nous l’avons vu dans l’exemple ci-dessous, celle-ci est obsolète et a de mauvaises critiques ; nous recommandons donc très probablement de ne pas s’en approcher. WordPress a également un avertissement en haut de la plupart des plugins qui n’ont pas été mis à jour depuis un certain temps.
Il y a aussi beaucoup de ressources pour vous aider à rester au courant des dernières mises à jour de sécurité et des vulnérabilités de WordPress. Voir ci-dessous quelques-unes d’entre elles :
- WP Security Bloggers : Une ressource impressionnante de plus de 20 flux de sécurité.
- WPScan : Catalogues de plus de 10 000 vulnérabilités du coeur de WordPress, Extensions et Thèmes.
- Archive de sécurité officielle de WordPress
5. Protéger votre administration WordPress
Parfois, la stratégie populaire de la sécurité de WordPress par l’obscurité est efficace pour une entreprise en ligne moyenne et un site WordPress. Si vous rendez plus difficile pour les pirates de trouver certaines backdoors, vous êtes moins susceptible d’être attaqué. Verrouiller votre espace d’administration WordPress et votre identifiant est un bon moyen de renforcer votre sécurité. Deux excellentes façons de le faire est d’abord de changer votre URL de connexion wp-admin par défaut et aussi de limiter les tentatives de connexion.
Comment changer votre adresse de connexion à l’administration
Par défaut, l’URL de connexion de votre site WordPress est domain.com/wp-admin. Un des problèmes avec cela est que tous les bots, les hackers et les scripts le savent aussi. En changeant l’URL, vous pouvez devenir moins une cible et mieux vous protéger contre les attaques par force brute. Ce n’est pas une solution toute faite, c’est simplement une petite astuce qui peut certainement vous aider à vous protéger.
Pour changer votre URL de connexion WordPress, nous vous recommandons d’utiliser l’extension gratuite WPS Hide login ou l’extension premium Perfmatters. Les deux plugins ont un champ de saisie simple. N’oubliez pas de choisir quelque chose d’unique qui ne sera pas déjà sur une liste qu’un bot ou un script pourrait essayer de scanner.
Comment limiter les tentatives de connexion
Bien que la solution ci-dessus de changer votre URL de connexion admin peut aider à diminuer la majorité des mauvaises tentatives de connexion, la mise en place d’une limite peut aussi être très efficace. L’extension gratuite Limit Login Attempts Reloaded est un excellent moyen de configurer facilement les durées de verrouillage, les tentatives de connexion, les listes blanches et les listes noires IP.
Si vous recherchez une solution de sécurité WordPress plus simple, une autre excellente alternative est l’extension gratuite Login Lockdown. Login LockDown enregistre l’adresse IP et l’horodatage de chaque tentative de connexion échouée. Si plus d’un certain nombre de tentatives sont détectées dans un court laps de temps à partir de la même plage IP, la fonction de connexion est désactivée pour toutes les requêtes de cette plage. Et il est totalement compatible avec l’extension WPS Hide Login que nous avons mentionné ci-dessus.
Comment ajouter une authentification HTTP basique (protection htpasswd)
Une autre façon de verrouiller votre administration est d’ajouter l’authentification HTTP. Cela nécessite un nom d’utilisateur et un mot de passe avant même de pouvoir accéder à la page de connexion WordPress. Note : Ceci ne devrait généralement pas être utilisé sur les sites de commerce électronique ou les sites d’adhésion. Mais il peut être un moyen très efficace pour empêcher les robots de frapper votre site.
Apache
Si vous utilisez un hébergeur cPanel, vous pouvez activer les répertoires protégés par mot de passe à partir de leur panneau de contrôle. Pour le configurer manuellement, vous devrez d’abord créer un fichier .htpasswd
. Vous pouvez utiliser cet outil de génération pratique. Ensuite, téléchargez le fichier dans un répertoire sous votre dossier wp-admin, par exemple :
home/user/.htpasswds/public_html/wp-admin/htpasswd/
Créez ensuite un fichier .htaccess
avec le code suivant et téléchargez-le dans le dossier /wp-admin/
. Assurez-vous de mettre à jour le chemin du répertoire et le nom d’utilisateur.
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername
Le seul problème à faire de cette façon est qu’il brisera AJAX (admin-ajax) sur le front-end de votre site. Ceci est requis par certaines extensions tierses. Par conséquent, vous devrez également ajouter le code suivant au fichier .htaccess ci-dessus.
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Nginx
Si vous utilisez Nginx, vous pouvez également restreindre l’accès avec l’authentification de base HTTP. Consultez ce tutoriel.
Si vous hébergez votre site WordPress chez Kinsta, vous pouvez utiliser notre outil de protection par mot de passe (htpasswd) dans le tableau de bord MyKinsta. Vous le trouverez sous la rubrique « Outils » de votre site. Cliquez simplement sur « Activer », choisissez un nom d’utilisateur et un mot de passe, et c’est parti !
Une fois activée, votre site WordPress nécessitera une authentification pour y accéder. Vous pouvez modifier les informations d’identification à tout moment ou les désactiver lorsque vous n’en avez plus besoin.
Bloquer un chemin d’URL
Si vous utilisez un pare-feu d’application Web (WAF) comme Cloudflare ou Sucuri, ils ont également des moyens de verrouiller un chemin d’URL. Essentiellement, vous pouvez configurer une règle de sorte que seule votre adresse IP soit capable d’accéder à votre URL de connexion administrateur WordPress. Encore une fois, cela ne devrait généralement pas être utilisé sur les sites de commerce électronique ou les sites d’adhésion, car ils dépendent également de l’accès au backend de votre site.
- Cloudflare possède une fonctionnalité de blocage d’URL dans leur offre Pro et supérieures. Vous pouvez définir une règle pour n’importe quelle URL ou chemin d’accès.
- Sucuri possède une fonctionnalité pour blacklister un chemin d’URL. Vous pourrez donc mettre votre IP en liste blanche.
6. Profiter de l’authentification à deux facteurs
Et bien sûr, nous ne pouvons pas oublier l’authentification à deux facteurs ! Quel que soit le degré de sécurité de votre mot de passe, il y a toujours un risque que quelqu’un le découvre. L’authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe pour vous connecter, mais aussi d’une deuxième méthode. Il s’agit généralement d’un texte (SMS), d’un appel téléphonique ou d’un mot de passe unique basé sur le temps (TOTP). Dans la plupart des cas, ceci est efficace à 100% pour prévenir les attaques par force brute sur votre site WordPress. Pourquoi ? Parce qu’il est presque impossible que l’attaquant ait à la fois votre mot de passe et votre téléphone portable.
Il y a vraiment deux parties lorsqu’il s’agit de l’authentification à deux facteurs. Il y a d’abord votre compte et/ou tableau de bord que vous avez chez votre hébergeur. Si quelqu’un y a accès, il pourrait changer vos mots de passe, supprimer vos sites Web, modifier les enregistrements DNS et toutes sortes de choses horribles. Chez Kinsta, nous avons établi un partenariat avec Authy et nous disposons d’une authentification à deux facteurs pour votre tableau de bord MyKinsta.
La deuxième partie de l’authentification à deux facteurs concerne votre installation WordPress. Pour cela nous vous recommandons les plugins suivants :
Beaucoup d’entre eux ont leurs propres applications Authenticator que vous pouvez utiliser sur votre téléphone :
- Application Android Duo Mobile
- Application iPhone Duo Mobile App
- Application d’authentification Google Android
- Application d’authentification Google iPhone
Après avoir installé et configuré l’un des plugins ci-dessus, vous aurez généralement un champ supplémentaire sur votre page de connexion WordPress pour entrer votre code de sécurité. Ou, avec le plugin Duo, vous devez d’abord vous connecter avec vos identifiants et ensuite choisir une méthode d’authentification, telle que Duo Push, un Appel, ou un passcode.
Cette méthode peut facilement être combinée avec la modification de votre URL de connexion par défaut, dont nous avons parlé plus tôt. Ainsi, non seulement votre URL de connexion WordPress est quelque chose que vous seul connaissez, mais cela nécessite maintenant une authentification supplémentaire pour y accéder. 💪
Donc, assurez-vous de tirer parti de l’authentification à deux facteurs, cela peut être un moyen facile de renforcer votre sécurité WordPress.
7. Utiliser HTTPS pour les connexions chiffrées – Certificat SSL
L’un des moyens les plus négligés pour renforcer votre sécurité WordPress est d’installer un certificat SSL et d’exécuter votre site sur HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) est un mécanisme qui permet à votre navigateur ou application web de se connecter de manière sécurisée avec un site web. Une grande idée fausse est que si vous n’acceptez pas les cartes de crédit, vous n’avez pas besoin de SSL.
Eh bien, expliquons quelques raisons pour lesquelles HTTPS est important au-delà du eCommerce. De nombreux hébergeurs, dont Kinsta, offrent maintenant même des certificats SSL gratuits avec Let’s Encrypt.
1. Sécurité
Bien sûr, la plus grande raison pour d’utiliser HTTPS est la sécurité supplémentaire, et oui, cela concerne fortement les sites de eCommerce. Cependant, quelle est l’importance de vos informations de connexion ? Pour ceux d’entre vous qui exploitent des sites web WordPress à auteurs multiples, si vous utilisez HTTP, chaque fois qu’une personne se connecte, cette information est transmise au serveur en texte clair. HTTPS est absolument vital pour maintenir une connexion sécurisée entre un site web et un navigateur. De cette façon, vous pouvez mieux empêcher les pirates et/ou un intermédiaire d’accéder à votre site web.
Ainsi, même les blogs WordPress, les sites de nouvelles, les agences, tous peuvent bénéficier de HTTPS car cela garantit que rien ne passe jamais en texte clair.
2. SEO
Google a officiellement déclaré que le HTTPS est un facteur de classement. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous prendraient probablement n’importe quel avantage que vous pouvez obtenir dans les SERPs pour battre vos concurrents.
3. Confiance et crédibilité
Selon un sondage de GlobalSign, 28,9% des visiteurs recherchent la barre d’adresse verte dans leur navigateur. Et 77 % d’entre eux craignent que leurs données soient interceptées ou mal utilisées en ligne. En voyant ce cadenas vert, les clients auront instantanément plus de tranquillité d’esprit en sachant que leurs données sont plus sûres.
4. Données référées
Beaucoup de gens ne réalisent pas que les données référées de HTTPS vers HTTP sont bloquées dans Google Analytics. Qu’advient-il des données ? Eh bien, la plus grande partie est simplement regroupée avec la section « trafic direct ». Si quelqu’un passe de HTTP à HTTPS, le référant est toujours passé.
5. Avertissement Chrome
Depuis le 24 juillet 2018, les versions de Chrome 68 et supérieures ont commencé à marquer tous les sites non-HTTPS comme « Not Secure ». Qu’ils recueillent ou non des données. C’est pourquoi le HTTPS est plus important que jamais !
Ceci est particulièrement important si votre site Web reçoit la majorité de son trafic de Chrome. Vous pouvez regarder dans Google Analytics sous la section Audience dans Browser & OS afin de voir le pourcentage de trafic que votre site WordPress reçoit de Google Chrome. Google indique beaucoup plus clairement aux visiteurs que votre site web WordPress ne fonctionne peut-être pas sur une connexion sécurisée.
6. Performance
En raison d’un protocole appelé HTTP/2, les sites correctement optimisés sur HTTPS peuvent même voir des améliorations de vitesse. HTTP/2 nécessite HTTPS en raison de la prise en charge du navigateur. L’amélioration des performances est due à une variété de raisons telles que le fait que HTTP/2 peut supporter un meilleur multiplexage, le parallélisme, la compression HPACK avec codage Huffman, l’extension ALPN et les push serveur.
Et avec le lancement de TLS 1.3, les connexions HTTPS sont encore plus rapides. Kinsta prend en charge TLS 1.3 sur tous nos serveurs et notre CDN Kinsta.
Vous repensez à HTTPS maintenant ? Consultez notre guide de migration WordPress HTTPS pour vous aider à vous lancer.
Pour établir une connexion sécurisée et chiffrée entre vous et le serveur lors de la connexion et de l’administration de votre site, ajoutez la ligne suivante à votre fichier wp-config.php
:
define('FORCE_SSL_ADMIN', true);
(Lecture suggérée : si vous utilisez les anciennes versions de TLS, vous pourriez vouloir corriger les notifications ERR_SSL_OBSOLETE_VERSION dans Chrome).
8. Durcir votre fichier wp-config.php
Votre fichier wp-config.php est comme le cœur et l’âme de votre installation WordPress. C’est de loin le fichier le plus important sur votre site lorsqu’il s’agit de la sécurité WordPress. Il contient les informations de connexion à votre base de données et les clés de sécurité qui gèrent le cryptage des informations dans les cookies. Vous trouverez ci-dessous quelques mesures que vous pouvez prendre pour mieux protéger ce fichier important.
1. Déplacer wp-config.php
Par défaut, votre fichier wp-config.php se trouve dans le répertoire racine de votre installation WordPress (votre dossier HTML /public
). Mais vous pouvez le déplacer vers un répertoire non-www accessible. Aaron Adams a écrit une grande explication des raisons pour lesquelles c’est bénéfique.
Pour déplacer votre fichier wp-config.php
il suffit de tout copier dans un fichier différent. Ainsi dans votre fichier wp-config.php
vous pouvez placer le bout de code suivant pour simplement inclure votre autre fichier. Note : le chemin du répertoire peut être différent en fonction de votre hébergeur web et de votre configuration. Généralement, il s’agit simplement d’un répertoire au dessus.
<?php include('/home/yourname/wp-config.php');
Note : ceci ne fonctionnera pas pour les utilisateurs de Kinsta et cassera des fonctionnalités de notre plateforme. C’est parce que nos restrictions open_basedir ne permettent pas l’exécution de PHP au-dessus du répertoire ~/public
pour des raisons de sécurité. La bonne nouvelle, c’est que nous nous en chargeons pour vous ! Nous faisons effectivement la même chose en bloquant l’accès à wp-login.php
dans le dossier ~/public
. Notre configuration Nginx par défaut inclut une règle qui retournera une erreur 403 pour toute tentative d’accès à wp-config.php
.
2. Mettre à jour les clés de sécurité WordPress
Les clés de sécurité WordPress sont un ensemble de variables aléatoires qui améliorent le cryptage des informations stockées dans les cookies de l’utilisateur. Depuis WordPress 2.7, il y a 4 clés différentes : AUTH_KEY
, SECURE_AUTH_KEY
, LOGGED_IN_KEY
, et NONCE_KEY
.
Lorsque vous installez WordPress, celles-ci sont générées au hasard pour vous. Cependant, si vous avez effectué plusieurs migrations (consultez notre liste des meilleures extensions WordPress de migration) ou acheté un site à quelqu’un d’autre, il peut être bon de créer de nouvelles clés WordPress.
WordPress dispose en fait d’un outil gratuit que vous pouvez utiliser pour générer des clés aléatoires. Vous pouvez mettre à jour vos clés actuelles qui sont stockées dans votre fichier wp-config.php.
En savoir plus sur les clés de sécurité WordPress.
3. Changer les permissions
Généralement les fichiers dans le répertoire racine d’un site WordPress seront réglés à 644, ce qui signifie que les fichiers sont lisibles et modifiables par le propriétaire du fichier et lisibles par les utilisateurs dans le groupe propriétaire de ce fichier et lisibles par tout le monde. Selon la documentation WordPress, les permissions sur le fichier wp-config.php
devraient être fixées à 440 ou 400 pour empêcher les autres utilisateurs du serveur de le lire. Vous pouvez facilement changer cela avec votre client FTP.
Sur certaines plateformes d’hébergement, les permissions peuvent devoir être différentes car l’utilisateur qui exécute le serveur Web n’a pas la permission d’écrire sur des fichiers. Si vous n’en êtes pas sûr, vérifiez auprès de votre hébergeur.
9. Désactiver XML-RPC
Au cours des dernières années, XML-RPC est devenu une cible de plus en plus importante pour les attaques par brute force. Comme Sucuri l’a mentionné, l’une des caractéristiques cachées de XML-RPC est que vous pouvez utiliser la méthode system.multicall pour exécuter plusieurs méthodes à l’intérieur d’une même requête. C’est très utile car cela permet à l’application de passer plusieurs commandes au sein d’une requête HTTP. Mais ce qui se produit aussi, c’est qu’il est utilisé à des fins malveillantes.
Il y a quelques extensions WordPress comme Jetpack qui s’appuient sur XML-RPC, mais la majorité des gens n’en auront pas besoin et il peut être bénéfique de simplement désactiver l’accès. Vous ne savez pas si XML-RPC fonctionne actuellement sur votre site Web ? Danilo Ercoli, de l’équipe Automattic, a écrit un petit outil appelé XML-RPC Validator. Vous pouvez exécuter votre site WordPress à travers cela pour voir si XML-RPC est activé. Si ce n’est pas le cas, vous verrez un message d’échec tel que montré dans l’image ci-dessous sur le blog de Kinsta.
Pour désactiver complètement cette fonction, vous pouvez installer l’extension gratuite Disable XML-RPC-API. Ou vous pouvez le désactiver avec l’extension premium perfmatters, qui contient également des améliorations des performances web.
Si vous êtes client chez Kinsta, cela n’est pas nécessaire car lorsqu’une attaque par XML-RPC est détectée, un petit bout de code est ajouté dans le fichier de configuration de NGINX pour les arrêter dans leurs pistes – produisant une erreur 403.
location ~* ^/xmlrpc.php$ {
return 403;
}
10. Cacher votre version WordPress
Cacher votre version WordPress touche à nouveau au sujet de la sécurité de WordPress par l’obscurité. Moins les autres personnes en savent sur la configuration de votre site WordPress, mieux c’est. S’ils voient que vous exécutez une installation WordPress obsolète, cela pourrait être un signe de bienvenue pour les intrus. Par défaut, la version WordPress apparaît dans l’en-tête du code source de votre site. Encore une fois, nous vous recommandons simplement de vous assurer que votre installation WordPress est toujours à jour afin que vous n’ayez pas à vous en soucier.
Vous pouvez utiliser le code suivant pour supprimer cela. Ajoutez-le simplement au fichier functions.php
de votre thème WordPress.
function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');
Vous pouvez également utiliser une extension premium comme perfmatters (développée par un membre de l’équipe de Kinsta), qui vous permet de cacher la version WordPress en un seul clic, ainsi que d’autres optimisations pour votre site WordPress.
Un autre endroit où la version WordPress s’affiche est dans le fichier readme.html
par défaut (comme indiqué ci-dessous) qui est inclus dans chaque version de WordPress. Il est situé à la racine de votre installation, domaine.com/readme.html
. Vous pouvez effacer ce fichier par FTP en toute sécurité.
Si vous utilisez WordPress 5.0 ou une version supérieure, cela ne s’applique plus car le numéro de version n’est plus inclus dans le fichier.
11. Ajouter les derniers headers de sécurité HTTP
Une autre étape que vous pouvez suivre pour renforcer votre sécurité WordPress est de tirer profit des headers de sécurité HTTP. Ceux-ci sont généralement configurés au niveau du serveur web et indiquent au navigateur comment se comporter lors de la gestion du contenu de votre site. Il y a beaucoup de headers de sécurité HTTP différents, mais ci-dessous sont généralement les plus importants.
- Content-Security Policy
- X-XSS-Protection
- Strict-Transport-Security
- Strict-Transport-Security
- X-Frame-Options
- Public-Key-Pins
- X-Content-Type
KeyCDN a un excellent article en profondeur si vous voulez en savoir plus sur les HTTP security headers.
Vous pouvez vérifier quels headers sont actuellement en cours d’exécution sur votre site WordPress en lançant Chrome devtools et en regardant le header sur la réponse initiale de votre site. Voici un exemple sur Kinsta.com. Vous pouvez voir que nous utilisons les en-têtes strict-transport-security
, x-content-type
, et x-frame-options
.
Vous pouvez également scanner votre site Web WordPress avec l’outil securityheaders.io gratuit de Scott Helme. Cela vous montrera quels headers de sécurité HTTP vous avez actuellement sur votre site. Si vous n’êtes pas sûr de la façon de les mettre en œuvre, vous pouvez toujours demander à votre hébergeur s’il peut vous aider.
12. Utiliser des extensions de sécurité WordPress
Et bien sûr, nous devons mentionner quelques extensions de sécurité WordPress. Il y a beaucoup de grands développeurs et d’entreprises qui fournissent de grandes solutions pour aider à mieux protéger votre site WordPress. En voici quelques-unes.
Kinsta possède des pare-feu matériels, une sécurité active et passive, des contrôles à la minute et des dizaines d’autres fonctions avancées pour empêcher les attaquants d’accéder à vos données. Si, malgré tous nos efforts, votre site est piraté, nous le réparerons gratuitement.
Voici quelques caractéristiques et utilisations typiques des extensions ci-dessus :
- Générer et forcer des mots de passe forts lors de la création de profils utilisateurs
- Forcer l’expiration des mots de passe et les réinitialiser régulièrement.
- Enregistrement des actions de l’utilisateur
- Mises à jour faciles des clés de sécurité WordPress
- Scan anti-malware
- Authentification à deux facteurs
- reCAPTCHAs
- Pare-feu de sécurité WordPress
- Liste blanche d’IP
- Liste noire d’IP
- Changelogs de fichiers
- Surveiller les changements de DNS
- Bloquer les réseaux malveillants
- Voir les informations WHOIS sur les visiteurs
Une caractéristique très importante que de nombreux plugins de sécurité incluent est un outil pour le checksum. Cela signifie qu’ils inspectent votre installation WordPress et recherchent des modifications sur les fichiers de base fournis par WordPress.org (via l’API). Tout changement ou modification de ces fichiers pourrait indiquer un piratage. Vous pouvez aussi utiliser WP-CLI pour exécuter votre propre checksum.
Assurez-vous de lire notre guide complet sur la surveillance de l’intégrité des fichiers.
Un autre grand plugin qui mérite une mention honorable est le plugin WP Security Audit Log. C’est impressionnant pour ceux d’entre vous qui travaillent sur des sites WordPress multisites ou simplement des sites multi-auteurs. Il aide à assurer la productivité des utilisateurs et permet aux administrateurs de voir tout ce qui est en train d’être modifié, comme les connexions, les changements de mots de passe, les changements de thèmes, les changements de widgets, les nouvelles créations de messages, les mises à jour WordPress, etc.
C’est une solution complète de log d’activité WordPress. Au moment d’écrire ces lignes, le plugin WP Security Audit Log a plus de 80,000 installations actives avec une note de 4.7 sur 5 étoiles. C’est un excellent choix si vous recherchez une solution de sécurité compatible avec WordPress multisite.
Il dispose également d’extensions premium supplémentaires telles que les notifications par e-mail, la gestion des sessions utilisateurs, la recherche et les rapports. Vérifiez ces extensions de sécurité WordPress supplémentaires qui peuvent aider à verrouiller les méchants.
13. Renforcer la sécurité des bases de données
Il existe plusieurs façons d’améliorer la sécurité de votre base de données WordPress. La première est d’utiliser un nom de base de données intelligent. Si votre site est nommé volleyball tricks, par défaut votre base de données WordPress est probablement nommée wp_volleyballtricks
. En changeant le nom de votre base de données pour un nom plus obscur, cela aide à protéger votre site en rendant plus difficile pour les pirates d’identifier et d’accéder aux détails de votre base de données.
Une deuxième recommandation est d’utiliser un préfixe différent de table de base de données. Par défaut, WordPress utilise wp
. Le remplacer par quelque chose comme 39xw
peut être beaucoup plus sûr. Quand vous installez WordPress, il vous demande un préfixe de table (comme ci-dessous). Il existe également des moyens de modifier le préfixe de table de WordPress sur des installations existantes. Si vous êtes un client de Kinsta, cela n’est pas nécessaire. Nous avons verrouillé le site et la base de données !
14. Toujours utiliser des connexions sécurisées
Nous ne saurions trop insister sur l’importance d’utiliser des connexions sécurisées ! Assurez-vous que votre hébergeur WordPress prend des précautions telles que SFTP ou SSH. SFTP ou Secure File Transfer Protocol (également connu sous le nom de protocole de transfert de fichiers SSH), est un protocole réseau utilisé pour les transferts de fichiers. Il s’agit d’une méthode plus sûre que le FTP standard.
Nous ne prenons en charge que les connexions SFTP chez Kinsta afin de garantir la sécurité et le cryptage de vos données. La plupart des hébergeurs WordPress utilisent aussi habituellement le port 22 pour SFTP. Nous allons un peu plus loin ici à Kinsta et chaque site possède un port créé aléatoirement qui peut être trouvé dans votre tableau de bord MyKinsta.
Il est également important de s’assurer que votre routeur domestique est correctement configuré. Si quelqu’un pirate votre réseau domestique, il pourrait avoir accès à toutes sortes d’informations, y compris éventuellement où sont stockées vos informations importantes sur votre ou vos sites WordPress. Voici quelques conseils simples :
- N’activez pas la gestion à distance (VPN). Les utilisateurs habituels n’utilisent jamais cette fonction et en la gardant désactivée, vous pouvez éviter d’exposer votre réseau au monde extérieur.
- Par défaut, les routeurs utilisent des adresses IP dans la plage 192.168.1.1. Utilisez une plage différente, par exemple 10.9.8.8.7.
- Activez le plus haut niveau de cryptage sur votre Wifi.
- Mettez votre adresse IP dans la liste blanche de votre Wifi pour que seules les personnes avec le mot de passe et certaines IP puissent y accéder.
- Gardez le firmware de votre routeur à jour.
Et soyez toujours prudent lorsque vous vous connectez à votre site WordPress dans des lieux publics. Rappelez-vous que Starbucks n’est pas un réseau sécurisé ! Prenez des précautions telles que la vérification du SSID du réseau avant de cliquer sur Connecter. Vous pouvez également utiliser un service VPN tiers tel que ExpressVPN pour crypter votre trafic Internet et cacher votre adresse IP aux pirates.
15. Vérifier les permissions des fichiers et du serveur
Les permissions de fichiers sur votre installation et sur le serveur Web sont cruciales pour renforcer la sécurité de WordPress. Si les permissions sont trop souples, quelqu’un pourrait facilement accéder à votre site et faire des ravages. D’autre part, si vos permissions sont trop strictes, cela pourrait briser la fonctionnalité de votre site. Il est donc important d’avoir les permissions correctes dans tous les domaines.
Permissions des fichiers
- Les permissions de lecture sont attribuées si l’utilisateur a le droit de lire le fichier.
- Les permissions d’écriture sont attribuées si l’utilisateur a le droit d’écrire ou de modifier le fichier.
- Les permissions d’exécution sont attribuées si l’utilisateur a le droit d’exécuter le fichier et/ou de l’exécuter sous forme de script.
Permissions des dossiers
- Les permissions de lecture sont attribuées si l’utilisateur a le droit d’accéder au contenu du dossier/répertoire identifié.
- Les permissions d’écriture sont attribuées si l’utilisateur a le droit d’ajouter ou de supprimer des fichiers contenus dans le dossier/répertoire.
- Les permissions d’exécution sont attribuées si l’utilisateur a le droit d’accéder au répertoire actuel et d’exécuter des fonctions et des commandes, y compris la possibilité de supprimer les données dans le dossier/répertoire.
Vous pouvez utiliser une extension gratuite comme iThemes Security pour analyser les permissions sur votre site WordPress.
Voici quelques recommandations typiques pour les permissions lorsqu’il s’agit des permissions de fichiers et de dossiers dans WordPress. Voir l’article du Codex WordPress sur la modification des permissions de fichiers pour une explication plus approfondie.
- Tous les fichiers doivent être 644 ou 640. Exception : wp-config.php doit être 440 ou 400 pour empêcher les autres utilisateurs du serveur de le lire.
- Tous les dossiers doivent être en 755 or 750.
- Aucun dossier ne devrait jamais être en 777, même les dossiers de téléchargement.
16. Désactiver l’édition de fichiers dans le tableau de bord WordPress
Beaucoup de sites WordPress ont plusieurs utilisateurs et administrateurs, ce qui peut compliquer la sécurité de WordPress. Une très mauvaise pratique est de donner aux auteurs ou aux contributeurs un accès administrateur , mais malheureusement, cela arrive tout le temps. Il est important de donner aux utilisateurs les bons rôles et permissions pour qu’ils ne cassent rien. Pour cette raison, il peut être avantageux de simplement désactiver l' »Éditeur d’apparence » dans WordPress.
La plupart d’entre vous y sont probablement déjà allés à un moment ou à un autre. Vous allez éditer rapidement quelque chose dans l’éditeur d’apparence et soudain vous vous retrouvez avec un écran blanc de mort. Il est préférable d’éditer le fichier localement et de le télécharger via FTP. Et bien sûr, dans les meilleures pratiques, vous devriez d’abord tester ce genre de choses sur un site de développement.
Aussi, si votre site WordPress est piraté, la première chose qu’ils peuvent faire est d’éditer un fichier PHP ou un thème via l’éditeur d’apparence. C’est un moyen rapide pour eux d’exécuter du code malveillant sur votre site. S’ils n’y ont pas accès à partir du tableau de bord, pour commencer, cela peut aider à prévenir les attaques. Placez le code suivant dans votre fichier wp-config.php
pour supprimer les capacités ‘edit_themes’, ‘edit_plugins’ et ‘edit_files’ de tous les utilisateurs.
define('DISALLOW_FILE_EDIT', true);
17. Prévenir le Hotlinking
Le concept de hotlinking est très simple. Vous trouvez une image sur Internet quelque part et utilisez l’URL de l’image directement sur votre site. Cette image sera affichée sur votre site Web, mais elle sera servie à partir de l’emplacement d’origine. Il s’agit en fait de vol puisqu’il utilise la bande passante du site relié à chaud. Cela peut sembler anodin, mais cela pourrait engendrer beaucoup de coûts supplémentaires.
The Oatmeal est un excellent exemple. Le Huffington Post a fait du hotlinking sur une de ses caricatures qui consistait en de multiples images et il a accumulé une énorme facture de plus de 1000$.
Prévenir le Hotlinking sur Apache
Pour éviter les hotlinking dans Apache, ajoutez simplement le code suivant à votre fichier .htaccess
.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourdomain.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]
La deuxième ligne définit le référent autorisé – le site qui est autorisé à lier directement l’image, cela devrait être votre site web réel. Si vous voulez autoriser plusieurs sites, vous pouvez dupliquer cette ligne et remplacer le référent. Si vous voulez générer des règles plus complexes, jetez un coup d’oeil à ce générateur de protection de hotlink htaccess.
Prévenir le Hotlinking sur NGINX
Pour éviter les hotlinking dans NGINX, ajoutez simplement le code suivant à votre fichier de configuration.
location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}
Prévenir le Hotlinking sur un CDN
Si vous servez vos images à partir d’un CDN, la configuration peut être légèrement différente. Voici quelques ressources avec des fournisseurs de CDN populaires.
18. Toujours effectuer des sauvegardes
Les sauvegardes sont la seule chose dont tout le monde sait qu’ils ont besoin mais qu’ils ne prennent pas toujours. La plupart des recommandations ci-dessus sont des mesures de sécurité que vous pouvez prendre pour mieux vous protéger. Mais quel que soit le niveau de sécurité de votre site, il ne sera jamais sûr à 100%. Donc vous voulez des sauvegardes au cas où le pire arriverait.
La plupart des hébergeurs WordPress infogérés fournissent maintenant des sauvegardes. Kinsta possède 5 différents types de sauvegardes, incluant les sauvegardes automatisées qui vous permettent de dormir tranquille la nuit. Vous pouvez même restaurer votre site en un seul clic.
Si votre hébergeur n’a pas de sauvegardes, il existe des services et extensions WordPress populaires que vous pouvez utiliser pour automatiser le processus.
Services de sauvegarde WordPress
Les services de sauvegarde WordPress ont généralement des frais mensuels peu élevés et stockent vos sauvegardes pour vous dans le nuage.
- VaultPress (de l’équipe Automattic, fait maintenant partie de Jetpack)
- CodeGuard
- BlogVault
Extensions de sauvegarde WordPress
Les extensions de sauvegarde WordPress vous permettent de récupérer vos sauvegardes via FTP ou de les intégrer à une source de stockage externe comme Amazon S3, Google Cloud Storage, Google Drive ou Dropbox. Nous recommandons fortement d’opter pour une solution incrémentale afin qu’elle utilise moins de ressources.
19. Protection DDoS
DDoS est un type d’attaque DOS où plusieurs systèmes sont utilisés pour cibler un seul système, ce qui provoque une attaque par déni de service (DoS). Les attaques DDoS ne sont rien de nouveau – selon Britannica, le premier cas documenté remonte au début des années 2000. Contrairement à quelqu’un qui pirate votre site, ces types d’attaques ne nuisent normalement pas à votre site, mais simplement à votre site pendant quelques heures ou quelques jours.
Que pouvez-vous faire pour vous protéger ? L’une des meilleures recommandations est d’utiliser un service de sécurité tiers de bonne réputation comme Cloudflare ou Sucuri. Si vous gérez une entreprise, il peut être judicieux d’investir dans leurs plans premiums. Si vous êtes hébergé chez Kinsta, vous n’avez pas à vous soucier du réglage de la protection DDoS par vous-même. Tous nos plans incluent une intégration Cloudflare gratuite avec une protection DDoS intégrée.
Leur protection anti-DDoS avancée peut être utilisée pour atténuer les attaques DDoS de toutes les formes et tailles, y compris celles qui ciblent les protocoles UDP et ICMP, ainsi que les attaques SYN/ACK, DNS amplification et Layer 7. D’autres avantages incluent le fait de vous mettre derrière un proxy qui aide à cacher votre adresse IP d’origine, bien qu’il ne soit pas à l’épreuve des balles.
N’oubliez pas de consulter notre étude de cas sur la façon d’arrêter une attaque DDoS. Nous avions un client avec un petit site de eCommerce exécutant Easy Digital Downloads qui a reçu plus de 5 millions de demandes sur une seule page en 7 jours. Le site ne générait généralement qu’entre 30 et 40 Mo par jour en bande passante et quelques centaines de visiteurs par jour. Mais à l’improviste, le site est passé instantanément à 15-19 Go de transfert de données par jour ! C’est une augmentation de 4650%. Et Google Analytics n’a montré aucun trafic supplémentaire. Ce n’est donc pas une bonne chose.
Le client a mis en place le parefeu de l’application web de Sucuri sur son site et toute la bande passante et les requêtes sont instantanément redescendues sur le site (voir ci-dessous) et il n’y a pas eu un seul problème depuis. Il s’agit donc d’un bon investissement et d’un gain de temps si vous rencontrez des problèmes de ce genre.
Résumé
Comme vous pouvez le constater, il existe de nombreuses façons de renforcer la sécurité de WordPress. L’utilisation de mots de passe intelligents, la mise à jour du coeur et des extensions et le choix d’un hébergeur WordPress infogéré et sécurisé ne sont que quelques-uns des éléments qui permettront à votre site WordPress de fonctionner en toute sécurité. Pour beaucoup d’entre vous, votre site WordPress est à la fois votre entreprise et votre revenu, il est donc important de prendre un peu de temps et de mettre en œuvre certaines des meilleures pratiques de sécurité mentionnées ci-dessus, le plus tôt possible.
Y a-t-il des conseils de sécurité WordPress importants que nous avons ratés ? Si tel est le cas, n’hésitez pas à nous en faire part dans les commentaires ci-dessous.
Bravo pour cet article très détaillé. 👍🏻