La sécurité des sites web WordPress est un sujet d’une importance capitale pour tous les propriétaires de sites web WordPress. Google répertorie environ 20 000 sites web par jour pour les logiciels malveillants et environ 50 000 par semaine pour le phishing.
Si vous tenez à votre site web, vous devez faire attention aux meilleures pratiques en matière de sécurité WordPress. Dans ce guide, nous allons partager quelques conseils de sécurité WordPress pour vous aider à protéger votre site des pirates et des logiciels malveillants.
Bien que le logiciel de base de WordPress soit très sûr et régulièrement audité par des centaines de développeurs, il y a beaucoup à faire pour assurer la sécurité de votre site.
Nous pensons que la sécurité ne se limite pas à l’élimination des risques. Il s’agit également de réduire les risques. En tant que propriétaire de site web, vous pouvez faire beaucoup pour améliorer la sécurité de votre site WordPress (même si vous n’êtes pas un expert en technologie).
Nous vous proposons une série de mesures à prendre pour protéger votre site contre les failles de sécurité.
Les bases de la sécurité de WordPress
Pourquoi la sécurité de WordPress est importante
Un site WordPress piraté peut nuire gravement au chiffre d’affaires et à la réputation de votre entreprise. Les pirates peuvent voler des informations sur les utilisateurs, des mots de passe, installer des logiciels malveillants et même distribuer des logiciels malveillants aux visiteurs de votre site web.
Le pire, c’est que vous devrez peut-être payer les pirates pour qu’ils puissent à nouveau accéder à votre site.
En mars 2016, Google a indiqué que plus de 50 millions d’utilisateurs avaient été avertis qu’un site web qu’ils visitaient était susceptible de contenir des logiciels malveillants ou de voler des informations.
De plus, Google répertorie chaque jour environ 20 000 sites web pour des logiciels malveillants et environ 50 000 sites web pour du phishing chaque semaine.
Si votre site web est une entreprise, vous devez accorder une attention particulière à la sécurité de WordPress.
De même qu’il incombe aux propriétaires d’entreprise de protéger le bâtiment de leur magasin, il vous incombe, en tant que propriétaire d’entreprise en ligne, de protéger le site web de votre entreprise.
Maintenir la plateforme WordPress à jour
WordPress est un logiciel libre qui est maintenu et mis à jour régulièrement. Par défaut, WordPress installe automatiquement les mises à jour mineures. Pour les versions majeures, vous devez lancer manuellement la mise à jour.
WordPress est également livré avec des milliers de plugins et de thèmes que vous pouvez installer sur votre site web. Ces plugins et thèmes sont maintenus par des développeurs tiers qui publient régulièrement des mises à jour.
Ces mises à jour de WordPress sont cruciales pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que votre noyau WordPress, vos plugins et votre thème sont à jour.
Mots de passe forts et autorisations d’utilisation
La plupart des tentatives de piratage de WordPress utilisent des mots de passe volés. Vous pouvez compliquer les choses en utilisant des mots de passe plus forts et uniques pour votre site web. Pas seulement pour la zone d’administration de WordPress, mais aussi pour vos comptes FTP, votre base de données, votre compte d’hébergement WordPress et vos adresses électroniques personnalisées qui utilisent le nom de domaine de votre site web.
De nombreux débutants n’aiment pas utiliser des mots de passe forts parce qu’ils sont difficiles à retenir. Vous n’avez plus besoin de vous souvenir de vos mots de passe. Vous pouvez utiliser un gestionnaire de mots de passe tel que LastPass, 1Password ou Dashlane.
Une autre façon de réduire les risques est de ne donner à personne l’accès à votre compte d’administrateur WordPress, sauf en cas de nécessité absolue. Si vous avez une grande équipe d’administrateurs, d’auteurs ou d’utilisateurs, assurez-vous de bien comprendre les rôles et les capacités des utilisateurs dans WordPress avant d’ajouter de nouveaux comptes d’utilisateurs et d’auteurs à votre site WordPress.
Le rôle de l’hébergement WordPress
Votre service d’hébergement WordPress joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon hébergeur, comme Bluehost ou Siteground, prend des mesures supplémentaires pour protéger ses serveurs contre les menaces courantes.
Voici comment un bon hébergeur s’y prend pour protéger vos sites et vos données.
Il surveille en permanence son réseau pour détecter toute activité suspecte.
Tous les hébergeurs disposent d’outils pour prévenir les attaques DDOS à grande échelle.
Ils maintiennent leurs logiciels et leur matériel serveur à jour afin d’empêcher les pirates d’exploiter une faille de sécurité connue dans une version plus ancienne.
Ils sont prêts à mettre en œuvre des plans de récupération des données en cas de panne catastrophique.
Dans le cas d’un plan d’hébergement partagé, vous partagez les ressources du serveur avec de nombreux autres clients. Cela augmente le risque de contamination intersites, un pirate pouvant utiliser un site voisin pour attaquer le vôtre.
L’utilisation d’un service d’hébergement WordPress géré offre une plateforme plus sûre pour votre site web. Les sociétés d’hébergement WordPress infogérées proposent des sauvegardes automatiques, des mises à jour WordPress automatiques et des configurations de sécurité plus avancées pour protéger votre site. Nous recommandons WPEngine comme fournisseur d’hébergement WordPress géré.
La sécurité de WordPress en quelques étapes simples
Installer une solution de sauvegarde pour WordPress
Les sauvegardes sont votre première défense contre toute attaque de WordPress. N’oubliez pas que rien n’est sûr à 100 %. Si les sites web gouvernementaux peuvent être attaqués, le vôtre peut l’être aussi. Les sauvegardes vous permettent de restaurer rapidement votre site WordPress en cas de problème.
Il existe de nombreux plugins gratuits qui peuvent vous aider à faire des sauvegardes de WordPress que vous pouvez utiliser. La chose la plus importante à savoir en ce qui concerne les sauvegardes est que vous devez les sauvegarder régulièrement dans un endroit distant (pas sur votre compte d’hébergement). Nous recommandons de stocker vos sauvegardes sur un service en nuage tel qu’Amazon, Dropbox ou Stash. La fréquence de vos sauvegardes doit correspondre à la fréquence à laquelle vous mettez à jour les informations sur votre site web. Vous pouvez facilement le faire à l’aide de plugins tels que VaultPress ou UpdraftPlus. Ces deux plugins sont fiables et, surtout, faciles à utiliser.
Configurer un plugin de sécurité WordPress
Après les sauvegardes, la prochaine chose à faire est de mettre en place un système d’audit et de surveillance qui garde une trace de tout ce qui se passe sur votre site Web. Cela comprend la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, la recherche de logiciels malveillants, etc. Heureusement, cela peut être fait par le meilleur plugin gratuit de sécurité WordPress, Sucuri Scanner. Il est préférable d’installer et d’activer le plugin gratuit Sucuri Security. Après l’activation, vous devez aller dans le menu Sucuri dans votre administration WordPress. La première chose que l’on vous demandera de faire est de générer une clé API gratuite. Cette clé permet l’enregistrement des audits, la vérification de l’intégrité, les alertes par courriel et d’autres fonctions importantes.
Les paramètres par défaut du plugin sont suffisants pour la plupart des sites web et n’ont pas besoin d’être modifiés.
La seule fonction que vous devez personnaliser est « Alerte e-mail ». Les paramètres d’alerte par défaut peuvent encombrer votre boîte de réception avec des messages électroniques. Nous vous recommandons de recevoir des alertes pour les actions clés telles que les changements de plugins, l’enregistrement d’un nouvel utilisateur, etc. Vous pouvez configurer les alertes en allant dans Réglages Juices «Alertes».
Ce plugin de sécurité WordPress est très puissant, il faut donc parcourir tous les onglets et tous les réglages pour voir tout ce qu’il fait, comme l’analyse des logiciels malveillants, les journaux d’audit, le suivi des tentatives de connexion infructueuses, etc.
Utiliser un pare-feu d’application web (WAF)
Le moyen le plus simple de protéger votre site et d’assurer la sécurité de WordPress est d’utiliser un pare-feu d’application web (WAF).
Un pare-feu de site web bloque tout trafic malveillant.
Firewall site DNS Niveau – Ces pare-feu acheminent le trafic de votre site web par l’intermédiaire de leurs serveurs proxy dans le nuage. Cette technique leur permet de n’envoyer que du trafic authentique à votre serveur web.
Niveau d’application du firewall – Ces plugins de pare-feu examinent le trafic une fois qu’il arrive sur votre serveur, mais avant qu’il ne charge la plupart des scripts WordPress. Cette méthode n’est pas aussi efficace que le pare-feu au niveau DNS pour réduire la charge du serveur.
Voici quelques-uns des meilleurs plugins de pare-feu WordPress : Sucuri, MaxCDN (StackPath), Cloudflare, Wordfence Security, Jetpack, BulletProof Security.
Passer le site WordPress en SSL / HTTPS
SSL (Secure Sockets Layer) est un protocole qui crypte le transfert de données entre votre site web et le navigateur du visiteur. Ce cryptage rend la tâche beaucoup plus difficile à ceux qui tentent de voler des informations.
Une fois le SSL activé, votre site web utilisera le protocole HTTPS au lieu du protocole HTTP. Vous verrez également un cadenas à côté de l’adresse de votre site web dans votre navigateur.
Les certificats SSL sont généralement délivrés par des autorités de certification et leur prix commence à 50 dollars, mais peut atteindre des centaines de dollars par an. En raison des coûts supplémentaires, la plupart des propriétaires de sites web ont choisi de continuer à utiliser le protocole non sécurisé (HTTP). Pour remédier à cette situation, une organisation à but non lucratif appelée Let’s Encrypt a décidé d’offrir des certificats SSL gratuits aux propriétaires de sites web. Son projet est soutenu par Google Chrome, Facebook, Mozilla et de nombreuses autres entreprises.
Désormais, il est plus facile que jamais de commencer à utiliser le SSL pour tous vos sites WordPress. De nombreux hébergeurs proposent désormais un certificat SSL gratuit pour votre site WordPress.
Sécurité de WordPress pour les utilisateurs avancés (nécessite des connaissances informatiques)
Modifier le nom d’utilisateur « admin » par défaut
Autrefois, le nom d’utilisateur par défaut de WordPress avec les droits d’administrateur était « admin ». Comme les noms d’utilisateur constituent la moitié des identifiants de connexion, cela facilitait les attaques par force brute des pirates. Heureusement, WordPress a changé et vous permet désormais de choisir un nom d’administrateur personnalisé lors de l’installation de WordPress.
Toutefois, certains logiciels qui installent WordPress d’un simple clic définissent toujours le nom d’administrateur par défaut comme étant « admin ». Si vous remarquez cet utilisateur dans votre module d’administration WordPress, il est conseillé de changer d’hébergeur. Comme WordPress ne vous permet pas de modifier le nom d’utilisateur, vous pouvez utiliser trois méthodes pour effectuer ce changement :
- Créez un nouveau nom d’administrateur et supprimez l’ancien.
- Utiliser le plugin Changer de nom d’utilisateur.
- Mettre à jour votre nom d’utilisateur directement via phpMyAdmin.
Remarque: nous parlons ici du nom d’utilisateur « admin », et NON du rôle d’administrateur.
Désactiver l’édition de fichiers dans wp-admin
WordPress est livré avec un éditeur de code intégré qui vous permet de modifier les fichiers de thème et les plugins directement à partir de la zone d’administration de WordPress. Cette fonctionnalité peut présenter un risque pour la sécurité, c’est pourquoi vous devez la désactiver.
Vous pouvez le faire facilement en ajoutant le code suivant à votre fichier wp-config.php.
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
Vous pouvez également le faire en un seul clic à l’aide d’une fonction du plugin gratuit Sucuri mentionné ci-dessus.
Désactiver l’exécution de fichiers PHP dans certains répertoires WordPress
Une autre façon de renforcer la sécurité de WordPress est de désactiver l’exécution des fichiers PHP dans les répertoires où ils ne sont pas nécessaires, tels que / wp-content / uploads /.
Vous pouvez le faire en ouvrant un éditeur de texte comme Notepad et en insérant ce code:
deny from all
Ensuite, vous devez enregistrer ce fichier en tant que .htaccess et le télécharger dans le dossier /wp-content/upload/ de votre site web à l’aide d’un client FTP.
Vous pouvez également le faire en un seul clic à l’aide d’une fonction du plugin gratuit Sucuri mentionné ci-dessus.
Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs de se connecter autant de fois qu’ils le souhaitent. Cela rend votre site WordPress vulnérable aux attaques par force brute. Les pirates utiliseront des générateurs de mots de passe en essayant de se connecter avec différentes combinaisons.
Il est facile de remédier à ce problème en limitant le nombre de tentatives de connexion infructueuses qu’un utilisateur peut effectuer. Si vous utilisez le pare-feu d’application web mentionné ci-dessus, le problème est déjà résolu.
Si vous n’avez pas configuré votre pare-feu, continuez avec les étapes ci-dessous.
Tout d’abord, vous devez installer et activer le plugin Login LockDown.
Après l’activation, allez à la page « Settings » « Login LockDown » pour configurer le plugin.
Ajouter l’authentification en deux étapes
La technique d’authentification à deux facteurs exige que les utilisateurs s’authentifient à l’aide d’une méthode d’authentification en deux étapes. La première étape est votre nom d’utilisateur et votre mot de passe, et la seconde vous oblige à vous authentifier à l’aide d’un appareil ou d’une application distincte.
La plupart des grands sites en ligne tels que Google, Facebook et Twitter utilisent cette méthode. Vous pouvez ajouter la même fonctionnalité à votre site WordPress.
Tout d’abord, vous devez installer et activer le plugin « Two Factor Authentication ».
Modifier le préfixe de la base de données de WordPress
Par défaut, WordPress utilise wp_ comme préfixe pour toutes les tables de la base de données WordPress. Si votre site WordPress utilise le préfixe de base de données par défaut, il est plus facile pour les pirates de deviner le nom de votre table. C’est pourquoi nous vous recommandons de le modifier.
Remarque : cette modification peut détruire votre site si elle n’est pas effectuée correctement ! Ne procédez que si vous avez les connaissances nécessaires.
Protégez par mot de passe votre page d’administration et de connexion WordPress
Normalement, les pirates peuvent accéder au dossier wp-admin et à la page de connexion sans aucune restriction. Cela leur permet d’essayer leurs astuces de piratage ou d’exécuter des attaques DDoS.
Vous pouvez ajouter une protection supplémentaire par mot de passe au niveau du serveur, ce qui bloquera efficacement ces demandes.
Connectez-vous à cPanel. Descendez jusqu’à l’onglet Sécurité. Cliquez sur l’icône « Protection des répertoires par mot de passe ». Lorsque vous cliquez sur cette icône, une fenêtre s’affiche pour vous demander l’emplacement du répertoire. Cliquez sur la racine du site web. Une fois que vous y êtes, naviguez jusqu’au dossier dans lequel WordPress est hébergé. Cliquez ensuite sur le dossier /wp-admin/ et cochez la case pour protéger le répertoire par un mot de passe. Créez ensuite un utilisateur pour ce répertoire. Maintenant, lorsque vous essayez d’accéder au répertoire wp-admin, vous devriez voir une case requise pour l’authentification.
Désactiver l’indexation et la navigation dans les répertoires
Les pirates informatiques peuvent utiliser la navigation dans les répertoires pour savoir si vous avez des fichiers présentant des vulnérabilités connues, afin de les exploiter pour obtenir un accès.
L’exploration des répertoires peut également être utilisée par d’autres personnes pour analyser vos fichiers, copier des images, découvrir la structure des répertoires et d’autres informations. C’est pourquoi il est recommandé d’arrêter l’indexation et l’exploration des répertoires.
Pour ce faire, vous devez vous connecter à votre site web en utilisant le FTP ou le gestionnaire de fichiers cPanel. Localisez ensuite le fichier .htaccess dans le répertoire racine de votre site web.
Ensuite, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :
Options -Index
N’oubliez pas de sauvegarder le fichier .htaccess sous sa forme modifiée.
Désactiver XML-RPC dans WordPress
XML-RPC a été activé par défaut dans WordPress 3.5, car il permet de connecter votre site WordPress avec des applications web et mobiles. En raison de sa puissance, XML-RPC peut considérablement amplifier les attaques par force brute. Par exemple, traditionnellement, si un pirate voulait essayer 500 mots de passe différents sur votre site web, il devrait faire 500 tentatives de connexion distinctes, qui seraient remarquées et bloquées par le plugin de blocage de l’authentification. Mais avec XML-RPC, un pirate peut utiliser la fonction system.multicall pour essayer des milliers de mots de passe avec 20 ou 50 requêtes. C’est pourquoi, si vous n’utilisez pas XML-RPC, nous vous recommandons de le désactiver.
Il existe trois façons de désactiver XML-RPC:
- insérez le code suivant dans le fichier functions.php de votre thème : add_filter(‘xmlrpc_enabled’, ‘__return_false’)
- installez le plugin Disable XML-RPC . Il vous suffit de l’activer. Il fait exactement la même chose que le code ci-dessus.
- insérez le code suivant dans votre fichier. Fichier .htaccess:123456
# Block WordPress xmlrpc.php requests
<
Files
xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</
Files
>
Déconnecter automatiquement les utilisateurs inactifs de WordPress
Les utilisateurs qui restent connectés présentent un risque pour la sécurité. Quelqu’un peut détourner la session, changer les mots de passe ou apporter des modifications au compte.
C’est pourquoi de nombreux sites bancaires et financiers déconnectent automatiquement les utilisateurs inactifs. Vous pouvez également mettre en œuvre une fonctionnalité similaire sur votre site WordPress. Pour ce faire, vous devez installer et activer le plugin « Inactive Logout ». Après l’activation, visitez la page « Settings » « Inactive Logout » pour configurer les paramètres du plugin.
Il suffit de définir la durée et d’ajouter un message de déconnexion. N’oubliez pas de cliquer sur le bouton Enregistrer les modifications pour sauvegarder vos paramètres.
Ajouter des questions de sécurité à l’écran de connexion de WordPress
En ajoutant une question de sécurité à l’écran de connexion de WordPress, il est encore plus difficile pour quelqu’un d’obtenir un accès non autorisé. Vous pouvez ajouter des questions de sécurité en installant le plugin « WP Security Question ». Après l’activation, vous devez vous rendre sur la page « Réglages » « Questions de sécurité » pour configurer les paramètres du plugin.
Réparation d’un site WordPress piraté
De nombreux utilisateurs de WordPress ne réalisent pas l’importance des sauvegardes et de la sécurité de leur site web jusqu’à ce que celui-ci soit piraté. Le nettoyage d’un site WordPress peut être très difficile et prendre beaucoup de temps. Notre premier conseil serait de laisser un professionnel s’en charger.
Les pirates installent des portes dérobées sur les sites web affectés, et si ces zones de portes dérobées ne sont pas réparées correctement, votre site web sera probablement piraté à nouveau.
Vous pouvez commander auprès de nous le service «Suppression et sécurité du site WordPress», après quoi vous pourrez être sûr que votre site web est à nouveau utilisable en toute sécurité. La sécurisation vous protégera contre toute attaque future.
Nous espérons que cet article vous a aidé à apprendre les meilleures pratiques de sécurité WordPress et à découvrir les meilleurs plugins de sécurité WordPress pour votre site web.