WordPress est le système de gestion de contenu (CMS) le plus populaire, utilisé pour toutes sortes de sites, des sites institutionnels aux boutiques de commerce en ligne. Malheureusement, sa popularité attire également les cybercriminels qui exploitent les vulnérabilités de la plateforme. Des experts en cybersécurité de chez Wordfence ont même détecté récemment une attaque massive qui a ciblé 1,6 million de sites WordPress, en s’appuyant sur un pool de 16 000 adresses IP pour effectuer l’attaque. Autant dire que les pirates informatiques ( hackers ) ont de gros moyens pour trouver et exploiter les failles de sécurité ! C’est pourquoi, j’ai décidé de vous faire un petit article avec quelques bonnes pratiques que nous appliquons pour sécuriser les sites WordPress de nos clients que nous infogérons.
10 conseils de sécurité WordPress pour sécuriser votre site
Peu importe le travail que vous avez fourni pour lancer votre site, il peut toujours se trouver en danger. C’est ainsi que fonctionne l’internet et que des attaques aléatoires sont menées. Mais la plupart des menaces peuvent être évitées si vous prenez le temps de mettre en œuvre ces 10 conseils de sécurité simples pour WordPress.
Il faut savoir que certaines étapes font partie de nos points de contrôle de routine de notre offre d’infogérance des sites WordPress de nos clients.
1- Mettez WordPress à jour régulièrement
Avec chaque nouvelle version, WordPress est amélioré et sa sécurité est également améliorée. De nombreuses vulnérabilités sont corrigées chaque fois qu’une nouvelle version sort. De plus, si une faille particulièrement malveillante est découverte, la communauté de développeurs WordPress la corrige immédiatement. Une nouvelle version sécurisée sera très rapidement mise en ligne. Pensez à la télécharger !
Il ne faut surtout pas négliger les mises à jours, car de nombreux pirates ciblent intentionnellement les anciennes versions de WordPress qui présentent des problèmes de sécurité connus. Gardez donc un œil sur la zone de notification de votre tableau de bord et n’ignorez pas les messages « Veuillez mettre à jour maintenant ».
2- Mettez à jour vos thèmes et plugins
Les thèmes et les plugins sont des composants essentiels pour tout site Web WordPress. Malheureusement, ils sont un vecteur d’attaque et peuvent donc constituer de sérieuses menaces pour la sécurité de votre site…
Ne pas mettre à jour vos thèmes et plugins peut être synonyme d’ennuis. De nombreux pirates informatiques profitent du fait que les gens ne prennent pas la peine de mettre à jour leurs plugins et leurs thèmes pour exploiter les failles déjà connues . Ils doivent donc être mis à jour régulièrement.
Petit conseil supplémentaire, si vous avez de vieux thèmes et plugins que vous n’utilisez plus, surtout s’ils n’ont pas été mis à jour alors supprimez les !
3- Supprimez les informations que hackers pourraient utiliser
Savez vous que le numéro de version de votre site WordPress peut être trouvé très facilement. En fait, si les pirates savent quelle version de WordPress vous utilisez, il leur est plus facile de concevoir l’attaque parfaite.
Pour trouver la version de votre site , rien de plus simple, avec votre navigateur, vous pouvez regarder le code source ou alors votre [ votre site ]/feed . Vous devriez voir une ligne se terminant par « ?v=x.x.x ». Les chiffres correspondent à la version WordPress
4- Sauvegardez régulièrement votre site
Quel que soit le niveau de sécurité de votre site Web WordPress, il est toujours possible de l’améliorer. Mais au bout du compte, conserver une sauvegarde hors site quelque part est peut-être la meilleure solution, quoi qu’il arrive.
Si vous avez une sauvegarde, vous pouvez restaurer votre site Web WordPress dans un état de fonctionnement à tout moment. Il existe certains plugins qui peuvent vous aider à cet égard.
5- Limitez les tentatives de connexion et changez souvent votre mot de passe
Limiter le nombre de tentatives de connexion échouées verrouillera un utilisateur s’il a saisi un mauvais mot de passe plus souvent que le temps spécifié. Il sera verrouillé pendant une durée déterminée. Vous pouvez contrôler les paramètres à partir de votre panneau d’administration. Cela vous permettra également de voir combien de personnes essaient de pirater votre site. Si vous constatez que la même adresse IP tente d’accéder à votre site, vous pouvez interdire cette adresse IP.
Si vous n’êtes pas le seul utilisateur à avoir accès à votre site, soyez également prudent lorsque vous créez de nouveaux comptes d’utilisateur. Vous devez garder tout sous contrôle et essayer de limiter l’accès de tout type aux utilisateurs qui n’en ont pas nécessairement besoin.
Lors de l’installation de WordPress, vous ne devez jamais choisir « admin » comme nom d’utilisateur pour votre compte administrateur principal. Un nom d’utilisateur aussi facile à deviner est accessible aux pirates. Il leur suffit de trouver le mot de passe pour que votre site entier tombe entre de mauvaises mains.
Petit conseil : Vous pouvez activer la double authentification pour plus de sécurité.
6- Renommez votre URL de connexion
Par défaut, pour se connecter sur la panneau d’administration de WordPress, il faut utiliser l’adresse ajouter /wp-admin sur l’URL. En laissant cette adresse par défaut, vous vous exposez à des attaques par force brute, visant ainsi a trouver la bonne combinaison nom d’utilisateur/mot de passe.
Si vous acceptez que les utilisateurs s’inscrivent à des comptes d’abonnement, vous risquez également de recevoir un grand nombre d’inscriptions de spam. Pour éviter cela, vous pouvez modifier l’URL de connexion de l’administrateur ou ajouter une question de sécurité à la page d’inscription et de connexion.
7- Installez un antivirus et activez les analyses de sécurité
Je vous recommande d’installer Imunify360, c’est une solution de sécurité pour les serveurs web basée sur la technologie d’apprentissage automatique.
Imunify360 utilise une approche multicouche pour assurer une protection contre les attaques malveillantes et les comportements anormaux, notamment les attaques par brute force. Elle ajoute une couche supplémentaire de sécurité à votre site Web en bloquant les scripts PHP qui contiennent du code susceptible de nuire à votre site Web
8- Personnalisez la base de données
Si vous avez déjà installé WordPress, vous connaissez le préfixe de table wp- utilisé par la base de données de WordPress. Je vous recommande de le changer pour quelque chose d’unique. Un mot de passe fort pour l’utilisateur principal de la base de données est également indispensable.
9 -Arrêter l’exécution de PHP dans WP-Content
Le meilleur conseil pour limiter l’utilisation de backdoor est de placer un fichier .htaccess avec le contenu ci-dessous dans le répertoire wp-content.
Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>Cela bloquera ainsi l’exécution des fichiers PHP à l’intérieur de ce répertoire.
10- Appliquez les bon droits sur les fichiers WordPress
Bien qu’il s’agisse d’un processus avancé pour améliorer la sécurité de votre site, sécurité, c’est une bonne pratique de protéger les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d’y accéder.
Pour cacher les fichiers, après votre sauvegarde, il y a deux choses que vous devez faire :
Premièrement, allez dans votre fichier wp-config.php et ajoutez le code suivant :
<Files wp-config.php>
order allow,deny
deny from all
</Files>Ensuite pour protéger votre ficfhier .htaccess :
<files .htaccess="">
order allow,deny
deny from all
</files>De plus appliquer des permissions sur les fichiers et répertoires est un bon moyen de sécuriser votre site Web . En fixant les autorisations des répertoires à « 755 » et celles des fichiers à « 644 », vous protégez l’ensemble du système de fichiers.
Je vous conseille d’installer le plugin iThemes Security qui permet de contrôler les permissions sur les fichiers et répertoires.
Etre accompagné par un expert en cybersécurité
Les étapes mentionnées ci-dessus ne sont que la surface de l’audit de sécurité WordPress. qui pourrons vous protéger des cyberattaques de « script-kiddies ».
Nos experts en sécurité wordpress peuvent vous donner une approche plus détaillée.
Cet audit effectué par nos analystes en cybersécurité vous permettra d’identifier les failles de sécurité. Le test d’évaluation et de pénétration des vulnérabilités réalisé par LecPac-Consulting couvre les points suivants :
- La Mauvaise configuration de vos serveurs.
- Le scan des vulnérabilités spécifiques à WordPress Core, Plugins & Theme.
- La recherche de backdoor avec l’Identification des vulnérabilités techniques et logiques de votre environnement.
Nous proposons également la mise en place d’un agent SIEM pour collecter les journaux d’activité de votre site WordPress. Une vue d’ensemble de l’activité des utilisateurs et du serveur est primordiale. Cela permet d détecter, prévenir ou minimiser l’impact de toute violation de la sécurité.