Le guide ultime de la sécurité WordPress

Partager sur facebook
Partager sur google
Partager sur twitter
Partager sur linkedin
Le guide ultime de la sécurité WordPress

Les pirates informatiques attaquent les sites WordPress petits et grands avec plus de 50 000 attaques par jour . Heureusement, il existe de nombreuses façons de protéger votre site WordPress.

On peut lutter contre les pirates et les hackeurs et protéger son site internet en suivant ces simples conseils. Ils sont assez efficaces pour se défendre des attaques automatiques et donneront du travail à celui qui vise spécifiquement à pénétrer votre site pour diverses raisons.

Comment éviter que votre site web ne soit utilisé par un pirate comme plateforme de phishing (hameçonnage) ou d’envoi massif de spams (pourriels) ?  Comment éviter certains trous de sécurité ?

A priori, les serveurs mutualisés de votre hébergeur devraient être relativement sécurisés et disposer d’outils permettant de bloquer certains comportements suspects. Les hébergeurs sont des professionnels qui ont la maitrise de leurs outils. Ils mettent à votre disposition un espace que vous devez contrôler, ils ne le font pas pour vous. En effet, ils ne s’occupent que de leur partie (la gestion du matériel et de leurs serveurs), et vous êtes responsable des données que vous y mettez (site web, e-mail, fichiers…). Par conséquent, l’hébergeur suspend votre site web après une attaque, vous laissant le soin de corriger le problème tout seul. Il est donc préférable de prévenir le piratage pour l’empêcher de vous nuire.

Voici donc quelques conseils concrets, pratiques et très efficaces. C’est l’accumulation de ces trucs et astuces qui sécurisera votre site, car il n’y a pas de solution unique ; 

Comment les pirates informatiques compromettent les sites Web

Il existe plusieurs façons dont un site pourrait être vulnérable, notamment l’erreur humaine, comme l’utilisation de mots de passe faciles à deviner ainsi qu’un hébergement non sécurisé ou peu fiable.

Il existe un certain nombre de vulnérabilités WordPress couramment exploitées et potentielles, notamment:

  • Injection SQL (SQLI) – Se produit lorsque des requêtes et des instructions SQL peuvent être entrées et exécutées à partir de l’URL d’un site
  • Cross-site Scripting (XSS) – Un pirate peut injecter du code dans un site, généralement via un champ de saisie
  • Téléchargement de fichier – Un fichier avec un code malveillant est téléchargé sur un serveur sans restriction
  • Falsification de demande intersite (CSRF) – Le code ou les chaînes sont saisis et exécutés à partir de l’URL d’un site
  • Brute Force – Essayer constamment de se connecter en devinant le nom d’utilisateur et le mot de passe du compte administrateur
  • Déni de service (DoS) – Lorsqu’un site tombe en panne en raison d’un flux constant de trafic provenant d’un hackbot
  • Déni de service distribué (DDoS) – Similaire à une attaque DoS, sauf que le hackbot envoie du trafic à partir de plusieurs sources telles que des ordinateurs ou des routeurs infectés
  • Redirection ouverte – Se produit en raison d’une vulnérabilité et c’est la page d’un site qui est redirigée vers une autre qui est définie par un pirate et qui est souvent du spam ou un site de phishing
  • Phishing (vol d’identité) – Un site ou une page créé par un pirate qui ressemble à un site bien connu et généralement fiable, mais qui est utilisé pour collecter les informations de connexion en trompant un utilisateur pour saisir ses coordonnées
  • Malware – Un script ou programme malveillant destiné à infecter un site ou un système
  • Inclusion de fichiers locaux (LFI) – Un attaquant est en mesure de contrôler le fichier qui est exécuté à une heure planifiée qui a été configurée par le CMS ou l’application Web
  • Contournement d’authentification – Une faille de sécurité qui permet à un pirate de contourner le formulaire de connexion et d’accéder au site
  • Divulgation du chemin complet (FPD) – Lorsque le chemin d’accès à la racine Web d’un site est exposé, par exemple lorsque la liste des répertoires, les erreurs ou les avertissements sont visibles
  • Énumération des utilisateurs – Être en mesure de déterminer un nom d’utilisateur valide à utiliser ultérieurement pour les attaques par force brute en ajoutant une chaîne à la fin de l’URL d’un site WordPress pour demander un ID utilisateur qui peut renvoyer le profil d’un auteur avec le nom d’utilisateur valide
  • Entité externe XML (XXE) – Une entrée XML qui fait référence à une entité externe et est mal traitée par un analyseur XML mal configuré et peut conduire à la divulgation d’informations confidentielles
  • Contournement de sécurité – Similaire au contournement de l’authentification, sauf qu’un pirate peut contourner le système de sécurité actuel qui est en place pour accéder à une partie d’un site
  • Exécution de code à distance (RCE) – Un pirate a la possibilité d’exécuter du code arbitraire sur une machine ou un site à partir d’une machine ou d’un site différent
  • Inclusion de fichiers à distance (RFI) – Exploiter une référence à un script externe sur un site afin de l’exploiter pour télécharger des logiciels malveillants et tout cela à partir d’un ordinateur ou d’un site entièrement différent
  • Falsification de requêtes côté serveur (SSRF) – Lorsqu’un pirate peut prendre le contrôle d’un serveur, partiellement ou totalement, pour le forcer à exécuter des requêtes à distance
  • Traversée de répertoire – Cas où HTTP peut être exploité pour accéder aux répertoires d’un site et exécuter des commandes en dehors du répertoire racine du serveur

Bien qu’il ne s’agisse pas d’une liste complète des vulnérabilités de sécurité de WordPress, ce sont les moyens les plus courants d’exploiter un site, souvent par le biais d’un bot. De multiples vulnérabilités pourraient également être exploitées en même temps.

Selon Wordfence ainsi qu’un rapport de WP WhiteSecurity , les vulnérabilités XSS, SQLI et File upload sont les problèmes de sécurité les plus couramment exploités. Les plugins mal codés sont également le plus grand coupable et représentent 54% de ces attaques, suivis respectivement du noyau et des thèmes WordPress.

 

Comment protéger votre site Web ?

Maintenant que vous connaissez certaines des menaces de sécurité les plus courantes, il est temps de les empêcher de se produire.

Vous ne pouvez pas simplement supposer que votre site Web est sécurisé. Si vous n’avez rien fait pour renforcer la sécurité, elle est probablement vulnérable aux attaques. Suivez les étapes ci-dessous pour améliorer la sécurité de votre site Web en 2020.

Utiliser le protocole HTTPS

Si votre site Web n’utilise pas actuellement le protocole HTTPS, cela doit être votre priorité. Cela indique essentiellement aux visiteurs de votre site Web qu’ils interagissent avec le bon serveur et que rien d’autre ne peut altérer ou intercepter le contenu qu’ils consultent.

Sans HTTPS, un pirate peut modifier les informations de la page pour recueillir des informations personnelles auprès des visiteurs de votre site. Par exemple, ils pourraient voler des informations de connexion et des mots de passe aux utilisateurs.

Le protocole HTTPS améliorera également votre classement de recherche. Google récompense les sites Web qui utilisent cette mesure de sécurité.

Mettez à jour votre logiciel

Tout logiciel que vous utilisez sur votre site Web doit être tenu à jour. Vous devez mettre à jour le logiciel WordPress, les plugins, le CMS et tout ce qui nécessite une mise à jour.

Pourquoi?

En plus de corriger les bogues ou les problèmes, les mises à jour logicielles s’accompagnent généralement d’améliorations de sécurité. Aucun logiciel n’est parfait. Les pirates chercheront toujours des moyens de tirer parti de leurs vulnérabilités.

De nombreuses cyberattaques sont automatisées. Les criminels utilisent des robots pour analyser uniquement les sites Web vulnérables. Donc, si vous ne restez pas à jour sur les dernières versions du logiciel, il sera facile pour les pirates d’identifier votre site avant de pouvoir faire quoi que ce soit.

Choisissez un plan d'hébergement Web sécurisé

En théorie, si votre hébergeur a une sécurité sur ses serveurs, vous bénéficierez de ces mêmes niveaux de protection. Mais ce n’est pas toujours le cas.

Aller avec un plan d’hébergement partagé peut être attrayant en raison du prix, mais ce n’est pas le choix le plus sûr que vous puissiez faire. Comme son nom l’indique, vous partagez des serveurs avec d’autres sites Web si vous choisissez ce type de plan d’hébergement.

Si l’un de ces autres sites est attaqué, un pirate peut également accéder au serveur que vous utilisez. Je n’essaie pas de vous éloigner d’un plan d’hébergement partagé, mais si vous souhaitez renforcer la sécurité de votre site Web, vous serez mieux avec une autre option.

Consultez par exemple un hébergement  , qui peut vous guider dans la bonne direction.

Changez votre mot de passe

Changez votre mot de passe!

Trop souvent, les gens ont le même mot de passe pour tout ce qu’ils possèdent, et c’est quelque chose qu’ils utilisent depuis qu’ils sont à l’université .

Utilisez toujours des mots de passe forts. Il y a une raison beaucoup plus sérieuse pour laquelle vous devez créer des mots de passe forts: les pirates savent que les êtres humains ont tendance à oublier leurs mots de passe et sont enclins à utiliser des mots simples , mots de passe faciles à deviner.

Voici un exemple de mot de passe fort: JhiazI9pklinqstr*12*gmuaZwt0rd$

 

Ne réutilisez pas les mots de passe

Il est pratique d’avoir un mot de passe (espérons-le fort) dans tous les domaines. Vous n’aurez pas à vous souvenir de tant de mots de passe, mais c’est faux à plusieurs niveaux.

Encore une fois, les pirates savent que c’est un peu une faiblesse humaine. Cela signifie que lorsqu’un de vos comptes est compromis, il a probablement accès à TOUS les autres comptes.

Il existe de nombreux gestionnaires de mots de passe qui vous permettront de créer différents mots de passe et de les stocker en toute sécurité. Cela est fortement recommandé.

Limitez les tentatives de connexion

Vous devez mettre en place des mécanismes pour bloquer toute tentative de forcer brutalement votre mot de passe.

Le plugin WPS Limit Login fait exactement cela. S’il détecte un certain nombre de tentatives de connexion incorrectes, il refuse à cet utilisateur la possibilité de réessayer pendant un certain temps. Bien sûr, cela rend les tentatives de forçage brutal beaucoup plus difficiles à réussir et améliore considérablement votre sécurité WordPress.

Changer le nom d'utilisateur Admin

L’un des moyens les plus rapides de sécuriser votre connexion administrateur WordPress contre les attaques par force brute est de changer le nom d’utilisateur «admin» par défaut en quelque chose de plus difficile à deviner. 

Vous pouvez – et devez – le faire lors de l’installation réelle de WordPress.

Si votre nom d’utilisateur est actuellement administrateur, vous devez créer un nouvel utilisateur administrateur avec un nom d’utilisateur moins évident à deviner et à supprimer l’ancien utilisateur administrateur.

Activer Google Search Console

Bien que ce ne soit pas une recommandation de sécurité WordPress stricte, c’est quelque chose qui peut compléter les mesures que vous avez déjà prises pour renforcer votre sécurité WordPress.

Google et les autres moteurs de recherche ont intérêt à s’assurer que votre site Web est exempt de logiciels malveillants. Pour cette raison, la console de recherche Google vous informera si votre site Web commence à héberger des fichiers malveillants.

Bien que ce ne soit pas une situation idéale où votre site aurait déjà été piraté, plutôt que d’agir pour empêcher votre site WordPress d’être piraté, il est toujours bon de savoir que des logiciels malveillants ont été détectés sur votre site afin que vous puissiez corriger le problème comme dès que possible.

Activer l'authentification à deux facteurs

Une façon de sécuriser rapidement et très facilement vos connexions WordPress est d’activer l’authentification à deux facteurs, également appelée 2FA.

2FA crée un mécanisme par lequel pour vous connecter à votre backend WordPress, en plus de votre mot de passe habituel, vous aurez également besoin d’un jeton de sécurité temporel unique à chaque utilisateur. Ce jeton expire également après une période de temps généralement de 60 secondes.

Il existe un certain nombre de plugins qui peuvent vous aider à configurer l’ authentification à deux facteurs WordPress  et vous aider globalement à sécuriser votre site.

Assurez-vous que les autorisations de fichier sont correctes

PHP et WordPress utilisent en général un ensemble d’autorisations associées aux fichiers et dossiers. Sans entrer dans trop de détails, il existe différents types d’autorisations

  • Fichiers et répertoires accessibles en écriture
  • Fichiers accessibles en écriture par le serveur Web uniquement
  • Fichiers en lecture seule

En général, votre serveur Web doit généralement être en mesure d’écrire des fichiers pour que WordPress fonctionne correctement, tandis que l’Internet public n’a JAMAIS besoin d’avoir un accès en écriture à vos fichiers.

En règle générale, les fichiers doivent avoir une autorisation 644 et les dossiers doivent avoir 755 autorisations. Le fichier wp-config.php doit avoir une autorisation de 400 ou 440.

Sécurisez votre fichier wp-config.php

Si vos fichiers WordPress devaient être analogues au corps humain, le fichier wp-config.php serait le cœur.

Le fichier wp-config.php stocke des éléments importants tels que les informations de connexion pour la base de données utilisée avec votre installation WordPress, les mot de passe et d’autres paramètres de configuration importants. Cela suffit pour dire que ce fichier est très important. 

Nous recommandons fortement de mettre en œuvre des mesures de sécurité spécifiques pour protéger ce fichier de configuration WordPress critique. Il existe des désaccords quant à savoir si ce fichier doit être éloigné de son emplacement racine, cependant, la plupart conviennent que ce fichier doit être sécurisé.

Désactiver XML-RPC (si vous ne l'utilisez pas)

WordPress permet à une application d’y accéder à distance via ce que l’on appelle une interface de programmation d’application (ou API). Cela signifie que les applications peuvent accéder à votre site (pour des raisons bénignes). Un exemple typique d’utilisation du XML-RPC est si vous utilisez une application mobile pour mettre à jour votre site.

Il existe également des plugins qui utilisent XML-RPC. Par exemple, Jetpack utilise la fonctionnalité XML-RPC.

Cependant, le XML-RPC peut également être utilisé pour effectuer des attaques de piratage sur votre site Web.

Si vous êtes sûr de ne pas avoir d’applications tierces ou qu’aucun plugin WordPress n’utilise votre site Web WordPress via XML-RPC, vous pouvez choisir de le désactiver à l’aide d’un plugin WordPress .

Supprimer les fichiers inutiles

Il y a quelques fichiers qui ne sont plus nécessaires une fois que WordPress a été installé avec succès. Les supprimer empêche d’y ajouter accidentellement des informations sensibles, ce qui pourrait donner aux pirates un point d’entrée potentiel sur votre site.
Vous pouvez supprimer ces fichiers en toute sécurité:

  • readme.html
  • /wp-admin/install.php
  • wp-config-sample.php

Le fichier Lisezmoi comprend la version de WordPress que vous utilisez. Ces informations sont utiles aux pirates, car ils pourraient accéder aux enregistrements publics des vulnérabilités existantes dans cette version afin qu’ils puissent savoir comment s’infiltrer au mieux dans votre site.

Supprimer le numéro de version de WordPress

Il est utile pour la sécurité de votre site d’empêcher les pirates informatiques de découvrir la version de WordPress que vous utilisez.

Outre la suppression du fichier readme.html comme suggéré ci-dessus, vous pouvez également supprimer toute mention de la version WordPress sur l’ensemble de votre site.

Pour supprimer la version de WordPress, copiez-collez le snippet suivant dans le fichier functions.php de votre thème enfant :

add_filter(‘the_generator’, ‘wpm_delete_version’);

// On retourne une chaine de caractère vide à la place de la version de WordPress

function wpm_delete_version() { return ; }

Désactiver le rapport d'erreurs PHP

Lorsque vous développez un site Web, le rapport d’erreurs est une bouée de sauvetage. Il vous montre exactement d’où vient une erreur afin que vous puissiez la corriger rapidement.

Mais, sur un site en direct, le rapport d’erreurs donne des indices cruciaux au pirate informatique pour lui faciliter la vie.

Utiliser un plugin de sécurité

Beaucoup ou la plupart des techniques de sécurité mentionnées ici peuvent être appliquées rapidement avec un plugin de sécurité. En installer un et le maintenir actif est un moyen simple et excellent de garantir la protection de votre site et sans avoir à vous rappeler d’appliquer toutes les tactiques de sécurité vous-même.

WordPress lui-même est sécurisé tant que vous le maintenez à jour, mais de nouvelles vulnérabilités apparaissent lorsque les pirates les trouvent. Un plugin de sécurité vous aide à vous protéger pendant que l’équipe de sécurité WordPress travaille sur un correctif à publier dans la prochaine mise à jour principale.

Vous pouvez trouver une liste de plugins de sécurité fiables et solides plus tard, mais n’oubliez pas d’en installer un si vous n’en avez pas déjà sur votre site.

Désactiver XML-RPC

XML-RPC est une API que WordPress utilise pour ses fonctionnalités de trackback et pingback ainsi que pour le plugin Jetpack . Bien que cette API soit utile si vous en utilisez, elle peut également être exploitée par des pirates informatiques comme moyen d’attaques par force brute.

Même si vous avez un mot de passe fort, les attaques par force brute utilisent une grande partie des ressources de votre serveur. Si votre plan d’hébergement n’est pas suffisant, votre site peut tomber en panne une fois que toutes les ressources de votre serveur sont épuisées.

Pour empêcher les pirates d’exploiter cette API, vous pouvez désactiver XML-RPC sur votre site.

Exécuter des analyses régulières

Une fois que vous avez installé et activé un plugin de sécurité, il est important de configurer des analyses régulières. La plupart d’entre eux ont cette option et il est crucial de l’activer.

Sans analyses de sécurité régulières, une vulnérabilité pourrait ne pas être détectée et elle pourrait potentiellement conduire à la compromission de votre site sans même que vous le sachiez.

Service de sécurité WordPress

Ayez l’esprit tranquille en souscrivant à un service de maintenance et vous serez rassuré de savoir que votre site Web sera protégé et entièrement sécurisé. 

Garder WordPress sécurisé

La sécurité WordPress est quelque chose à prendre au sérieux. Les attaques de piratage sont devenues la norme. Votre site Web est probablement attaqué en ce moment.

Plus vous mettez en place ces mesures de sécurité WordPress, mieux c’est. 

GLAM

GLAM

Leave a Replay

Glam Agency

Création de site Internet à Montpellier dans l’Hérault. Notre Agence Web à Montpellier vous accompagne dans la création de site Internet Wordpress e-Commerce et Communication Web.

Articles récents

Formation WordPress

Visez la 1ère page

Inscrivez-vous à notre newsletter

Recevez en cadeau les 100 meilleures ressources pour WordPress