Sécuriser son site WordPress

Dans l’écosystème actuel des sites web, la sécurité d’un site WordPress doit être la première chose à prendre en compte, non seulement pour votre site web mais aussi pour le bien de vos visiteurs.

De nombreux sites web sont aujourd’hui compromis pour de nombreuses raisons, mais l’une des principales est le manque de maintenance.

Cela implique souvent de ne pas mettre à jour les logiciels côté serveur, tels que PHP ou Apache, ainsi que d’autres éléments comme le noyau, les thèmes et les plugins de WordPress.

La maintenance n’est pas la seule chose dont vous avez besoin pour sécuriser votre site WordPress. Ci-dessous, je mets en évidence quelques autres points clés pour vous aider à garder votre site WordPress sûr et sécurisé.

Les URL de connexion par défaut de WordPress permettent aux robots et aux personnes mal intentionnées de tenter une attaque de type “brute force” pour essayer de se connecter à un site.

Cela permet à de grands réseaux de robots malveillants d’analyser facilement votre site web à la recherche de vulnérabilités et de tirer parti des failles connues qui pourraient leur permettre d’accéder à votre site web.

Nous vous recommandons d’utiliser un plugin comme WPS Hide Login pour modifier l’URL de la page de connexion afin qu’elle ne soit pas automatiquement visée.

Il est préférable que vous choisissiez un nom de page de connexion qui ne reflète pas ce que quelqu’un pourrait trouver sur votre site web afin de rendre cette information aussi difficile à deviner que possible.

Pour éviter une attaque “brute force”, nous vous encourageons également à utiliser un plugin appelé Login Lockdown qui interdira les adresses IP des personnes qui ne se connectent pas correctement.

Cela augmentera la sécurité globale de la page de connexion en empêchant de nouvelles tentatives de connexion à votre site à partir de la même adresse IP lorsque les précédentes tentatives de connexion ont déjà échoué.

Activer l'authentification à deux facteurs

Plusieurs éléments peuvent être utilisés pour fournir une connexion à votre site web. Ces éléments se répartissent en quelques catégories simples.

  • Quelque chose que vous connaissez (nom d’utilisateur, mot de passe, numéro d’identification, etc.)
  • Quelque chose que vous possédez (appareil mobile, générateur de clés, porte-clés de sécurité)
  • Quelque chose que vous êtes (informations biométriques telles que votre empreinte digitale ou les traits de votre visage)

L’activation d’un service d’authentification à deux facteurs sur votre site est un autre excellent moyen de limiter le nombre de personnes autorisées à se connecter à votre site.

Pour sécuriser votre site WordPress de cette manière, il faudrait non seulement que vous connaissiez le nom d’utilisateur et le mot de passe, mais aussi que vous confirmiez ces informations à l’aide de quelque chose que vous avez sur vous pour vérifier votre identité.

Le Google Authenticator est une bonne solution pour cela.

Nom d'utilisateur ou adresse électronique ?

Il est préférable d’utiliser une adresse électronique pour se connecter au lieu d’un nom d’utilisateur, car les gens affichent souvent leur nom d’utilisateur par défaut dans les articles de leur blog.

Les adresses électroniques qui ne sont pas utilisées sur le site lui-même sont bien meilleures à utiliser.

Par exemple, n’utilisez pas l’adresse électronique que vous avez publiée sur votre site comme adresse de contact pour vous connecter.

Si vous préférez utiliser des noms d’utilisateur, je vous encourage vivement à éviter les termes tels que “administrateur”, “admin” ou “éditeur”, car il peut s’agir des mêmes noms d’utilisateur que ceux que les pirates utiliseront pour tenter d’accéder à votre site.

Mots de passe

Nous vous recommandons d’utiliser un gestionnaire de mots de passe tel que LastPass ou 1Password pour vous aider à générer des mots de passe sûrs pour tous les sites que vous utilisez afin que vous puissiez les garder en sécurité.

Vous pouvez également les utiliser pour vous aider à remplir ces identifiants si nécessaire.

Éviter les mots de passe faibles ou courts permet d’éviter les attaques de type “brute force” ainsi que les attaques par dictionnaire.

Les deux services mentionnés précédemment offrent également un service d’authentification à deux facteurs qui permet non seulement d’accéder à vos mots de passe enregistrés qu’ils conservent sur un serveur crypté, mais aussi de fournir une authentification à deux facteurs pour de nombreux autres services auxquels vous vous connectez et qui peuvent générer les codes pour vous.

Plugins

Comme je l’ai mentionné au début, la maintenance est un élément crucial de la sécurisation de votre site WordPress.

Cependant, une autre façon de sécuriser votre site WordPress est de vous assurer que vous utilisez et/ou installez des plugins qui ont été mis à jour récemment et qui ont un nombre décent de révisions et d’installations.

Cela indique qu’un plugin est activement mis à jour et corrigé pour les problèmes de sécurité.

  • Assurez-vous que vous n’avez installé que des plugins que vous utilisez activement. Ne laissez pas traîner des plugins utilisés temporairement.
  • Je ne saurais trop insister sur ce point. N’utilisez pas de plugin de gestion de fichiers sur votre site. Ces plugins sont généralement les premiers à être ciblés par les attaquants pour déposer des logiciels malveillants sur un site. Ils permettent un accès direct au système de fichiers de votre serveur et peuvent être utilisés pour modifier des parties cruciales des fichiers de votre site web.
  • Vérifiez si le plugin comporte un avis de sécurité actif en effectuant une recherche dans la base de données de vulnérabilité de WPScan.

Utilisateurs SFTP/FTP

Contrôlez l’accès de tous les utilisateurs à votre site et assurez-vous de vérifier les comptes d’utilisateurs que vous autorisez à accéder à votre site afin de ne pas avoir d’anciens comptes qui ne font que traîner.

Mettez à jour les mots de passe de ces utilisateurs tous les trois à six mois environ.

Il est préférable de le faire plus souvent et de ne pas utiliser à nouveau le même mot de passe.

Un gestionnaire de mots de passe peut générer un mot de passe aléatoire pour vous.

Surveillez votre site WordPress

Soyez attentif à tout changement de contenu sur votre site, car cela peut être un bon indicateur que quelque chose doit être approfondi.

La plupart du temps, cela se produira en raison d’une mise à jour du thème ou du plugin.

L’une des choses les plus courantes est de s’assurer que vous mettez à jour vos plugins.

Sécuriser votre site WordPress signifie également surveiller votre site pour des questions de sécurité, ce qui vous permettra d’être au courant de tout plugin qui a été compromis ou de tout logiciel malveillant qui s’est infiltré sur votre site, afin que vous puissiez régler le problème avant qu’il ne soit trop tard.

Tables de base de données

La plupart des installations par défaut de WordPress utilisent le préfixe wp_ pour leurs tables de base de données et c’est l’une des choses que vous devez aborder pour vous assurer que vous utilisez un préfixe unique.

Il est fortement recommandé d’éviter d’utiliser des préfixes par défaut dans la mesure du possible.

Pare-feu

Les pare-feu vous aideront à protéger votre site web contre les attaques par déni de service distribué (DDOS), ainsi qu’à empêcher les mauvaises adresses IP connues d’atteindre votre site.

Des services tels que CloudFlare sont gratuits et intègrent cette fonctionnalité.

Ils offrent également un réseau de diffusion de contenu (CDN) que votre site peut utiliser pour améliorer les performances globales de votre site.

Hébergement

Il existe de nombreux fournisseurs d’hébergement WordPress, soyez attentif aux mesures de sécurité mise en place par votre hébergeur.

Sauvegarde

Sauvegardez, sauvegardez, sauvegardez vos données ou vous allez passer un mauvais moment ;).

En gardant une sauvegarde quotidienne de votre site à jour, il sera plus facile de résoudre les problèmes liés au piratage du site ou à une interruption accidentelle du site due à une mise à jour récente ou à la suppression de ce fichier crucial.

Une sauvegarde quotidienne de votre site, ainsi que juste avant de modifier un thème ou un fichier de plugin est une bonne pratique.

Conclusion

Combien d’éléments avez-vous mis en œuvre actuellement ?

Ne vous souciez plus de la maintenance de votre site WordPress et rejoignez WP Critique dès aujourd’hui.

Nous garderons votre site WordPress à jour pour vous et le surveillerons pour tout problème de sécurité afin que vous puissiez vous concentrer sur le reste de votre journée avec l’esprit tranquille.

Si votre fournisseur d’hébergement ne vous offre pas la dernière version de PHP et que vous cherchez une solution globale à vos problèmes de sécurité, n’hésitez pas à consulter notre offre d’hébergement et de maintenance !