Si vous travaillez avec WordPress ou l’utilisez, vous devez toujours penser à la sécurité de votre site. WordPress n’est pas plus ou moins sécurisé que toute autre plateforme, mais le nombre d’utilisateurs, de plugins et de modules complémentaires tiers en fait une cible commune pour les attaquants. Ne vous inquiétez pas cependant, vous pouvez prendre certaines mesures de base pour assurer la sécurité de votre site (même si vous n’êtes pas très averti en matière de technologie)!
Nouveau sur WordPress? Notre formation WordPress GRATUITE pour les débutants est là pour vous aider. Découvrez comment configurer votre propre site, découvrez les tenants et aboutissants de sa création et de sa maintenance, et bien plus encore. Cette formation fait partie de notre abonnement de formation gratuit, jetez un œil à tous nos abonnements de formation SEO en ligne!
Table des matières
1. N’utilisez pas «admin» comme nom d’utilisateur
La plupart des «hacks» et attaques WordPress ne font rien de plus sophistiqué que d’essayer de Force brute leur chemin dans votre zone d’administration en devinant votre mot de passe. C’est beaucoup plus facile pour eux s’ils n’ont pas non plus à deviner votre nom d’administrateur! Éviter d’utiliser des mots communs (comme admin) pour vos noms d’utilisateur peut rendre les attaques par force brute beaucoup moins efficaces.
Si vous travaillez avec un site plus ancien qui a déjà un utilisateur «administrateur», il est peut-être temps de supprimer ce compte et de transférer tout contenu ou d’accéder à un nom d’utilisateur plus sécurisé!
2. Utilisez un mot de passe complexe
Avoir un meilleur mot de passe peut le rendre beaucoup plus difficile à deviner ou à utiliser brutalement. Une astuce facile à retenir est CLU: Complexe. Longue. Unique.
Mais les mots de passe uniques et plus longs peuvent être difficiles à retenir, non? C’est là que des outils comme 1Mot de passe et Dernier passage entrer en jeu, car ils ont chacun des générateurs de mot de passe. Vous saisissez la longueur requise et cela génère un mot de passe pour vous. Vous enregistrez le lien, enregistrez le mot de passe et continuez votre journée. Selon la façon dont sécurise vous voulez que le mot de passe soit, il est judicieux de définir un longue mot de passe (20 caractères est bon) et décider de choses comme l’inclusion de caractères moins habituels comme # ou *.
3. Ajoutez une authentification à deux facteurs
Même si vous n’utilisez pas «admin» et que vous disposez d’un mot de passe fort généré de manière aléatoire, les attaques par force brute peuvent toujours être un problème. Ne vous inquiétez pas, l’authentification à deux facteurs peut aider à protéger votre site.
Le principe est que, plutôt que de simplement entrer vos informations de connexion, vous devez également confirmer que vous êtes vous en entrant un code à usage unique à partir d’un autre appareil que vous possédez (généralement via une application sur votre téléphone). C’est beaucoup plus difficile pour les attaquants de simuler!
Deux plugins populaires pour gérer l’authentification dans WordPress sont les Google Authenticator et Plugin Rublon (qui adopte une approche légèrement différente). Assurez-vous simplement de ne pas perdre vos codes de sauvegarde, sinon vous pourriez vous retrouver bloqué.
4. Employer les principes les moins privilégiés
le WordPress.org équipe a rédigé un excellent article dans le Codex WordPress concernant Rôles et capacités. Nous vous encourageons à le lire et à vous familiariser avec lui car il s’applique à l’étape suivante.
Le concept de Least Privileged est simple. Accordez uniquement des autorisations à:
- ceux qui en ont besoin,
- quand ils en ont besoin et
- seulement pour le temps dont ils en ont besoin.
Si quelqu’un requiert un accès administrateur temporaire pour une modification de configuration, accordez-le, mais supprimez-le une fois la tâche terminée. La bonne nouvelle est que vous n’avez pas à faire grand-chose ici, à part utiliser les meilleures pratiques.
Contrairement à la croyance populaire, tous les utilisateurs accédant à votre instance WordPress n’ont pas besoin d’être classés sous le rôle d’administrateur. Attribuez des personnes aux rôles appropriés et vous réduirez considérablement vos risques de sécurité.
5. Masquer wp-config.php et .htaccess
Votre wp-config.php et .htaccesssont essentiels à votre sécurité WordPress. Ils contiennent souvent les informations d’identification de votre système et exposent des informations sur la structure et la configuration de votre site. Il est vital de s’assurer que les attaquants n’y ont pas accès.
Cacher ces fichiers est relativement facile à faire, mais une mauvaise manipulation peut rendre votre site inaccessible. Effectuez une sauvegarde et procédez avec prudence. Yoast SEO pour WordPress rend ce processus un peu plus facile pour vous. Accédez simplement à « Outils> Éditeur de fichiers » pour modifier votre .htaccess.
Pour une meilleure sécurité WordPress, vous devrez l’ajouter à votre .htaccess fichier à protéger wp-config.php:
order allow,deny
deny from all
Cela empêchera l’accès au fichier. Un code similaire peut être utilisé pour votre .htaccess fichier lui-même:
order allow,deny
deny from all
6. Utilisez les clés de sécurité WordPress pour l’authentification
Les «clés d’authentification» et les «sels» sont essentiellement un ensemble de variables aléatoires, uniques à votre site Web, qui améliorent la sécurité (cryptage) des informations contenues dans les cookies.
Votre wp-config.php fichier a une zone dédiée où vous pouvez fournir vos propres variables (obtenez simplement un nouveau jeu de clés d’ici et collez-les).
7. Désactivez la modification des fichiers
Si un pirate informatique entre, le moyen le plus simple pour eux de modifier vos fichiers serait d’aller dans « Apparence> Editeur » dans WordPress. Pour améliorer votre sécurité WordPress, vous pouvez désactiver l’édition de ces fichiers via cet éditeur. Encore une fois, vous pouvez le faire à partir de votre wp-config.php fichier en ajoutant cette ligne de code:
define('DISALLOW_FILE_EDIT', true);Vous pourrez toujours modifier vos modèles via votre application FTP (S) préférée. Vous ne pourrez simplement pas le faire via WordPress lui-même.
8. Cachez votre connexion et limitez les tentatives de connexion
Les attaques par force brute ciblent généralement votre formulaire de connexion. Changer l’endroit où il se trouve peut rendre plus difficile l’accès des attaquants. Module d’extension de sécurité et de pare-feu WP tout en un a une option pour simplement changer l’URL par défaut (de /wp-admin/) à quelque chose de plus sûr.
À côté de cela, vous pouvez également limiter le nombre de tentatives de connexion à partir d’une certaine adresse IP. Il y a plusieurs plugins WordPress pour vous aider à protéger votre formulaire de connexion des adresses IP qui déclenchent une multitude de tentatives de connexion à votre guise.
9. Soyez sélectif avec XML-RPC
XML-RPC est une interface de programme d’application (API) qui existe depuis un certain temps. Il est utilisé par un certain nombre de plugins et de thèmes, nous vous conseillons donc aux moins techniques de garder à l’esprit la façon dont ils mettent en œuvre cette astuce de renforcement spécifique.
Bien que fonctionnel, la désactivation peut avoir un coût. C’est pourquoi nous ne recommandons pas de désactiver tout, mais d’être plus sélectif sur la manière et les autorisations d’accès. Dans WordPress, si vous utilisez Jetpack tu voudras être très prudent ici.
Il existe un certain nombre de plugins qui vous aident à être très sélectif dans la façon dont vous implémentez et désactiver XML-RPC par défaut.
10. Hébergement et sécurité WordPress
Même si vous êtes méticuleux en ce qui concerne la sécurité de votre site Web, s’il est hébergé par une entreprise qui n’est pas tout aussi méticuleuse, vous pouvez tout aussi bien n’avoir rien fait du tout.
Si un attaquant peut accéder à l’hébergement de votre site Web, il peut tout contrôler. Cela signifie que c’est vraiment il est important que vous choisissiez (ou déménagiez) un hôte qui prend l’hébergement au sérieux. Les options d’hébergement moins chères ne sont souvent pas accompagnées d’une bonne sécurité ou de bonnes sauvegardes, ou ne proposent pas d’assistance pour vous aider à nettoyer un site piraté.
L’hébergement partagé (qui est courant sur les packages bon marché) est souvent particulièrement risqué, car les attaquants pourraient avoir accès à votre site via un autre site compromis sur le même système. C’est pourquoi nous recommandons toujours aux utilisateurs sérieux de dépenser un peu plus pour l’hébergement et d’utiliser une entreprise avec une grande réputation pour l’hébergement WordPress spécialisé (par exemple Allez papa ou Moteur WP).
11. Restez à jour
Rester à jour est une déclaration facile à faire, mais nous réalisons à quel point cela peut être difficile pour les propriétaires de sites Web au quotidien. Nos sites Web sont des êtres complexes. Il se passe beaucoup de choses différentes à un moment donné. Et parfois, il est difficile d’appliquer rapidement les modifications. C’est pourquoi il n’est pas rare que les sites Web finissent par exécuter du code obsolète. Tant dans leurs plugins que dans leurs logiciels de base. Malheureusement, cela les rend particulièrement vulnérables aux exploits connus.
Il est essentiel que la mise à jour de vos thèmes, logiciels, plug-ins et autres composants fasse partie d’une routine continue. Sinon, vous laissez la porte ouverte aux attaquants. Si vous êtes un utilisateur du plug-in Yoast SEO, suivez simplement ces étapes simples pour mettre à jour votre plug-in Yoast SEO.
12. Mettez plus de couches de sécurité en place
Les meilleures solutions de sécurité empêchent les attaquants de s’approcher de votre site Web. C’est pourquoi nous recommandons que la plupart des sites exécutent une sorte de Plugin de pare-feu WordPress. Ces plugins recherchent les attaquants connus et les schémas d’attaque courants et les arrêtent avant qu’ils n’aient une chance de compromettre votre site.
Il convient également de considérer que de nombreux Systèmes de diffusion de contenu incluent désormais une fonctionnalité de pare-feu; alliant optimisation des performances et protection. Cloudflare, en particulier, fait un excellent travail pour bloquer le «mauvais trafic» et a même des règles et des analyses spécialement développées pour protéger les sites WordPress.
13. Les meilleurs plugins et thèmes de sécurité
La plupart des utilisateurs de WordPress ont tendance à appliquer des thèmes et des plugins à leurs sites à volonté. Nous vous recommandons de ne pas oublier de tester différents thèmes ou plug-ins, surtout si vous n’utilisez pas de serveur de test. La plupart des plugins et de nombreux thèmes sont gratuits, et à moins que le développeur n’ait un modèle commercial solide pour accompagner ces cadeaux gratuits, la sécurité pourrait ne pas avoir été la plus haute priorité pendant le développement. En d’autres termes, si un développeur maintient un plugin juste parce que c’est très amusant, il est probable qu’il ou elle n’ait pas pris le temps d’effectuer les contrôles de sécurité appropriés.
Pour cette raison, nous nous sommes associés à Sucuri il y a des années pour nous assurer que la sécurité de chacun de nos plugins est vérifiée avant sa sortie. Et nous avons également un accord avec eux pour les contrôles en cours. Si vous créez un thème ou un plugin gratuit, vous pourriez ne pas avoir les ressources pour ajouter des vérifications solides comme ça.
Comment choisir le bon plugin
Si vous voulez être pris par la main dans la sélection du bon WordPress Sécurité plugin pour votre site Web, veuillez lire cet article détaillé que Tony Perez a fait sur le sujet: Comprendre l’écosystème du plugin de sécurité WordPress.
Tout d’abord, permettez-moi de me concentrer sur les bases de la sélection des plugins ici. Comme expliqué ci-dessus, les plugins et thèmes gratuits pourraient être possible vulnérabilité. Lors de l’ajout d’un plugin (ou d’un thème d’ailleurs), vérifiez toujours la note de ce plugin sur WordPress.org. N’oubliez pas qu’une note 5 étoiles ne vous dira rien. Vérifiez donc toujours le nombre de notes. Selon le créneau, un plugin devrait pouvoir obtenir plusieurs avis. Si plus de gens pensent qu’un plugin est génial et prennent le temps de le noter, vous pouvez également vous sentir plus en sécurité pour l’utiliser.
Compatibilité du plugin
Il y a une autre chose que vous voulez vérifier. Si un plugin n’a pas été mis à jour depuis deux ans, WordPress vous le dira. Maintenant, cela ne signifie pas nécessairement que c’est un mauvais plugin. Cela pourrait également signifier qu’il n’a pas été nécessaire de le mettre à jour, simplement parce que le plugin fonctionne toujours. Les notes vous aideront à décider si c’est le cas. Et jetez un œil à la compatibilité avec la version actuelle de WordPress, qui est également indiquée sur la page du plugin sur wordpress.org. Cela dit, Sucuri déconseille fortement d’utiliser des plugins qui n’ont pas été mis à jour depuis si longtemps. Vous devriez leur croire sur parole.
Sur la base des notes et de la compatibilité, vous pouvez choisir vos plugins de manière réfléchie et être attentif à votre sécurité WordPress en même temps.
Yoast recommande Sucuri
J’ai déjà mentionné nos amis à Sucuri. Les propriétaires et gestionnaires Daniel et Tony ont fait un travail formidable sur nos plugins et ont aidé sur plusieurs sites Web piratés dans le passé.
Sucuri est une société de sécurité de sites Web mondialement reconnue, connue pour sa capacité à nettoyer et protéger des sites Web et à apporter la tranquillité d’esprit aux propriétaires de sites Web, y compris nous ici à Yoast.
Nous avons fait équipe avec Sucuri parce que nous prenons la sécurité très au sérieux. Ce n’est pas et ne devrait jamais être une réflexion après coup. Il existe différentes manières de gérer la sécurité WordPress, et nous avons constaté que la sécurité était mieux gérée à distance, au-delà de l’application. Ce que Daniel et Tony ont construit est un produit / service qui vous permet de reprendre la gestion de votre entreprise. C’est l’équipe de sécurité sur laquelle nous nous appuyons lorsque nous avons le plus besoin d’aide. Et ils peuvent aussi vous aider. Par exemple, si vous utilisez WordPress, lisez certainement leur Guide WordPress sur la façon de nettoyer un site WordPress piraté.
Webinaire Sucuri: comment les sites Web sont-ils piratés?
Si vous vous demandez pourquoi les sites Web sont piratés et quel type d’attaques il y a, regardez le webinaire de Sucuri sur ce sujet:
Ne pas prendre les précautions nécessaires pour votre sécurité WordPress et faire appel aux experts peut entraîner des infections de logiciels malveillants, des problèmes de marque, Listes noires de Google et éventuellement d’énormes impacts sur votre référencement (quelque chose qui nous tient à cœur). Pour cette raison, nous nous tournons vers Sucuri pour nos besoins, comme ils se tournent vers nous pour l’optimisation du site Web.
De plus, Sucuri a créé un infographie ce qu’il faut faire lorsque votre site est piraté:
De nombreuses suggestions de cet article peuvent être traitées en installant et en configurant le plugin Sucuri Scanner gratuit pour WordPress ou embaucher Sucuri pour gérer la sécurité de votre site Web. Chez Yoast, nous ne pensons pas que ce soit un «extra», mais le considérons comme une nécessité absolue. Pour nous, la sécurité n’est pas un projet de bricolage, c’est pourquoi nous laissons le soin aux professionnels. Visitez leur site Web à sucuri.net pour plus d’informations ou consultez votre site maintenant pour vous assurer que vous n’avez pas été infecté par des logiciels malveillants ou que vous avez été mis sur liste noire.
Si vous êtes sérieux au sujet de votre site Web, vous êtes sérieux au sujet de votre sécurité. Obtenez le package de sécurité complet de Website Security Stack ici:
Obtenez votre pile de sécurité de site Web Sucuri MAINTENANT
14. N’oubliez pas les journaux et la surveillance
Jusqu’à présent, nous avons vu comment sécuriser un site WordPress. Cependant, comme la sécurité WordPress n’est pas un absolu (les sites évoluent toujours en changeant les fonctionnalités et les utilisateurs), il y a un autre aspect à la sécurité WordPress: la journalisation et la surveillance. Les journaux d’audit ou journaux d’activité sont un enregistrement chronologique des événements et des changements survenus sur votre site Web. Dans les journaux d’audit, vous pouvez trouver des informations sur les personnes qui se sont connectées à votre site, ont installé ou mis à jour un plug-in, changé le contenu, changé les paramètres du site, etc.
Repérer les attaques avant qu’elles ne se produisent
En conservant un journal d’audit sur votre site WordPress, vous garantissez la responsabilité des utilisateurs, facilitez le dépannage des problèmes techniques et repérez les attaques avant ou au moment où elles se produisent, ce qui vous permet de prendre des mesures évasives pour les arrêter. Les journaux d’audit sont également utilisés pour la criminalistique, pour découvrir ce qui s’est mal passé dans le cas malheureux d’un piratage réussi. Pour conserver un journal d’audit sur votre site WordPress, vous devez installer un plugin tel que Journal d’audit de sécurité WP.
Il y a plusieurs autres choses que vous devez surveiller. Par exemple, si vous utilisez Sucuri, vous obtiendrez un rapport de trafic hebdomadaire avec des détails sur ce qui a été bloqué et autorisé. Vous pouvez en apprendre beaucoup, ainsi que des analyses et des modèles de trafic de votre site Web.
Dernières réflexions sur la sécurité WordPress
Si vous êtes allé si loin dans cet article, vous n’aurez plus d’excuse pour ne pas améliorer la sécurité WordPress pour votre site Web. Tout comme l’ajout de publications et de pages, la vérification de votre sécurité WordPress devrait être une routine pour chaque propriétaire de site WordPress.
Gardez également à l’esprit que ce n’est pas la liste complète des choses que vous pouvez faire pour sécuriser votre site Web. Je suis conscient qu’il faut, par exemple, créer des sauvegardes régulières pour sécuriser votre site. Cependant, j’espère que cet article sur la sécurité WordPress vous donne une liste pratique des choses que vous pouvez et devez faire pour sécuriser au moins la première couche de défense de votre site Web. N’oubliez pas, la sécurité WordPress n’est pas un absolu, et c’est à nous de rendre la tâche plus difficile aux pirates!
Je voudrais également remercier Tony Perez pour sa contribution et plusieurs ajouts à cet article.
Lire la suite: 5 choses à faire après un hack »
Série WordPress pour débutants
