Conseils de sécurité WordPress 10 applicables pour le profane

Article écrit par:
  • WordPress
  • Mise à jour: juin 06, 2018

Depuis qu'il a été introduit pour la première fois il y a plus de deux décennies, WordPress a grandi (et s'est développé) sans aucun doute maintenant appelé le système de gestion de contenu le plus populaire au monde. Aujourd'hui, plus d'un quart des sites Web existants sont exécutés sur WordPress.

Pourtant, depuis des temps immémoriaux, plus quelque chose est populaire, plus les gens veulent en tirer parti pour des moyens néfastes. Il suffit de regarder Microsoft Windows et le grand nombre de malwares, virus et autres exploits conçu pour cibler uniquement ce système d'exploitation spécifique.

Les versions 10 WordPress avec la plupart des vulnérabilités (la source) La recherche sur 2017 a identifié différentes versions de WordPress dans 74 dans Alexa Top XMUM millions de sites Web; 1 de ces versions ne sont pas valides - par exemple la version 11 (la source).

Pourquoi votre blog WordPress est-il une cible de choix?

Dans le cas où vous vous demandez pourquoi un pirate voudrait contrôler votre blog WordPress, il y a plusieurs raisons à cela:

  • L'utiliser pour envoyer secrètement des spams
  • Volez vos données telles qu'une liste de diffusion ou des informations de carte de crédit
  • Ajouter votre site à un botnet qu'ils pourront utiliser plus tard

Heureusement, WordPress est une plate-forme qui vous offre une multitude d'opportunités pour vous défendre. Ayant moi-même contribué à la configuration et à l'administration de plusieurs sites Web et blogs, j'aimerais partager avec vous certaines des choses les plus élémentaires que vous pouvez faire pour sécuriser votre site WordPress.

Voici des astuces de sécurité exploitables 10 que vous pouvez utiliser.

Astuce #1. Choisissez un bon nom d'utilisateur administrateur

Par expérience, la plupart des tentatives de piratage de sites tentent de se connecter avec trois choix principaux de noms d'utilisateurs. Les deux premiers sont toujours «admin» ou «administrateur», tandis que le troisième est généralement basé sur votre nom de domaine.

Par exemple, si votre site est crazymonkey33.com, le pirate peut essayer de se connecter avec 'crazymonkey33'.

Pas une bonne idée.

Pointe #2. Assurez-vous d'utiliser un mot de passe fort

À ce stade, vous penserez probablement que les utilisateurs sauront utiliser des mots de passe complexes et puissants pour protéger leur compte, mais nombreux sont ceux qui pensent que le mot de passe est excellent.

Un mot de passe fort comprend un mélange de:

  • Caractères majuscules et minuscules
  • Être alphanumérique (AZ et az)
  • Inclure un caractère spécial (!, @, #, $, Etc.)
  • Au moins une longueur de caractères 8

Plus votre mot de passe est aléatoire, plus il sera sécurisé. Essayez ce générateur de mot de passe aléatoire si vous rencontrez des difficultés pour en trouver un. https://passwordsgenerator.net/

Astuce #3. Implémenter un reCaptcha

Wall bots de votre blog WP.

reCaptcha a été conçu pour empêcher les outils automatisés de fonctionner sur un site. Bien sûr, étant donné la complexité des outils de piratage actuels, ceux-ci peuvent être facilement contournés, mais au moins, il existe une couche de sécurité supplémentaire.

Il n'y a un certain nombre de plugins reCaptcha vous pouvez utiliser avec votre installation une solution prête à l'emploi.

Astuce #4. Utiliser l'authentification à deux facteurs (2FA)

2FA est une méthode d'authentification qui nécessite une vérification de votre connexion. Par exemple, une fois que vous êtes connecté avec votre nom d'utilisateur et votre mot de passe, le système peut envoyer un SMS sur votre téléphone mobile ou vous envoyer un code avec le code que vous devez entrer pour vérifier votre identité.

Cette méthode d'authentification offre une bonne protection et est utilisée par de nombreuses banques et institutions financières aujourd'hui. Encore une fois, ce besoin peut facilement être satisfait avec un Plugin 2FA.

Voyez comment miniOrange (un plugin 2FA) fonctionne avec la connexion à WordPress dans la vidéo suivante.

T

Astuce #5. Renommez votre URL de connexion

La plupart des pirates informatiques essaieront de se connecter via la page de connexion Wordpress par défaut, qui ressemble généralement à exemple.fr/wp-admin.

Pour ajouter une autre couche de protection, modifiez l’URL de la page de connexion rapidement et sans effort avec un outil comme WPS Masquer Connexion.

Type de #6. Protégez votre répertoire wp-admin

Ajoutez une couche de sécurité supplémentaire à votre répertoire hôte.

Le répertoire wp-admin est le coeur de votre installation WordPress. Comme protection supplémentaire, un mot de passe protège ce répertoire.

Pour ce faire, vous devez vous connecter au panneau de contrôle de votre compte d'hébergement. Si vous utilisez cPanel or Plesk, l'option que vous recherchez est 'Répertoires protégés par mot de passe.

Pointe #7. Utiliser SSL pour chiffrer les données

Connexion HTTP vs HTTPS (Source: Sucuri)

Outre le site lui-même, vous souhaiterez également protéger la connexion entre vous et le serveur. C'est ici que SSL entre pour crypter vos communications. Grâce à une connexion cryptée, les pirates ne pourront pas intercepter de données (telles que votre mot de passe) lors de la communication avec votre serveur.

En dehors de cela, il est également bon de mettre en œuvre SSL dès maintenant, car les moteurs de recherche pénalisent de plus en plus les sites qu’ils considèrent «non sécurisés».

En savoir plus sur SSL dans notre complète Guide AZ pour SSL.

Astuce #8. Assurez-vous que TOUS vos logiciels sont à jour

Peu importe la qualité ou la qualité des logiciels, il y aura toujours de nouvelles faiblesses qui pourraient les laisser exploiter. WordPress ne fait pas exception à la règle et l'équipe publie en permanence de nouvelles versions avec corrections et mises à jour.

Les pirates cherchent presque toujours à tirer parti de la faiblesse et un exploit connu qui reste sans solution consiste simplement à poser des problèmes. Cela vaut deux fois plus pour les plugins qui sont souvent créés par des entreprises beaucoup plus petites et disposant de moins de ressources.

Si vous utilisez des plug-ins, assurez-vous que les mises à jour sont publiées régulièrement ou envisagez d'en trouver une avec une fonctionnalité similaire mise à jour.

Cela dit, je ne vous recommande PAS d'utiliser mises à jour automatiques de WordPress et du plugin, surtout si vous utilisez un site actif. Certaines mises à jour peuvent causer des problèmes, que ce soit en interne ou par un conflit avec d'autres plugins et paramètres.

Idéalement, créez un environnement de test qui reflète votre site actif et testez les mises à jour. Une fois que vous êtes certain que tout fonctionne correctement, vous pouvez appliquer la mise à jour au site en direct.

Des panneaux de contrôle tels que Plesk vous permettent de créer un clone de site à cette fin.

Astuce #9. Utiliser un réseau de distribution de contenu (CDN)

Même si cela ne permet pas d'éviter que votre site soit piraté, cela permet de limiter les attaques malveillantes dirigées contre lui. Certains pirates cherchent à faire tomber des sites Web, les rendant inaccessibles au public. Un CDN aidera à amortir le choc d’une attaque par déni de service distribué sur votre site.

En plus de cela, cela vous aide également à accélérer un peu votre site en mettant en cache du contenu. Pour explorer cette option, regardez CloudFlare à titre d'exemple. CloudFlare offre des services CDN à des niveaux de tarification à plusieurs niveaux, de sorte que vous pouvez même utiliser des fonctionnalités de base gratuitement. https://www.cloudflare.com

Astuce #10. Sauvegarde, sauvegarde et sauvegarde!

Quelles que soient les mesures de sécurité ou votre prudence, les accidents se produisent. Epargnez-vous des chagrins et des centaines d’heures de travail en vous assurant simplement que vous disposez des services de sauvegarde adéquats.

Normalement, votre hôte Web possède au moins des fonctionnalités de sauvegarde de base, mais si vous êtes paranoïaque comme moi, veillez toujours à effectuer vos propres sauvegardes indépendantes. La sauvegarde n’est pas aussi simple que de copier certains fichiers, mais vous devez également prendre en compte les informations de votre base de données.

Recherchez une solution de sauvegarde qui a fait ses preuves. Même un petit investissement vaut la peine d'économiser sur les larmes en cas d'urgence. Quelque chose comme BackupBuddy peut vous aider à tout sauvegarder, y compris votre base de données.

Conseil bonus: votre hébergeur compte!

Bien que traditionnellement, les sociétés d’hébergement Web nous offraient simplement l’espace nécessaire pour héberger nos sites Web, les temps ont changé. Les fournisseurs d’hébergement Web, reconnaissant le besoin urgent de sécurité accrue, se sont multipliés, nombre d’entre eux proposant des services à valeur ajoutée pour compléter leur hébergement Web.

Prends pour exemple HostGator, un des noms les plus établis du jeu. Outre les fonctionnalités de base de Cloudflare, HostGator (au prix de 10 + / mo) inclut également une protection anti-spam, la suppression automatisée des logiciels malveillants, des sauvegardes automatiques, la confidentialité du domaine, etc.

Fournisseur d'hébergement WordPress géré, Kinsta, construisez des pare-feu matériels et surveillez activement leurs serveurs contre les logiciels malveillants et les attaques DDoS grâce à son système personnalisé.

Si cela ne vous concerne pas encore, je vous encourage vivement à examiner les fonctions de sécurité fournies par votre hôte et à les comparer à celles actuellement disponibles.

Pour une liste complète, vous pouvez consulter La compilation des hébergeurs de la RSOS ici.

Maintenant quoi?

Avant de vous déchaîner et de commencer à parcourir Internet paniqué à la recherche de solutions de sécurité d'un million et une, prenez une profonde respiration. Comme pour tout le reste, quelqu'un vous aura déjà aidé à paniquer et à chercher une solution.

Même si vous implémentez autant de solutions de sécurité que vous pouvez trouver, êtes-vous sûr Tu es en sécurité?

Voici où quelque chose comme Ninja de sécurité entrez, ce qui vous permet de rechercher des faiblesses sur votre site.

Démo rapide: Comment Security Ninja fonctionne.

Il existe plusieurs raisons impérieuses d’utiliser quelque chose comme Security Ninja, mais laissez-moi vous dire que c’est un outil que je vous recommanderais d’utiliser à différentes étapes de votre parcours pour sécuriser votre site.

Commencez par l’exécuter sur votre site Web "en l’état" - avant d’apporter des modifications. Laissez le plugin poke et prod votre site avant de vous donner les résultats.

Ensuite, en fonction de ces résultats, veillez à sécuriser votre site. Security Ninja effectue plus que des tests 50 pour sonder vos défenses. Même après avoir effectué vos modifications, exécutez-le à nouveau (et chaque fois qu'il y a des modifications sur le site ou des mises à jour de plug-ins) juste pour tester votre site.

Si cela vous semble un peu trop de travail, Security Ninja est également livré avec une foule de modules supplémentaires (version pro, site unique $ 29) qui peut vous aider à résoudre les problèmes rencontrés.

Parmi les autres fonctionnalités clés de ces modules, citons:

  • Analyser les fichiers de base WP pour identifier les fichiers problématiques
  • Restaurer les fichiers modifiés en un clic
  • Corrige les mises à jour automatiques de WP
  • Interdire à 600 des millions de mauvaises adresses IP collectées sur des millions de sites attaqués
  • Liste des mises à jour automatiques, pas besoin de maintenance ni de travail manuel
  • Protégez le formulaire de connexion des attaques par force brute

Final Thoughts

Bien que tout cela puisse sembler un peu excessif à l'utilisateur moyen de WordPress, je vous assure que tout (et plus) est nécessaire. Ignorant les statistiques mondiales sur le piratage informatique, etc., permettez-moi de partager avec vous des informations personnelles sur l'un des sites les plus obscurs que j'aide à gérer.

A l'origine commencé comme un simple site biographique, j'ai créé www.timothyshim.com. De toute évidence, c’était juste quelque chose que j’avais configuré et que la plupart du temps je laissais seul, simplement comme point de référence. Sur chaque période d'un mois, ce site qui essentiellement ne fait rien et ne collecte aucune donnée, visages sur les attaques 30 - une combinaison de force brute et de forces complexes.

Tout ce qu’il faut, c’est que l’un d’eux réussisse et j’aurais un vraiment mauvais jour.

A propos de Timothy Shim

Timothy Shim est un écrivain, un éditeur et un geek de la technologie. Il a débuté sa carrière dans le domaine des technologies de l’information et a rapidement trouvé son chemin dans la presse écrite. Il a depuis travaillé avec des titres de médias internationaux, régionaux et nationaux, notamment ComputerWorld, PC.com, Business Today et The Asian Banker. Son expertise se situe dans le domaine de la technologie, tant du point de vue du consommateur que de l'entreprise.