Conseils de sécurité WordPress pour le profane: sécurisez votre connexion WordPress et autres pratiques de sécurité

Article écrit par:
  • WordPress
  • Mise à jour: Sep 02, 2020

Depuis qu'il a été introduit pour la première fois il y a plus de deux décennies, WordPress a grandi (et s'est développé) sans aucun doute maintenant appelé le système de gestion de contenu le plus populaire au monde. Aujourd'hui, plus d'un quart des sites Web existants sont exécutés sur WordPress.

Pourtant, depuis des temps immémoriaux, plus quelque chose est populaire, plus les gens veulent en tirer parti pour des moyens néfastes. Il suffit de regarder Microsoft Windows et le grand nombre de malwares, virus et autres exploits conçu pour cibler uniquement ce système d'exploitation spécifique.

Les versions 10 WordPress avec la plupart des vulnérabilités (la source) La recherche sur 2017 a identifié différentes versions de WordPress dans 74 dans Alexa Top XMUM millions de sites Web; 1 de ces versions ne sont pas valides - par exemple la version 11 (la source).

Pourquoi votre blog WordPress est-il une cible de choix?

Dans le cas où vous vous demandez pourquoi un pirate voudrait contrôler votre blog WordPress, il y a plusieurs raisons à cela:

  • L'utiliser pour envoyer secrètement des spams
  • Volez vos données telles qu'une liste de diffusion ou des informations de carte de crédit
  • Ajouter votre site à un botnet qu'ils pourront utiliser plus tard

Heureusement, WordPress est une plate-forme qui vous offre une multitude d'opportunités pour vous défendre. Ayant moi-même contribué à la configuration et à l'administration de plusieurs sites Web et blogs, j'aimerais partager avec vous certaines des choses les plus élémentaires que vous pouvez faire pour sécuriser votre site WordPress.

Voici des astuces de sécurité exploitables 10 que vous pouvez utiliser.

Sécurisez votre page de connexion WordPress

Protéger votre page de connexion ne peut pas être accompli par une technique spécifique, mais il y a certainement des étapes et plugins de sécurité gratuits vous pouvez prendre pour rendre les attaques beaucoup moins susceptibles de réussir.

La page de connexion de votre site est certainement l'une des pages les plus vulnérables de votre site Web. Nous allons donc commencer à rendre votre page de connexion au site WordPress un peu plus sécurisée.

1. Choisissez un bon nom d'utilisateur administrateur

Utilisez des noms d'utilisateur inhabituels. Auparavant, avec WordPress, vous deviez commencer avec un nom d'utilisateur administrateur par défaut, mais ce n'est plus le cas. Pourtant, la plupart des nouveaux administrateurs Web utilisent le nom d'utilisateur par défaut et doivent changer leur nom d'utilisateur. Vous pouvez utiliser Admin Renamer Extended pour changer votre nom d'utilisateur admin.

Le forçage brutal des pages de connexion est l'une des formes courantes d'attaques Web auxquelles votre site Web est susceptible d'être confronté. Si vous avez un mot de passe ou un nom d'utilisateur facile à deviner, votre site Web ne sera certainement pas seulement une cible mais éventuellement une victime. Par expérience, la plupart des tentatives de piratage de sites essaient de se connecter avec trois principaux choix de noms d'utilisateur. Les deux premiers sont toujours «admin» ou «administrateur», tandis que le troisième est généralement basé sur votre nom de domaine.

Par exemple, si votre site est crazymonkey33.com, le pirate peut essayer de se connecter avec 'crazymonkey33'.

Pas une bonne idée.

2. Assurez-vous d'utiliser un mot de passe fort

À ce stade, vous penserez probablement que les utilisateurs sauront utiliser des mots de passe complexes et puissants pour protéger leur compte, mais nombreux sont ceux qui pensent que le mot de passe est excellent.

Splash Data compilé une liste de mots de passe fréquemment utilisés en 2018. Mot de passe par rang en termes d'utilisation.

  1. 123456
  2. Mot de passe
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. ensoleillement
  9. QWERTY
  10. iloveyou

Si vous utilisez l'un de ces mots de passe et que votre site Web reçoit du trafic, votre site Web sera presque certainement supprimé tôt ou tard.

Un mot de passe fort comprend un mélange de:

  • Caractères majuscules et minuscules
  • Être alphanumérique (AZ et az)
  • Inclure un caractère spécial (!, @, #, $, Etc.)
  • Au moins une longueur de caractères 8

Plus votre mot de passe est aléatoire, plus il sera sécurisé. Essayez ce générateur de mot de passe aléatoire si vous rencontrez des difficultés pour en trouver un. https://passwordsgenerator.net/

3. Mettre en œuvre un reCaptcha

Wall bots de votre blog WP.

reCaptcha a été conçu pour empêcher les outils automatisés de fonctionner sur un site. Bien sûr, étant donné la complexité des outils de piratage actuels, ceux-ci peuvent être facilement contournés, mais au moins, il existe une couche de sécurité supplémentaire.

Il y a un certain nombre de plugins reCaptcha vous pouvez utiliser avec votre installation une solution prête à l'emploi.

4. Utilisez l'authentification à deux facteurs (2FA)

2FA est une méthode d'authentification qui nécessite une vérification de votre connexion. Par exemple, une fois que vous êtes connecté avec votre nom d'utilisateur et votre mot de passe, le système peut envoyer un SMS sur votre téléphone mobile ou vous envoyer un code avec le code que vous devez entrer pour vérifier votre identité.

Cette méthode d'authentification offre une bonne protection et est utilisée par de nombreuses banques et institutions financières aujourd'hui. Encore une fois, ce besoin peut facilement être satisfait avec un Plugin 2FA.

Voyez comment miniOrange (un plugin 2FA) fonctionne avec la connexion à WordPress dans la vidéo suivante.

T

5. Renommez votre URL de connexion

La plupart des pirates tenteront de se connecter via la page de connexion wordpress par défaut, qui est généralement quelque chose comme

sample.com/wp-admin.

Pour ajouter une autre couche de protection, modifiez l’URL de la page de connexion rapidement et sans effort avec un outil comme WPS Masquer Connexion.

6. Limitez le nombre de tentatives de connexion

Il s’agit d’une technique extrêmement simple pour arrêter les attaques par force brute sur votre page de connexion. Une attaque par force brute fonctionne en essayant d'obtenir votre nom d'utilisateur et votre mot de passe en essayant plusieurs combinaisons à plusieurs reprises.

Si l'adresse IP responsable de l'attaque est détectée, vous pouvez bloquer les tentatives répétées de forçage brutal et sécuriser votre site. C'est également la raison pour laquelle les attaques DDOS globales se produisent avec plusieurs adresses IP ayant différentes origines d'attaque, afin de mettre les services d'hébergement et la sécurité des sites Web au dépourvu.

Connexion LockDown et Solution de sécurité de connexion les deux offrent d'excellentes solutions pour protéger les pages de connexion de votre site Web. Ils suivent les adresses IP et limitent le nombre de tentatives de connexion pour protéger votre site Web.

Durcir le mur de sécurité du site

Nous avons discuté de diverses tactiques pour sécuriser votre page de connexion WordPress - les étapes mentionnées ci-dessus sont les bases que vous pouvez faire. Vous devez également savoir que certains hébergeurs Web imposent certaines de ces pratiques de sécurité à leurs utilisateurs. Il existe un certain nombre d'autres pratiques de sécurité que vous pouvez mettre en œuvre sur vos sites.

7. Protégez votre répertoire wp-admin

Ajoutez une couche de sécurité supplémentaire à votre répertoire hôte.

Le répertoire wp-admin est le coeur de votre installation WordPress. Comme protection supplémentaire, un mot de passe protège ce répertoire.

Pour ce faire, vous devez vous connecter au panneau de contrôle de votre compte d'hébergement. Si vous utilisez cPanel or Plesk, l'option que vous recherchez est 'Répertoires protégés par mot de passe".

Vous pouvez également protéger un répertoire par mot de passe en modifiant vos fichiers .htaccess et .htpasswds. Un guide détaillé étape par étape et un générateur de code sont disponibles gratuitement sur Lecteur dynamique.

Notez que la protection par mot de passe de votre dossier wp-admin casser AJAX public pour WordPress - vous devrez autoriser les autorisations d'admin ajax via .htaccess pour éviter toute erreur de site.

8. Utiliser SSL pour chiffrer les données

Connexion HTTP vs HTTPS (Source: Sucuri)

Outre le site lui-même, vous souhaiterez également protéger la connexion entre vous et le serveur. C'est ici que SSL entre pour crypter vos communications. Grâce à une connexion cryptée, les pirates ne pourront pas intercepter de données (telles que votre mot de passe) lors de la communication avec votre serveur.

En dehors de cela, il est également bon de mettre en œuvre SSL dès maintenant, car les moteurs de recherche pénalisent de plus en plus les sites qu’ils considèrent «non sécurisés».

Pour les blogueurs individuels et les petites entreprises, un SSL gratuit et partagé - que vous pouvez généralement obtenir auprès de votre hébergeur, Chiffronsou Cloudflare - est généralement plus que suffisant. Pour les entreprises qui traitent le paiement des clients - il vaut mieux que vous acheter un certificat SSL dédié à partir de votre hôte Web ou d'une autorité de certification.

En savoir plus sur SSL dans notre complète Guide AZ pour SSL.

9. Utilisez un réseau de distribution de contenu (CDN)

Bien que cela n'empêche pas votre site d'être piraté, cela aide à atténuer les attaques malveillantes contre lui. Certains pirates visent à faire tomber des sites Web, les rendant inaccessibles au public. Un CDN aidera à amortir le coup d’un Distributed Denial of Service attaque sur votre site.

En plus de cela, cela aide également à accélérer un peu votre site en mettant en cache du contenu. Pour explorer cette option, regardez vers Cloudflare comme exemple. Cloudflare offre des services CDN à des niveaux de tarification à plusieurs niveaux, de sorte que vous pouvez même utiliser gratuitement les fonctionnalités de base.

En savoir plus sur comment fonctionne Cloudflare et les avantages de l'utilisation du service.

10. Assurez-vous que TOUS vos logiciels sont à jour

Peu importe la qualité ou la qualité des logiciels, il y aura toujours de nouvelles faiblesses qui pourraient les laisser exploiter. WordPress ne fait pas exception à la règle et l'équipe publie en permanence de nouvelles versions avec corrections et mises à jour.

Les pirates cherchent presque toujours à tirer parti de la faiblesse et un exploit connu qui reste sans solution consiste simplement à poser des problèmes. Cela vaut deux fois plus pour les plugins qui sont souvent créés par des entreprises beaucoup plus petites et disposant de moins de ressources.

Si vous utilisez des plugins, assurez-vous que les mises à jour sont publiées régulièrement ou envisagez de trouver plugins populaires avec des fonctionnalités similaires qui sont maintenues à jour.

Cela dit, je ne vous recommande PAS d'utiliser mises à jour automatiques de WordPress et du plugin, surtout si vous utilisez un site actif. Certaines mises à jour peuvent causer des problèmes, que ce soit en interne ou par un conflit avec d'autres plugins et paramètres.

Idéalement, créez un environnement de test qui reflète votre site actif et testez les mises à jour. Une fois que vous êtes certain que tout fonctionne correctement, vous pouvez appliquer la mise à jour au site en direct.

Des panneaux de contrôle tels que Plesk vous permettent de créer un clone de site à cette fin.

11. Sauvegarde, sauvegarde et sauvegarde!

Quelles que soient les mesures de sécurité ou votre prudence, les accidents se produisent. Epargnez-vous des chagrins et des centaines d’heures de travail en vous assurant simplement que vous disposez des services de sauvegarde adéquats.

Normalement, votre hôte Web possède au moins des fonctionnalités de sauvegarde de base, mais si vous êtes paranoïaque comme moi, veillez toujours à effectuer vos propres sauvegardes indépendantes. La sauvegarde n’est pas aussi simple que de copier certains fichiers, mais vous devez également prendre en compte les informations de votre base de données.

Recherchez une solution de sauvegarde qui a fait ses preuves. Même un petit investissement vaut la peine d'économiser sur les larmes en cas d'urgence. Quelque chose comme BackupBuddy peut vous aider à tout sauvegarder, y compris votre base de données.

12. Votre hébergeur compte!

Bien que traditionnellement, les sociétés d'hébergement Web nous offraient simplement de l'espace pour héberger nos sites Web, les temps ont changé. Fournisseurs d'hébergement Web, comprendre les vulnérabilités, se sont mobilisés pour augmenter la sécurité avec de nombreux services à valeur ajoutée pour compléter leur hébergement Web.

Prends pour exemple HostGator, un des noms les plus établis du jeu. Outre les fonctionnalités de base de Cloudflare, HostGator (au prix de 10 + / mo) inclut également une protection anti-spam, la suppression automatisée des logiciels malveillants, des sauvegardes automatiques, la confidentialité du domaine, etc.

Fournisseur d'hébergement WordPress géré, Kinsta, construisez des pare-feu matériels et surveillez activement leurs serveurs contre les logiciels malveillants et les attaques DDoS grâce à son système personnalisé.

Si cela ne vous concerne pas encore, je vous encourage vivement à examiner les fonctions de sécurité fournies par votre hôte et à les comparer à celles actuellement disponibles.

Pour une liste complète, vous pouvez consulter Compilation des meilleurs hébergeurs Web par WHSR ici.

Maintenant quoi?

Avant de vous déchaîner et de commencer à parcourir Internet paniqué à la recherche de solutions de sécurité d'un million et une, prenez une profonde respiration. Comme pour tout le reste, quelqu'un vous aura déjà aidé à paniquer et à chercher une solution.

Même si vous implémentez autant de solutions de sécurité que vous pouvez trouver, êtes-vous sûr Tu es en sécurité?

Voici où quelque chose comme Ninja de sécurité entrez, ce qui vous permet de rechercher des faiblesses sur votre site.

Démo rapide: Comment Security Ninja fonctionne.

Il existe plusieurs raisons impérieuses d’utiliser quelque chose comme Security Ninja, mais laissez-moi vous dire que c’est un outil que je vous recommanderais d’utiliser à différentes étapes de votre parcours pour sécuriser votre site.

Commencez par l’exécuter sur votre site Web "en l’état" - avant d’apporter des modifications. Laissez le plugin poke et prod votre site avant de vous donner les résultats.

Ensuite, en fonction de ces résultats, veillez à sécuriser votre site. Security Ninja effectue plus que des tests 50 pour sonder vos défenses. Même après avoir effectué vos modifications, exécutez-le à nouveau (et chaque fois qu'il y a des modifications sur le site ou des mises à jour de plug-ins) juste pour tester votre site.

Si cela vous semble un peu trop de travail, Security Ninja est également livré avec une foule de modules supplémentaires (version pro, site unique $ 29) qui peut vous aider à résoudre les problèmes rencontrés.

Parmi les autres fonctionnalités clés de ces modules, citons:

  • Analyser les fichiers de base WP pour identifier les fichiers problématiques
  • Restaurer les fichiers modifiés en un clic
  • Corrige les mises à jour automatiques de WP
  • Interdire à 600 des millions de mauvaises adresses IP collectées sur des millions de sites attaqués
  • Liste des mises à jour automatiques, pas besoin de maintenance ni de travail manuel
  • Protégez le formulaire de connexion des attaques par force brute

Final Thoughts

Bien que tout cela puisse sembler un peu excessif à l'utilisateur moyen de WordPress, je vous assure que tout (et plus) est nécessaire. Ignorant les statistiques mondiales sur le piratage informatique, etc., permettez-moi de partager avec vous des informations personnelles sur l'un des sites les plus obscurs que j'aide à gérer.

A l'origine commencé comme un simple site biographique, j'ai créé www.timothyshim.com. De toute évidence, c’était juste quelque chose que j’avais configuré et que la plupart du temps je laissais seul, simplement comme point de référence. Sur chaque période d'un mois, ce site qui essentiellement ne fait rien et ne collecte aucune donnée, visages sur les attaques 30 - une combinaison de force brute et de forces complexes.

Tout ce qu’il faut, c’est que l’un d’eux réussisse et j’aurais un vraiment mauvais jour.

A propos de Timothy Shim

Timothy Shim est un écrivain, un éditeur et un geek de la technologie. Il a débuté sa carrière dans le domaine des technologies de l’information et a rapidement trouvé son chemin dans la presse écrite. Il a depuis travaillé avec des titres de médias internationaux, régionaux et nationaux, notamment ComputerWorld, PC.com, Business Today et The Asian Banker. Son expertise se situe dans le domaine de la technologie, tant du point de vue du consommateur que de l'entreprise.