Durcissement de WordPress : comment sécuriser votre site WordPress
Publié: 2022-06-30Si vous avez déjà été piraté, vous savez à quel point cela peut être un cauchemar. Il peut être difficile de comprendre quelles étapes de sécurité WordPress aideront à assurer la sécurité de votre site Web WordPress.
Continuez à lire pour savoir comment sécuriser votre site WordPress. Apprenez les étapes appropriées pour renforcer WordPress et obtenez une liste de contrôle de sécurité du site Web WordPress.
Qu'est-ce que le durcissement WordPress ?
WordPress représente environ 40% de tous les sites Web. De ce fait, les personnes qui savent exploiter WordPress peuvent facilement trouver de nombreuses cibles. Heureusement, il y a beaucoup de choses que vous pouvez faire pour leur rendre la tâche beaucoup plus difficile. C'est ce qu'on appelle le durcissement de WordPress.
Pourquoi la sécurité de WordPress est importante
Non seulement le piratage est embarrassant, mais cela peut entraîner des temps d'arrêt, des pertes de données et des fuites d'informations. Cela peut se traduire par des pertes de ventes et une mauvaise réputation de la marque. En plus de cela, cela peut prendre beaucoup de travail pour tout remettre en marche.
Durcissement de WordPress : 10 étapes de sécurité WordPress à suivre
Les pirates peuvent accéder à votre site Wordpress de quatre manières principales :
- Obtenir votre mot de passe ou votre session et vous connecter.
- Par un accès indirect tel que FTP, SSH ou la base de données.
- En découvrant des informations dans votre racine Web.
- Grâce à des vulnérabilités dans le code ou les plugins WordPress.
Le moyen le plus simple d'accéder à votre site est simplement de vous connecter. Voici quelques façons de renforcer WordPress contre les voleurs de mots de passe.
1. Sécurisez la machine à partir de laquelle vous vous connectez
Une chose importante qu'il est facile d'oublier est l'ordinateur à partir duquel vous vous connectez. S'il n'est pas sécurisé, cela peut également rendre votre serveur vulnérable. C'est pourquoi il est très important d'avoir un antivirus et un pare-feu, de garder votre ordinateur à jour et d'adopter des habitudes de navigation sûres.
2. Sécurisez la connexion au serveur
Même si votre ordinateur est sécurisé, votre mot de passe ou vos sessions peuvent toujours être volés sur le chemin du serveur. Pour éviter cela, il est important de vous assurer que vous utilisez HTTPS lorsque vous vous connectez à votre backend WordPress.
Lecture connexe : Guide du débutant sur l'optimisation des performances de WordPress >>
Il est préférable de toujours se connecter à votre serveur en utilisant votre connexion filaire domestique ou professionnelle ou une connexion Wi-Fi utilisant un mot de passe Wi-Fi long et aléatoire. Si vous devez vous connecter en utilisant un hotspot public, alors vous voudrez absolument investir dans un VPN.
3. Empêchez les gens de deviner votre mot de passe
Lorsqu'un attaquant utilise un script pour essayer rapidement différentes combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce qu'il devine la bonne, cela s'appelle une attaque par force brute. Pour éviter les attaques par force brute, utilisez un mot de passe long contenant des chiffres en majuscules et minuscules et des caractères spéciaux.
Pour rendre cette technique encore plus difficile, vous pouvez obtenir des plugins qui vous aideront. Recherchez des plugins d'authentification à deux facteurs, des plugins qui ajoutent un captcha au formulaire de connexion et des plugins qui limitent le nombre de tentatives incorrectes que vous pouvez effectuer.
4. N'utilisez pas l'administrateur
Une autre façon d'empêcher les attaques par force brute et d'autres méthodes de vol de mots de passe consiste à nommer votre compte administrateur autrement. S'ils ne peuvent pas deviner votre nom d'utilisateur, ils ne peuvent pas deviner votre mot de passe. Tous les comptes d'administrateur supplémentaires doivent être supprimés lorsqu'ils ne sont plus nécessaires. Tous les nouveaux comptes que vous créez ne doivent avoir que l'accès dont ils ont besoin.
Si les pirates ne peuvent pas accéder directement à votre compte administrateur, ils peuvent accéder indirectement à votre site via SSH, FTP ou la base de données. Tout ce qui est mentionné sur la sécurité de votre PC local, le choix de mots de passe sécurisés et l'utilisation d'un VPN sur Internet public s'applique également à SSH, FTP et aux connexions à la base de données, mais voici quelques considérations supplémentaires.
5. Utilisez SFTP ou FTPS
FTP transmet vos données et mots de passe sur Internet en texte brut, ce qui signifie que toute personne pouvant intercepter vos données peut voir vos mots de passe et vos données. SFTP et FTPS chiffrent tous deux vos données.
6. Fermer ou limiter l'accès aux ports
En règle générale, si votre base de données et votre site Web se trouvent sur le même serveur, vous n'avez pas besoin que le port de votre base de données soit ouvert au public. Si vous pouvez gérer votre base de données via le portail ou depuis l'intérieur du serveur, il s'agit généralement d'une meilleure option car elle offre aux attaquants un moyen de moins d'exploiter votre site Web.
Lecture connexe : Lorsque WordPress a besoin d'un coup de pouce : conseils, outils et stratégie de réglage >>
De même avec FTP, si vous pouvez utiliser SFTP pour vous connecter au serveur, il n'est pas nécessaire d'ouvrir le port FTP. Si vous avez besoin d'utiliser l'un de ces ports pour vous connecter à votre serveur, il peut être judicieux de limiter les ports à votre adresse IP uniquement.
Si votre adresse IP change beaucoup, il peut être gênant de devoir appeler pour accéder à votre serveur chaque fois que votre adresse IP change. Une solution consiste à utiliser un VPN. Non seulement un VPN crypte les connexions entre vous et le serveur, mais il vous permet d'utiliser une adresse IP statique que vous pouvez ajouter à votre pare-feu pour empêcher quiconque d'accéder aux ports.
Une erreur que beaucoup de gens commettent est de stocker les fichiers et les vidages de base de données dans la racine Web. N'oubliez pas que tout ce qui se trouve dans votre racine Web est accessible à n'importe qui sur Internet et qu'il ne devrait rien contenir que vous ne voudriez pas que quiconque ait.
7. Supprimez tout ce qui n'est pas nécessaire de votre racine Web
Il vaut la peine d'examiner votre racine Web et de vous assurer qu'il n'y a rien d'inutile pour que votre site y soit stocké.
Par exemple, il peut être pratique de vider la base de données sur la racine Web afin de pouvoir la télécharger ultérieurement. Mais rappelez-vous que votre base de données contient vos hachages de mots de passe et peut contenir d'autres informations que vous ne souhaitez pas rendre publiques.
Une meilleure idée serait de vider la base de données ailleurs et d'utiliser SFTP pour la télécharger. Si vous souhaitez le conserver sur le serveur en tant que sauvegarde, vous pouvez simplement le déplacer d'un niveau ou le placer n'importe où sauf la racine Web.
De même, des copies compressées du code du site Web peuvent être utilisées pour en savoir plus sur votre code et peuvent être téléchargées par n'importe qui sur Internet. Une autre pratique courante consiste à faire une sauvegarde d'un fichier comme le .htaccess ou un fichier de code avant de le modifier.
C'est certainement une bonne idée de sauvegarder vos fichiers avant de les modifier, mais si vous prévoyez de les conserver à la racine Web, vous devez modifier les autorisations afin qu'ils ne soient pas accessibles.
Lecture connexe : Démystifier les mythes sur la sécurité de l'hébergement WordPress >>
Par exemple, vous pouvez taper chmod 000 .htaccess. Enfin, même les fichiers README ou tout autre élément susceptible d'exposer les numéros de version doivent pouvoir être supprimés en toute sécurité - et les supprimer peut améliorer la sécurité.
La dernière chose à considérer est le code lui-même. La sécurité du code des applications Web est un sujet très complexe avec des livres entiers écrits sur le sujet. Puisque vous utilisez WordPress, l'immense tâche de sécuriser le code est faite pour vous, tout ce que vous avez à faire est d'installer les correctifs.
Si vous hébergez avec Nexcess, nous nous occupons de mettre à jour le noyau de WordPress pour vous, mais les thèmes et plugins peuvent également contenir des vulnérabilités.
8. Supprimer tout code inutilisé
Un moyen simple de sécuriser votre site WordPress consiste simplement à supprimer tout ce que vous n'utilisez pas. Examinez tous vos plugins et supprimez-les s'ils n'ajoutent aucune valeur à votre site.
Lecture connexe : Le guide essentiel des plugins WordPress >>
Cela améliore non seulement la sécurité, mais peut également accélérer WordPress et améliorer la stabilité de votre site. Gardez à l'esprit que dans certains cas, même les plugins désactivés peuvent introduire des bogues ou fournir une surface d'attaque aux pirates.
Si vous avez des thèmes WordPress qui ne sont pas utilisés, vous devez également les désinstaller, même si vous pouvez envisager de laisser le thème WordPress par défaut le plus récent en place pour un dépannage ultérieur.
Enfin, il est très important de supprimer les anciennes installations que vous n'utilisez pas. Si vous avez un sous-répertoire entier avec un ancien blog ou une ancienne version du site Web que vous n'utilisez plus, il est très important de le supprimer de la racine Web. Si vous souhaitez l'enregistrer en tant que sauvegarde, il peut être stocké en toute sécurité au-dessus de la racine Web.
9. Assurez-vous que tous vos plugins et thèmes sont activement maintenus
De nouvelles vulnérabilités sont découvertes chaque jour et une fois qu'elles sont connues, elles peuvent être rapidement exploitées par des scripts en masse partout sur Internet. C'est pourquoi il est important de s'assurer que vous disposez de programmeurs compétents qui réagissent activement à toutes les failles trouvées dans leur code et publient régulièrement des correctifs pour éliminer les vulnérabilités.
10. Appliquez les patchs
Étant donné que les vulnérabilités se trouvent tout le temps dans WordPress et que les vulnérabilités de WordPress sont exploitées si rapidement et de manière approfondie, il est très important d'appliquer les correctifs dès qu'ils sont disponibles. Il est très important de le faire pour éviter les temps d'arrêt.
Cependant, il existe un risque que l'un des correctifs ne soit pas compatible avec le reste de votre code, donc la meilleure façon de le faire est de faire régulièrement une sauvegarde puis d'appliquer manuellement les correctifs puis de tester votre site.
Si vous trouvez quelque chose qui ne fonctionne pas, vous pouvez récupérer la sauvegarde et récupérer votre site rapidement. Si vous avez les ressources, une méthode encore meilleure consiste à conserver une copie de votre site Web et à appliquer d'abord tous les correctifs sur la copie. Cela évite tout temps d'arrêt et vous permet de résoudre les problèmes avant que les correctifs ne soient appliqués au site en ligne.
Liste de vérification de la sécurité du site Web WordPress
- Sécurisez votre PC
- Utiliser des protocoles sécurisés
- Utilisez un mot de passe fort
- Utilisez des plugins pour qu'il soit plus difficile de deviner votre mot de passe
- Renommer le compte administrateur
- Fermer ou limiter l'accès aux ports de votre pare-feu
- Nettoyez les vidages de base de données, les sauvegardes et en particulier l'ancien code de votre racine Web
- Choisissez soigneusement les plugins et les thèmes et supprimez ceux que vous n'utilisez pas
- Surtout, tenez-les à jour
Nexcess protège votre site WordPress
Faire pirater votre site peut être un désastre. Non seulement cela vous fait mal paraître, mais cela peut entraîner des temps d'arrêt prolongés ou même des commandes perdues.
L'hébergement WordPress avec Nexcess est une première étape importante pour sécuriser votre site WordPress.
Nexcess fournit une plate-forme sécurisée à partir de laquelle héberger votre site Web WordPress. Avec Nexcess, vous bénéficiez d'une surveillance de sécurité permanente, de sauvegardes quotidiennes gratuites, de certificats SSL et d'IThemes Security Pro.
Et avec une équipe d'experts WordPress et de professionnels de l'assistance disponibles 24 heures sur 24 pour répondre à toutes vos questions, vous aurez toujours les ressources dont vous avez besoin 24h/24 et 7j/7.
Explorez nos plans d'hébergement WordPress entièrement gérés pour commencer dès aujourd'hui.