Comment protéger le site Web contre les pirates et le sécuriser facilement

Votre site Web est précieux : pour vous et pour les visiteurs de votre site. Et aussi, pour les pirates.

Pour construire de bonnes défenses contre les attaques malveillantes, vous avez besoin d'un guide pratique sur la façon de protéger le site Web contre les pirates .

C'est ce guide de protection contre les pirates !

Comment sommes-nous si confiants ? MalCare protège plus de 25 000 sites Web et notre équipe d'assistance débusque chaque jour les logiciels malveillants les plus insaisissables des sites Web. Nous savons une chose ou deux sur la façon de protéger votre site Web contre les pirates et autres attaques malveillantes.

TL; DR : La meilleure mesure de sécurité consiste à installer un plugin de sécurité qui s'exécute en pilote automatique. Nous vous recommandons également de mettre en œuvre toutes les mesures de sécurité que nous avons décrites dans cet article.

Avant que tu commences

Voir une longue liste de mesures de sécurité pour protéger le site Web contre les pirates peut être quelque peu intimidant. Nous nous en rendons compte. Ainsi, afin de faciliter la mise en œuvre de ces mesures de sécurité, nous avons organisé cette liste de protection contre les pirates en toute simplicité. Nous vous suggérons de mettre cet article en signet et d'y revenir au fur et à mesure que vous le parcourez.

Il y a un mélange d'étapes de protection sur cette liste : des choses que vous devriez faire, des choses que vous ne devriez pas faire et quelques mythes brisés également.

Le but de cet article est de démystifier la sécurité, en coupant à travers l'encombrement qui est disponible ailleurs. Cependant, le plus gros point à retenir devrait être que la protection de votre site Web contre les pirates et les virus n'est pas une activité ponctuelle ; mais plus à ce sujet au fur et à mesure que nous progressons.

6 étapes de base pour protéger immédiatement votre site Web contre les pirates

Les mesures de protection de cette section sont les plus faciles à mettre en œuvre et, honnêtement, vous permettront de vous préparer raisonnablement bien. À première vue, ils peuvent sembler techniques ou avancés, mais croyez-moi quelqu'un qui n'est pas ingénieur : vous avez compris !

1. Installez un bon pare-feu

Les pirates ne piratent pas manuellement les sites Web. Un bon hacker créera un bot qui détecte les sites vulnérables et automatise la majeure partie du processus. Désormais, les bots sont programmés pour effectuer des actions bien précises. Ils ne sont pas sensibles.

À la base, un pare-feu est un code qui identifie les requêtes malveillantes. Chaque demande d'information adressée à votre site Web passe d'abord par le pare-feu. Si le pare-feu détecte que la demande est malveillante ou provient d'une adresse IP connue pour être malveillante, la demande est bloquée au lieu d'être traitée.

Évitez de modifier la configuration du pare-feu

Certains pare-feu vous permettent de configurer les paramètres. Cependant, nous ne le recommandons pas, sauf si vous êtes un véritable professionnel de la sécurité des sites Web. Les règles de pare-feu sont créées après des recherches de sécurité importantes et de nombreuses suppressions de logiciels malveillants de première main.

Par exemple, la plupart des plugins de sécurité WordPress ont mis en place des règles qui empêchent toute personne sans accès administrateur d'accéder au fichier wp-config.php. Le fichier wp-config.php est un fichier principal de WordPress qui contient de nombreuses informations sensibles. Ainsi, le pare-feu vérifie chaque requête adressée au site Web pour voir si elle contient le texte "wp-config.php". Si cette règle est déclenchée, la requête est refusée par le pare-feu.

De plus, comme les pirates tentent de pirater autant de sites Web que possible lorsqu'une vulnérabilité est découverte, cela met en lumière les adresses IP des pirates. Les pare-feu WordPress suivent et bloquent les adresses IP malveillantes de manière préventive, en fonction de ces attaques.

Bien entendu, aucun pare-feu n'est inviolable à 100 %. Mais il est bien préférable d'avoir un pare-feu qui bloque la plupart des logiciels malveillants, plutôt que de ne pas avoir de pare-feu du tout. Mais tous les pare-feux ne sont pas identiques, et certains sont bien plus efficaces que d'autres. Nous avons donc dressé une liste des meilleurs pare-feu WordPress parmi lesquels vous pouvez choisir.

2. Ayez une politique de mots de passe forte et utilisez un gestionnaire de mots de passe

Nous sommes dans la sécurité WordPress depuis plus d'une décennie maintenant. Vous seriez surpris de savoir combien de sites Web ont été piratés simplement parce que le mot de passe était faible.

Des mots de passe faciles à deviner sont utilisés par des centaines de milliers de sites Web. 5 % des sites piratés qui utilisaient MalCare pour supprimer les logiciels malveillants utilisaient des mots de passe faibles.

Les pirates ont une liste de ces mots de passe appelés tables arc-en-ciel et ils génèrent constamment des tables plus grandes à utiliser comme dictionnaire de toutes sortes. A l'aide de ces tables, un pirate peut lancer une attaque appelée « attaque par dictionnaire ».

Les attaques par dictionnaire sont principalement une variante des attaques par force brute. Mais ce n'est pas la seule façon de pirater un mot de passe. Par conséquent, des mots de passe forts sont recommandés.

Les mots de passe forts sont une combinaison de lettres, de chiffres et de symboles. Les combinaisons inhabituelles sont difficiles à déchiffrer et peuvent prendre des années à décoder les algorithmes de force brute. De plus, plus un mot de passe est long, plus il est difficile à déchiffrer.

Cet article vous aidera à créer votre propre mot de passe épique.

Vous pouvez également utiliser des plugins pour appliquer des mots de passe forts à tous vos utilisateurs WordPress avec le plugin Password Policies Manager pour WordPress. Ce plugin vous aidera à créer des politiques qui obligent tous vos utilisateurs WordPress à créer des mots de passe forts lors de la création de leurs comptes.

3. Installez SSL et utilisez HTTPS sur votre site Web

Le certificat Secure Sockets Layer (SSL) est un protocole de sécurité qui crypte toutes les communications vers et depuis un site Web. En installer un garantira que même si un pirate informatique intercepte des données de votre site Web, il ne pourra jamais comprendre de quoi il s'agit.

Nous avons créé un guide complet sur l'installation correcte d'un certificat SSL. Sérieusement, le battage médiatique est justifié. Obtenez dès maintenant un certificat SSL pour votre site Web. En prime, vous bénéficierez également d'avantages SEO.

4. Examinez attentivement les utilisateurs administrateurs

La plupart des gens supposent que les pirates n'installeront que des logiciels malveillants sur leur site Web et partiront. Ce n'est pas vrai. Les pirates vraiment intelligents créeront un compte fantôme avec des privilèges d'administrateur afin qu'ils puissent revenir quand ils le souhaitent.

Examiner et supprimer régulièrement les utilisateurs de WordPress peut résoudre ce problème.

Oui, cela peut être une activité qui prend du temps si vous avez une grande équipe qui gère votre site Web. Mais ça vaut le coup. La suppression des utilisateurs qui ne contribuent plus à votre site est le premier point de départ. Ensuite, rendez obligatoires les mots de passe forts afin que vos rédacteurs et éditeurs ne compromettent pas accidentellement votre site.

Vous pouvez suivre d'excellentes pratiques de sécurité pour vos mots de passe, mais si l'un de vos administrateurs est la proie d'une escroquerie par hameçonnage, par exemple, votre site Web sera également affecté.

Utilisez pleinement les rôles d'utilisateur WordPress pour restreindre l'accès autant que possible. Par exemple, si quelqu'un ne fait que rédiger et mettre en ligne des articles, donnez-lui un accès « Auteur » et non un accès « Admin ». Lisez notre article sur les rôles WordPress pour savoir comment tout faire sans douleur.

5. Utilisez un journal d'activité

Voir quelque chose d'inattendu sur votre site Web peut déclencher une alarme opportune dans plusieurs situations. Demandez-vous si un compte administrateur a été créé à votre insu ; ou un plugin désactivé (de sécurité par exemple) sans consensus.

Ce sont tous des exemples d'actions légitimes d'administrateur de site Web, mais ils peuvent également être symptomatiques d'un accès non autorisé. Les journaux d'activité vous diront ce qui se passe sur votre site, et vous pourrez alors évaluer si ces actions sont légitimes ou non.

Cette seule pratique a sauvé notre bacon à plusieurs reprises.

La plupart des pirates sont extrêmement prudents afin de ne pas se faire prendre, car ils ne peuvent contrôler votre site Web que tant qu'ils ne se font pas prendre. Les journaux d'activité aident à signaler les changements, de sorte que vous pouvez étouffer toute activité non autorisée dans l'œuf.

MalCare est livré avec un journal d'activité sur le tableau de bord, et aucune configuration n'est nécessaire pour le configurer.

6. Effectuez des sauvegardes régulières

Prendre des sauvegardes est très probablement l'une des tactiques les plus sous-estimées que vous puissiez appliquer. Effectuez toujours des sauvegardes quotidiennes afin de pouvoir restaurer rapidement votre site Web en cas de panne catastrophique.

Choisissez un bon plugin de sauvegarde fiable, car les sauvegardes manuelles sont difficiles à exécuter correctement sans une expertise considérable.

En fait, avant de poursuivre l'une des étapes de cet article, effectuez une sauvegarde complète de votre site Web et configurez immédiatement des sauvegardes quotidiennes. C'est toujours une bonne pratique lorsque vous apportez des modifications à votre site.

5 étapes intermédiaires pour protéger votre site Web au niveau supérieur

Les étapes de base de l'article sont un bon début et ne devraient pas prendre trop de temps à mettre en place. Dans cette section, outre l'authentification à deux facteurs et la limitation des tentatives de connexion, les étapes sont des mesures de sécurité continues.

Comme nous l'avons dit plus tôt dans cet article, il est important de penser à la sécurité des sites Web de la bonne manière. Il ne s'agit pas d'une configuration ou d'une activité ponctuelle et doit être considérée comme faisant partie intégrante de l'administration de votre site.

1. Tout mettre à jour

Plus de 90 % des piratages se produisent parce que les pirates ont identifié une vulnérabilité dans un thème ou un plugin, et l'ont exploitée sur plusieurs sites Web.

Alors, qu'est-ce qu'une vulnérabilité ? Les thèmes et les plugins sont des logiciels. Comme tout autre logiciel, ce sont des morceaux de code qui contiendront invariablement des bogues. Certains bugs sont relativement inoffensifs et peuvent simplement provoquer un petit problème lors de la mise à jour. D'autres peuvent rendre le code vulnérable à l'exploitation.

Lorsque des vulnérabilités sont découvertes, principalement par des chercheurs en sécurité, elles sont divulguées au développeur du plugin pour les correctifs. Les développeurs responsables publieront un correctif et les sites Web sur lesquels le plug-in est installé verront qu'une version mise à jour du plug-in est bientôt disponible.

Une fois le correctif publié, la vulnérabilité est divulguée publiquement. Si vous étiez l'un des sites Web qui ont mis à jour le plugin ou le thème avec le correctif de sécurité, c'est excellent. Sinon, votre site deviendra la cible de pirates amateurs (appelés script kiddies) cherchant à gagner rapidement de l'argent.

Par conséquent, il est toujours préférable de tout garder à jour, de WordPress aux plugins, à tout moment. Nous savons que les mises à jour peuvent parfois casser les sites Web de manière inattendue, alors pour éviter tout inconvénient, utilisez la mise en scène pour mettre à jour en toute sécurité. Mais veuillez tout mettre à jour.

Nous avons créé un guide sur la mise à jour des sites Web WordPress en toute sécurité et avec un minimum de perturbations.

2. Choisissez de bons thèmes et plugins

Si vous avez remarqué dans la section précédente, nous avons fait référence aux développeurs qui publient des mises à jour pour corriger les vulnérabilités en tant que responsables. En bref, les bons développeurs entretiennent activement leur logiciel.

Il ne s'agit en aucun cas d'une situation universelle. Triste mais vrai.

Ainsi, nous préconisons fortement l'utilisation de bons plugins et thèmes pour votre site Web. Naturellement, "bon" est un terme relatif et quelque peu vague. Nous énumérons donc les facteurs que vous devez prendre en compte lorsque vous optez pour un plugin pour votre site Web :

• Mises à jour régulières : un plugin ou un thème qui publie régulièrement des mises à jour et continue de corriger toute vulnérabilité qu'il découvre. Cela vous indiquera que le développeur prend au sérieux les risques de sécurité de son produit.

• Installations actives : un plugin populaire avec des millions d'installations aura toujours une cible sur le dos. Le formulaire de contact 7 est un exemple très clair de cette tendance. Le revers de la médaille est que les plugins populaires ont également tendance à être plus sécurisés car ils ont généralement une équipe plus grande et meilleure qui travaille pour améliorer le produit. Choisissez donc judicieusement, après avoir fait des recherches adéquates.

• Crédibilité : évitez d'installer un plugin ou un thème développé par des freelances dont personne n'a entendu parler. N'utilisez que des plugins et des thèmes développés par des développeurs et des marques réputés. Si vous achetez sur une place de marché, assurez-vous de faire confiance au développeur et pas seulement à la place de marché.

• Versions payantes : généralement, les fournisseurs de plug-ins payants consacrent plus de temps et d'argent à la recherche et à la correction des vulnérabilités. Si vous avez un budget très serré, un plugin gratuit aura plus de sens. Mais si vous vous inquiétez pour la sécurité de votre site Web, nous vous recommandons vivement d'utiliser à la place des thèmes et des plugins premium.

En remarque, vous pourriez être tenté d'utiliser des plugins et des thèmes annulés. Ne le faites pas. Le risque n'en vaut tout simplement pas la peine.

Un logiciel nul propage des logiciels malveillants. C'est pourquoi vous obtenez gratuitement un produit haut de gamme. Mais même si le fichier zip ne contient aucun code manifestement malveillant, tout utilisateur de plugin ou de thème annulé sait qu'il ne peut pas mettre à jour le logiciel. Cela rend le site Web vulnérable au piratage, comme nous l'avons dit dans la section précédente.

3. Mettre en œuvre 2FA

L'authentification à deux facteurs (2FA) est une mesure de sécurité qui ajoute un autre appareil ou jeton auquel vous devez avoir accès pour vous connecter, en plus de votre mot de passe.

Il existe quelques protocoles utilisés pour 2FA, comme TOTP (mot de passe à usage unique basé sur le temps) ou HOTP (mot de passe à usage unique basé sur HMAC). Ils ont chacun leurs avantages et leurs inconvénients, mais pour des raisons de sécurité de connexion, nous n'avons pas besoin d'approfondir ces détails.

Il existe plusieurs applications payantes et gratuites qui peuvent être utilisées pour ajouter 2FA à votre page de connexion, et elles prennent en charge les protocoles les plus populaires. Pour plus d'aide, consultez cet article pour savoir comment configurer WordPress 2FA. Si vous avez de nombreux contributeurs sur votre site Web, c'est certainement une bonne idée d'implémenter cette fonctionnalité de sécurité.

4. Sélectionnez un bon hébergeur

La plupart des gens tiennent les hébergeurs pour responsables même de la sécurité du site Web. Mais c'est rarement la faute de l'hébergeur si votre site est piraté. En fait, dans les rares cas où un hébergeur est responsable d'une faille de sécurité, les ramifications sont énormes. Des milliers de sites sont concernés.

La chaussure est la plupart du temps sur l'autre pied, et un bon hébergeur joue un rôle déterminant dans la protection de votre site Web contre les pirates. Ainsi, vous devriez viser le service d'hébergement le plus sécurisé. Voici une liste des meilleurs hébergeurs WordPress que nous avons compilée pour vous aider à sélectionner un bon hébergeur.

5. Limitez les tentatives de connexion

Un moyen simple de bloquer les bots et les attaquants par force brute consiste à refuser l'accès à une adresse IP après 3 tentatives infructueuses. Le pare-feu MalCare est intégré à cette fonctionnalité. Limiter les tentatives de connexion est un moyen très efficace de protéger votre site Web sans trop d'inconvénients.

Vous pouvez également utiliser le plugin 'Limit Loginizer' lors de l'installation de WordPress. Mais si vous vous trompez 3 fois de mot de passe, vous devrez demander à votre hébergeur de débloquer votre adresse IP pour réessayer.

2 étapes expertes pour vraiment renforcer la protection de votre site Web

Même si vous avez réussi à suivre les étapes des sections précédentes, vous êtes bien assis en termes de protection de votre site contre les pirates. Les mesures suivantes sont efficaces, mais elles nécessitent un certain nombre de recherches dans le code.

Nous tenons à rappeler que la plupart des piratages se produisent en raison de vulnérabilités, donc en prendre soin protégera assez bien votre site Web contre les pirates et les virus. Si vous n'êtes pas à l'aise d'essayer vous-même les étapes suivantes, vous pouvez les ignorer ou les envoyer à votre développeur pour qu'il les implémente. Quoi qu'il en soit, votre site est toujours bien protégé contre les pirates.

1. Bloquer l'exécution de PHP dans le dossier des téléchargements

Il existe toute une classe de vulnérabilités appelées vulnérabilités d'exécution de code à distance qui permettent aux pirates de télécharger du code PHP malveillant dans le dossier Uploads. En règle générale, le dossier Uploads n'est pas censé contenir de code exécutable. Il est destiné à contenir vos fichiers multimédias. Mais la nature du dossier Uploads est qu'il permet d'y stocker des fichiers et des dossiers.

Une fois le code téléchargé sur votre site Web, un pirate peut l'exécuter et obtenir un contrôle efficace sur votre site. Cependant, si vous bloquez l'exécution de PHP dans le dossier Uploads, l'attaque ne peut jamais avoir lieu.

Si vous utilisez MalCare, vous pouvez bloquer l'exécution de PHP dans le dossier Uploads en cliquant sur un bouton dans le cadre des mesures de renforcement de WordPress.

2. Modifier les clés de sécurité WordPress

Si vous avez été piraté récemment, vous pouvez modifier vos clés de sécurité WordPress. Il s'agit d'une chaîne hachée avec votre nom d'utilisateur et votre mot de passe pour gérer les sessions connectées des utilisateurs.

Vous pouvez définir cette chaîne sur n'importe quoi, mais comme pour les mots de passe, il est préférable d'utiliser une chaîne alphanumérique générée de manière aléatoire. En savoir plus sur les clés de sécurité et comment les modifier.

2 astuces BONUS pour la protection des sites Web contre les pirates

1. Tenez-vous au courant des nouveautés en matière de sécurité

Rester informé, poser des questions et consulter la communauté sont d'excellents moyens de suivre les derniers piratages et changements dans le paysage des menaces. Par exemple, si une vulnérabilité de plugin est découverte, vous pouvez la désactiver depuis votre tableau de bord jusqu'à ce que la mise à jour soit disponible et installée. Quels que soient les inconvénients auxquels vous êtes confronté, ils seront pâles par rapport aux pertes subies par un site Web piraté.

2 . Réaliser des audits de sécurité réguliers

De nombreux propriétaires de sites Web croient à tort que leurs sites sont trop petits pour être considérés comme dignes d'être piratés. Ce n'est nulle part près de la vérité. Les piratages se produisent pour diverses raisons, et si votre site Web n'est, par exemple, pas lucratif en termes de données utilisateur, il dispose toujours d'une autorité SEO suffisante pour être utilisé comme site de phishing.

Des contrôles de sécurité réguliers aideront à découvrir les pratiques dangereuses ainsi que les vulnérabilités potentielles de votre site Web. En gardant un œil sur les événements de votre site Web, via un journal d'activité ou en examinant les utilisateurs, par exemple, vous vous épargnerez une tonne de chagrin à long terme.

Choses qui n'aideront PAS à protéger votre site Web

Nous préconisons d'être conscients de la sécurité, mais pas paranoïaques. De plus, nous avons vu qu'il y a beaucoup de mauvais conseils pour les propriétaires de sites Web dans la nature. Le conseil peut provenir d'un bon endroit, mais il peut avoir des conséquences imprévues, comme créer une mauvaise expérience utilisateur ou vous empêcher d'accéder à votre propre site Web !

Alors s'il vous plaît ne faites pas ce qui suit.

1. Masquez votre page de connexion wp

De nombreux plugins de sécurité croient encore que cette astuce séculaire fonctionne.

Si le pirate ne trouve pas la page de connexion, il ne peut pas effectuer d'attaques par force brute, n'est-ce pas ? Non, pas vraiment. Plutôt:

• Cela rend votre site Web très difficile à utiliser. Si vous oubliez la nouvelle URL de connexion, la récupération de votre compte peut être difficile.
• Si vous utilisez les URL par défaut fournies avec le plug-in de sécurité, il est facile pour les pirates de deviner votre nouvelle URL.
• Même si les pirates ne peuvent pas trouver la page wp-login, ils peuvent toujours pirater votre site Web en utilisant la vulnérabilité XML-RPC.

Cette option n'apporte rien à la fin et peut causer pas mal de problèmes.

2. Blocage géographique

Le blocage géographique consiste essentiellement à bloquer le trafic provenant de pays où votre produit ou service n'est pas disponible ou pertinent. Ceci est généralement considéré comme une mesure de sécurité, mais c'est en fait un moyen de réduire la facturation des ressources serveur consommées.

Il est tout à fait possible que vous pensiez que le trafic en provenance du Gabon n'aide pas votre entreprise. Mais bloquer tout le trafic en provenance du Gabon ne résout rien du tout. Avec un bon VPN, n'importe qui peut contourner même le blocage géographique de Netflix.

De plus, vous courez le risque de bloquer Googlebot et vous-même également !

3. Protection par mot de passe du répertoire wp-admin

Le dossier wp-admin est l'un des répertoires les plus critiques de toute installation WordPress. Alors, naturellement, chaque hacker veut s'y mettre. Les professionnels de la sécurité pensaient initialement que la protection du répertoire par un mot de passe serait une bonne idée, mais nous avons depuis réalisé que ce n'était pas une bonne pratique.

La protection par mot de passe de votre répertoire wp-admin interrompt la fonctionnalité AJAX sur votre site Web WordPress et provoque le dysfonctionnement de nombreux plugins. Si vous utilisez un site Web WooCommerce, un code AJAX cassé peut détruire votre fonctionnalité de recherche et d'autres éléments UX critiques.

Pourquoi devriez-vous protéger votre site Web contre les pirates ?

Cet article contient déjà de nombreuses informations sur la manière de protéger votre site Web contre les pirates, et nous l'avons peut-être déjà mentionné à plusieurs reprises, mais cela mérite d'être répété. Votre site est précieux.

Lorsque nous disons que c'est précieux, nous ne parlons pas seulement de vous et de vos visiteurs. Peut-être avez-vous une petite boutique en ligne ou un blog de loisirs qu'un petit groupe de personnes visite régulièrement. L'accord est que même si le gain monétaire direct du piratage de votre site Web n'est pas important, les avantages d'avoir un site Web propre pour colporter des marchandises illégales ou du marché gris font que le piratage en vaut toujours la peine pour le pirate.

Ainsi, un petit site Web n'est pas une protection contre les intentions malveillantes.

Deuxièmement, il nous incombe à tous de protéger les données et l'identité de nos utilisateurs. Ils accordent une certaine confiance à un site en le visitant, et nous devons être attentifs et prévenants à leur égard tout en considérant la sécurité du site Web.

Conclusion

Vous pouvez arrêter un pirate informatique en étant vigilant et en adoptant une approche proactive de la sécurité. Il est important de réaliser que la protection de votre site Web contre les pirates et les attaques malveillantes est un processus continu. Il y a des mesures que vous pouvez prendre une fois, mais vous devez surtout être conscient des changements dans le paysage des menaces.

De plus, il n'existe pas d'article unique et définitif qui puisse vous aider à arrêter tous les piratages possibles contre votre site Web. Tout article, site Web ou expert qui prétend le faire n'est pas véridique.

Ainsi, bien que nous ne puissions pas vraiment promettre que cet article gardera votre site Web sûr et sécurisé pour toujours, nous vous avons donné quelques conseils de sécurité généraux qui rendront votre site Web assez difficile à pirater. En utilisant les conseils de cet article, vous pourrez corriger plusieurs failles dans la sécurité de votre site Web.

FAQ