Comment sécuriser votre site WordPress

Les services d'hébergement WordPress gérés (comme Pressidium) mettent normalement l'accent sur la sécurité de leur plate-forme d'hébergement. Un éventail de fonctionnalités est déployé pour aider à assurer la sécurité des sites Web WordPress hébergés sur ces systèmes.

Cependant, un hébergeur WordPress ne peut pas faire grand-chose pour assurer la sécurité d'un site Web WordPress. Les propriétaires de sites Web ont leur propre rôle à jouer pour s'assurer que leurs sites Web restent sécurisés. Dans cet article, nous examinerons les étapes à suivre pour sécuriser votre site Web WordPress.

Sécurisation de votre site Web - Un aperçu

De nombreux piratages de sites Web résultent directement d'actions (ou d'inactions) prises par les propriétaires de sites Web. Des choses comme ne pas mettre à jour les plugins vers la dernière version ou utiliser un mot de passe faible entraînent toutes des faiblesses exploitables sur votre site que les pirates cibleront. La bonne nouvelle est qu'il existe un certain nombre de mesures simples que vous pouvez prendre pour assurer la sécurité de votre site Web WordPress. Ceux-ci inclus:

• Assurez-vous que vous et tous les autres utilisateurs du site Web utilisez des mots de passe forts
• Utiliser un mécanisme Captcha
• Utiliser l'authentification à deux facteurs (2FA)
• Supprimer les utilisateurs inactifs
• Utiliser un système de "limitation des tentatives de connexion"
• Gardez toujours vos fichiers principaux, plugins et thèmes à jour avec leur dernière version
• Modifier votre URL de connexion par défaut
• Évitez d'utiliser des thèmes et des plugins annulés

Examinons de plus près certaines de ces étapes et découvrons comment vous pouvez les appliquer à votre site Web.

Assurez-vous que vos utilisateurs utilisent des mots de passe forts

Il n'y a pas de pare-feu côté serveur ou d'autre système de sécurité d'hébergement qui puisse protéger votre site Web WordPress d'un mot de passe faible. Malgré les problèmes connus liés à l'utilisation d'un mot de passe faible, les statistiques suggèrent qu'un nombre étonnant de 35 % des utilisateurs utilisent encore des mots de passe faibles pour sécuriser leur site Web WordPress malgré le fait que WordPress les incite à choisir un mot de passe plus fort.

La conclusion que l'on peut en tirer est peut-être que certains utilisateurs ne sont tout simplement pas conscients de la vulnérabilité de leur site Web lorsqu'un mot de passe faible est utilisé. Malheureusement, les pirates ont depuis longtemps découvert comment tirer parti des utilisateurs qui choisissent des mots de passe prévisibles qui suivent certains modèles (comme une date de naissance ou le nom d'un animal de compagnie).

D'autres, tout en étant conscients de la vulnérabilité des mots de passe faibles, continuent néanmoins à les utiliser peut-être parce que c'est la chose la plus facile à faire. Après tout, il est beaucoup plus facile de se souvenir d'un mot de passe simple que d'un mot de passe plus complexe composé de lettres, de chiffres et de symboles aléatoires.

Sans aucun doute, votre mot de passe offre une ligne de défense critique contre les pirates. Plus c'est fort, mieux c'est. Idéalement, un mot de passe doit être unique, généré aléatoirement et mis à jour régulièrement.

Utiliser un mécanisme Captcha dans le formulaire de connexion

Le but d'un captcha est de distinguer les humains des "bots" qui sont des applications logicielles qui effectuent des tâches automatisées. Les pirates peuvent les utiliser pour essayer d'accéder aux sites Web via la page de connexion en demandant au bot de faire des tentatives continues en utilisant des données aléatoires afin d'accéder à un site Web. Un captcha est conçu pour aider à prévenir ce type d'attaques sur un site en faisant la distinction entre les humains et les bots. Les captchas sont utilisés depuis trois décennies et sont toujours déployés sur d'innombrables sites Web pour les protéger contre l'activité des bots.

Un captcha peut être ajouté à votre site WordPress dans le but de bloquer les tentatives de connexion des bots. Un moyen simple de le faire est d'installer le plugin Login no Captcha reCaptcha qui tire parti du système captcha de Google.

Une fois installé, vous verrez la case à cocher familière reCaptcha apparaître sous le panneau de connexion. Cochez cette case et vous êtes absent (en supposant que vous connaissiez quand même le nom d'utilisateur et le mot de passe corrects !).

Pour que le plugin fonctionne, vous devrez vous inscrire à un compte Google reCaptcha gratuit qui vous permettra ensuite de générer une clé de site et une clé secrète.

Comment générer le site et la clé secrète :

1. Connectez-vous à votre compte Google (vous devrez en créer un si vous n'avez pas encore de compte). Rendez-vous sur la page Google reCaptcha et cliquez sur "Console d'administration" qui apparaît en haut à droite.
2. Cliquez sur l'icône "Plus +" qui se trouve à nouveau en haut à droite pour enregistrer un nouveau site Web. Remplissez les informations requises.
3. Appuyez sur le bouton Soumettre et vous verrez une page comme celle-ci :

Vous devrez ensuite coller ces valeurs dans les cases des paramètres du plugin comme promu.

Authentification à deux facteurs (2FA)

L'utilisation d'un processus d'authentification à deux facteurs ajoutera une couche de sécurité supplémentaire aux pages de connexion de vos sites Web en empêchant ce que l'on appelle une attaque par "force brute". Ces types d'attaques se produisent lorsqu'un bot essaie de se connecter en permanence à votre site Web en utilisant des mots de passe et des noms d'utilisateur qui ont été devinés (normalement en suivant des listes prédéfinies qui tirent parti de mots de passe "faibles" connus tels que 123password, etc. Le bot continuez à essayer d'accéder à votre site jusqu'à ce qu'il réussisse, ce qui est une mauvaise nouvelle sur deux fronts Premièrement, s'il obtient le mot de passe correct, votre site Web a maintenant été piraté. Deuxièmement, ces tentatives de connexion continues peuvent augmenter la charge du serveur et ainsi ralentir votre site Web pour des raisons légitimes. utilisateurs.

Heureusement, il existe des plugins tiers disponibles qui peuvent aider à arrêter cela.

Plugin à deux facteurs

Le plugin à deux acteurs de Plugin Contributors est un plugin utile et facile à utiliser qui fournit aux sites Web une protection à deux facteurs en forçant les utilisateurs à fournir un code d'authentification à côté de leurs identifiants de connexion normaux. Ce code peut être envoyé par e-mail ou généré à l'aide d'un générateur de mot de passe à usage unique tel que Google Authenticator.

Plug-in d'authentification Google

Le plugin Google Authenticator est un autre plugin 2FA populaire qui peut être déployé pour protéger votre site Web WordPress. Ce plugin entièrement gratuit fournit une multitude d'options d'authentification 2FA, y compris SMS et bien sûr en utilisant l'application Google Authenticator. Cette configuration est assez simple et rapide. Suivez simplement les invites lorsque vous activez le plugin.

Supprimer les utilisateurs inactifs

Une autre cible facile pour les attaquants sont les comptes d'utilisateurs de sites Web qui n'ont pas été utilisés depuis longtemps. Il en résulte que le mot de passe est souvent plus faible qu'il ne l'aurait été si l'utilisateur avait créé le compte récemment ou se connectait régulièrement au site Web. Pour cette raison, il vaut la peine de supprimer périodiquement tous les comptes inactifs.

Vous pouvez utiliser un plugin pour détecter facilement ces utilisateurs inactifs comme le plugin When Last Login.

Une fois activé, il ajoute simplement une colonne personnalisée à votre tableau de liste d'utilisateurs administrateurs qui affiche l'horodatage de la dernière date et heure de connexion de cet utilisateur. Vous pouvez trier cette colonne, ce qui vous permet d'identifier en un coup d'œil les utilisateurs inactifs, ce qui signifie que vous pouvez ensuite les supprimer le cas échéant.

Puis sur Utilisateur -> Tous les utilisateurs trier par la colonne "Dernière connexion" ajoutée :

Limiter les tentatives de connexion

Une autre façon d'ajouter une couche de sécurité supplémentaire à votre site WordPress consiste à limiter le nombre de tentatives de connexion autorisées dans un certain délai. Cette technique déjoue les bots qui font des suppositions de connexion continuelles. De plus, certains plugins qui fournissent cette fonctionnalité peuvent également bloquer l'adresse IP à partir de laquelle les tentatives de connexion proviennent et, ce faisant, empêcher ce bot particulier opérant à partir de cette adresse IP de tenter des attaques répétées sur votre site à l'avenir.

Un bon plugin qui offre cette fonctionnalité est le plugin gratuit Limit Login Atempts Reloaded.

Avec plus d'un million d'installations au moment de la rédaction, vous pouvez être sûr que le plugin fonctionne bien.

Après l'avoir installé et activé, allez dans le menu Paramètres, puis cliquez sur "Limiter les tentatives de connexion". Vous pourrez modifier une gamme de paramètres, y compris le nombre de tentatives autorisées avant que l'utilisateur ne soit verrouillé sur le site Web.

Limiter les tentatives de connexion est un moyen extrêmement efficace de protéger votre site Web, c'est pourquoi nous l'activons par défaut sur tous les sites Web hébergés par Pressidium.

Remarque : Si vous utilisez Jetpack, une version récente de la fonctionnalité appelée "Module de protection" inclut par défaut un système de limitation des tentatives de connexion. Ce système fournit également des informations sur les tentatives de connexion bloquées et l'option de liste blanche des IP. Si vous utilisez ce plugin, il n'est pas nécessaire d'installer un plugin "limit login" séparé.

Gardez vos fichiers principaux, plugins et thèmes à jour avec leur dernière version

Parmi de nombreux autres avantages, la mise à jour de votre noyau WordPress, de votre thème et de vos plugins est essentielle pour la sécurité de votre site Web. Les statistiques montrent que les versions, thèmes et plugins obsolètes sont les moyens les plus populaires pour les pirates d'accéder aux sites Web, ce qui fait de leur mise à jour une priorité absolue.

Chez Pressidium, nous mettons automatiquement à jour le noyau WordPress vers la dernière version après l'avoir testé pour nous assurer qu'il n'y a pas de problèmes clés qui pourraient causer des problèmes à nos clients avec leurs sites Web. Étant donné que ces mises à jour sont effectuées automatiquement, vous pouvez être assuré que votre site Web exécute toujours la dernière version de WordPress.

Hébergez votre site web avec Pressidium

GARANTIE DE REMBOURSEMENT DE 60 JOURS

VOIR NOS FORFAITS

De plus, nous simplifions au maximum la mise à jour des plugins sur les sites Web hébergés chez nous en fournissant une fonction de mise à jour des plugins accessible via le tableau de bord Pressidium. Cela permet à nos clients de voir en un coup d'œil si les plugins de leur(s) site(s) web ont besoin d'être mis à jour. Si tel est le cas, la mise à jour peut être effectuée en quelques clics depuis le tableau de bord Pressidium. Nous analysons également régulièrement les sites Web hébergés chez nous à la recherche de plug-ins présentant des vulnérabilités connues et informerons le propriétaire du site Web de cette vulnérabilité par e-mail. Dans les cas où un plug-in obsolète présente un risque extrême pour un site Web, nous le mettrons même à jour de manière proactive au nom du propriétaire du site Web.

Modifier votre URL de connexion par défaut

Maintenant que nous avons parcouru les moyens de sécuriser la page de connexion (protégeant en fait la "porte d'entrée"), examinons les options permettant de masquer la porte d'entrée afin qu'un cambrioleur (ou un pirate !) ne puisse même pas essayer d'entrer .

Une excellente façon de procéder consiste à modifier l'emplacement de l'URL de connexion WordPress par défaut en la remplaçant par une URL personnalisée. Ce faisant, vous bloquez instantanément le trafic de wp-login, ce qui signifie que vous ne devriez subir aucune attaque par force brute sur votre site Web.

L'un de ces plugins qui vous permet de changer rapidement l'emplacement de la page de connexion est WPS Hide Login.

Évitez d'utiliser des thèmes et des plugins annulés

Les thèmes ou plugins nuls sont ceux qui contiennent généralement des logiciels malveillants ou du code modifié conçu pour causer des dommages. Ils sont souvent disponibles "à bas prix", c'est pourquoi ils attirent les gens. Après tout, personne n'aime vraiment avoir à dépenser de l'argent pour des thèmes et des plugins premium. Avec certains thèmes et plugins annulés disponibles pour une fraction du coût de la version "authentique", vous pouvez voir pourquoi ils sont tentants à utiliser.

En réalité, les « économies » que vous réalisez en utilisant des versions annulées peuvent souvent être éclipsées par les coûts encourus suite à l'infection de votre site Web par des logiciels malveillants. Même s'ils ne contiennent pas de code malveillant, ils auront souvent des publicités et des popups gênants qui peuvent ruiner l'expérience du plugin ou du thème. De plus, ils ne sont bien sûr pas pris en charge par le développeur d'origine, ce qui signifie qu'il n'y a personne vers qui se tourner en cas de problème.

Bref, n'utilisez pas de thèmes ou de plugins annulés… ça n'en vaut vraiment pas la peine !

Conclusion

Un site piraté n'est dans l'intérêt de personne (à part bien sûr le pirate). Bien qu'un hébergement WordPress géré de haute qualité puisse améliorer considérablement la sécurité de votre site Web, il est également important de se rappeler que vous, en tant que propriétaire du site Web, avez également un rôle à jouer dans la sécurisation de votre site Web.

Suivre même certaines des étapes simples décrites ci-dessus peut vraiment aider à améliorer la sécurité de votre site Web et vaut la peine d'être mis en œuvre.