Top 10 des recommandations de sécurité WordPress
Publié: 2023-02-15Quelles sont les dix principales mesures que vous pouvez prendre pour protéger votre site WordPress ? Quelles mesures de renforcement de la sécurité auront le plus grand impact sur la sécurité de votre site ? La sécurité est toujours un sujet brûlant dans la communauté WordPress, et des questions comme celles-ci sont importantes pour une bonne raison. WordPress alimente près de la moitié d'Internet et sa position de leader en fait une cible prioritaire pour les pirates.
Des milliers de sites WordPress sont victimes de cyberattaques chaque jour. C'est une goutte d'eau dans le seau du nombre total de sites WordPress, mais si cela vous arrivait ? C'est énorme. Certains propriétaires de sites subissent les conséquences à long terme de la perte de données, du vol de données et de la fraude due. Des politiques de sécurité et une gestion des risques médiocres ont provoqué des catastrophes comme celle-ci. Que signifie avoir des politiques de sécurité solides en tant que propriétaire de site WordPress ? Quels sont les principaux risques et comment pouvez-vous les gérer ?
La clé est de mettre en place des fondations sécurisées, puis de continuer à les développer avec des pratiques de sécurité cohérentes. Ce guide vous apprendra comment faire cela et sécuriser votre site WordPress aujourd'hui.
Dans ce guide, nous allons plonger en profondeur dans la sécurité de WordPress. Vous découvrirez les cyberattaques les plus dangereuses ciblant WordPress. Vous apprendrez comment minimiser votre risque d'en être victime. Nous vous fournirons nos dix principales recommandations de sécurité WordPress et vous expliquerons comment les mettre en œuvre. Vous pourrez alors vous défendre contre les attaques les plus sophistiquées et les plus malveillantes d'aujourd'hui.
WordPress est-il sécurisé ? Oui!
En bref, oui, la plate-forme principale de WordPress est sécurisée.
En tant que projet logiciel open source mature de vingt ans, WordPress est l'un des cadres de création de sites Web les plus éprouvés et les plus sécurisés.
Une communauté de développeurs et d'experts en sécurité maintient le noyau de WordPress. De plus, la base de code est accessible au public. Cela signifie que les chercheurs en sécurité sont libres de l'analyser. Sous l'examen du public, tout bogue qui a passé les phases de test initiales d'une nouvelle version a tendance à être découvert rapidement. WordPress reçoit des mises à jour régulières et corrige rapidement toutes les vulnérabilités trouvées dans le noyau de WordPress. Cette adaptation constante augmente la sécurité et la qualité globale de la plateforme.
Qu'est-ce qui rend un site WordPress non sécurisé ?
Lorsque les gens créent des sites avec WordPress, la sécurité n'est peut-être pas leur priorité. Une personnalisation négligente combinée à de mauvaises pratiques de sécurité (ou à aucune) introduit des risques de sécurité importants pour l'ensemble de l'écosystème WordPress.
Propriétaires de sites qui n'exécutent pas de mises à jour
Les mises à jour régulières et le support des développeurs WordPress rendent WordPress hautement sécurisé. Cependant, la popularité de WordPress a beaucoup à voir avec la facilité de personnalisation avec des plugins et des thèmes. Ces modules complémentaires tiers peuvent ou non être aussi bien pris en charge et testés que le noyau WordPress. Ils doivent également être mis à jour lorsque de nouvelles versions sont déployées. Pour un site WordPress avec 12 à 24 plugins, plusieurs nouvelles mises à jour peuvent être disponibles chaque semaine. Laisser les vulnérabilités connues non corrigées et ne pas effectuer de mises à jour régulières augmente considérablement la probabilité que votre site Web WordPress soit piraté.
Le noyau de WordPress reçoit également des mises à jour tout au long de l'année. En règle générale, il y aura quatre versions majeures. Des versions de sécurité et de maintenance apparaîtront également au fur et à mesure des besoins. En 2023, environ 60 % des sites WordPress utilisent la dernière version (6.1) du noyau WordPress. 40% ne le font pas, et ce n'est pas bon pour leur sécurité. Depuis décembre 2022, les versions 3.7 à 4.0 de WordPress ne sont plus prises en charge et peuvent ne pas recevoir de correctifs de sécurité.
Propriétaires et hébergeurs de sites qui ne mettent pas à jour PHP
Une statistique plus inquiétante est que de nombreux sites WordPress utilisent une version de PHP inférieure à 7.4. PHP fait partie de l'environnement serveur de votre hébergeur. C'est le langage sur lequel fonctionne WordPress. Début 2023, 55% de tous les sites WordPress étaient hébergés sur PHP 7.4. C'est la dernière version majeure de la branche PHP 7. Il s'agit de la version la plus élevée de PHP officiellement prise en charge par WordPress à l'heure actuelle, bien que de nombreux hébergeurs WordPress proposent PHP 8. Les hébergeurs WordPress bien gérés maintiendront la sécurité de PHP 7, mais il a atteint sa fin de vie pour le support officiel. Les plugins WordPress nécessiteront de plus en plus PHP 8 au fil du temps. Les sites qui ne suivent pas le développement de WordPress et PHP courent un risque plus élevé d'être piratés.
Pourquoi la sécurité de WordPress est importante
La sécurité du site WordPress est importante ! C'est toujours le meilleur moment pour commencer à le prendre au sérieux si vous n'avez pas de pratiques de sécurité cohérentes. La sophistication et le volume croissants des cyberattaques rendent la sécurité des sites Web extrêmement importante, en particulier pour les propriétaires de sites Web WordPress. Les attaquants ne se contentent pas de choisir les sites Web à pirater. Les cyberattaques modernes sont hautement automatisées et des milliers de sites WordPress peuvent être ciblés à la fois. La popularité de WordPress et le nombre de sites qui n'ont pas été mis à jour en font une cible large et facile.
Que vous gériez un blog, un site Web d'entreprise ou une boutique en ligne, la sécurité de vos clients et de leurs données vous est confiée. Une violation de données peut mettre votre entreprise en danger et nuire considérablement à votre réputation. De mauvaises pratiques de sécurité peuvent entraîner de graves pertes financières.
Une étude récente a montré que la plupart des petites et moyennes entreprises (PME) pensent qu'elles ne sont pas la cible du piratage, mais elles se trompent. Les attaques se multiplient et les ciblent spécifiquement. En moyenne, les petites entreprises qui subissent une faille de sécurité numérique finissent par payer des coûts supérieurs à 100 000 $.
Les cinq problèmes de sécurité WordPress les plus courants
Les menaces les plus courantes auxquelles WordPress a été confronté en 2022 et qui exploitent les vulnérabilités du site interne étaient les attaques de script intersite (XSS) et de falsification de requête intersite (CSRF), ainsi que les injections SQL (SQLi). Les charges utiles ou les dommages courants causés aux sites piratés et infectés incluent les portes dérobées et les redirections malveillantes. Enfin, les attaques les plus courantes n'impliquent aucune vulnérabilité logicielle. Il s'agit des tentatives de connexion par force brute, du bourrage de mots de passe, de l'écrémage de cartes, du cardage et des attaques par déni de service distribué (DDoS).
Examinons ces menaces et explorons les solutions qui les empêcheront de pénétrer votre site WordPress.
Bourrage de mots de passe, connexion par force brute et attaques DDOS
Les attaques par force brute et DDoS sont des cyberattaques hautement distribuées pilotées par des bots. Ils essaient de s'introduire dans un site Web ou de le mettre hors ligne en surchargeant le serveur qui l'héberge de requêtes Web. Les deux types d'attaques impliquent souvent un réseau de bots (également appelé botnet) contrôlé par l'attaquant.
Les attaques de connexion par force brute, également appelées attaques par devinette de mot de passe, utilisent un réseau d'ordinateurs (généralement piratés) pour tester des milliers de combinaisons aléatoires de lettres, de chiffres et de symboles afin de découvrir un nom de connexion et un mot de passe valides pour un site ciblé.
Le bourrage de mots de passe est un type d'attaque par force brute qui utilise des mots de passe réels volés ailleurs pour accéder à votre site. Si vous ou les utilisateurs de votre site avez utilisé les mêmes identifiants de connexion sur un autre site qui a été compromis, le bourrage de mot de passe peut réussir sur votre site.
Lorsqu'un attaquant tente des milliers de connexions par minute, cela peut avoir l'effet d'une attaque DDoS. Les DDoS lancent tellement de requêtes sur votre serveur qu'il est surchargé. Parfois, les attaques DDoS sont effectuées simplement pour mettre des sites hors ligne de cette manière.
En ce qui concerne WordPress et WooCommerce, les attaques par carding sont un bon exemple d'une tentative de force brute pour insérer des numéros de compte de carte de crédit volés dans un site de commerce électronique pour effectuer des achats frauduleux. Les attaques par cardage peuvent également avoir un effet DDoS.
Script intersite et falsification de requêtes
Les scripts intersites et la falsification de requêtes intersites, également connus sous le nom de XSS et CSRF, sont des cyberattaques qui tentent d'exécuter des scripts malveillants sur votre site Web qui exploiteront les ordinateurs de vos visiteurs. En utilisant votre site, ces attaques envoient des demandes non autorisées de celui-ci au nom de votre utilisateur. L'objectif est d'escroquer les visiteurs de votre site et de leur voler des informations sensibles ou de l'argent. Les scripts intersites et la falsification de requêtes sont considérés comme deux des cyberattaques les plus dangereuses ciblant les sites Web WordPress.
L'un des exemples les plus frappants d'attaques de scripts intersites affectant WordPress implique des écumoires de cartes basées sur JavaScript injectées dans les magasins WooCommerce. Les logiciels malveillants d'écrémage de cartes chargés à partir du site Web de l'attaquant sont injectés dans les navigateurs de vos visiteurs. Ce code malveillant tentera de voler les informations de paiement critiques de la page de paiement une fois l'achat effectué.
Portes dérobées et Web Shells
Les portes dérobées et les shells Web sont deux types de logiciels malveillants liés qui sont souvent téléchargés sur des sites Web piratés en tant que charge utile lors de la violation initiale. Les deux permettent un niveau de dommage plus profond : l'infection par un logiciel malveillant. Les deux sont des outils que les pirates malveillants utilisent pour creuser plus profondément dans votre serveur et vos applications Web ou pour mener des fraudes et d'autres attaques sur d'autres sites.
Les portes dérobées sont des logiciels qui sont injectés dans un site Web pour permettre à l'attaquant d'obtenir un accès non autorisé à ses zones critiques en contournant les méthodes d'authentification normales. Les shells Web, à leur tour, sont des utilitaires de gestion de fichiers malveillants utilisés par le pirate pour télécharger davantage de charges utiles malveillantes sur le site Web compromis.
Les portes dérobées peuvent souvent se faufiler devant les propriétaires de sites Web et même les logiciels antivirus. Une porte dérobée permettra au pirate de revenir et de réinfecter ou d'exploiter davantage un site Web à une date ultérieure, même si toutes les mesures de sécurité nécessaires ont été prises. De même, si un shell Web n'est pas supprimé, l'attaquant gardera le contrôle du site Web.
Redirections malveillantes
L'un des objectifs les plus courants d'un attaquant est d'infecter vos visiteurs avec des logiciels malveillants. L'un des moyens les plus courants d'atteindre cet objectif consiste à rediriger les utilisateurs sans méfiance à partir de sites Web de confiance sur lesquels les attaquants ont pris le contrôle.
Les pirates peuvent placer des redirections malveillantes n'importe où sur des sites Web piratés, ce qui peut les rendre difficiles à localiser et à supprimer. Souvent, les propriétaires de sites Web doivent réinstaller WordPress (ce qui est simple) ou restaurer l'intégralité de leur site Web à partir d'une sauvegarde (ce qui peut être plus difficile) afin de le débarrasser des redirections malveillantes après avoir corrigé la vulnérabilité qui a rendu cet exploit possible.
En tant que type de spam SEO, les hacks pharmaceutiques ont été l'une des attaques les plus notoires affectant les sites Web WordPress. Les attaquants remplissent un site Web WordPress compromis avec des mots-clés de spam pour des médicaments populaires dans le but de le classer en tête des moteurs de recherche, puis redirigent les visiteurs vers des portails frauduleux vendant des produits pharmaceutiques réglementés. La plupart du temps, les attaquants placent des redirections malveillantes dans un .htaccess file
ou créent un fichier .ico apparemment inoffensif à cette fin.
Attaques par injection SQL
Une attaque par injection SQL, également connue sous le nom d'insertion SQL (SQLi), est un type d'attaque par injection de données exploitant une validation insuffisante des entrées utilisateur qui permet à un attaquant de manipuler la base de données du site Web de manière malveillante. Les injections SQL et les scripts intersites tirent parti des soi-disant vulnérabilités d'entrée qui peuvent affecter certaines zones de votre site Web WordPress. Les vulnérabilités d'entrée surviennent lorsqu'un plug-in accepte des données ou du contenu soumis par l'utilisateur, mais ne le filtre pas pour le code malveillant. Ce code peut exécuter des requêtes sur votre base de données pour voler des données privées ou les endommager.
Top 10 des recommandations de sécurité WordPress
En ce qui concerne la sécurité des sites Web WordPress, une approche consciente de la réduction de la surface d'attaque est essentielle. Connaître les vulnérabilités WordPress les plus courantes et les types de cyberattaques vous aidera à améliorer considérablement la sécurité de votre site Web. Les 10 recommandations de sécurité WordPress les plus importantes suivantes sont les connaissances de base dont vous avez besoin pour sécuriser tout site WordPress. La plupart de ces recommandations sont relativement faciles à suivre et ne nécessitent aucune solution de sécurité payante.
Effectuez des mises à jour régulières et n'installez aucun logiciel provenant de sources non vérifiées
L'une des recommandations de sécurité WordPress les plus importantes consiste à effectuer des mises à jour régulières du noyau, du thème et du plug-in. Assurez-vous que tous les logiciels que vous installez proviennent de sources vérifiées et fiables. Comme WordPress est écrit en PHP, assurez-vous d'utiliser une version PHP prise en charge à partir de la dernière version majeure. À l'heure actuelle, il s'agit de PHP 7.4 avec uniquement une prise en charge bêta de PHP 8.
Les fonctionnalités par défaut de WordPress satisfont rarement tous les besoins des propriétaires d'entreprise, elles étendent donc les capacités de la plateforme en installant plus de plugins et de thèmes. Les thèmes et plugins tiers augmentent la surface d'attaque, rendant les sites WordPress vulnérables à davantage de menaces de sécurité.
Les problèmes majeurs peuvent provenir de l'utilisation de versions non officielles et piratées de plugins et de thèmes payants. Ceux-ci proviennent toujours de sources très douteuses. Utiliser des versions obsolètes de WordPress et ne pas corriger les vulnérabilités est également extrêmement risqué.
Utilisez un plugin de sécurité comme iThemes Security Pro
La meilleure façon de sécuriser votre site Web est d'activer les mises à jour automatiques pour le noyau, les thèmes et les plugins. iThemes Security Pro peut facilement suivre toutes les mises à jour logicielles disponibles et installer de nouvelles versions du noyau WordPress ainsi que des thèmes et des plugins. Si vous gérez plusieurs sites Web WordPress, iThemes Sync Pro vous permet d'effectuer toutes les tâches d'administration à partir d'une seule interface et de profiter de la surveillance de la disponibilité et du suivi des métriques SEO.
La plupart des solutions d'hébergement WordPress, telles que les plans d'hébergement WordPress cloud gérés proposés par Nexcess, prennent également en charge toutes les mises à jour logicielles pour vous et sont même livrées avec des outils intégrés tels que la comparaison visuelle pour vous aider à suivre les conflits potentiels de plugins et autres problèmes avant effectuer toutes les mises à jour. Nexcess met également à votre disposition un catalogue de solutions WordPress premium. Il propose Kadence WP comme thème de bloc intégré avec des blocs personnalisés pour vous aider à concevoir le site Web de vos rêves tout en assurant sa sécurité.
Créer une stratégie de sauvegarde solide
Une stratégie de sauvegarde solide est absolument essentielle pour la sécurité de WordPress. L'exécution de sauvegardes régulières de votre site WordPress vous prépare à une récupération facile en cas de violation, d'échec de mise à jour ou de tout autre problème pouvant survenir.
Il est préférable d'avoir au moins dix jours ou même deux semaines de sauvegardes complètes de WordPress qui incluent votre base de données WordPress, les fichiers de votre site Web et tout autre contenu connexe. Conserver des sauvegardes hebdomadaires et mensuelles peut être très bénéfique en plus des sauvegardes quotidiennes et horaires.
Veillez à respecter le principe de redondance des données. Conserver des copies de travail de votre site Web WordPress à plusieurs endroits. Cela vous aidera à récupérer vos informations au cas où quelque chose arriverait à une archive de sauvegarde
Vous pouvez utiliser les solutions de sauvegarde fournies par votre fournisseur d'hébergement, y compris les sauvegardes cPanel et Acronis, pour enregistrer des copies de votre site Web sur des cycles quotidiens, hebdomadaires et mensuels. un plugin de sauvegarde WordPress peut vous aider à créer un calendrier de sauvegarde plus flexible. BackupBuddy est un plugin de protection et de récupération de données de classe mondiale pour WordPress. Il peut vous aider à créer une stratégie de sauvegarde solide et un accès facile aux restaurations en un clic chaque fois que vous en avez besoin.
Effectuez une analyse régulière des vulnérabilités et des logiciels malveillants
L'analyse des vulnérabilités et la surveillance de l'intégrité des fichiers sont l'un des meilleurs outils que vous pouvez utiliser pour protéger toutes les zones critiques de votre site Web WordPress. L'interface WordPress Site Health intégrée est un excellent outil pour commencer. Si vous avez besoin de plus de recommandations de sécurité WordPress adaptées à votre site Web, l'analyse de site iThemes Pro vous fournira un rapport complet sur la sécurité de votre site Web WordPress.
La prévention est essentielle, mais la détection et l'atténuation précoces des attaques le sont tout autant. L'objectif principal de la plupart des logiciels malveillants est de ne pas être détecté le plus longtemps possible. Il n'est pas rare que des sites Web WordPress soient piratés pendant des semaines jusqu'à ce que leurs propriétaires s'en aperçoivent. iThemes Security Pro offre une surveillance avancée des modifications de fichiers qui vous alertera à tout moment en cas d'activité suspecte dans les fichiers de votre site Web WordPress.
L'exécution d'analyses régulières de logiciels malveillants aidera à identifier rapidement une infection par un logiciel malveillant. C'est la clé pour bloquer les méchants et nettoyer votre site Web WordPress avant que des dommages irréversibles ne soient causés. Si vous recherchez d'excellents scanners de logiciels malveillants gratuits, ImunifyAV de CloudLinux s'est avéré extrêmement fiable et convivial.
Gardez les autorisations de fichiers sécurisées et protégez wp-config.php
Les autorisations de fichiers WordPress peuvent grandement affecter la sécurité globale de votre site Web WordPress. Des paramètres d'autorisation incorrects peuvent exposer l'ensemble du système à de graves risques, en particulier si vous gérez votre propre serveur et y exécutez plusieurs sites. La configuration sécurisée des autorisations de vos fichiers WordPress est absolument essentielle.
L'une des zones les plus vulnérables de votre site WordPress est son fichier de configuration principal : wp-config.php
. Les données critiques qui y sont stockées, y compris les informations de connexion à la base de données WordPress, font de wp-config.php
une cible prioritaire pour les attaques tentant de prendre le contrôle de votre site Web.
L'une des principales recommandations de sécurité WordPress que vous pouvez mettre en œuvre dès maintenant consiste à définir des autorisations pour le fichier wp-config.php
de votre site Web sur au moins 640. Si vous n'êtes pas sûr des autorisations de fichier que les fichiers d'autres sites Web devraient avoir, les vérifications d'autorisation de fichier d'iThemes Security Pro outil vous aidera à le découvrir.
Les compromis entre comptes sont facilités par des autorisations de fichiers non sécurisées et une mauvaise isolation des utilisateurs
Les pirates exploitent activement la mauvaise isolation des utilisateurs, combinée à des autorisations de fichiers non sécurisées, pour effectuer de dangereuses attaques entre comptes. Ceux-ci sont connus sous le nom de « hacks de liens symboliques » ou de hacks WordPress « Anonymous Fox ».
En utilisant un site Web piraté comme point d'entrée, un attaquant peut créer des liens symboliques entre comptes vers les fichiers de configuration d'autres sites Web, tels que wp-config.php
, pour exposer des informations sensibles et prendre le contrôle de tous les sites Web sur le serveur donné. Ce hack n'est possible que si votre fichier wp-config.php
est lisible par d'autres utilisateurs sur le même serveur.
Certaines recommandations de sécurité WordPress suggèrent de déplacer wp-config.php
, ce qui pourrait aider, mais cela ne résoudra pas vraiment tous les risques. Sécurisez les autorisations de fichiers et assurez-vous que tous les sites Web sont isolés les uns des autres sur le même serveur. L'un des meilleurs moyens d'y parvenir consiste à utiliser CageFS, fourni par le système d'exploitation CloudLinux.
Configurer un pare-feu d'application Web
Une autre recommandation de sécurité clé de WordPress consiste à utiliser un pare-feu d'application Web, ou mieux encore, plusieurs systèmes de défense comme un WAF basé sur l'hôte et un WAF basé sur le cloud. Un pare-feu d'application Web sert de première ligne de défense contre toutes les cyberattaques connues, filtrant tout trafic malveillant sur la base d'un ensemble de règles constamment mis à jour.
Les WAF analysent tout le trafic Web à la recherche de requêtes suspectes en fonction d'un certain nombre de modèles définis par les règles que nous définissons. Cela garantit un haut niveau de protection contre les attaques DDoS et par force brute, ainsi que SQLi et XSS.
Un WAF basé sur le cloud tel que Cloudflare WAF peut atténuer un large éventail d'attaques tout en réduisant la charge sur le serveur d'origine. Les requêtes qui parviennent au serveur hébergeant votre site Web WordPress sont ensuite soumises à une autre série de vérifications par un WAF basé sur l'hôte tel que ModSecurity. Les deux solutions sont entièrement gratuites et sont considérées comme la norme de l'industrie en matière de sécurité WordPress.
Configurer les en-têtes de sécurité HTTP
Les en-têtes de réponse de sécurité HTTP sont l'un des outils les plus précieux dont vous disposez pour augmenter la sécurité de votre site Web WordPress. À l'instar des pare-feu d'applications Web, les en-têtes de réponse HTTP peuvent bloquer l'accès aux zones critiques de votre site Web et empêcher toute activité susceptible de mettre en danger vos clients et leurs données.
Les en-têtes de sécurité HTTP les plus importants pour WordPress incluent :
- Politique de sécurité du contenu (CSP). Une solution robuste qui peut aider à atténuer les scripts intersites et le détournement de clics, ainsi que d'autres cyberattaques dangereuses ciblant les sites Web WordPress. L'utilisation de CSP vous aide à définir la liste des ressources pouvant charger du contenu à partir de votre site Web, ainsi que la liste des ressources à partir desquelles votre site Web peut charger du contenu.
- Set-Cookie . L'en-tête de réponse Set-Cookie contrôle la manière dont les cookies sont envoyés du serveur au navigateur de l'utilisateur. La configuration de l'attribut SameSite peut aider à défendre votre site Web WordPress contre la falsification de requêtes intersites et le détournement de clics.
- Sécurité stricte des transports (HSTS). L'en-tête de réponse HSTS garantit que votre site Web WordPress n'est accessible que via HTTPS, ce qui permet un chiffrement de bout en bout entre le serveur et le navigateur.
La plupart du temps, vous pouvez configurer les en-têtes de sécurité HTTP pour votre site Web WordPress dans votre fichier .htaccess
local. Veuillez noter que la plupart des fournisseurs d'hébergement WordPress configurent les en-têtes de réponse HTTP pour vous, vous devrez donc peut-être consulter l'équipe d'assistance de votre hébergeur pour voir si vous devez redéfinir des règles localement.
Désactiver l'exécution PHP dans le dossier Uploads et désactiver l'indexation des répertoires
En ce qui concerne WordPress, les pirates ont tendance à cacher les logiciels malveillants dans des dossiers qui ne stockent normalement aucun code exécutable. L'un de ces dossiers est le répertoire des téléchargements dans wp-content
. Désactiver l'exécution de PHP dans le dossier des téléchargements est une bonne idée. Cela peut aider à limiter la portée d'une infection par un logiciel malveillant et à accélérer la correction des logiciels malveillants.
Si Apache HTTP est disponible, créez un fichier .htaccess
dans wp-content/uploads et ajoutez-y la règle ci-dessous. Cela empêchera tout script PHP d'être chargé à partir du dossier de téléchargement. Il s'agit d'un emplacement courant où un attaquant peut placer un code malveillant.
En plus de bloquer l'exécution de PHP, la désactivation de l'indexation des répertoires sur votre site Web est un autre élément important de la liste de nos recommandations de sécurité WordPress. Si l'indexation des répertoires n'est pas désactivée, le navigateur chargera la liste des fichiers présents dans le répertoire demandé s'il manque un fichier index.php
ou index.html
.
Les attaquants exploitent largement cette capacité, en particulier lorsqu'il s'agit d'attaques de liens symboliques entre comptes décrites plus haut dans le guide. Vous pouvez bloquer l'indexation des répertoires globalement ou par répertoire en utilisant la règle suivante dans .htaccess
:
Modifier le préfixe de votre base de données WordPress et le nom d'utilisateur par défaut de l'administrateur
À moins que vous ne changiez le processus d'installation par défaut, WordPress utilisera automatiquement le préfixe standard wp-
pour sa base de données et créera un utilisateur admin
par défaut. Comme cela est de notoriété publique, les attaques par force brute et par injection de données le supposent.
Supprimez l'utilisateur administrateur par défaut et remplacez le préfixe de la base de données WordPress par quelque chose de similaire à wp2789_
. Vous pouvez le faire en renommant toutes les tables de la base de données à l'aide de phpMyAdmin ou via l'interface de ligne de commande MySQL. Assurez-vous de mettre à jour le préfixe de la base de données dans wp-config.php
par la suite.
Restreindre l'accès à XMLRPC et à la connexion WordPress
En ce qui concerne les attaques par force brute et DDoS, xmlrpc.php
et la page de connexion WordPress sont les deux domaines des sites Web WordPress que les attaquants ciblent le plus. Si l'accès à ces deux interfaces n'est pas restreint, votre site WordPress souffrira probablement de performances médiocres et de temps d'arrêt fréquents. De plus, il est tout à fait possible qu'un pirate puisse éventuellement pirater votre compte administrateur et faire des ravages sur votre site Web.
XMLRPC est une interface de programmation d'application (API) qui permet à WordPress de communiquer avec d'autres systèmes, et fait partie de WordPress depuis la création de la plate-forme. Cependant, comme WordPress s'appuie fortement sur l'API REST, XMLRPC est rarement utilisé et peut généralement être complètement désactivé sans aucune conséquence négative. Vous pouvez ajouter la règle ci-dessous au .htaccess file
de votre site Web ou simplement les autorisations du fichier xmlrpc.php à zéro à cette fin.
Restreindre l'accès à votre panneau d'administration WordPress est une autre de nos principales recommandations de sécurité WordPress. Bien que la modification de l'adresse de connexion WordPress rende la découverte beaucoup plus difficile, la protection par mot de passe de la page de connexion ou la définition d'une plage exclusive d'adresses IP pouvant y accéder éliminera efficacement le risque qu'un attaquant obtienne un accès non autorisé au backend WordPress.
Utiliser des mots de passe forts et configurer l'authentification multifacteur
L'importance d'utiliser des mots de passe forts ne peut pas être surestimée. Cependant, certains propriétaires de sites Web WordPress ont tendance à oublier que le panneau d'administration de WordPress n'est pas le seul vecteur d'attaque. Un grand nombre de sites WordPress sont piratés à la suite d'un attaquant ayant accès à leurs comptes de panneau de contrôle d'hébergement Web.
Avec de nombreux hébergeurs, le nom de compte de votre site Web WordPress correspond à un utilisateur réel créé sur le serveur hôte. Il est facile à deviner ou visible publiquement. Combiné à son mot de passe, la paire d'identifiants peut vous permettre de vous connecter à votre site via SSH et SFTP. C'est ainsi que vous accédez au panneau de contrôle de votre hébergement. Si ce compte est compromis, un attaquant peut obtenir un accès complet non seulement à votre site, mais également à l'ensemble de votre compte d'hébergement, de votre courrier électronique et même de vos noms de domaine ou enregistrements DNS.
Adoptez des politiques de mots de passe solides et une authentification multifacteur pour vos utilisateurs administrateurs WordPress et le compte du panneau de contrôle d'hébergement de votre site Web. Si possible, désactivez entièrement l'authentification par mot de passe pour SSH en faveur des méthodes d'authentification basées sur des clés.
iThemes Security Pro vous permet de configurer une authentification sans mot de passe pour votre panneau d'administration WordPress à l'aide de clés d'accès avec des connexions biométriques. Ceci, combiné à l'authentification multifacteur configurée pour votre compte d'hébergement, garantit une protection complète contre les attaques par force brute et sécurise votre site Web même si vos identifiants de connexion ont été compromis.
Implémentez les meilleures recommandations de sécurité WordPress avec iThemes Security Pro
En tant que système de gestion de contenu le plus populaire au monde, WordPress est une cible prioritaire pour les pirates du monde entier. Pour exploiter les violations de données et distribuer des logiciels malveillants, les attaquants utilisent un large éventail de techniques sophistiquées telles que les injections de bases de données, les scripts intersites et la falsification de requêtes intersites. À moins que votre site WordPress ne soit protégé contre ces menaces de sécurité courantes, il peut devenir une cible facile.
Avec la myriade de recommandations de sécurité WordPress qui circulent, il peut être difficile de comprendre comment sécuriser votre site Web, en particulier lorsqu'il existe plusieurs stratégies pour atténuer chaque cyberattaque. Rendre la sécurité de WordPress plus accessible est ce à quoi s'efforce iThemes. Laissez iThemes Security Pro et BackupBuddy être vos assistants de sécurité personnels ! Ils offrent plus de 50 façons de protéger votre site WordPress contre les cyberattaques les plus dangereuses qui existent aujourd'hui.
Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress
WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.
Kiki possède un baccalauréat en gestion des systèmes d'information et plus de deux ans d'expérience sous Linux et WordPress. Elle travaille actuellement comme spécialiste de la sécurité pour Liquid Web et Nexcess. Avant cela, Kiki faisait partie de l'équipe de support de Liquid Web Managed Hosting où elle a aidé des centaines de propriétaires de sites Web WordPress et a appris les problèmes techniques qu'ils rencontrent souvent. Sa passion pour l'écriture lui permet de partager ses connaissances et son expérience pour aider les gens. Outre la technologie, Kiki aime apprendre sur l'espace et écouter de vrais podcasts sur le crime.