Sécurité et durcissement de WordPress, le guide définitif

WordPress est massivement populaire. Environ un site sur cinq sur Internet utilise WordPress sous une forme ou une autre. Que ce soit pour gérer un humble blog, ou un système de gestion de contenu (CMS) multi-sites ou un site de commerce électronique. En conséquence, il n'est pas surprenant que les sites Web WordPress soient une cible très populaire pour les pirates expérimentés et les script-kiddies.

La dernière chose que souhaite un webmaster est de découvrir que son site Web a été piraté. peut-être pris en otage et fait partie d'un botnet, propageant des logiciels malveillants ou participant à des attaques par déni de service (DoS). Dans cet article, nous partagerons un certain nombre de conseils et de stratégies pour vous aider à renforcer votre site Web WordPress.

Table des matières

• WordPress est-il sécurisé ?
• Plugins et thèmes
  • Exécutez moins de logiciels
  • Respecter le principe du moindre privilège
  • Mettez à jour vos plugins et thèmes WordPress
  • Éloignez-vous des plugins et thèmes WordPress "annulés"
• Gardez WordPress à jour
• Hébergement WordPress
• Tableau de bord WordPress
  • Désactiver l'inscription
  • Crédits
  • Authentification à deux facteurs (2FA)
• Durcissement du noyau WordPress
  • Désactiver la journalisation de débogage
  • Désactiver XML-RPC
  • Restreindre l'API REST de WordPress
  • Empêcher la divulgation de la version de WordPress
  • Empêcher l'énumération des utilisateurs WordPress
  • Désactiver l'éditeur de fichiers WordPress
  • Désactiver la gestion des thèmes et des plugins
• TLS (SSL)
• Conclusions et prochaines étapes

WordPress est-il sécurisé ?

C'est une question que de nombreux administrateurs système posent, et à juste titre. Bien que WordPress soit globalement bien construit et sécurisé, il a la réputation d'être sujet à des failles de sécurité et de ne pas être "de niveau entreprise". Cette réputation n'est pas exactement juste. Le plus souvent, les problèmes résident dans le fait que WordPress est un progiciel incroyablement populaire, facile à configurer tout en prenant des raccourcis de sécurité. Ce qui nous amène à notre premier sujet - plugins et thèmes.

Plugins et thèmes

Le problème numéro un qui afflige la sécurité de WordPress est également ce qui le rend incroyablement populaire. Les plugins et thèmes WordPress varient considérablement en termes de qualité et de sécurité. Bien que l'équipe WordPress ait beaucoup travaillé pour aider les développeurs à créer des plugins et des thèmes plus sécurisés, ils restent un cauchemar pour la sécurité. Cela peut être remarqué lors de l'utilisation de plugins mal entretenus ou de plugins obtenus à partir d'une source sommaire.

Avant de continuer à discuter des plugins et des thèmes WordPress, commençons par comprendre ce qu'est réellement un plugin WordPress. Les plugins sont simplement du code PHP personnalisé que WordPress exécute afin d'étendre les fonctionnalités de WordPress. Pour une explication plus détaillée et technique, reportez-vous à Que sont les plugins WordPress.

De même, les thèmes WordPress permettent de personnaliser les aspects visuels de votre site WordPress. Du point de vue d'un attaquant, il y a très peu de différence entre les deux puisque les deux peuvent être exploités pour exécuter du code malveillant.

Exécutez moins de logiciels

Alors, comment savoir si un plugin est malveillant ou non ? C'est une question compliquée, mais heureusement, nous avons une réponse pour vous. Nous avons écrit à ce sujet en détail sur la façon de choisir le meilleur plugin WordPress pour votre site Web WordPress.

Même si vous faites toutes les recherches nécessaires, il y a aussi des chances que le plugin soit toujours une menace pour la sécurité. L'un des moyens de réduire vos risques consiste donc à n'exécuter que le logiciel dont vous avez absolument besoin et auquel vous faites confiance. Avant d'installer un nouveau plugin WordPress, demandez-vous si vous avez vraiment besoin d'installer ce plugin. Un petit extrait de code dans un plugin spécifique au site peut-il faire l'affaire, ou avez-vous légitimement besoin d'un plugin entièrement soufflé ?

Important — soyez très vigilant avec les extraits de code que vous trouvez sur Internet. N'utilisez jamais un morceau de code à moins que vous ne compreniez parfaitement ce qu'il fait - ce n'est pas parce qu'il est sur StackOverflow que son utilisation est sûre.

Si vous avez vraiment besoin d'exécuter un plugin, assurez-vous qu'il est activement maintenu et régulièrement mis à jour, comme nous l'expliquons dans notre guide. En règle générale, plus le nombre de téléchargements et de mises à jour récentes du plugin ou du thème indique qu'il est largement utilisé et qu'il est activement maintenu par ses auteurs. Cela ne signifie pas que le plugin n'aura jamais de vulnérabilité. Cependant, si une vulnérabilité est découverte, le développeur agira rapidement et publiera un correctif rapidement.

Essayez d'éviter les plugins qui n'ont pas beaucoup de téléchargements et surtout, qui n'ont pas de communauté active et de mises à jour régulières. Si quelque chose n'a pas reçu de mise à jour dans un délai d'un an, c'est généralement un drapeau rouge.

Respecter le principe du moindre privilège

WordPress n'a pas besoin d'utiliser l'utilisateur root MySQL pour se connecter à sa base de données. Chaque utilisateur de WordPress n'a pas non plus besoin d'avoir le rôle d'administrateur. De même, ce n'est pas une bonne idée d'exécuter la plupart des programmes en tant qu'utilisateur privilégié, à moins qu'il n'y ait une raison spécifique de le faire.

Les meilleures pratiques de sécurité dictent toujours que les applications reçoivent toujours le moins de privilèges possible qui leur permettent de fonctionner correctement, avec tous les privilèges supplémentaires désactivés. Cette pratique est communément appelée le principe du moindre privilège.

Supposons hypothétiquement que WordPress se connecte à une base de données avec un compte d'utilisateur privilégié. Dans le cas d'un plugin WordPress contenant une vulnérabilité d'injection SQL, un attaquant peut non seulement exécuter des requêtes SQL en tant qu'administrateur, mais dans certains cas, il peut même être en mesure d'exécuter des commandes du système d'exploitation. Si un attaquant réussit à exécuter les commandes du système d'exploitation, il peut être en mesure d'effectuer une reconnaissance et de transmettre une attaque à d'autres systèmes.

Exécuter un logiciel avec des privilèges d'administration ou fournir aux utilisateurs plus d'accès que nécessaire pose des problèmes. Cela va à l'encontre d'un principe éprouvé du moindre privilège, puisqu'il permet à un attaquant d'infliger plus de dégâts en cas de faille de sécurité.

La bonne chose avec WordPress est qu'il a un certain nombre de rôles intégrés, que vous pouvez utiliser pour attribuer différents privilèges à différents utilisateurs, en fonction de leurs besoins. Nous avons beaucoup écrit à ce sujet sur la façon d'utiliser les rôles d'utilisateur WordPress pour améliorer la sécurité de WordPress.

Mettez à jour vos plugins et thèmes WordPress

Les mises à jour des plugins et des thèmes WordPress sont importantes non seulement pour bénéficier de nouvelles fonctionnalités et de corrections de bugs, mais également pour corriger les vulnérabilités de sécurité. Les plugins et les thèmes sont faciles à mettre à jour dans l'interface WordPress.

Certains plugins commerciaux auront probablement leurs propres mécanismes pour maintenir les plugins à jour, cependant, dans la plupart des cas, cela est transparent pour les utilisateurs. Néanmoins, assurez-vous simplement que, quel que soit le système de mise à jour utilisé, vous maintenez vos plugins et vos thèmes à jour.

N'utilisez pas de plugins et de thèmes WordPress "annulés"

WordPress utilise la GPL ¹ . Sans entrer dans les détails, la licence GPL permet à quiconque de distribuer librement des logiciels sous licence GPL. Cela inclut les thèmes et plugins WordPress commerciaux/premium sous licence GPL. En tant que tel, il peut ne pas être illégal de télécharger un thème ou un plug-in premium modifié, généralement appelé nulled , et de l'utiliser gratuitement.

Cependant, comme vous l'avez peut-être déjà deviné, en plus de ne pas prendre en charge le développeur du plugin, il est très peu probable que vous receviez des mises à jour pour les plugins annulés. De plus, vous n'avez aucun moyen de savoir si la source de ce plugin a été modifiée pour faire quelque chose de néfaste.

Gardez WordPress à jour

Tout comme vous devez garder vos plugins et vos thèmes à jour, vous devez également vous assurer de maintenir à jour la version de WordPress que vous utilisez. Heureusement, c'est maintenant beaucoup plus facile que par le passé, avec des mises à jour de sécurité critiques qui se produisent automatiquement. Bien sûr, sauf si vous désactivez explicitement cette fonctionnalité.

Outre les nouvelles fonctionnalités, les améliorations et les corrections de bogues, les mises à jour principales de WordPress contiennent également des correctifs de sécurité qui peuvent vous protéger contre les attaquants exploitant votre site Web WordPress et l'utilisant pour des gains mal acquis.

Hébergement WordPress

Où et comment vous choisissez d'héberger votre site WordPress dépendra fortement de vos besoins. Bien qu'il n'y ait rien de mal à héberger et à gérer WordPress vous-même, si vous n'êtes pas aussi averti techniquement ou si vous voulez vous assurer de respecter la plupart des bases de sécurité de WordPress sans faire beaucoup de travail lourd, vous pouvez opter pour un Fournisseur d'hébergement WordPress géré tel que Kinsta ou WP Engine.

Depuis que nous avons des sites Web hébergés chez les deux hébergeurs, nous avons écrit à leur sujet. Dans nos témoignages de clients, nous mettons en évidence notre expérience avec eux. Pour en savoir plus sur votre expérience, lisez notre témoignage client WP Engine et Kinsta. L'hébergement WordPress géré élimine de nombreuses décisions de sécurité et de configuration dont vous avez besoin pour vous inquiéter autrement.

Naturellement, l'hébergement WordPress géré peut également ne pas être pour vous. Vous pouvez choisir d'héberger WordPress vous-même, surtout si votre budget est limité. WordPress auto-hébergé vous donne également un meilleur contrôle sur votre installation WordPress. Pour en savoir plus sur toutes les différentes options d'hébergement WordPress et sur ce qui vous convient le mieux, consultez le guide pour choisir l'hébergement WordPress.

Tableau de bord WordPress

Le tableau de bord WordPress de votre site est un endroit où vous ne voulez pas que des personnes non autorisées se cachent. Bien que certains sites aient des raisons légitimes d'autoriser les utilisateurs publics à se connecter à l'aide du tableau de bord WordPress, il s'agit d' un risque de sécurité énorme qui doit être soigneusement pris en compte.

Heureusement, la plupart des sites Web WordPress n'ont pas cette exigence et, en tant que tels, devraient empêcher l'accès au tableau de bord WordPress. Il existe plusieurs façons de procéder et vous devez choisir celle qui vous convient le mieux.

Une pratique courante consiste à restreindre l'accès par un mot de passe protégeant les pages WordPress Admin (wp-admin). Une autre solution serait de n'autoriser l'accès à /wp-admin qu'à un certain nombre d'adresses IP sélectionnées.

Désactiver l'inscription

Par défaut, WordPress n'autorise pas les utilisateurs publics à s'inscrire sur votre site Web WordPress. Pour confirmer que l'enregistrement de l'utilisateur est désactivé :

1. rendez-vous sur la page Paramètres > Général dans votre zone de tableau de bord WordPress
2. accédez à la section Adhésion
3. assurez-vous que la case à côté de Tout le monde peut s'inscrire n'est pas cochée.

Crédits

Comme tout autre site Web, l'accès à votre tableau de bord WordPress est aussi fort que vos informations d'identification. L'application d'une sécurité de mot de passe WordPress forte est un contrôle de sécurité crucial de tout système, et WordPress ne fait pas exception.

Bien que WordPress n'ait aucun moyen de définir une politique de mot de passe prête à l'emploi, un plugin tel que WPassword est absolument essentiel pour appliquer les exigences de force de mot de passe à tous vos utilisateurs qui ont accès au tableau de bord WordPress.

Une fois que vous avez appliqué une sécurité par mot de passe fort sur votre site Web, utilisez WPScan pour tester les informations d'identification WordPress faibles, afin de vous assurer qu'aucun compte n'utilise encore de mots de passe faibles.

Authentification à deux facteurs (2FA)

Un autre contrôle de sécurité essentiel pour votre tableau de bord WordPress consiste à exiger une authentification à deux facteurs. L'authentification à deux facteurs (2FA) rend considérablement plus difficile pour un attaquant d'accéder à votre tableau de bord WordPress si un attaquant parvient à découvrir le mot de passe d'un utilisateur (par exemple, un attaquant peut découvrir le mot de passe d'un utilisateur suite à une violation de données).

Heureusement, il est très facile de configurer une authentification à deux facteurs sur WordPress. Il existe un certain nombre de plugins de haute qualité que vous pouvez utiliser pour ajouter cette fonctionnalité. Lisez les meilleurs plugins d'authentification à deux facteurs pour WordPress pour un aperçu des meilleurs plugins 2FA disponibles pour WordPress.

Durcissement du noyau WordPress

Même si le cœur de WordPress est un logiciel sécurisé, cela ne signifie pas que nous ne pouvons pas le renforcer davantage. Voici un certain nombre de stratégies de renforcement spécifiques au cœur de WordPress.

Assurez-vous que la journalisation de débogage est désactivée

WordPress permet aux développeurs de consigner les messages de débogage dans un fichier (ceci étant /wp-content/debug.log par défaut). Bien que cela soit parfaitement acceptable dans un environnement de développement, gardez à l'esprit que ce fichier peut également être facilement accessible par un attaquant si le même fichier et/ou les mêmes paramètres arrivent en production.

Le débogage de WordPress est désactivé par défaut. Bien qu'il soit toujours préférable de vérifier qu'il l'est - assurez-vous que la constante WP_DEBUG n'est pas définie dans votre fichier wp-config.php, ou définissez-la explicitement sur false. Reportez-vous au guide de débogage de WordPress pour obtenir une liste de toutes les options de débogage.

Si, pour une raison quelconque, vous avez besoin des journaux de débogage WordPress sur votre site Web, connectez-vous à un fichier en dehors de la racine de votre serveur Web (par exemple /var/log/wordpress/debug.log). Pour changer le pa

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

Désactiver XML-RPC

La spécification XML-RPC de WordPress a été conçue pour permettre la communication entre différents systèmes. Cela signifie que pratiquement n'importe quelle application peut interagir avec WordPress. La spécification WordPress XML-RPC a toujours été importante pour WordPress. Il lui permet d'interagir et de s'intégrer avec d'autres systèmes et logiciels.

La bonne chose est que XML-RPC a été remplacé par l'API WordPress REST. Pour mettre en évidence certains des problèmes de sécurité autour de XML-RPC ; son interface a été la source de nombreuses vulnérabilités de sécurité au fil des ans. Il peut également être utilisé par les attaquants pour l'énumération des noms d'utilisateur, le forçage brutal des mots de passe. ou des attaques par déni de service (DoS) via des pingbacks XML-RPC.

Par conséquent, à moins que vous n'utilisiez activement XML-RPC et que vous n'ayez mis en place des contrôles de sécurité appropriés, vous devez le désactiver. Comme il s'agit de quelque chose de facilement réalisable sans installer de plug-in tiers, nous expliquerons comment procéder ci-dessous.

Bien que vous puissiez simplement configurer votre serveur Web pour bloquer l'accès à /xmlrpc.php, une méthode préférée consiste à désactiver explicitement XML-RPC à l'aide d'un filtre WordPress intégré. Ajoutez simplement ce qui suit à un fichier de plugin et activez-le sur votre site.

add_filter('xmlrpc_enabled', '__return_false');

La tête haute

• C'est une bonne idée d'utiliser un WordPress doit utiliser le plugin pour cela et d'autres extraits de code similaires.

Restreindre l'API REST de WordPress

Dans la même veine que XML-RPC, l'API WordPress est le moyen moderne pour les applications tierces de communiquer avec WordPress. Bien qu'il soit sûr à utiliser, il est conseillé de restreindre certaines fonctions qu'il contient pour empêcher l'énumération des utilisateurs et d'autres vulnérabilités potentielles. Contrairement à XML-RPC, WordPress ne fournit pas un moyen simple et natif de désactiver entièrement l'API REST (il utilisait ² , mais cela est devenu obsolète, il est donc sage de ne plus le faire), mais vous pouvez le restreindre.

Comme c'est généralement le cas avec WordPress, vous pouvez soit utiliser un plugin pour y parvenir, soit ajouter le filtre suivant à un fichier de plugin et l'activer sur votre site. Le code suivant désactivera l'API REST WordPress pour toute personne non connectée en renvoyant un code d'état HTTP non autorisé (code d'état 401) à l'aide du crochet WordPress rest_authentication_errors.

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
return $result;
});

De plus, l'API WordPress REST active JSONP par défaut. JSONP est une ancienne technique permettant de contourner la même politique d'origine du navigateur avant que les navigateurs modernes ne prennent en charge CORS (Cross-origin Resource Sharing). Étant donné que cela pourrait potentiellement être utilisé comme étape dans une attaque par un attaquant, il n'y a aucune raison réelle pour que cela soit activé. Il est recommandé de le désactiver à l'aide du filtre WordPress rest_jsonp_enabled en utilisant l'extrait de code PHP suivant.

add_filter('rest_enabled', '__return_false');

Reportez-vous à la documentation du filtre pour plus d'informations à ce sujet.

Empêcher la divulgation de la version de WordPress

Comme de nombreuses autres applications Web, par défaut, WordPress divulgue sa version à plusieurs endroits. La divulgation de la version n'est pas exactement une vulnérabilité de sécurité, mais cette information est très utile pour un attaquant lors de la planification d'une attaque. Par conséquent, la désactivation des fonctionnalités de divulgation de version de WordPress peut rendre une attaque un peu plus difficile.

WordPress divulgue beaucoup d'informations sur la version. Heureusement, cet essentiel GitHub propose une liste complète de filtres WordPress à désactiver sous la forme d'un plugin WordPress. Bien sûr, vous pouvez incorporer ce code dans tous les plugins spécifiques au site ou indispensables que vous possédez déjà.

Empêcher l'énumération des utilisateurs WordPress

WordPress est vulnérable à un certain nombre d'attaques d'énumération d'utilisateurs. De telles attaques permettent à un attaquant de déterminer quels utilisateurs existent, qu'un utilisateur existe ou non. Bien que cela puisse sembler inoffensif, gardez à l'esprit que les attaquants peuvent utiliser ces informations dans le cadre d'une attaque plus importante. Pour plus d'informations sur ce sujet, lisez comment énumérer les utilisateurs de WordPress avec WPScan.

Afin d'empêcher l'énumération des utilisateurs WordPress, vous devez vous assurer que les fonctionnalités WordPress suivantes sont désactivées ou restreintes.

• Restreindre l'API WordPress REST aux utilisateurs non authentifiés
• Désactiver WordPress XML-RPC
• N'exposez pas /wp-admin et /wp-login.php directement à l'Internet public

De plus, vous devrez également configurer votre serveur Web pour empêcher l'accès à /?author=<numéro>. Si vous utilisez Nginx, vous pouvez utiliser la configuration suivante pour empêcher l'énumération des utilisateurs WordPress.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

Alternativement, si vous utilisez Apache HTTP Server, vous pouvez utiliser la configuration suivante pour empêcher l'énumération des utilisateurs WordPress.

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

Désactiver l'éditeur de fichiers WordPress

L'une des fonctionnalités les plus dangereuses de WordPress est la possibilité de modifier des fichiers à partir du tableau de bord WordPress lui-même. Il ne devrait y avoir aucune raison légitime pour laquelle un utilisateur devrait le faire, et certainement pas au cœur de WordPress. Si quoi que ce soit, vous voulez vous assurer que vous savez exactement quels fichiers ont été modifiés à l'aide d'un plug-in de sécurité de surveillance de l'intégrité des fichiers (FIM) de haute qualité.

Pour être alerté des changements de fichiers, utilisez le plugin Website File Changes Monitor, que nous développons.

Toute modification de fichier sur votre site Web doit se produire soit via une connexion sécurisée (par exemple SFTP), soit, de préférence, suivie dans un référentiel de contrôle de version et déployée à l'aide de CI/CD.

Pour désactiver l'éditeur de fichiers de plugins et de thèmes dans le tableau de bord WordPress, ajoutez simplement ce qui suit à votre fichier wp-config.php.

define('DISALLOW_FILE_EDIT', true );

Désactiver la gestion des thèmes et des plugins

Une bonne pratique de sécurité WordPress consiste à désactiver la gestion des plugins et des thèmes à partir du tableau de bord WordPress. Utilisez plutôt des outils de ligne de commande tels que wp-cli pour effectuer ces modifications.

En désactivant les changements de thème et de plugin, vous réduisez considérablement la surface d'attaque de votre site WordPress. Dans ce cas, même si un attaquant parvenait à violer un compte administrateur, il ne serait pas en mesure de télécharger un plugin malveillant pour intensifier l'attaque au-delà de l'accès au tableau de bord WordPress.

La constante DISALLOW_FILE_MODS définie dans wp-config.php désactive les mises à jour et l'installation des plugins et des thèmes via le tableau de bord. Il désactive également toutes les modifications de fichiers dans le tableau de bord, supprimant ainsi l'éditeur de thèmes et l'éditeur de plugins.

Pour désactiver les modifications de thème et de plug-in dans le tableau de bord WordPress, ajoutez ce qui suit à votre fichier wp-config.php.

define('DISALLOW_FILE_MODS', true );

WordPress HTTPS (SSL/TLS)

Transport Layer Security (TLS) est un élément essentiel absolu pour votre sécurité WordPress, il est gratuit et facile à configurer. Remarque : TLS est le protocole qui a remplacé Secure Socket Layer, SSL. Cependant, comme le terme SSL est très populaire, beaucoup se réfèrent encore à TLS en tant que SSL.

Lorsque vous visitez votre site Web via HTTPS (HTTP sur TLS), les requêtes et réponses HTTP ne peuvent pas être interceptées et espionnées, ou pire modifiées par un attaquant.

Bien que TLS ait plus à voir avec votre serveur Web ou votre réseau de diffusion de contenu (CDN) qu'avec votre installation WordPress, l'un des aspects les plus importants de TLS (WordPress HTTPS) est son application. Il existe une mine d'informations en ligne sur la configuration de WordPress HTTPS (SSL et TLS).

Si vous n'êtes pas à l'aise pour éditer les fichiers de configuration et préférez passer à WordPress HTTPS à l'aide d'un plugin, vous pouvez utiliser Really Simple SSL ou WP force SSL. Ce sont à la fois de très bons plugins et faciles à utiliser.

Prochaines étapes pour un WordPress encore plus sécurisé

Si vous êtes arrivé jusqu'ici, tant mieux, mais cela ne veut pas dire qu'il n'y a pas encore de durcissement à faire. Voici un certain nombre d'éléments que vous pouvez examiner pour renforcer encore plus votre site Web WordPress.

1. Renforcez PHP. Étant donné que PHP est un composant essentiel de tout site Web WordPress, le renforcement de PHP est l'une des prochaines étapes logiques. Nous avons beaucoup écrit à ce sujet dans Meilleure configuration de sécurité PHP pour les sites Web WordPress.
2. Utilisez des plugins de sécurité réputés. Les plugins de sécurité de qualité offrent des fonctionnalités de sécurité avancées non incluses nativement dans WordPress. Il existe une grande quantité de plugins de sécurité WordPress. Cependant, assurez-vous de choisir des plugins avec une bonne réputation et idéalement ceux pour lesquels un support premium ou commercial est disponible, comme nos plugins de sécurité de haute qualité pour WordPress.
3. Effectuez un audit des autorisations de fichiers. Pour les sites Web WordPress fonctionnant sous Linux, des autorisations de fichiers incorrectes peuvent permettre à des utilisateurs non autorisés d'accéder à des fichiers potentiellement sensibles. Pour plus d'informations à ce sujet, reportez-vous à notre guide de configuration des autorisations de sites Web et de serveurs Web WordPress sécurisés.
4. Effectuez un audit du fichier de sauvegarde. Les fichiers de sauvegarde laissés accidentellement accessibles peuvent laisser fuir des informations sensibles. Cela inclut la configuration contenant des secrets qui peuvent permettre aux attaquants de prendre le contrôle de l'ensemble de l'installation de WordPress.
5. Renforcez votre serveur Web
6. Renforcer MySQL
7. Ajoutez les en-têtes de sécurité HTTP nécessaires
8. Assurez-vous d'avoir un système de sauvegarde WordPress fonctionnel.
9. Utiliser un service de protection DDoS
10. Mettre en œuvre une politique de sécurité du contenu
11. Gérez les sauvegardes exposées et les fichiers non référencés.

Conclusion - ce n'est que la première étape du parcours de sécurité de WordPress

Toutes nos félicitations! Si vous avez suivi tous les conseils ci-dessus et mis en œuvre toutes les meilleures pratiques de sécurité recommandées, votre site Web WordPress est sécurisé. Cependant, la sécurité de WordPress n'est pas une solution ponctuelle - c'est un processus en constante évolution. Il y a une grande différence entre renforcer un site Web WordPress (état unique) et le garder sécurisé pendant des années.

Le durcissement n'est qu'une des quatre étapes du processus de sécurité de WordPress (WordPress security wheel). Pour un site Web WordPress sécurisé toute l'année, vous devez suivre le processus itératif de sécurité WordPress consistant à tester > renforcer > surveiller > améliorer. Vous devez tester et vérifier en permanence l'état de sécurité de votre site Web WordPress, renforcer le logiciel, surveiller le système et améliorer votre configuration en fonction de ce que vous voyez et apprenez. Par example:

• un outil tel que WPScan peut vous aider à tester la posture de sécurité de votre site WordPress
• un pare-feu WordPress peut protéger votre site Web WordPress contre les attaques de piratage malveillantes connues
• un journal d'activité WordPress peut vous aider à aller loin - en gardant une trace de tous les changements qui se produisent sur votre site Web, vous pouvez améliorer la responsabilité des utilisateurs, savoir ce que fait chaque utilisateur et également garder un œil sur toutes les activités sous le capot
• des outils tels que nos plugins de sécurité et de gestion WordPress peuvent vous aider à assurer la sécurité des mots de passe, à renforcer le processus de sécurité WordPress, à être alerté des modifications de fichiers et bien plus encore

Vous disposez de tous les bons outils pour assurer la sécurité de votre site. Même si vous exploitez un petit site Web WordPress, prenez le temps de parcourir progressivement ce guide. Assurez-vous que vous ne finissez pas par mettre du travail dans la construction d'un excellent site Web, seulement pour le faire saccager par une attaque ciblée par WordPress.

Il n'existe pas de sécurité efficace à 100 %. Cependant, vous rendez considérablement plus difficile pour un attaquant de prendre pied et d'attaquer avec succès votre site Web WordPress en appliquant les différentes techniques de renforcement décrites dans ce guide. N'oubliez pas que lorsque les attaquants ciblent leur prochaine victime, vous n'avez pas à les déjouer. Vous n'avez qu'à être plus sécurisé que le prochain site Web vulnérable !