Sécurité WordPress - Guide complet étape par étape (2020) - MalCare
Publié: 2023-04-21Il y a une bonne raison de s'inquiéter de la sécurité de votre site Web. Les rapports nous indiquent que plus de 90 000 tentatives de piratage sont effectuées sur le site Web WordPress à chaque minute de la journée.
De nombreux propriétaires de sites Web peuvent penser que leur site Web est trop petit pour attirer l'attention d'un pirate informatique. La vérité est que, puisque les petits sites Web prennent la sécurité avec indulgence, les pirates trouvent qu'il est d'autant plus facile de pirater de petits sites Web.
Grand ou petit – chaque site Web WordPress doit prendre des mesures de sécurité.
Heureusement, vous pouvez faire de nombreuses choses pour protéger votre site Web contre les pirates et les robots. Dans cet article, nous vous montrerons exactement les étapes à suivre pour vous assurer que votre site Web est sécurisé.
[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Réflexions finales”]
Importance de la sécurité du site Web
WordPress est la plateforme de création de sites Web la plus populaire au monde. À l'heure actuelle, il existe 75 millions de sites Web WordPress sur Internet et des centaines de nouveaux sont créés chaque jour. Ce genre de popularité a un prix.
Plus les gens l'utilisent, plus il devient une cible attrayante pour les pirates. Windows est une cible plus importante que le système d'exploitation d'Apple. Chrome est une plus grande cible d'exploit que Firefox. La popularité attire plus l'attention, à la fois bonne et mauvaise.
Nous avons mentionné précédemment comment les petits propriétaires de sites Web considèrent leurs sites Web comme immunisés et ne prennent pas les précautions nécessaires, ce qui en fait une cible idéale.
Lorsque votre site Web est piraté, les pirates utilisent des sites Web pour exécuter des activités malveillantes. Ils pourraient lancer des attaques plus importantes sur d'autres sites, envoyer des spams, stocker des logiciels piratés, injecter des liens de spam, vendre des produits illégaux, créer des liens d'affiliation avec le spam SEO japonais et entre autres choses.
Et c'est la fin du problème. Les choses peuvent rapidement faire boule de neige et les moteurs de recherche fourniront des avertissements de site trompeurs aux utilisateurs et peuvent mettre votre site sur liste noire. Les rapports nous indiquent que Google met sur liste noire 50 000 sites Web pour les activités de phishing et environ 20 000 sites Web pour contenir des logiciels malveillants chaque semaine !
En dehors de cela, les hébergeurs peuvent également suspendre votre compte. Cela signifie que votre site Web sera indisponible pendant des jours, ce qui aura un impact sur votre collecte de revenus. Si vous attendez trop longtemps pour réparer votre site, cela causera des dommages irréparables à votre entreprise.
Nous pouvons tous convenir qu'il vaut mieux prendre des mesures de sécurité que réparer un site Web WordPress piraté.
Nous allons vous montrer comment vous pouvez sécuriser votre site, mais avant cela, nous voulons répondre à une question à laquelle se posent beaucoup de nos lecteurs.
[Retour en haut ↑]
Mais WordPress n'est-il pas sécurisé ?
Le noyau WordPress est sécurisé. WordPress a une armée des meilleurs développeurs travaillant sans relâche pour assurer la sécurité du noyau WordPress. Ils améliorent constamment la technologie et publient des correctifs et des mises à jour pour corriger tout problème ou erreur.
Il n'y a pas eu de vulnérabilité majeure dans le noyau de WordPress depuis longtemps.
Malgré cela, plus de 90 000 tentatives de piratage sont effectuées sur les sites Web WordPress à chaque minute de la journée. Et il y a deux raisons principales derrière cela.
Tout d'abord, WordPress est une plate-forme extrêmement populaire. Quelque 75 millions de sites Web sur Internet sont construits sur WordPress, ce qui attire l'attention de groupes de piratage du monde entier.
Une autre raison est la présence de thèmes et de plugins vulnérables et obsolètes. En fait, les rapports suggèrent que les thèmes et plugins obsolètes sont l'une des principales causes de plus de compromis WordPress.
(Psst - vous pouvez en savoir plus à ce sujet dans notre article sur les mises à jour de sécurité de WordPress .)
Ainsi, bien que votre WordPress soit une plate-forme sûre, d'autres facteurs peuvent conduire à un site Web compromis. Par conséquent, la prise des mesures de sécurité suivantes peut grandement contribuer à la sauvegarde de vos sites Web WordPress.
[Retour en haut ↑]
[ss_click_to_tweet tweet=”???? Si vous êtes sérieux au sujet de votre site Web, faites attention aux meilleures pratiques de sécurité de WordPress. ????" contenu = "" style = "par défaut"]
Comment sécuriser un site WordPress ?
Il existe 15 mesures de sécurité différentes que vous pouvez prendre pour protéger votre site WordPress. Ce sont:
- Installer un plugin de sécurité WordPress
- Effectuez des sauvegardes régulières
- Utilisez une bonne société d'hébergement
- Gardez WordPress à jour
- Utiliser un certificat SSL
- Protégez votre page de connexion WordPress
- Configurer un pare-feu
- Renforcez votre site Web
- Utiliser les principes les moins privilégiés
- Blocage des adresses IP suspectes
- Mettre en œuvre le blocage de pays
- Masquer la version WordPress
- Vérifier le journal d'activité
- Utilisez uniquement l'adresse e-mail pour vous connecter
- Utiliser l'authentification HTTP
Examinons plus en détail ces mesures.
1. Installez un plugin de sécurité WordPress
Les principales fonctions d'un plug-in ou d'un service de sécurité sont d'analyser, de nettoyer et de protéger. Bien qu'il existe de nombreux plugins de sécurité WordPress parmi lesquels choisir, tous les plugins ne sont pas efficaces. Certains peuvent offrir de nombreuses fonctionnalités, mais cela crée beaucoup de bruit. Un pirate chevronné peut contourner ces plugins de sécurité pour pirater votre site Web.
MalCare est l'un des meilleurs plugins d'analyse de sécurité WordPress. Voici pourquoi -
je. Scanner de logiciels malveillants de MalCare
Un scanner de logiciels malveillants WordPress nécessite des ressources pour exécuter une analyse. De nombreux scanners dépendent des ressources de votre serveur Web, mais cela peut ralentir la vitesse de votre site Web.
Pour surmonter ce défi, MalCare utilise ses propres ressources de serveur pour exécuter une analyse de votre site Web. Il transfère les fichiers de votre site Web sur son propre serveur, puis y exécute l'analyse. Cette méthode garantit que votre site reste inchangé pendant le processus de numérisation.
De nombreux scanners ne recherchent que les logiciels malveillants existants, ce qui signifie qu'ils passent à côté de nouveaux types de logiciels malveillants. MalCare est conçu pour identifier tous les types de logiciels malveillants, y compris les nouveaux .
ii. Suppression des logiciels malveillants de MalCare
MalCare offre le service de suppression de logiciels malveillants le plus rapide. La plupart des services de sécurité WordPress proposent un nettoyage basé sur des tickets. Dans ce cas, si votre site Web est piraté, vous devrez créer un ticket, payer les frais de suppression des logiciels malveillants, puis attendre que le personnel de sécurité nettoie votre site et revienne vers vous. Ce processus prend du temps et implique de donner accès à votre site à un tiers.
Le nettoyeur de MalCare fonctionne différemment. Suite à un piratage, le temps presse. Plus cela prend de temps, plus il y a de chances que Google mette votre site Web sur liste noire ou que les hébergeurs Web suspendent votre site. C'est pourquoi MalCare propose une suppression instantanée des logiciels malveillants WordPress pour nettoyer un site Web pirate. Tout ce que vous avez à faire est de cliquer sur un bouton , de vous asseoir et de laisser le plugin nettoyer votre site en quelques minutes.
iii. Mesures de protection WordPress de MalCare
Toutes les mesures que nous avons mentionnées jusqu'à présent - de l'utilisation du pare-feu au blocage de pays en passant par le renforcement de votre site Web sont des mesures de protection que MalCare vous permet de prendre d'un simple clic sur le bouton.
Comment utiliser MalCare ?
- Pour utiliser MalCare, vous devez d'abord télécharger et installer le plug-in sur votre site Web.
- Ajoutez ensuite votre site au tableau de bord MalCare. Le plugin commencera immédiatement à analyser votre site Web. S'il trouve des fichiers malveillants sur votre site Web, il vous en informera.
- Vous pouvez nettoyer votre site immédiatement à l'aide du bouton Auto-Clean de MalCare.
[Retour en haut ↑]
2. Effectuez des sauvegardes régulières
Les sauvegardes sont votre filet de sécurité. Si quelque chose ne va pas avec votre site Web, vous pouvez le restaurer à la normale si vous avez une copie de votre site Web.
Il existe de nombreux plugins de sauvegarde. Avec le nombre impressionnant de choix disponibles, il peut être très facile de se retrouver avec un service qui n'est pas à la hauteur. Pour sélectionner le bon service de sauvegarde, vous devez savoir comment choisir un plugin de sauvegarde.
De plus, l'examen des plugins de sauvegarde sera une affaire longue et coûteuse. Heureusement, nous avons fait une comparaison entre les principaux plugins de sauvegarde WordPress du marché. Jetez un œil aux meilleurs plugins de sauvegarde WordPress.
[Retour en haut ↑]
3. Utilisez une bonne société d'hébergement
Les deux fournisseurs d'hébergement les plus populaires sont l'hébergement partagé et l'hébergement géré.
L'hébergement partagé est populaire car il est moins cher. Il a permis à des millions de personnes à travers le monde de créer leur propre site Web sans gros investissement. Mais dans l'hébergement partagé, vous partagez un serveur avec d'autres sites Web inconnus. Et souvent, lorsqu'un site Web est compromis, d'autres sites Web sur le même serveur sont affectés. Par conséquent, bien que populaires, les fournisseurs d'hébergement mutualisé sont mal équipés pour gérer les situations menaçantes.
Si vous pouvez vous permettre un serveur dédié, choisissez-le toujours. Il fait un meilleur travail pour sécuriser un site Web WordPress. Vous pouvez vérifier comment l'hébergement Web affecte la sécurité du site Web.
Comme il existe de nombreux fournisseurs d'hébergement parmi lesquels choisir, nous avons fait une comparaison des meilleurs hébergements WordPress. J'espère que cela vous aidera à prendre une décision sur le fournisseur d'hébergement Web à opter.
[Retour en haut ↑]
4. Gardez le site Web WordPress à jour
Comme tout autre logiciel, les plugins, les thèmes et même le noyau WordPress développent des vulnérabilités au fil du temps.
Lorsque les développeurs découvrent les vulnérabilités, ils publient un correctif sous la forme d'une mise à jour. Lorsque les propriétaires de sites Web ne mettent pas à jour leur site, les vulnérabilités demeurent.
Après avoir publié un correctif, les développeurs annoncent les raisons de la mise à jour, ce qui signifie que la vulnérabilité est annoncée publiquement. Les pirates sont maintenant conscients de la faille de sécurité et de la version dans laquelle elle existe. Ils sont conscients que tous les propriétaires de sites Web ne mettront pas à jour leur site immédiatement, ils commencent donc à rechercher des sites Web qui fonctionnent sur la version vulnérable. Cet intervalle de temps leur donne de bonnes chances de réussir à pirater un grand nombre de sites.
Par exemple, les statistiques montrent que plus de 80 % des sites Web ont été piratés parce qu'ils n'étaient pas mis à jour !
Vous devez mettre à jour votre site WordPress régulièrement. Apprenez à mettre à jour votre site Web WordPress en toute sécurité.
Vous remarquerez peut-être qu'il existe des plugins et des thèmes qui ne sont pas mis à jour par leurs développeurs depuis longtemps. Dans la plupart des cas, le logiciel est abandonné par les développeurs. Il est préférable de supprimer le plugin ou le thème de votre site Web et d'installer un autre.
[Retour en haut ↑]
5. Utilisez un certificat SSL
Jetez rapidement un œil à l'URL de ce site Web.
Remarquez la serrure ? Ce verrou signifie que le site utilise un certificat SSL. SSL est une couche de socket sécurisée qui crypte les données lors de leur transfert entre le navigateur et le site Web.
Pourquoi? Parce que les données (telles que les détails de la carte de crédit) transférées du navigateur d'un visiteur vers votre site Web peuvent être interceptées et volées. Ainsi, même si les données sont volées, si elles sont cryptées, les pirates ne peuvent pas les utiliser.
Voici un guide qui vous aidera à installer un certificat SSL sur votre site Web et à déplacer le site WordPress de HTTP à HTTPS.
[Retour en haut ↑]
6. Protégez votre page de connexion WordPress
La page de connexion est l'une des parties les plus souvent attaquées d'un site WordPress. Les pirates essaient de deviner les informations d'identification de connexion et accèdent à la zone d'administration de WordPress, ce qui leur donnera un contrôle total sur le site Web. Par conséquent, il est important de mettre en place la bonne protection sur votre page de connexion WordPress. Examinons les différentes techniques qui vous permettront de protéger votre page de connexion et d'augmenter la sécurité de connexion WordPress.
je. Utiliser un nom d'utilisateur unique
Si votre nom d'utilisateur est facile à deviner, le pirate n'a qu'à trouver le mot de passe. Avec une chose de moins à craindre, cela rend le travail d'un pirate beaucoup plus facile.
L'un des noms d'utilisateur WordPress les plus courants est « admin ». Jusqu'à il y a quelques années, WordPress encourageait les gens à utiliser « admin » comme nom d'utilisateur. Bien que WordPress ne suggère plus automatiquement « admin », il est toujours largement utilisé. Par conséquent, vous devez prendre des mesures pour vous assurer que vos administrateurs évitent d'utiliser "admin" comme nom d'utilisateur avec ces noms d'utilisateur couramment utilisés.
Consulter cette liste à chaque fois qu'un nouveau compte utilisateur est créé peut contribuer grandement à la sécurité de votre WordPress. De plus, si l'un de vos utilisateurs existants utilise des noms d'utilisateur communs, dites-leur de le changer. Voici un guide qu'ils trouveront utile sur Comment changer le nom d'utilisateur WordPress ?
ii. Modifier votre nom d'affichage
Pour infiltrer votre site, les pirates parcourent votre site Web et récupèrent les noms d'affichage. Ils utilisent différentes combinaisons de ces noms pour essayer de se connecter. Les pirates savent qu'il n'est pas rare d'avoir le même nom d'utilisateur et le même nom d'affichage. Par exemple, si Sophia Lawrence est un nom d'affichage, ils peuvent essayer de se connecter en utilisant sophialawrence ou sophia.lawrence ou sophia comme nom d'utilisateur.
Ainsi, pour protéger votre site contre cela, vous pouvez modifier votre nom d'affichage.
Allez dans "Modifier mon profil" . Et puis changez votre 'Pseudonyme' . Enregistrez la mise à jour. Maintenant, sélectionnez "Afficher le nom publiquement en tant que" . Un menu déroulant apparaît dans lequel vous verrez le nouveau nom d'affichage. Sélectionnez-le et enregistrez le paramètre.
Les pirates échoueront inévitablement s'ils essaient d'utiliser le nom d'affichage.
[Retour en haut ↑]
iii. Empêcher la découverte du nom d'utilisateur
Outre le nom d'affichage, une autre méthode pouvant être utilisée pour découvrir le nom d'utilisateur de votre site Web consiste à utiliser l'API WordPress Rest. Il s'agit d'un grave problème de sécurité WordPress. Introduite en 2016, cette fonctionnalité principale de WordPress permet à quiconque de découvrir les informations des utilisateurs sur votre site. Tout ce qu'ils ont à faire est d'exécuter une URL simple : example.com/wp-json/wp/v2/users
Pour éviter que cela ne se produise, utilisez l'extrait de code suivant dans le fichier functions.php. Cela masquera la liste des utilisateurs et vous donnera une erreur 500 si vous essayez à nouveau d'exécuter l'URL.
[php]
add_filter( 'rest_endpoints', function( $endpoints ){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {
unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );
}
retourne $endpoints ;
});
[/php]
Le nom d'utilisateur est l'un des deux composants d'un identifiant de connexion. Examinons le deuxième composant - le mot de passe, et essayons de comprendre comment le protéger des pirates.
[Retour en haut ↑]
iv. Appliquer des mots de passe forts
N'importe quel mot de passe protégera mon site Web, n'est-ce pas suffisant ? La réponse est non car les pirates essaient constamment de deviner les mots de passe des sites WordPress afin de s'introduire par effraction.
Ils utilisent une technique appelée attaques par force brute dans laquelle ils programment des robots pour effectuer des millions de tentatives de connexion en essayant de deviner vos informations d'identification en moins de quelques minutes.
Si vous utilisez un mot de passe simple comme Passw0rd123$ , le bot le déchiffrera en quelques suppositions. C'est pourquoi il est important d'avoir un mot de passe unique et complexe.
WordPress encourage les utilisateurs à générer automatiquement des mots de passe forts, mais vous pouvez toujours créer un compte en utilisant un mot de passe faible. Par conséquent, la responsabilité d'utiliser des mots de passe forts vous incombe.
Vous pouvez apprendre à vos administrateurs WordPress à utiliser des mots de passe forts. Les directives pour définir un mot de passe fort sont les suivantes :
– Créer des mots de passe longs
En général, les mots de passe qui dépassent 8 à 10 caractères sont considérés comme forts et généralement difficiles à déchiffrer. Chaque caractère que vous ajoutez à votre mot de passe le rend plus fort. Cependant, au cours des dernières années, la technologie de craquage de mots de passe a considérablement progressé. Par conséquent, de nombreux membres du personnel de sécurité de WordPress recommandent d'utiliser des phrases secrètes de 15 caractères.
- Mot de passe long : pd&&)xG56ZhLNrjl4jjNJ4#h (difficile à retenir)
- Longue phrase de passe : son loup était blanc car vous ne savez rien John Snow (facile à retenir)
- Utilisez une combinaison de majuscules, minuscules et caractères spéciaux
Dans les attaques par force brute, les bots sont programmés pour exécuter des procédures de craquage de mot de passe. Ils suivent certaines instructions, par exemple, ils essaieront de deviner le bon mot de passe en trouvant une combinaison de différentes lettres minuscules ('a', 'b', 'c', etc.). L'utilisation d'un mot de passe simple comme "testpass" signifie qu'ils peuvent déchiffrer le mot de passe après seulement quelques tentatives.
Par conséquent, si vous utilisez une combinaison de caractères minuscules et majuscules, il leur faudra beaucoup de temps pour comprendre le mot de passe. Cependant, un bot vraiment bien programmé peut essayer quelques millions de mots de passe chaque seconde. Donc, mélanger des caractères spéciaux, des chiffres, des lettres minuscules et majuscules devrait idéalement rendre le mot de passe imprévisible et difficile à déchiffrer.
- Ajouter des majuscules – TestPass
- Ajouter un chiffre et un symbole – TestPass123$
- Évitez d'utiliser des mots courants et des détails connus du public
Des mots courants tels que "test", "admin", "connexion" sont des mots courants que les utilisateurs de WordPress ont tendance à utiliser. Ce sont quelques-uns des mots de passe que les bots essaient en premier, évitez donc de les utiliser. Selon une infographie de Splashdata, les 25 mots de passe les plus couramment utilisés sont :
- Sports et intérêts communs comme "baseball", "football", et "Star Wars", "Princesse", "Solo", etc.
- Numéros dans l'ordre comme '87654321', '0123456', etc.
- Lettres dans l'ordre comme 'abc123', etc.
Les pirates ciblant votre site Web peuvent récupérer des informations sur votre site et les essayer. Par exemple, si vous avez un site Web construit autour de votre émission de télévision préférée Game of Thrones, les bots essaieront diverses combinaisons de l'expression pour pénétrer dans vos sites, telles que « GoThrones123 » ou « gameofthrones123 ». Pour éviter que cela ne se produise, concevez un mot de passe qui ne mentionne aucun élément lié au site Web.
La sécurisation des mots de passe minimise les risques d'atteinte à la sécurité. Mais les mots de passe forts sont difficiles à retenir à moins que vous n'ayez quelques tours dans votre sac.
[Retour en haut ↑]
v. Protection basée sur CAPTCHA
Outre l'utilisation de noms d'utilisateur uniques et de mots de passe forts, l'utilisation de CAPTCHA est un autre moyen idéal pour empêcher les attaques par force brute sur votre site Web WordPress.
Après un certain nombre de tentatives de connexion infructueuses, un CAPTCHA est généré pour déterminer si l'utilisateur est un humain ou un bot. Les CAPTCHA sont conçus pour être illisibles par les bots. Par conséquent, il contrecarre les attaques par force brute car les bots ne peuvent pas accéder à la page de connexion tant qu'ils n'ont pas résolu le CAPTCHA.
Les plugins de sécurité WordPress comme MalCare génèrent des CAPTCHA basés sur des images qui ne peuvent être résolus que par un véritable utilisateur humain.
Conçus pour empêcher les robots pirates de déchiffrer vos informations d'identification, les CAPTCHA sont parfaits.
[Retour en haut ↑]
vi. Mettre en œuvre l'authentification à deux facteurs
Avez-vous remarqué à quel point des services populaires tels que Facebook et Gmail authentifient les utilisateurs lorsqu'ils tentent de se connecter ? Un code est envoyé au smartphone associé à votre compte qui permet de valider l'utilisateur. C'est ce qu'on appelle l'authentification à deux facteurs.
WordPress n'offre pas d'authentification à deux facteurs. Par conséquent, pour l'implémenter sur votre site WordPress, vous pouvez suivre ce guide sur Comment ajouter une authentification à deux facteurs WordPress.
[Retour en haut ↑]
[ss_click_to_tweet tweet= »Des centaines de sites Web sont piratés chaque jour. Prenez des mesures de précaution dès aujourd'hui et protégez votre site Web contre les pirates et les robots. ” contenu=”” style=”par défaut”]
7. Configurer un pare-feu
Parmi les centaines de visites que vous recevez sur votre site Web, certaines sont malveillantes. Ces visiteurs viennent sur votre site avec l'intention de trouver des vulnérabilités qu'ils peuvent exploiter pour prendre le contrôle de votre site.
Un pare-feu WordPress vérifie chaque demande de visiteur faite sur votre site Web. Quel que soit l'appareil utilisé par le visiteur - ordinateur de bureau, smartphones, tablettes, ordinateurs portables - chaque appareil est associé à une adresse IP. Si la demande provient d'une adresse IP suspecte, le visiteur est bloqué, sinon, il sera autorisé à accéder au site. Un bon pare-feu est votre première ligne de défense contre le trafic malveillant.
Un plugin de pare-feu WordPress comme celui proposé par MalCare est livré avec un pare-feu avancé qui offre une meilleure sécurité. Il ne se contente pas de vérifier les demandes de trafic effectuées sur votre site, il enregistre également le mauvais trafic. Cela signifie que lorsqu'il rencontre une nouvelle mauvaise adresse IP, il en garde une trace. Si la mauvaise adresse IP tente à nouveau d'accéder à votre site Web, elle est rapidement bloquée.
[Retour en haut ↑]
8. Renforcez votre site Web
Nous avons identifié certaines zones communes d'un site Web WordPress dont les pirates profitent. Par exemple, il peut s'agir d'utiliser vos clés de sécurité pour accéder à votre site Web ou d'installer des plugins ou des thèmes malveillants sur votre site Web. Pour protéger votre site Web contre les pirates, vous devez prendre des mesures pour fortifier votre site Web.
Nous avons un guide qui vous aidera à prendre des mesures de renforcement WordPress.
[Retour en haut ↑]
9. Utiliser les principes du moindre privilège
WordPress propose 6 rôles d'utilisateur WordPress par défaut : administrateur, éditeur, auteur, contributeur, abonné et superadministrateur. L'attribution de ces rôles doit être faite avec soin. Chaque rôle vient avec son propre ensemble de pouvoirs et de responsabilités. Jetons un coup d'œil à eux :
L'administrateur est au sommet de la hiérarchie. Il a le contrôle total du site Web et peut exécuter les fonctions suivantes :
- Créer, modifier et supprimer du contenu
- Modifier les plugins et le code des thèmes
- Gérer tous les plugins et thèmes
- Créer, modifier et supprimer des comptes d'utilisateurs
Les droits diminuent au fur et à mesure que vous descendez dans la hiérarchie. L'éditeur ne peut pas apporter de modifications majeures, mais il peut gérer les catégories et les liens, modérer les commentaires, créer, modifier et supprimer un article et des pages. L'auteur, le contributeur et l'abonné ont moins d'autorisations.
La responsabilité la plus élevée est celle d'un administrateur, dont les droits doivent être accordés aux personnes dont vous êtes sûr qu'elles n'abuseront pas du pouvoir.
Si le mauvais type de personnes obtient un accès administrateur, elles pourraient profiter de ce rôle. Ils peuvent installer des plugins et des thèmes malveillants, voler vos données et les vendre à un prix, stocker des fichiers et des dossiers illégaux, entre autres.
[Retour en haut ↑]
10. Blocage des adresses IP suspectes
Si vous avez installé un plugin de sécurité WordPress comme MalCare sur votre site Web, parcourez le journal des adresses IP qui ont tenté de se connecter sans succès.
Remarquez comment certains d'entre eux pourraient utiliser des noms d'utilisateur communs (nous en avons parlé dans la section "Utiliser un nom d'utilisateur unique") comme "adm2016". Cette image ci-dessous est un enregistrement des tentatives de connexion infructueuses effectuées sur l'un de nos sites Web.
Pour bloquer ces adresses IP malveillantes, placez le code dans votre fichier .htaccess :
[php]
commande autoriser, refuser
refuser du 61.134.52.164
permettre de tous
[/php]
Remplacez "61.134.52.164" par l'adresse IP que vous souhaitez interdire et enregistrez le fichier.
[Retour en haut ↑]
11. Mettre en œuvre le blocage de pays
Le World Wide Web permet aux pirates d'accéder à des sites Web partout dans le monde. Ils pourraient être situés en Russie et cibler un site Web de New York.
Les statistiques montrent que les cinq principaux pays d'où proviennent les tentatives de piratage sont la Chine, les États-Unis, la Turquie, le Brésil et la Russie.
Si vous avez installé MalCare, il est facile de vérifier les utilisateurs qui tentent de se connecter à votre site Web. Vous pouvez voir leur pays d'origine.
Si vous avez des utilisateurs situés uniquement aux États-Unis, les tentatives de connexion effectuées depuis d'autres pays sont très probablement malveillantes.
Dans l'image ci-dessus, nous pouvons voir que des tentatives de connexion ont été effectuées à partir de quatre pays différents : les États-Unis, le Royaume-Uni, la Russie et la Chine.
Maintenant, si vous ne ciblez que des pays spécifiques comme les États-Unis, vous n'avez pas besoin de trafic provenant d'autres pays, vous pouvez donc bloquer le Royaume-Uni, la Russie et la Chine.
Pour savoir comment mettre en œuvre le blocage de pays, aidez-vous de ce guide sur Comment bloquer un pays dans WordPress ?
[Retour en haut ↑]
12. Masquer la version de WordPress
Une autre façon pour un pirate de savoir si vous avez des fichiers avec des vulnérabilités WordPress connues est de rechercher la version de WordPress que vous utilisez. Parfois, les propriétaires de sites Web manquent de nouvelles mises à jour WordPress qui rendent leur site vulnérable.
Les pirates peuvent exploiter toute vulnérabilité qui aurait pu exister dans la version précédente de l'installation principale de WordPress. Par conséquent, il peut être utile de masquer la version de WordPress que vous utilisez.
Pour ce faire, vous devez placer un code dans le fichier function.php.
Étape 1 : Connectez-vous à votre compte hôte. Accédez à cPanel > Gestionnaire de fichiers > public_html.
Étape 2 : Dans le dossier public_html, accédez à wp-content et sélectionnez le dossier de votre thème actif.
Par exemple, si vous utilisez le thème WordPress par défaut Twenty-Nineteen, sélectionnez le dossier nommé « Twenty Nineteen ».
Notez que "personalblogily" est le thème que nous utilisons actuellement sur nos sites Web, vous pourriez utiliser un thème différent.
Étape 3 : Faites un clic droit sur le fichier function.php et sélectionnez Modifier. Ici, placez le code suivant.
[php]
fonction wpbeginner_remove_version() {
retour ";
}
add_filter('the_generator', 'wpbeginner_remove_version');
[/php]
Enregistrez le fichier, et cela supprimera le numéro de version de WordPress d'être affiché n'importe où sur votre site.
[Retour en haut ↑]
13. Vérifier le journal d'activité
Garder un œil vigilant sur tout ce qui se passe sur votre site WordPress vous permet d'identifier les comportements suspects à un stade précoce. Cela vous aidera à contrecarrer toute éventuelle attaque de piratage malveillant avant qu'elle ne se produise et n'endommage votre site Web WordPress.
Vous pouvez le faire en installant un plugin pour garder une trace de tout ce qui se passe sur votre site Web WordPress dans un journal d'activité WordPress. Vous pouvez choisir parmi plusieurs plugins différents. WP Security Audit Log est l'un de ces plugins.
14. Utilisez uniquement l'adresse e-mail pour vous connecter
Dans la page de connexion de WordPress, vous pouvez utiliser votre nom d'utilisateur ou votre identifiant de messagerie pour vous connecter. Par conséquent, la désactivation de l'utilisation du nom d'utilisateur pourrait décourager les pirates d'effectuer des attaques par force brute sur votre site Web.
Il existe des plugins comme No Login by Email Address qui vous permettent d'empêcher l'utilisation de noms d'utilisateur pour vous connecter à votre site Web.
[Retour en haut ↑]
15. Utiliser l'authentification HTTP
L'authentification HTTP offre une couche de protection sur la page de connexion de WordPress et constitue une étape importante vers la sécurité de WordPress. Pour accéder à la page, l'utilisateur doit entrer les informations d'identification HTTP. Sans cela, ils ne seront pas autorisés à accéder à la page de connexion de votre site.
Des plugins tels que HTTP Auth aident à configurer cette couche de protection sur votre page de connexion. N'oubliez pas de partager les identifiants d'authentification HTTP avec vos utilisateurs. Sinon, ils se retrouveront bloqués et incapables de se connecter à votre site.
Avec cela, nous sommes arrivés à la fin des mesures de sécurité avancées pour les sites Web WordPress.
[Retour en haut ↑]
Mesures de sécurité WordPress courantes mais obsolètes
Dans le monde de la sécurité WordPress, les propriétaires de sites ont tendance à recevoir de nombreux conseils. Mais certains de ces conseils ne sont pas très efficaces. Nous allons énumérer certains des conseils de sécurité courants qui présentent des inconvénients majeurs. Ces mesures ne sécurisent pas vraiment votre site Web car les pirates ont trouvé des moyens de contourner ces mesures.
- Masquer la page de connexion WordPress
- Définir les mots de passe pour qu'ils expirent
- Déconnexion automatique en l'absence d'activité
1. Masquer la page de connexion WordPress
Les pirates ciblent rarement des sites Web uniques. Ils programment des bots automatisés pour lancer des attaques sur les pages de connexion WordPress. Quiconque utilise WordPress depuis assez longtemps sait que les sites Web WordPress sont livrés avec une URL de page de connexion par défaut qui ressemble à ceci : ' example.com/wp-admin' .
Cela rend le travail des robots automatisés beaucoup plus facile. Par conséquent, changer la page de connexion de votre site Web en quelque chose comme "example.com/wrongpage" pourrait détourner une attaque imminente.
Il existe plusieurs plugins tels que WPS Hide Login, Hide WP-Admin, etc. qui peuvent vous aider à masquer votre page de connexion WordPress.
Inconvénient : bien que cela puisse facilement empêcher les tentatives de piratage automatisées, cela ne garantit pas que votre site Web sera sûr. Cela est principalement dû au fait que des outils tels que WPS Hide Login proposent une URL de connexion par défaut. Ainsi, des centaines de milliers de sites Web utilisant l'outil utilisent la même URL pour leur page de connexion. Les pirates peuvent facilement trouver le format de l'URL et lancer des attaques.
De plus, cacher la page de connexion sans informer correctement tous les utilisateurs peut s'avérer très gênant. Cela peut même vous coûter une journée de travail.
[Retour en haut ↑]
2. Définir les mots de passe pour qu'ils expirent
Vous devez avoir remarqué dans les services de banque en ligne qu'ils vous demandent de changer de mot de passe après un certain laps de temps. Il s'agit d'une mesure de sécurité qui garantit que si votre compte est piraté, le pirate n'obtient qu'une fenêtre limitée pour exploiter votre compte. Appliquer la même mesure sur vos sites WordPress réduit les dégâts.
À l'aide du plugin Expire Passwords, vous pouvez définir les mots de passe des utilisateurs pour qu'ils expirent après un nombre de jours spécifique. Tous les utilisateurs sont obligés de mettre à jour leurs mots de passe.
Inconvénient : cette mesure offre un certain niveau de sécurité, mais les pirates trouvent des moyens de le surpasser. Par exemple, lorsqu'ils piratent votre site, ils créent de nouveaux comptes d'utilisateurs ou installent des portes dérobées cachées. Ainsi, même si vous changez régulièrement votre mot de passe, ils ont déjà créé d'autres points d'accès.
[Retour en haut ↑]
3. Déconnexion automatique en l'absence d'activité
Pour les sites Web avec plusieurs utilisateurs, les risques d'abus des droits des utilisateurs sont élevés. Il est encore plus élevé pour les utilisateurs qui travaillent à distance. Un utilisateur peut être amené à quitter son bureau pour s'occuper d'affaires urgentes et oublier de se déconnecter.
Que se passe-t-il si quelqu'un abuse du site Web pendant cette période ? Pour réduire le risque de tels abus, vous pouvez configurer votre site Web WordPress pour déconnecter automatiquement les utilisateurs s'ils sont inactifs pendant une longue période.
Le plugin Inactive Logout offre une fonctionnalité de déconnexion de session inactive. Cela vous permet de définir une période d'inactivité acceptable, telle que 10 ou 20 minutes, après laquelle l'utilisateur est automatiquement déconnecté.
Inconvénient : Mais il y a de fortes chances que si quelqu'un veut fouiner dans votre site, il le fera immédiatement après le départ de l'utilisateur. Dans de tels cas, la déconnexion des utilisateurs inactifs ne peut pas empêcher l'abus des droits d'utilisateur.
[Retour en haut ↑]
[ss_click_to_tweet tweet=”Inquiet pour la sécurité de votre site ? ???? Prenez ces mesures concrètes pour protéger votre site Web contre les failles de sécurité. contenu = "" style = "par défaut"]
Dernières pensées
Nous savons que c'était une lecture très longue et un peu écrasante aussi. Mais avant de chercher à faire une sieste, voici ce que nous vous suggérons de faire -
- Ajoutez cet article à vos favoris.
- Partagez-le avec vos amis et vos voisins - toute personne qui, selon vous, gagnerait à suivre notre guide.
- Découvrez plus de guides comme Sécurisez votre site WordPress avec wp-config.php sur notre blog WordPress.
Nous espérons sincèrement que vous avez trouvé cet article utile. Nous voulons vous laisser avec une dernière pensée - prendre toutes ces mesures de sécurité peut être très écrasant, nous vous suggérons donc d'effectuer des audits de sécurité WordPress réguliers et d'opter pour un plugin de sécurité WordPress premium comme MalCare qui gérera la sécurité pour vous.
Avec MalCare, vous aurez accès à des fonctionnalités de sécurité astucieuses comme le pare-feu, des analyses régulières de logiciels malveillants, le renforcement de WordPress et bien plus encore. Vous pouvez être tranquille en sachant que la sécurité de votre site est prise en charge.
Essayez notre plugin de sécurité WordPress – MalCare dès maintenant !