Comment faire un audit de sécurité WordPress - 8 étapes faciles - MalCare

Il était une fois vous vous êtes assis et avez exécuté un audit de sécurité WordPress complet sur votre site. Ce n'était pas quelque chose que vous imaginiez, mais vous l'avez fait pour garder les pirates maléfiques à distance.

• Vous êtes allé de l'avant et avez installé un plugin de sécurité WordPress sur votre site Web parce que les gourous l'ont dit.
• V ous avez mis à jour tous vos plugins et thèmes WordPress parce que vous savez exactement ce qui se passe si vous ne le faites pas.
• Vous avez pris connaissance des mesures de renforcement du site Web et vous avez mis en œuvre celles qui durent.

En bref : vous étiez sûr à 100 % que votre site Web était protégé contre les pirates.

Et puis, quelques mois plus tard, vous vous êtes réveillé en vous attendant à ce que les choses se passent comme d'habitude…

Seulement pour découvrir que votre site Web a été piraté.

Cela pourrait être absolument n'importe quoi. Il peut s'agir d'une redirection malveillante vers un autre site. Ou vous découvrirez peut-être que votre site Web contient des fenêtres contextuelles qui tentent de vendre quelque chose qui n'a absolument rien à voir avec votre entreprise.

C'est alors que vous vous rendez compte que vous n'avez pas réussi à sécuriser votre site Web.

C'est un scénario auquel sont confrontés la plupart des propriétaires de sites WordPress. Et si c'est ce à quoi vous êtes confronté, alors vous êtes tombé sur le bon article.

Voici le problème : votre seule erreur est que vous avez supposé que l'audit de sécurité de WordPress était une activité ponctuelle. Lorsque vous avez coché toutes les cases de la liste, vous pensiez que tout était fait et dépoussiéré.

La vérité est que la sécurité de votre site Web est comme la publicité - c'est une activité continue. Vous n'arrêteriez pas de faire de la publicité pour votre entreprise, n'est-ce pas ?

Les outils de sécurité des sites Web et les mesures préventives progressent constamment, mais les pirates ne vont pas s'asseoir et vous laisser prendre le contrôle de votre entreprise. C'est votre affaire et vous devrez vous battre pour cela tous les jours.

Un audit de sécurité WordPress est le moyen le plus simple de déterminer ce qui fonctionne et ce qui ne fonctionne pas. Vos mesures de sécurité sont obsolètes ?

Sans audits de sécurité WordPress tous les 3 mois, les chances qu'un pirate informatique pénètre dans votre site Web et endommagent votre entreprise sont beaucoup plus élevées.

Mais ne vous inquiétez pas, tout cela peut être évité en vous assurant que vos mesures de sécurité sont à jour. Aujourd'hui, nous allons vous montrer les étapes à suivre pour exécuter un audit de sécurité WordPress réussi sur votre site Web.

TL;DR : Pour sécuriser complètement votre site WordPress, nous vous recommandons d'utiliser un plugin de sécurité. Installez MalCare pour analyser et surveiller régulièrement votre site. Il bloquera également les tentatives de piratage sur votre site. Et oui, il effectue également automatiquement un audit de sécurité WordPress pour vous tous les jours.

Qu'est-ce qu'un audit de sécurité WordPress ?

Tôt ou tard, la plupart des sites Web WordPress rencontrent des problèmes de sécurité. Par exemple, les plugins et les thèmes peuvent développer des vulnérabilités qui pourraient être exploitées par des pirates pour pénétrer dans votre site Web.

Une fois qu'ils ont accès à votre site, ils peuvent détourner votre trafic, afficher du contenu et des publicités illégaux, frauder vos clients et voler des données personnelles, parmi une longue liste d'actes malveillants.

Un audit de sécurité WordPress peut aider à identifier rapidement ces problèmes afin que vous puissiez prendre des mesures pour combler toute faille de sécurité sur votre site. Lorsque vous exécutez un audit de sécurité, vous vérifiez les mesures de sécurité existantes sur votre site Web. Ensuite, identifiez les mesures de sécurité supplémentaires que vous pouvez mettre en œuvre sur votre site Web pour vous assurer qu'il est protégé.

Un audit de sécurité complet peut impliquer plusieurs étapes et peut devenir un gâchis si vous n'avez pas de processus et de liste de contrôle en place.

Maintenant, il est fort probable que vous ayez déjà effectué un audit de sécurité WordPress auparavant. Le but de cet article est de vous aider à mettre en place un processus que vous pourrez répéter tous les 3 mois. Idéalement, un audit de sécurité WordPress devrait être effectué quotidiennement. Mais pour être prudent et raisonnable, nous vous recommandons de le faire tous les mois.

Aujourd'hui, nous allons vous guider à travers notre guide d'audit de sécurité WordPress étape par étape. Cette piste d'audit vous permettra de réaliser un audit complet et exhaustif de votre site web.

Comment exécuter un audit de sécurité réussi

Lors de cet audit, nous examinerons en profondeur la sécurité de votre site Web. Commençons.

1. Évaluez votre plugin de sécurité
2. Testez votre solution de sauvegarde WordPress
3. Examinez votre configuration d'administration actuelle
4. Supprimer les plugins inutilisés installés et actifs
5. Supprimer les thèmes WordPress supplémentaires installés
6. Évaluez votre fournisseur d'hébergement actuel et planifiez
7. Vérifiez les utilisateurs qui ont un accès FTP
8. Vérifiez vos mesures de durcissement WordPress

1. Évaluez votre plugin de sécurité

Le plugin de sécurité de votre site Web est votre premier point de contrôle. Si vous n'utilisez pas encore de plugin de sécurité, envisagez d'en activer un immédiatement sur votre site. Un plugin de sécurité protège les sites Web WordPress contre les pirates et les bots. Il y a beaucoup d'options à choisir. Mais tous ne sont pas efficaces, vous devez donc choisir le bon plugin de sécurité. Voici une liste des fonctionnalités que votre plugin de sécurité DOIT offrir :

1. Analyse des logiciels malveillants - Les pirates sont toujours à la recherche de plugins vulnérables. Nous vous recommandons fortement d'utiliser un plugin qui exécutera une analyse quotidienne de votre site Web. Il doit effectuer une analyse approfondie qui vérifie chaque fichier et dossier de votre site Web, y compris votre base de données.

2. Analyse hors site - Le processus d'analyse nécessite beaucoup de ressources serveur pour s'exécuter. Si le plugin utilise votre propre serveur, l'analyse peut surcharger votre site et le ralentir. Recherchez un plugin qui utilise ses propres serveurs pour analyser votre site.

3. Pare-feu – Vous avez besoin d'un pare-feu sur votre site Web qui bloquera de manière proactive les pirates, les robots malveillants et les adresses IP qui tentent de pénétrer dans votre site. Pour mettre en place un pare-feu, vous avez besoin d'une expertise technique. Cependant, vous pouvez trouver des plugins de sécurité qui l'installent et l'activent pour vous.

4. Protection de connexion - Les pirates attaquent souvent votre page de connexion et essaient différentes combinaisons de noms d'utilisateur et de mots de passe pour pénétrer dans votre site Web (appelée attaque par force brute). Le plugin de sécurité devrait pouvoir bloquer de telles attaques.

5. Alertes en temps réel - S'il y a une activité suspecte sur votre site, le plugin devrait le détecter et vous alerter immédiatement. Cela vous permet d'agir rapidement.

6. Nettoyage des logiciels malveillants – Un bon plugin de sécurité vous permettra de nettoyer rapidement votre site Web. Il devrait être capable de nettoyer complètement votre site Web.

7. Journal d'activité - Un journal d'audit de sécurité WordPress suit l'activité de l'utilisateur sur votre site, comme qui s'est connecté, les détails des tentatives de connexion qui ont échoué, ce que les utilisateurs de WordPress ont fait sur le site Web. Un journal d'activité est utile lorsque vous souhaitez comprendre comment votre site a été piraté ou quelles modifications ont été apportées pour provoquer son dysfonctionnement.

Si vous pensez que votre solution de sécurité n'est pas efficace, vous pouvez choisir parmi les meilleurs plugins de sécurité disponibles.

Nous vous recommandons d'utiliser MalCare car il couvre toutes ces fonctionnalités. Il possède l'un des meilleurs scanners de logiciels malveillants capables de détecter tout type de logiciel malveillant. Et de plus, vous pouvez nettoyer n'importe quelle infection malveillante en moins de quelques minutes !

2. Testez votre solution de sauvegarde WordPress

Avoir une sauvegarde de votre site WordPress peut être utile en cas de problème. Vous pouvez facilement restaurer votre sauvegarde et ramener votre site à la normale.

Mais que se passe-t-il si votre sauvegarde échoue ? Que se passe-t-il si vous ne pouvez pas le restaurer ?

C'est pourquoi vous devez tester votre sauvegarde. Si vous utilisez une sauvegarde hôte, certaines d'entre elles n'offrent pas d'options de test. Voici ce que nous recommandons pour tester votre sauvegarde :

Installez le plugin de sauvegarde BlogVault sur votre site WordPress. Il effectuera automatiquement une sauvegarde complète de votre site.

Notez que la première sauvegarde peut prendre un certain temps car elle copiera l'intégralité du site Web sur ses propres serveurs. Les sauvegardes ultérieures sont beaucoup plus rapides car il utilise une technologie incrémentielle où il ne sauvegarde que les modifications apportées.

Une fois la sauvegarde terminée, depuis le tableau de bord BlogVault, accédez à l'option 'Tester la restauration'.

Une fois terminé, il vous avertira que votre restauration a réussi.

3. Examinez votre configuration d'administration actuelle

WordPress permet à plusieurs personnes de collaborer et de contribuer au développement et à la maintenance de WordPress. Mais tous les utilisateurs de WordPress n'ont pas besoin d'un accès complet au site. Par exemple, un écrivain n'aurait besoin d'un accès que pour écrire et publier du contenu. Ils n'ont pas besoin d'avoir accès pour apporter d'autres modifications comme l'installation de plugins ou le changement de thème.

Pour éviter de donner à chaque utilisateur de votre site un accès complet, WordPress propose six rôles d'utilisateur différents que vous pouvez attribuer : super administrateur, administrateur, éditeur, auteur, contributeur et abonné. Chaque rôle a différents niveaux d'autorisations.

Lors de votre audit de sécurité WordPress, la première chose que vous devez analyser est les utilisateurs que vous avez ajoutés à votre site WordPress.

• Vérifiez combien de ces utilisateurs ont un accès administrateur.
• Déterminez combien ont réellement besoin d'un accès administrateur.
• Restreignez l'accès et accordez des autorisations inférieures en modifiant les rôles d'utilisateur pour ceux qui n'ont pas besoin d'être administrateurs.
• Assurez-vous que vous pouvez reconnaître tous les utilisateurs sur votre tableau de bord. Supprimez tous les utilisateurs que vous ne reconnaissez pas car ils pourraient être des comptes d'utilisateurs malveillants créés par des pirates.

Ensuite, assurez-vous que quiconque est administrateur de votre site Web n'utilise pas le nom d'utilisateur 'admin' . Il s'agit du nom d'utilisateur le plus couramment utilisé par les administrateurs WordPress pour leurs comptes. Les pirates en sont bien conscients et essaient d'utiliser le nom pour accéder à votre site

Pour changer le nom "admin" en quelque chose de plus unique, vous devez d'abord créer un nouveau compte d'utilisateur pour cette personne. Vous pouvez attribuer tout le contenu au nouvel utilisateur WordPress que vous avez créé. Ensuite, vous pouvez supprimer l'ancien compte 'admin'.

4. Supprimez les plugins inutilisés installés et actifs

Travaillant avec WordPress depuis plus d'une décennie, nous avons vu de nombreux cas de sites Web WordPress piratés en raison de plugins vulnérables.

Les plugins pour WordPress sont créés par des développeurs tiers qui les maintiennent et les mettent à jour. Cependant, comme tout logiciel, avec le temps, des vulnérabilités apparaissent. Les développeurs sont généralement prompts à les corriger et à publier une mise à jour. Cette mise à jour contiendra un correctif de sécurité qui supprimera la vulnérabilité de votre site.

Si vous retardez la mise à jour, votre site reste vulnérable.

• Lors de votre audit, vérifiez la liste des plugins que vous avez installés. Beaucoup d'entre nous, propriétaires de sites Web, avons tendance à essayer de nouveaux thèmes et plugins. Nous n'en utilisons pas la plupart mais oublions qu'ils sont toujours installés sur notre site. Supprimez les plugins que vous n'utilisez pas. Cela supprimera les éléments inutiles de votre site et réduira les chances que les pirates informatiques s'introduisent dans votre site.
• Assurez-vous de reconnaître tous les plugins installés. Si vous ou votre équipe ne reconnaissez aucun plugin, nous vous conseillons de le supprimer. En effet, lorsque les pirates pénètrent dans votre site, ils installent parfois leurs propres plugins. Ces plugins contiennent des portes dérobées qui leur donnent un accès secret à votre site.
• Si vous avez installé une version piratée ou annulée de plugins, supprimez-les immédiatement. Ces logiciels contiennent souvent des logiciels malveillants qui infectent votre site lorsque vous les installez. Les pirates utilisent des logiciels piratés pour distribuer leurs logiciels malveillants.

Maintenant que vous n'avez que les plugins que vous utilisez, assurez-vous de les mettre à jour au fur et à mesure que les développeurs publient des mises à jour.

5. Supprimer les thèmes WordPress supplémentaires installés

En tant que propriétaires de sites Web, nous avons tendance à installer différents thèmes pour en trouver un qui nous plaît. Cependant, nous oublions souvent de supprimer ceux dont nous n'avons pas besoin. Tout comme les plugins, les thèmes peuvent également développer des vulnérabilités.

Nous vous conseillons de supprimer tous les autres thèmes et de ne conserver que le thème que vous utilisez. Assurez-vous d'utiliser la dernière version disponible de votre thème actif.

6. Évaluez votre fournisseur d'hébergement actuel et planifiez

Grâce à l'hébergement partagé, plus de personnes peuvent créer des sites Web sans gros investissement. Les plans d'hébergement mutualisé sont moins chers et adaptés aux petits sites WordPress.

Vous avez peut-être opté pour un plan d'hébergement partagé lorsque vous avez commencé, mais à mesure que vous grandissez, vous devez évaluer si vous devez effectuer une mise à niveau.

Les plans d'hébergement partagé signifient que vous partagez un serveur avec d'autres sites Web. Vous n'avez aucun contrôle sur ce que font les autres sites Web partageant votre serveur. Si leur site est piraté, il peut consommer trop de ressources du serveur. Cela ralentira votre site Web et réduira ses performances. Il y a aussi une petite chance qu'une infection malveillante puisse se propager aux sites partageant le même serveur. Donc, si vous pouvez vous permettre une mise à niveau, nous vous conseillons de passer à un serveur dédié.

Si vous n'êtes pas satisfait du service de votre hébergeur actuel, vous pouvez comparer différents hébergeurs et voir si vous souhaitez migrer votre site Web vers un meilleur.

7. Vérifiez les utilisateurs qui ont un accès FTP

Un FTP est un protocole de transfert de fichiers qui vous permet de connecter votre ordinateur local au serveur de votre site Web. Vous pouvez accéder aux fichiers et dossiers de votre site Web et apporter des modifications.

Puisque vous pouvez ajouter, modifier et supprimer des fichiers de votre site WordPress, l'accès au FTP ne doit être accordé qu'à ceux en qui vous avez confiance et qui en ont absolument besoin.

Nous vous recommandons de vérifier la liste des utilisateurs FTP et de réinitialiser vos mots de passe FTP, si nécessaire. Pour ce faire, vous devez accéder à votre compte d'hébergement WordPress > cPanel > comptes FTP.

Ici, vous verrez une liste de tous les comptes FTP créés pour votre site Web. Vous pouvez supprimer ceux qui n'ont pas besoin d'y accéder.

8. Vérifiez vos mesures de durcissement WordPress

WordPress recommande certaines mesures de renforcement qui rendent votre site Web plus sécurisé. Ceux-ci inclus:

1. Désactivation de l'éditeur de fichiers dans les plugins et les thèmes
2. Désactivation de l'installation du plug-in
3. Réinitialiser les clés et les sels WordPress
4. Appliquer des mots de passe forts
5. Limiter les tentatives de connexion WordPress
6. Mise en place de l'authentification à deux facteurs

Si vous avez besoin de plus de conseils, nous vous recommandons de lire notre Guide complet du durcissement de WordPress .

Lors de votre audit de sécurité WordPress, nous vous recommandons de vérifier que ces mesures sont en place. Par exemple, si vous utilisez un plugin pour limiter les tentatives de connexion ou l'authentification à 2 facteurs, assurez-vous que le plugin fonctionne toujours et est à jour. Vérifiez s'il existe de meilleures options disponibles.

De nombreuses mesures de durcissement nécessitent une expertise technique pour être mises en œuvre. Cependant, si vous utilisez le plugin de sécurité MalCare, vous pouvez implémenter des mesures de renforcement WordPress en quelques clics.

Ce sont huit tâches très importantes à effectuer régulièrement. Nous recommandons de faire un audit semestriel ou au moins une fois par an. Pour résumer ce que nous avons couvert, voici une liste de contrôle que vous pouvez suivre :

Liste de contrôle pour l'audit de sécurité WordPress

1. Plugin de sécurité – Évaluez votre plugin de sécurité. Nous vous recommandons d'utiliser MalCare.

2. Sauvegarde WordPress – Testez la sauvegarde de votre site Web pour vous assurer qu'elle peut être restaurée. Nous vous recommandons d'utiliser l'option de restauration test de BlogVault.

3. Utilisateurs administrateurs - Examinez votre configuration d'administration actuelle. Assurez-vous d'avoir accordé des privilèges d'administrateur uniquement à ceux qui en ont besoin. Supprimez tous les utilisateurs inactifs.

4. Plugins - Supprimez les plugins inutilisés installés et actifs. Ne conservez que les plugins que vous utilisez réellement et assurez-vous qu'ils sont mis à jour régulièrement.

5. Thèmes – Supprimer les thèmes WordPress supplémentaires installés. Ne conservez que le thème actif sur votre site et assurez-vous d'utiliser la dernière version disponible.

6. Hôte Web - Évaluez votre fournisseur d'hébergement actuel et planifiez-le. Nous vous recommandons d'utiliser des hôtes Web de confiance et un plan de serveur dédié.

7. FTP – Vérifiez les utilisateurs qui ont un accès FTP. N'accordez l'accès qu'à ceux qui en ont besoin.

8. Durcissement – ​​Assurez-vous que vos mesures de durcissement WordPress sont intactes et à jour.

Dernières pensées

Nous espérons que cet article vous a aidé à créer un processus reproductible pour un audit de sécurité WordPress. Si vous pouvez continuer à exécuter ce processus régulièrement, nous vous garantissons que vous pouvez empêcher les pirates de contourner la sécurité de votre site.

Oui, un audit de sécurité WordPress complet est un processus long et fastidieux. Mais la vérité est que cela peut aider à protéger votre entreprise pendant longtemps.

Et si vous pensez qu'un audit de sécurité WordPress est trop fastidieux, vous pouvez automatiser le processus en installant le plugin MalCare. Contrairement à la plupart des autres plugins de sécurité de site Web, MalCare propose une suite complète d'outils de sécurité qui peuvent faire bien plus qu'un audit de sécurité WordPress.

MalCare automatise de nombreuses activités de sécurité fastidieuses et manuelles telles que l'analyse et la suppression des logiciels malveillants, les sauvegardes régulières du site, l'installation de pare-feu et de protection contre les bots, et le renforcement de WordPress.

Vous pouvez faire tout cela en quelques clics dans un tableau de bord à la pointe de la technologie et facile à utiliser.

Sécurisez votre site WordPress avec MalCare !