Audit de sécurité WordPress : 7 étapes simples pour protéger votre site

Publié: 2020-07-06

Votre site Web est plus à risque que vous ne le pensez. Ne t'inquiète pas! Vous n'êtes pas seul dans cette course. La plupart des gens croient que leur site Web est sûr alors qu'en réalité ce n'est pas le cas.

Il n'est pas étonnant que votre site Web WordPress puisse être piraté pour certaines de vos erreurs courantes. Cela peut même arriver si vous ne mettez pas à jour vers une version plus récente de WordPress et manquez une fonctionnalité de sécurité cruciale.

Plus de 70% des installations WordPress sont vulnérables aux attaques de pirates.

– WP Blanc Sécurité

Cependant, il existe des moyens efficaces de lutter contre le risque de sécurité imminent qui pèse en permanence sur votre site Web. Tout comme la menace omniprésente, vous devrez surveiller votre site Web en effectuant des audits de sécurité réguliers. Cela peut vous éviter de nombreuses menaces potentielles, allant d'une violation de données à même un rançongiciel.

Dans cet article, nous allons vous montrer quelques moyens simples de protéger votre site des pirates ou de toute instance indésirable.

Table des matières

  • Qu'est-ce que l'audit de sécurité WordPress ?
  • Pourquoi un audit de sécurité régulier est-il important pour votre site Web ?
  • Réalisation d'un audit de sécurité WordPress
    • Effectuer manuellement un audit de sécurité WordPress
      • Vérifiez les mises à jour
      • Conserver et vérifier les sauvegardes WordPress
      • Évaluer la vulnérabilité du compte administrateur
      • Vérifier les utilisateurs et les comptes
      • Supprimer les plugins inutiles
      • Désinstaller les thèmes inutilisés
      • Exécuter une analyse de sécurité
    • Effectuer un audit de sécurité WordPress à l'aide de plugins
      • Journal d'activité WP
      • Sécurité Wordfence

Qu'est-ce que l'audit de sécurité WordPress ?

How to Perform WordPress Security Audit

Votre site Web peut être menacé pour de nombreuses raisons. Par exemple, un plugin ou un thème obsolète peut être exploité par un pirate. Ou l'un des administrateurs de votre site Web a peut-être défini un mot de passe faible qui peut être piraté par un étranger. C'est pourquoi vous devez avoir une liste de contrôle en place pour vérifier toutes les vulnérabilités de sécurité que votre précieux site Web WordPress pourrait avoir.

En bref, l'audit de sécurité WordPress est l'opération d'inspection régulière de votre site Web pour tout type d'activité malveillante ou de risques de sécurité.

Pourquoi un audit de sécurité régulier est-il important pour votre site Web ?

Souvent, les gens ne prennent pas au sérieux la sécurité des sites Web. La plupart des propriétaires de sites Web pensent que WordPress est suffisamment capable de prendre en charge la sécurité de tous les sites Web construits sur sa plate-forme. D'autres semblent penser que leur site Web n'a rien de spécial en particulier qui vaille la peine d'être piraté, alors qui piraterait leur site Web.

Hackers Can use Your Site in Many Ways
Les pirates peuvent utiliser votre site de plusieurs façons

Mais les pirates ne piratent pas toujours un site Web pour obtenir vos données. Lorsque votre site Web est piraté, il peut être utilisé par les pirates pour de nombreuses activités malveillantes, telles que -

  • Miner de la crypto-monnaie
  • Hébergement de pages de phishing
  • Envoi de spams
  • Exécuter leurs propres programmes via votre site Web
  • Demander une rançon, également connu sous le nom de ransomware
  • Redirigez votre trafic vers des sites Web qui peuvent mettre leur sécurité en danger

Donc, si vous pensez que votre site Web est sûr car il ne contient aucune donnée sensible, réfléchissez-y à deux fois !

De plus, bien que WordPress lui-même soit une plate-forme très sûre, il ne peut pas protéger votre site Web à moins que ses utilisateurs ne coopèrent avec eux. Selon WordPress, seuls 41% de ses utilisateurs utilisent la dernière version de sa plateforme. Comme la nouvelle version est livrée avec des mises à jour de sécurité ainsi que d'autres fonctionnalités, les anciennes versions sont plus sujettes aux failles de sécurité.

WordPress Versions in Use Right Now
Versions de WordPress en cours d'utilisation (Crédit : WordPress)

Compte tenu de tous les faits ci-dessus, il est clair que la sécurité de votre site Web n'est pas incassable, sauf si vous effectuez régulièrement un audit de site WordPress.

Comment effectuer un audit de sécurité WordPress (7 étapes faciles pour un audit manuel)

Votre site Web peut être piraté pour de nombreuses raisons, vous ne pouvez donc rien négliger lors d'un audit de sécurité. Lors de l'audit de sécurité, maintenez toujours une liste de contrôle de routine pour vous assurer que toutes les failles potentielles sont couvertes. Pour votre commodité, j'ai dressé une liste des éléments que vous devez vérifier lors de l'exécution d'un audit de sécurité.

Vous pouvez effectuer l'opération à la fois manuellement ou à l'aide d'un plugin d'audit WordPress. Je vais d'abord vous montrer la manière manuelle, et plus tard, je parlerai de certains des plugins que vous pouvez utiliser pour effectuer automatiquement des audits de sécurité.

Si vous ne souhaitez pas utiliser de plugin, car beaucoup d'entre eux semblent diminuer la vitesse de votre page, vous pouvez effectuer des audits de sécurité manuels sur votre site WordPress. Suivez simplement les étapes ci-dessous pour vous assurer que votre site Web est sur la bonne voie.

1. Vérifiez les dernières mises à jour

Maintenir votre site à jour est l'un des meilleurs moyens de le protéger. Vous pourriez penser que les mises à jour de WordPress concernent toutes les nouvelles fonctionnalités, et vous pourriez même ne pas aimer certaines d'entre elles. Mais indépendamment de cela, vous devez vérifier et installer les mises à jour tout en effectuant des audits de sécurité sur votre site.

La raison de la mise à jour de votre version de WordPress est que la nouvelle version est toujours accompagnée de nouveaux correctifs de sécurité. L'équipe de sécurité de WordPress travaille en collaboration avec les meilleurs experts en sécurité du monde entier pour assurer la sécurité de la plateforme.

Vous pouvez vérifier la mise à jour de WordPress à partir de WP Admin Dashboard > Dashboard > Updates

WordPress Updates


Parallèlement à la mise à jour WordPress, vous devez également vérifier si une mise à jour est due pour vos plugins et thèmes. N'oubliez pas que les pirates peuvent également exploiter toute faille de vos plugins ou thèmes pour accéder à votre site. Je vous suggère donc de vérifier et de mettre à jour régulièrement tous les plugins et thèmes. Vous pouvez trouver l'option de mise à jour du plugin et du thème sur la même page que les mises à jour de WordPress.

2. Conserver et vérifier les sauvegardes WordPress

La sauvegarde régulière de votre site Web peut s'avérer utile au cas où votre site Web serait piraté ou si vous perdiez des données à cause d'un logiciel malveillant.

Les fournisseurs d'hébergement de qualité fournissent souvent un service de sauvegarde automatique. Mais même si votre hébergeur fournit un service de sauvegarde automatique, vous devez installer un plugin de sauvegarde de qualité pour WordPress afin d'assurer une sauvegarde régulière de votre site Web et de toutes vos données.

Après avoir installé un plugin de sauvegarde, lors de chaque audit de sécurité, vérifiez si les sauvegardes s'exécutent régulièrement.

3. Évaluer la vulnérabilité du compte administrateur

12345, 123456, 123456789, ces trois mots de passe étaient les plus populaires en 2019. Une liste compilée par NordPass à partir de 500 millions de mots de passe divulgués en ligne a classé tous les mots de passe populaires et les 10 meilleurs d'entre eux se trouvent dans l'image ci-dessous.

Most Popular Password in 2019
Mot de passe le plus populaire en 2019 (Crédit : NordPass)

Si l'un de vos administrateurs définit un mot de passe comme celui-ci, il y a de fortes chances que votre site Web subisse une brèche très bientôt. Choisissez un mot de passe fort, de préférence celui suggéré par WordPress. Si vous êtes quelqu'un qui a tendance à oublier des choses, il existe de nombreuses applications de gestion de mots de passe pour stocker vos mots de passe.

Une autre chose importante à vérifier lors de votre audit de sécurité est qu'aucun administrateur n'a défini le nom d'utilisateur admin . C'est le nom d'utilisateur le plus courant sur WordPress et il ne devrait certainement pas être utilisé.

4. Vérifiez les utilisateurs et les comptes

Si vous avez un forum ou un site Web de commerce électronique qui a besoin que les utilisateurs s'inscrivent, vous devez vérifier s'il y a un utilisateur suspect lors des audits de sécurité. Vous pouvez trouver la liste de tous les utilisateurs à partir de WP Admin Dashboard > Utilisateurs > Tous les utilisateurs

Mais si vous avez d'autres types de sites Web et que vous n'avez pas besoin que les visiteurs s'inscrivent, je vous suggère de désactiver l'option Tout le monde peut s'inscrire depuis WP Admin Dashboard > Général > Tout le monde peut s'inscrire.

Turning Off Anyone Can Register Option


5. Supprimer les plugins inutiles

L'installation d'un grand nombre de plugins sur un site Web prend non seulement de la place, mais constitue également une menace pour la sécurité. Il est préférable de désinstaller les plugins lorsque vous n'en avez plus besoin.

Removing Unnecessary Plugins


Les anciens plugins ouvrent souvent des failles de sécurité sur votre site Web. Il est préférable de les supprimer complètement plutôt que de simplement les désactiver.

6. Désinstaller les thèmes inutilisés

Lors de l'installation de WordPress, ils emballent un thème par défaut pour démarrer le site. Mais après ça, on change tous de thème comme on veut. Parfois, nous gardons plusieurs thèmes WordPress installés que nous n'utilisons jamais. Comme les anciens plugins, ces anciens thèmes peuvent causer des problèmes plus tard. Juste à des fins de sauvegarde, je ne garde généralement qu'un seul thème autre que le thème que j'utilise.

7. Exécutez une analyse de sécurité

Nous avons presque terminé. Il est temps de faire une dernière vérification des logiciels malveillants avec un plugin de sécurité. Il existe de nombreux plugins de sécurité pour WordPress pour vous aider à cet égard.

Après avoir installé un plugin de sécurité sur votre site Web. Exécutez une analyse complète et voyez s'il y a des logiciels malveillants sur votre site Web. Choisissez un plugin qui peut également gérer les tentatives de connexion par force brute pour empêcher les attaques en direct sur votre site Web.

Comment effectuer un audit de sécurité WordPress à l'aide de plugins

Si vous ne souhaitez pas effectuer toutes les tâches manuellement, il existe un autre moyen d'effectuer votre audit de sécurité WordPress essentiel. Il existe de très bons plugins de sécurité disponibles pour les sites Web WordPress qui peuvent effectuer automatiquement toutes les tâches mentionnées ci-dessus.

Journal d'activité WP

wordpress security audit plugin

Le journal d'activité WP est l'un des plugins les plus populaires pour effectuer des audits de sécurité sur votre site Web. Il surveille chaque modification apportée à votre site Web et avertit de toute activité suspecte.

Vous pouvez vérifier le nombre d'utilisateurs connectés, leur activité, ainsi que leurs adresses IP. Vous pouvez limiter le nombre de tentatives de connexion et également résoudre tout problème sur votre site Web. Dans l'ensemble, il s'agit d'un plugin fiable pour transférer vos responsabilités.

Sécurité Wordfence

wordpress security audit plugin

Wordfence Security est le plugin de sécurité le plus téléchargé de tous les temps pour WordPress. Il dispose d'un éventail de fonctionnalités de sécurité qui protégeront sûrement votre site Web.

Wordfence Security dispose d'un scanner de logiciels malveillants en temps réel. Il peut vérifier les fichiers principaux, les thèmes et les plugins pour les logiciels malveillants, les mauvaises URL, les portes dérobées, le spam SEO, les redirections malveillantes et les injections de code.

Vous pouvez également surveiller le trafic en direct avec ce plugin ainsi que d'autres fonctionnalités utiles.

Emballer

WordPress est l'une des plateformes les plus sécurisées pour créer votre site Web. Si vous gardez un œil attentif sur les failles de sécurité courantes, le piratage de votre site sera impossible. En effectuant des audits de sécurité réguliers, vous pouvez facilement suivre toutes les vulnérabilités de sécurité de votre site Web.

Si vous êtes déterminé quant à la sécurité de votre site Web et que vous souhaitez en savoir plus, voici un autre blog pour connaître les éléments qui fonctionnent pour la sécurité de WordPress.

Si vous avez des questions concernant ce blog, faites un commentaire ci-dessous. Nous serons heureux de répondre à toutes vos questions.