Sécurité WordPress : Meilleures façons de sécuriser le site Web WordPress en 2022
Publié: 2022-03-09La sécurité de WordPress est une grande préoccupation pour tous les propriétaires de sites Web. Chaque jour, Google met sur liste noire plus de 10 000 sites Web pour les logiciels malveillants, et chaque semaine, il en met sur liste noire 50 000 pour le phishing.
Si vous vous inquiétez de la sécurité de votre site Web, vous devez suivre les meilleures pratiques de sécurité de WordPress.
Dans cet article, nous passerons en revue tous les meilleurs moyens de sécurité WordPress pour vous aider à protéger votre site Web contre les pirates et les logiciels malveillants.
Bien que le logiciel principal de WordPress soit assez sécurisé et que des centaines de développeurs l'auditent régulièrement, vous pouvez encore faire beaucoup pour assurer la sécurité de votre site.
En tant que propriétaire de site Web, vous pouvez faire plusieurs choses pour améliorer la sécurité de WordPress.
Vous pouvez prendre quelques mesures concrètes pour sécuriser votre site Web WordPress contre les vulnérabilités de sécurité.
Commençons.
Pourquoi la sécurité du site WordPress est-elle importante ?
Un site Web WordPress piraté peut nuire considérablement aux revenus et à la réputation de votre entreprise. Les pirates peuvent voler les mots de passe des informations utilisateur, installer des logiciels nuisibles et même infecter vos utilisateurs avec des logiciels malveillants.
Pire, vous pourriez être contraint de payer un rançongiciel aux pirates afin de récupérer l'accès à votre site Web.
Google a annoncé en mars 2016 que plus de 50 millions d'internautes avaient été informés qu'un site Web qu'ils visitaient pouvait contenir des logiciels malveillants ou voler des informations.
De plus, chaque jour, Google met sur liste noire plus de 10 000 sites Web pour les logiciels malveillants et environ 50 000 sites Web pour le phishing.
Si vous gérez un site Web d'entreprise, vous voudrez accorder une attention particulière à la sécurité de WordPress.
Problèmes de sécurité WordPress les plus courants
Les vulnérabilités de sécurité WordPress les plus courantes se produisent avant ou peu de temps après le piratage de votre site. Un pirate informatique vise à obtenir un accès administrateur non autorisé à votre site WordPress, soit via le frontend (votre tableau de bord WordPress), soit depuis le côté serveur (en insérant des scripts ou des fichiers malveillants).
Voici les cinq principaux problèmes de sécurité WordPress dont vous devez être conscient :
1. Attaques par force brute
Les attaques par force brute de WordPress font référence au processus de saisie répétée de différentes combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce qu'une combinaison réussie soit trouvée. L'approche d'attaque par force brute tire parti du moyen le plus simple d'accéder à votre site Web : votre page de connexion WordPress.
WordPress ne limite pas les tentatives de connexion par défaut. Par conséquent, les robots peuvent utiliser la méthode d'attaque par force brute pour attaquer votre page de connexion WordPress. Même si un assaut par force brute échoue, il peut toujours causer des ravages sur votre serveur en surchargeant votre système et en ralentissant votre site Web.
2. Script intersite (XSS)
Les attaques de script intersite (XSS) représentent 54,4 % de toutes les vulnérabilités de sécurité de WordPress révélées en 2021. La vulnérabilité la plus courante découverte dans les plugins WordPress est le script intersite.
La méthode de base du cross-site scripting est la suivante : un attaquant trouve un moyen de convaincre une victime de charger des scripts javascript vulnérables dans ses pages Web. Ces scripts sont chargés à l'insu du visiteur puis exploités pour voler des informations à son navigateur. Un formulaire piraté qui semble se trouver sur votre site Web est un exemple d'attaque de script intersite. Si un utilisateur remplit le formulaire, XSS prendra ses informations.
3. Exploits d'inclusion de fichiers
Après les attaques par force brute, la vulnérabilité de sécurité la plus couramment exploitée par les attaquants est la faiblesse du code PHP de votre site Web WordPress.
Les vulnérabilités d'inclusion de fichiers se produisent lorsqu'un code vulnérable est utilisé pour charger des fichiers externes, permettant aux attaquants d'accéder à votre site Web. Les attaques par inclusion de fichiers sont l'un des moyens les plus populaires pour un attaquant d'accéder au fichier wp-config.php de votre site Web WordPress, qui est l'un des fichiers les plus cruciaux de votre installation WordPress.
4. Injections SQL
Une base de données MySQL est utilisée pour exécuter votre site Web WordPress. Les injections SQL se produisent lorsqu'un attaquant acquiert l'accès à votre base de données WordPress ainsi qu'à toutes les données de votre site Web.
Un attaquant peut être en mesure d'établir un nouveau compte d'utilisateur de niveau administrateur via une injection SQL, qui peut ensuite être utilisé pour se connecter et obtenir le contrôle complet de votre site Web WordPress. Les injections SQL peuvent également être utilisées pour saisir de nouvelles données, telles que des liens vers des sites Web malveillants ou de spam, dans votre base de données.
5. Logiciels malveillants
Un logiciel malveillant est un code utilisé pour obtenir un accès non autorisé à un site Web afin de collecter des informations sensibles. Un site WordPress piraté indique généralement qu'un logiciel malveillant a été placé dans les fichiers de votre site Web. par conséquent, vérifiez les fichiers récemment modifiés si vous suspectez un logiciel malveillant sur votre site.
Bien qu'il existe différents types d'attaques de logiciels malveillants sur Internet, WordPress n'est pas vulnérable à tous. Voici les quatre infections de logiciels malveillants WordPress les plus courantes :
- Portes dérobées
- Téléchargements en voiture
- Hacks pharmaceutiques
- Redirections malveillantes
Chacune de ces formes de logiciels malveillants peut être facilement identifiée et supprimée en désinstallant manuellement le fichier malveillant, en installant une nouvelle version de WordPress ou en restaurant votre site WordPress à partir d'une sauvegarde précédente non infectée.
Guide de sécurité WordPress 2022
Mettre en œuvre seulement une ou deux mesures de sécurité WordPress ne suffira pas à assurer la sécurité de votre site WordPress. Voici quelques meilleures façons de sécuriser les sites Web WordPress en 2022.
1. Mettez régulièrement à jour la version de WordPress
WordPress fournit régulièrement des mises à jour logicielles afin d'améliorer la vitesse et la sécurité. Ces mises à niveau aident également à protéger votre site contre les cyberattaques.
L'une des méthodes les plus simples pour augmenter la sécurité de WordPress consiste à mettre à jour votre version de WordPress. Cependant, plus de la moitié de tous les sites WordPress utilisent une ancienne version du logiciel, ce qui les rend plus vulnérables.
Pour voir si vous disposez de la version la plus récente de WordPress, accédez à Tableau de bord -> Mises à jour dans le panneau de menu de gauche de votre zone d'administration WordPress. S'il indique que votre version est obsolète, nous vous suggérons de la mettre à jour dès que possible.
2. Utilisez un mot de passe fort
L'une des erreurs les plus élémentaires commises par les utilisateurs consiste à utiliser des noms d'utilisateur faciles à deviner, tels que « admin », « administrateur » ou « test ». Par conséquent, votre site est plus vulnérable aux attaques par force brute. De plus, les attaquants utilisent cette méthode pour cibler les sites WordPress avec des mots de passe faibles.
Par conséquent, nous vous recommandons de rendre votre nom d'utilisateur et votre mot de passe plus compliqués et uniques.
Si vous avez besoin d'aide pour créer un mot de passe fort, utilisez des outils en ligne tels que LastPass et 1Password. Leurs services de gestion de mots de passe peuvent également être utilisés pour stocker en toute sécurité des mots de passe forts. Vous n'aurez pas à vous en souvenir de cette façon.
Il est également crucial de vérifier le réseau avant de vous connecter pour assurer la sécurité de votre site. Si vous êtes lié par erreur à un Hotspot Honeypot , un réseau géré par des pirates, vous risquez d'exposer vos informations de connexion aux opérateurs.
Même les réseaux publics, tels que le Wi- Fi des bibliothèques scolaires , peuvent ne pas être aussi sûrs qu'ils en ont l'air. Les pirates peuvent intercepter votre connexion et voler des données qui ne sont pas cryptées, telles que les mots de passe de connexion.
Par conséquent, chaque fois que vous vous connectez à un réseau public, nous vous recommandons d'utiliser un VPN . Il crypte la connexion, ce qui rend plus difficile l'interception des données et protège votre activité en ligne.
3. Investissez dans un hébergement WordPress sécurisé
Votre service d'hébergement WordPress est l'aspect le plus important de la sécurité de votre site WordPress. Un excellent service d'hébergement partagé, tel que Bluehost ou Siteground, ira au-delà pour sécuriser ses serveurs contre les menaces courantes.
Voici comment un bon fournisseur d'hébergement Web protège vos sites Web et vos données en arrière-plan.
- Ils gardent un œil sur leur réseau pour toute activité suspecte.
- Toutes les bonnes sociétés d'hébergement ont mis en place des systèmes pour empêcher les attaques DDOS à grande échelle.
- Pour empêcher les pirates d'exploiter une faille de sécurité connue dans une ancienne version, ils maintiennent à jour leur logiciel serveur, leurs versions PHP et leur matériel.
- Ils disposent de plans de reprise après sinistre et d'accident prêts à être déployés, leur permettant de sécuriser vos données en cas d'accident majeur.
Lorsque vous choisissez un plan d'hébergement partagé, vous partagez les ressources du serveur avec de nombreuses autres personnes. Cela augmente le risque de contamination intersite, qui se produit lorsqu'un pirate utilise un site à proximité pour attaquer votre site Web.
L'utilisation d'un fournisseur d'hébergement WordPress géré garantit que votre site Web est plus sécurisé. Les sociétés d'hébergement WordPress gérées incluent des sauvegardes automatisées, des mises à niveau automatiques de WordPress et des configurations de sécurité plus avancées pour sécuriser votre site Web.
4. Sauvegardez WordPress régulièrement
Les sauvegardes sont votre première ligne de sécurité en cas d'attaque WordPress.
Les sauvegardes vous permettent de récupérer facilement votre site WordPress en cas de problème.
Il existe de nombreux plugins de sauvegarde WordPress gratuits et premium que vous pouvez utiliser. La chose la plus importante à retenir à propos des sauvegardes est que vous devez régulièrement enregistrer des sauvegardes complètes du site dans un endroit distant (pas votre compte d'hébergement).
Nous vous recommandons d'utiliser un fournisseur de cloud comme Amazon, Dropbox ou des clouds privés comme Stash pour le stocker.
Selon la fréquence à laquelle vous mettez à jour votre site Web, le paramètre idéal peut être soit une fois par jour, soit des sauvegardes en temps réel.
Heureusement, des plugins comme UpdraftPlus rendent cela simple. C'est également un plugin indispensable pour les sites Web WordPress. UpdraftPlus est fiable et, surtout, simple à utiliser (aucun codage nécessaire).
5. Utilisez les plugins de sécurité WordPress
Les attaques de logiciels malveillants sur les sites WordPress sont assez courantes. Si vous ne surveillez pas manuellement le code source de votre site Web, vous ne savez peut-être même pas que votre code est infecté.
Malheureusement, vous aurez besoin de savoir coder pour comprendre cela. Cependant, il existe une méthode meilleure et plus simple. Les plugins de sécurité WordPress sont destinés à détecter et supprimer le code nuisible et les virus de votre site Web.
La meilleure partie est qu'ils fonctionnent 24 heures sur 24 et que vous n'aurez rien à faire. Sucuri et Wordfence sont deux des plugins de sécurité WordPress les plus populaires.
6. Activer le pare-feu d'application Web (WAF)
La meilleure façon de sécuriser votre site et de vous sentir en sécurité sur votre sécurité WordPress consiste à utiliser un pare-feu d'application Web (WAF).
Un pare-feu de site Web bloque tout le trafic nuisible avant qu'il n'atteigne votre site Web.
Pare-feu de site Web de niveau DNS – Ces pare-feu filtrent le trafic de votre site Web via des serveurs proxy cloud. Par conséquent, ils ne peuvent fournir un trafic authentique qu'à votre serveur Web.
Pare-feu au niveau de l'application - Ces plugins de pare-feu inspectent le trafic une fois qu'il atteint votre serveur, mais avant que la plupart des scripts WordPress ne soient chargés. En termes de minimisation de la charge du serveur, cette solution n'est pas aussi efficace que le pare-feu de niveau DNS.
Pour cela, vous pouvez utiliser Sucuri comme meilleur pare-feu d'application Web pour WordPress.
La meilleure caractéristique du pare-feu de Sucuri est qu'il inclut une garantie de nettoyage des logiciels malveillants et de suppression de la liste noire. Fondamentalement, si votre site Web est piraté pendant qu'ils le surveillent, ils garantissent qu'ils le répareront.
7. Installer le certificat SSL
SSL est un protocole de transfert de données qui crypte les données envoyées entre un site Web et ses visiteurs, ce qui rend difficile pour les pirates de voler des informations sensibles.
Les certificats SSL améliorent également l'optimisation des moteurs de recherche (SEO) d'un site Web, ce qui l'aide à attirer plus de visiteurs.
Les sites Web avec un certificat SSL utiliseront HTTPS au lieu de HTTP, ce qui les rendra simples à identifier.
Commencer à utiliser SSL pour tous vos sites Web WordPress est maintenant plus facile que jamais. De nombreuses sociétés d'hébergement fournissent désormais un certificat SSL gratuit pour votre site Web WordPress.
8. Changer le nom d'utilisateur "admin" par défaut
Le nom d'utilisateur par défaut dans WordPress est admin, et de nombreux propriétaires de sites Web ne prennent jamais la peine de le changer.
Par conséquent, lorsque les pirates lancent une attaque contre votre site Web, le premier nom d'utilisateur qu'ils essaient est admin. Si ce nom est connu, il ne leur reste plus qu'à deviner le mot de passe.
Par conséquent, vous devez éviter d'utiliser ce nom d'utilisateur pour votre site WordPress.
9. Limiter les tentatives de connexion
WordPress permet aux utilisateurs d'essayer un nombre infini de fois de se connecter au site. Cependant, c'est un bon signe pour les pirates de se frayer un chemin dans le système en essayant plusieurs combinaisons de mots de passe jusqu'à ce qu'ils trouvent le bon.
Pour éviter de telles attaques sur le site Web, il est essentiel de définir une restriction sur les tentatives de connexion infructueuses. Limiter les tentatives infructueuses peut également aider à détecter toute activité suspecte sur votre site Web.
La plupart des utilisateurs n'ont besoin que d'un seul essai ou de quelques essais infructueux ; par conséquent, les adresses IP suspectes qui atteignent la limite de tentatives doivent être évitées.
L'utilisation d'un plugin est une méthode pour limiter les tentatives de connexion et ainsi augmenter la sécurité de WordPress. Vous pouvez utiliser le plugin WordPress Login lockDown pour cela.
10. Désactiver l'édition de fichiers
WordPress dispose d'un éditeur de code intégré qui vous permet de modifier vos fichiers de thème et de plug-in directement depuis la zone d'administration de WordPress. Cette fonctionnalité peut être un problème de sécurité entre de mauvaises mains, c'est pourquoi nous vous recommandons de la désactiver.
Vous pouvez le faire en insérant le code suivant dans votre fichier wp-config.php . // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
11. Activer l'authentification à deux facteurs
La méthode d'authentification à deux facteurs exige que les utilisateurs se connectent à l'aide d'un processus d'authentification en deux étapes.
La première étape consiste à saisir votre nom d'utilisateur et votre mot de passe, et la seconde consiste à vous authentifier à l'aide d'un autre appareil ou d'une autre application.
La plupart des principales plateformes en ligne, telles que Google, Facebook et Twitter, vous permettent de l'activer pour vos comptes. Vous pouvez facilement inclure la même fonctionnalité dans votre site WordPress.
Vous pouvez utiliser les plugins WordPress Google Authenticator ou Two Factor Authentication pour cela.
12. Changer le préfixe de base de données WordPress par défaut
La base de données WordPress contient et conserve toutes les informations nécessaires au fonctionnement de votre site Web.
Par conséquent, les pirates utilisent couramment des attaques par injection SQL pour cibler la base de données. Cette méthode injecte des logiciels malveillants dans la base de données, permettant aux attaquants de contourner la sécurité de WordPress et d'obtenir le contenu de la base de données.
L'injection SQL est utilisée dans environ la moitié de toutes les cyberattaques, ce qui en fait l'une des menaces les plus critiques.
Les pirates effectuent ce piratage car de nombreux utilisateurs ne parviennent pas à modifier le préfixe de base de données par défaut wp_ . C'est pourquoi nous recommandons de le changer.
13. Désactiver l'indexation et la navigation dans les répertoires
Les pirates peuvent utiliser la navigation dans les répertoires pour voir si vous avez des fichiers avec des vulnérabilités connues, puis exploiter ces fichiers pour obtenir l'accès.
La navigation dans les répertoires peut également être utilisée par l'utilisateur pour consulter vos fichiers, copier des images, connaître la structure de vos répertoires et obtenir d'autres informations.
Par conséquent, il est fortement conseillé de désactiver l'indexation et la navigation dans les répertoires.
Vous devez vous connecter à votre site Web via FTP ou le gestionnaire de fichiers dans cPanel. Ensuite, dans le répertoire racine de votre site Web, recherchez le fichier .htaccess .
Ensuite, en bas du fichier .htaccess , ajoutez la ligne suivante :
Options -Indexes
N'oubliez pas d' enregistrer et de télécharger le fichier .htaccess sur votre site.
14. Désactiver XML-RPC
XML-RPC est activé par défaut dans WordPress 3.5 car il aide à la connexion de votre site WordPress avec des applications Web et mobiles.
En raison de sa nature puissante, XML-RPC peut augmenter considérablement les attaques par force brute.
Par exemple, si un pirate voulait essayer 100 mots de passe différents sur votre site Web, il devrait faire 100 tentatives de connexion distinctes, que le plugin de verrouillage de connexion intercepterait et rejetterait.
Cependant, avec XML-RPC, un pirate peut utiliser la fonction system.multicall pour essayer des milliers de mots de passe différents avec seulement 20 ou 50 requêtes.
15. Déconnectez automatiquement les utilisateurs inactifs
De nombreuses personnes oublient de se déconnecter du site Web et leurs sessions continuent de fonctionner.
Par conséquent, quelqu'un d'autre qui utilise le même appareil pourra accéder à ses comptes d'utilisateurs et peut-être abuser des informations personnelles. C'est particulièrement pour les personnes qui utilisent des ordinateurs publics dans des endroits comme les cybercafés ou les bibliothèques.
Par conséquent, il est essentiel de configurer votre site Web WordPress de manière à ce que les utilisateurs inactifs soient immédiatement déconnectés.
La plupart des sites Web bancaires utilisent cette stratégie pour empêcher les utilisateurs indésirables d'accéder à leurs sites, garantissant ainsi la sécurité des informations de leurs clients.
L'une des méthodes les plus simples pour déconnecter automatiquement les comptes d'utilisateurs inactifs consiste à utiliser un plugin de sécurité WordPress comme Inactive Logout. En plus de mettre fin aux utilisateurs inactifs, ce plugin peut envoyer un message personnalisé pour informer les utilisateurs inactifs que leur session de site Web est sur le point d'expirer.
16. Modifier l'URL de la page de connexion WordPress
Pour aller plus loin dans la sécurisation de votre site Web WordPress contre les attaques par force brute, envisagez de modifier l'URL de la page de connexion.
L'URL de connexion par défaut pour tous les sites WordPress est votredomaine.com/wp-admin . Les pirates peuvent facilement cibler votre page de connexion si vous utilisez l'URL de connexion par défaut.
Des plugins tels que WPS Hide Login et Change wp-admin Login permettent des paramètres d'URL de connexion personnalisés.
17. Cachez la version WordPress
Masquer votre version de WordPress soulève une fois de plus le sujet de la sécurité de WordPress dans l'obscurité. Moins il y a de personnes qui connaissent la configuration de votre site WordPress, mieux c'est. Si les pirates voient que vous avez une installation WordPress obsolète, cela pourrait être une indication bienvenue.
La version de WordPress est affichée par défaut dans l'en-tête du code source de votre site. Encore une fois, nous vous recommandons de garder votre installation WordPress à jour à tout moment, afin que vous n'ayez pas à vous en soucier.
Vous pouvez utiliser le code suivant pour supprimer la version de WordPress. Ajoutez-le simplement au fichier functions.php de votre thème WordPress. function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');
18. Mise à jour vers la dernière version de PHP
La mise à jour vers la dernière version de PHP est l'une des choses les plus cruciales que vous puissiez faire pour assurer la sécurité de votre site Web WordPress.
Lorsqu'une mise à niveau est prête, WordPress vous le dira via votre tableau de bord. Il vous redirigera ensuite vers votre compte d'hébergement, où vous pourrez effectuer une mise à niveau vers la version PHP la plus récente.
Si vous ne savez pas comment mettre à niveau votre compte d'hébergement, contactez votre développeur Web.
19. Effectuez des analyses de sécurité régulières
Si vous utilisez un plugin de sécurité WordPress, il analysera régulièrement votre site à la recherche de logiciels malveillants et de signaux de failles de sécurité.
Cependant, si vous constatez une diminution massive du trafic sur le site Web ou des classements de recherche, vous devez effectuer une analyse manuelle. Vous pouvez utiliser votre plugin de sécurité WordPress ou utiliser certains outils en ligne comme Sucuri SiteCheck ou IsItWP Security Scanner pour cela.
L'exécution de ces outils d'analyse en ligne est simple. Entrez simplement les URL de votre site Web et leurs robots d'exploration parcourront votre site Web à la recherche de virus connus et de code nuisible.
N'oubliez pas que la plupart des scanners de sécurité WordPress ne peuvent analyser que votre site. Ils sont incapables de supprimer les logiciels malveillants ou de nettoyer un site WordPress piraté.
20. Supprimer les plugins et thèmes WordPress inutilisés
Avoir des plugins et des thèmes inutilisés sur votre site peut être dangereux, surtout s'ils n'ont pas été mis à jour.
Les pirates peuvent utiliser des plugins et des thèmes obsolètes pour accéder à votre site, ce qui augmente le risque de cyberattaques.
21. Utilisez un thème WordPress sécurisé
Les thèmes WordPress annulés sont des copies illégales des thèmes premium originaux. La plupart du temps, ces thèmes sont vendus à un prix inférieur afin d'attirer les utilisateurs. Cependant, ils ont parfois plusieurs problèmes de sécurité.
Étant donné que les thèmes annulés sont publiés illégalement, leurs utilisateurs ne reçoivent aucune aide du développeur. Cela signifie que si votre site rencontre des problèmes, vous devrez trouver comment les résoudre et sécuriser vous-même votre site Web WordPress.
Pour éviter de devenir une cible de pirates, nous vous suggérons d'utiliser un thème WordPress du référentiel officiel ou d'un développeur réputé. Vous pouvez également rechercher des thèmes tiers sur des marchés de thèmes officiels tels que ThemeForest, qui propose des centaines de thèmes WordPress premium.
Sécurité du site Web WordPress : Réflexion finale
WordPress est un système de gestion de contenu populaire et robuste qui permet à quiconque de créer facilement un site Web. Cependant, parce qu'il est largement utilisé, il est devenu une cible populaire pour les pirates.
Heureusement, vous pouvez prendre plusieurs mesures pour sécuriser votre site WordPress. Cependant, gardez à l'esprit que vous n'êtes pas obligé de faire tout ce qui est indiqué ci-dessus. Si vous suivez les meilleures pratiques de base, vous serez loin devant la concurrence.
Après cela, faites ce que vous pouvez et vous sentez capable de faire. La sécurité est un effort continu, pas un événement ponctuel. Vous pouvez toujours faire plus, mais commencer est la chose essentielle.
C'est tout; nous espérons que notre article vous a aidé à apprendre les meilleurs conseils de sécurité WordPress pour sécuriser votre site Web WordPress. Si vous avez aimé cet article, vous voudrez peut-être aussi lire:
- Meilleurs plugins de sécurité WordPress pour protéger votre site
- Conseils SEO WordPress pour améliorer votre classement SEO
- Comment accélérer un site WordPress en 2022