Meilleure liste de contrôle de sécurité WordPress [Guide ultime]
Publié: 2022-04-22Si vous souhaitez sécuriser votre site WordPress, vous trouverez de nombreux conseils en ligne, dont certains sont bons, et d'autres carrément dommageables, quoique bien intentionnés.
En ce qui concerne la sécurité de WordPress, vous devez pouvoir faire confiance à vos sources et trouver des informations non seulement crédibles, mais également réalisables et applicables. Rien qu'en 2020, les attaques de logiciels malveillants ont augmenté de plus de 150 % et les chiffres ne semblent pas ralentir de si tôt. Par conséquent, la sécurisation de votre site WordPress doit être votre priorité numéro un.
La meilleure façon de sécuriser votre site WordPress est d'installer un plugin de sécurité et de le laisser gérer le gros du travail. Mais même sans un, vous pouvez toujours sécuriser votre site Web dans une large mesure en suivant la liste de contrôle de sécurité WordPress décrite ci-dessous.
TL; DR : Sécurisez votre site WordPress avec MalCare et évitez la maintenance régulière liée à la sécurité. La sécurité de WordPress est un labyrinthe de lacunes que vous devez corriger. Reportez-vous à notre liste de contrôle de sécurité WordPress pour vous assurer de ne rien manquer de crucial.
La méthode la plus simple pour sécuriser votre site WordPress
Comme nous l'avons dit, la meilleure façon de sécuriser votre site WordPress est d'utiliser un plugin de sécurité, en particulier MalCare. MalCare s'occupe non seulement de la liste de contrôle de sécurité WordPress automatiquement, mais il le fait sans que vous ayez à vous soucier de garder une trace de chaque petit détail.
MalCare dispose de plusieurs fonctionnalités qui fonctionnent ensemble pour assurer la sécurité de votre site. Mais ses trois principales fonctionnalités garantissent que votre site reste exempt de logiciels malveillants : analyse, pare-feu et nettoyages. Avec MalCare, vous pouvez programmer des analyses automatisées sur votre site WordPress et recevoir des alertes si quelque chose de suspect est détecté. MalCare protège également votre site avec un pare-feu intelligent qui empêche la plupart des attaques. Et surtout, si votre site devait être piraté, étant donné qu'aucun site ne peut être infaillible, MalCare nettoie votre site en quelques minutes d'un simple clic sur un bouton.
Une autre raison pour laquelle vous devriez opter pour MalCare est qu'avec des mesures de sécurité manuelles, il y a toujours un risque d'erreur humaine. Mais les erreurs de sécurité peuvent vous coûter plus que quelques dollars. Si les piratages s'aggravent, ils peuvent entraîner le vol de données, la dégradation de sites Web, la perte de clients et, surtout, la perte de confiance dont souffre votre entreprise.
La liste de contrôle ultime de la sécurité WordPress
Il y a tellement d'éléments dans un site WordPress que garder une trace de tout peut devenir écrasant. Nous avons compilé pour vous une liste de contrôle de sécurité WordPress basée sur la fréquence de temps dont vous avez besoin pour vous occuper de la tâche.
Pour la sécurité au quotidien
La sécurité du site Web est un processus constant et ne peut pas être un engagement ponctuel. Mais il existe des moyens d'automatiser les tâches quotidiennes. Ces tâches garantissent que votre site est protégé contre tout problème ou menace imprévus.
Analysez votre site
Il est important d'analyser quotidiennement votre site à la recherche de logiciels malveillants. Un site Web est piraté toutes les 38 secondes sur Internet, et il y a de fortes chances que vous en fassiez partie. L'analyse régulière de votre site garantit que vous êtes le premier à connaître les menaces ou les logiciels malveillants sur votre site et vous aide à prendre des mesures avant que l'attaquant ne cause des dommages à votre site.
Si l'analyse manuelle de votre site tous les jours vous semble fastidieuse, vous pouvez opter pour une solution de sécurité comme MalCare, qui vous permet de programmer des analyses automatisées quotidiennement, de sorte que vous n'ayez pas à vous soucier de manquer une analyse ou d'avoir à les exécuter personnellement. .
Sauvegardez votre site Web
Il existe plusieurs raisons pour lesquelles vous devriez sauvegarder votre site Web WordPress, mais la plus importante d'entre elles est la sécurité. S'ils ne sont pas détectés à temps, les logiciels malveillants peuvent causer des ravages sur votre site WordPress et entraîner par conséquent une perte de données ou une dégradation du site Web. Souvent, les hébergeurs suppriment les sites de leurs serveurs s'ils sont infectés, et à moins que vous n'ayez une sauvegarde indépendante de votre site, vous devrez recommencer à zéro.
Il est important de sauvegarder quotidiennement les sites Web de grande valeur, afin que rien d'important ne soit perdu. Cela est particulièrement vrai pour les sites WooCommerce qui nécessitent des sauvegardes en temps réel. Une solution pratique comme BlogVault peut rendre ce processus très facile. BlogVault vous permet de planifier des sauvegardes quotidiennes ou en temps réel, selon vos besoins, et stocke ces sauvegardes sur un serveur externe afin que même si le serveur de votre site Web est piraté, les sauvegardes restent sécurisées.
Pour une sécurité mensuelle
Vérifier le journal d'activité
Les piratages et l'installation de logiciels malveillants, de logiciels publicitaires ou d'autres types de programmes malveillants se produisent généralement en secret. Souvent, la seule trace visible se trouve dans le journal d'activité de votre site, un enregistrement chronologique des activités effectuées et des modifications apportées. Par conséquent, il est judicieux d'effectuer une vérification mensuelle du journal d'activité de votre site pour rechercher toute incohérence ou activité suspecte. Cela peut vous aider à retracer un certain nombre de détails importants au cas où votre site serait piraté, comme les adresses IP impliquées et comment cela a pu se produire.
Si le vôtre est un site à forte production, c'est-à-dire que vous publiez du contenu quotidiennement ou hebdomadairement, consulter le journal d'activité une fois par mois peut devenir écrasant car il y a beaucoup de changements sur le site. Dans ce cas, vous pouvez consulter le journal d'activité une fois par semaine ou une fois par quinzaine.
WordPress n'offre pas de journal d'activité par défaut, vous devrez donc vous fier à un plugin pour cela. Alternativement, MalCare vous fournit un journal d'activité détaillé et facile à comprendre ainsi qu'une sécurité WordPress complète.
Mettre à jour votre site Web
Idéalement, vous devriez mettre à jour votre site WordPress dès que de nouvelles mises à jour sont publiées, mais effectuer des mises à jour mensuelles fonctionne également. En respectant un calendrier de mise à jour mensuel, vous pouvez être sûr que votre site est bien protégé et que toute nouvelle vulnérabilité est corrigée.
Les mises à jour sont souvent effrayantes car elles sont connues pour casser des sites. Mais si vous utilisez un plugin comme BlogVault, vous pouvez tester vos mises à jour sur un site intermédiaire et fusionner les modifications de manière transparente avec votre site en ligne.
Vérifiez la console de recherche
L'ajout de votre site WordPress à la console de recherche de Google présente un certain nombre d'avantages liés au référencement, mais cela peut également contribuer à la sécurité de votre site. La console de recherche de Google comporte un onglet Problèmes de sécurité qui signale tout logiciel malveillant détecté sur votre site. Par conséquent, le vérifier de temps en temps peut vous aider à détecter les logiciels malveillants.
Si vous scannez régulièrement votre site avec MalCare, vous aurez déjà détecté le malware sur votre site. Mais c'est toujours une bonne pratique de voir si Google pense qu'il y a une activité suspecte en cours sur votre site.
Supprimer les thèmes et plugins inutilisés
La suppression des thèmes et plugins anciens et inutilisés a deux objectifs. La première consiste à accélérer votre site, car trop de fichiers peuvent entraîner des ralentissements et des ralentissements du serveur. La seconde est de s'assurer que votre site ne peut pas être attaqué par eux. Les thèmes et plugins inutilisés sont souvent ignorés et non mis à jour, créant des vulnérabilités dont il est facile de profiter. Assurez-vous donc d'effectuer une vérification mensuelle de tous les thèmes et plugins que vous utilisez et supprimez ceux qui ont servi leur objectif.
Remarque : Vérifiez également s'il y a de faux plugins sur votre site. Les logiciels malveillants sont souvent cachés sous la forme d'un dossier de plugins, mais les faux plugins n'ont qu'un ou deux fichiers, ne peuvent pas être localisés sur le référentiel WordPress et ont des noms bizarres comme « azzz » ou « tiff ».
Mettre à jour vos identifiants
Utiliser les mêmes identifiants pendant trop longtemps ou les réutiliser sur plusieurs comptes est un risque majeur. Pour protéger votre site WordPress, mettez à jour vos mots de passe au moins une fois par mois. Cela garantit qu'un pirate informatique qui pourrait avoir acquis votre mot de passe ne peut pas l'utiliser, et cela vous déconnecte également de votre compte sur tous les appareils. Bien que légèrement gênant, cela garantit que vous pouvez contrôler l'accès à votre site Web.
Vérifier les rôles et privilèges des utilisateurs
Les comptes d'utilisateurs sur votre site WordPress sont aussi importants que le compte administrateur. Si un pirate informatique accède à n'importe quel compte, il peut infecter votre site, mettre à niveau ses privilèges de rôle et même vous empêcher d'accéder à votre propre site.
Assurez-vous que chaque utilisateur du site ne dispose que des privilèges nécessaires et que les anciens comptes d'utilisateurs sont supprimés. Vérifiez également si des privilèges d'utilisateur ont été augmentés sans votre autorisation, cela pourrait être un signe de malware.
Bloquer les adresses IP malveillantes
Le blocage ou la restriction des adresses IP malveillantes peut vous faciliter considérablement la vie. Si vous êtes piraté, vous pouvez retracer l'adresse IP à partir de laquelle il se produit et simplement le bloquer. Cela empêche toute personne possédant cette adresse IP d'accéder à votre site. Cette méthode est utilisée pour lutter contre les pirates, arrêter les robots ou les trolls et empêcher les utilisateurs non autorisés d'entrer. Si vous utilisez un pare-feu, il bloquera automatiquement les adresses IP malveillantes pour vous.
Vous pouvez également bloquer une zone géographique entière, si vous subissez des attaques répétées en provenance de la région.
Testez vos sauvegardes
Si le pire devait arriver et que votre site WordPress tombe en panne, vous pouvez compter sur vos sauvegardes pour le remettre en marche. Mais vous devez également vous assurer que vos sauvegardes sont sécurisées. Dans le cas où vos sauvegardes ont déjà été piratées, les restaurer sera inutile. De même, vous devez également tester s'ils sont fonctionnels, sinon vous restaurerez un site défectueux. Vous pouvez facilement tester vos sauvegardes si vous utilisez BlogVault et vous assurer qu'elles sont fiables.
Mettre à jour les sels WordPress
WordPress utilise des sels dans le cadre de son processus de cryptage. Un sel est une chaîne de caractères aléatoire qui est ajoutée à un mot de passe avant le chiffrement. La chaîne résultante est un hachage, et c'est ce qui est stocké dans la base de données. De cette façon, si un pirate est capable d'extraire les mots de passe hachés de la base de données ET de les décrypter, il ne sait toujours pas quelle partie du mot de passe est réellement le mot de passe et quel est le sel. La seule façon pour eux de le savoir est d'avoir accès aux sels et aux clés de sécurité dans le fichier de configuration.
Cela ressemble à la façon dont les mots de passe sont stockés dans les cookies du navigateur. La raison pour laquelle vous pouvez rester connecté à n'importe quel site est que les informations de session sont stockées dans des cookies. Mais si des mots de passe en clair y étaient stockés, ce serait dangereux. WordPress stocke donc la version salée et hachée à la place. Avoir accès au sel ne signifie pas que vous pouvez déchiffrer les hachages, mais cela réduit le niveau de sécurité. Par conséquent, il est important de mettre à jour périodiquement vos sels WordPress.
Pour une sécurité à long terme
Vérifier SSL
SSL est un protocole de sécurité conçu pour crypter toute communication vers et depuis le serveur de votre site Web. Cela empêche les attaquants d'accéder, de lire ou de modifier les informations en cours de transfert.
Habituellement, vous sécurisez votre site avec SSL lors de l'obtention de votre domaine ou de votre plan d'hébergement. Cependant, les certificats SSL expirent environ tous les deux ans et vous devez vous assurer qu'ils sont renouvelés au plus tôt. Ceci est doublement important si les utilisateurs effectuent des transactions sur votre site Web, car toute faille de sécurité peut entraîner la fuite des détails de la carte de crédit ou des détails du compte bancaire.
Vérifiez les plans d'hébergement
Si vous oubliez de renouveler votre plan d'hébergement à temps, votre compte WordPress sera suspendu. Cela peut causer un certain nombre de problèmes. Le trafic de votre site en prendra un coup, vous perdrez des clients et vous pourriez même finir par perdre des données. La vérification régulière de vos services d'hébergement vous permet également d'analyser le trafic de votre site et l'utilisation du serveur. Une utilisation trop élevée du serveur est un symptôme courant d'une attaque par force brute, et attraper ces attaques plus tôt a une meilleure chance de les arrêter. Lorsque vous êtes alerté tôt d'une attaque par force brute, vous pouvez agir et sécuriser votre site avant que les pirates n'y accèdent.
Mesures ponctuelles pour une sécurité totale
Bien que la sécurité de WordPress doive être constamment revue, il existe certaines mesures que vous pouvez prendre une fois et ne pas avoir à mettre à jour en permanence.
Investissez dans un pare-feu puissant
Un pare-feu protège votre site WordPress en filtrant le trafic malveillant et en arrêtant la plupart des attaques avant qu'elles ne puissent infecter votre site Web. Il existe plusieurs types de pare-feu, comme les pare-feu d'applications Web, les pare-feu de réseau ou les pare-feu basés sur le cloud. Un pare-feu d'application Web puissant tel que celui de MalCare vous permet de filtrer le trafic de votre site Web et de bloquer les visiteurs en fonction du nombre de tentatives de connexion ou de l'emplacement géographique.
Implémenter l'authentification HTTP
L'authentification HTTP est un protocole qui autorise l'accès à une ressource Web uniquement à ceux qui sont censés y accéder. L'authentification HTTP limite l'accès en demandant un nom d'utilisateur et un mot de passe lorsqu'une certaine page Web est demandée. Évidemment, vous ne pouvez pas le faire pour l'ensemble de votre site Web, mais l'implémenter pour votre tableau de bord d'administration ou votre page de connexion peut réduire considérablement le nombre d'attaques de bots.
Utiliser l'authentification à deux facteurs
L'authentification à deux facteurs est une méthode qui oblige un utilisateur à présenter deux clés distinctes pour accéder à un compte. Par exemple, si vous essayez d'accéder à votre courrier électronique, vous devez généralement fournir le nom d'utilisateur et le mot de passe, mais lorsque vous implémentez l'authentification à deux facteurs, vous devrez également fournir une clé créée en temps réel, telle qu'une clé. -temps mot de passe ou code PIN. Cela réduit le nombre de tentatives de connexion et ne submerge pas le serveur de votre site Web avec des demandes de connexion. Il protège également votre site Web contre les attaques par force brute. Vous pouvez utiliser un plugin comme 2FA pour activer l'authentification à deux facteurs pour votre site.
Limiter les tentatives de connexion
Nous avons déjà parlé de la façon dont les tentatives de connexion doivent être limitées. WordPress, par défaut, autorise des tentatives de connexion illimitées, ce qui offre aux pirates une excellente occasion d'essayer d'accéder à votre compte WordPress avec des attaques par force brute. Le moyen le plus simple de limiter les tentatives de connexion consiste à utiliser un plugin de sécurité comme MalCare, ou vous pouvez ajouter un code personnalisé à votre fichier function.php.
Désactiver XML-RPC
Semblable à l'API WP REST, XML-RPC est une fonctionnalité WordPress qui vous permet de publier du contenu à distance. Il est utile si vous utilisez l'application WordPress ou si vous avez besoin d'activer les rétroliens et les pingbacks, mais sinon, il peut être exploité par des pirates pour accéder à votre site par le biais d'attaques par force brute. La solution la plus simple ici est de le désactiver avec un plugin ou manuellement.
Désactiver la navigation dans le répertoire
Lorsque votre serveur ne trouve pas de fichier d'index pour un site Web, il affiche un index du contenu du répertoire. Si un pirate peut accéder à ces informations, il peut vérifier si vous avez des fichiers vulnérables sur votre site Web. Cela expose votre site Web à des risques de sécurité majeurs.
Pour éviter cela, vous pouvez désactiver la navigation dans les répertoires en ajoutant une ligne de code à votre fichier .htaccess. Suivez ces étapes pour désactiver la navigation dans les répertoires sur votre site WordPress.
- Téléchargez le fichier .htaccess sur votre site via un client FTP.
- Ouvrez le fichier et ajoutez le code suivant au bas du fichier :
Options Tous -Index
- Maintenant, enregistrez le fichier et téléchargez-le à nouveau. Vous devrez d'abord supprimer le fichier d'origine de votre site.
Restreindre les autorisations de fichiers
Les autorisations de fichiers sur votre site déterminent qui peut accéder à quelles parties de votre site et qui peut les modifier. Habituellement, votre hébergeur configure toutes ces informations pour vous. Mais c'est toujours une bonne pratique de comprendre les autorisations de fichiers et de s'assurer qu'elles sont configurées de manière optimale.
Si vous souhaitez comprendre le fonctionnement des autorisations de fichiers et comment vous pouvez les optimiser pour la sécurité de votre site, consultez notre guide détaillé et adapté aux débutants.
Masquer le fichier wp-config
Le fichier wp-config sur votre site Web contient de nombreuses informations sensibles telles que des mots de passe, des clés et des sels. Si des pirates accèdent au fichier, ce sera comme leur dérouler un tapis rouge sur le site Web. Le fichier wp-config se trouve par défaut dans le dossier public_html, afin que les pirates sachent où le chercher. Mais vous pouvez changer l'emplacement du fichier, et il fonctionne toujours aussi bien, tout en masquant efficacement les informations sensibles.
Désactivation de l'exécution de PHP dans des dossiers spécifiques
Les pirates peuvent télécharger des fichiers PHP sur votre site déguisés en fichiers WordPress principaux et accéder à votre site. Certains dossiers comme wp-uploads ne devraient pas du tout contenir de fichiers PHP. Alors que faites-vous dans ce cas ?
Vous pouvez désactiver l'exécution de PHP dans ces dossiers afin que même si les pirates parviennent à accéder à ces fichiers par des portes dérobées, ils ne puissent pas accéder à votre site.
Pourquoi la sécurité du site Web est importante
WordPress est une plateforme sécurisée, mais elle est très populaire et attire toutes sortes d'attentions. dont certains sont néfastes. Afin de vous assurer que les pirates ne peuvent pas accéder à votre site, vous devez vous assurer que la sécurité de votre site Web est à jour, sinon vous pourriez faire face à des conséquences désastreuses telles que :
- Perte de clients
- Perte de données
- Identifiants privés divulgués
- Perte de revenus
- Probleme juridique
- Coup à la réputation de la marque
- Perte de confiance
Dernières pensées
La sécurité de WordPress n'est pas un mystère. Si vous prenez quelques mesures pour sécuriser votre site, vous pourrez repousser les attaques et les logiciels malveillants et éviter tout dommage. Nous espérons que cette liste de contrôle de sécurité WordPress vous aidera à renforcer vos mesures de sécurité.
Si vous voulez une solution sans tracas qui ne compromet pas votre sécurité, MalCare est la seule option. Avec des analyses automatisées, un pare-feu avancé et des nettoyages en un clic, MalCare est une solution à 360 degrés qui protège votre site.
FAQ
Comment sécuriser mon site WordPress ?
La méthode la plus simple pour sécuriser votre site WordPress consiste à installer un plugin de sécurité comme MalCare. MalCare analyse votre site Web tous les jours pour s'assurer que votre site Web est sûr et protège votre site Web avec son pare-feu avancé. Il propose également un nettoyage en un clic en cas de piratage.
WordPress a-t-il des problèmes de sécurité ?
WordPress est une plate-forme sécurisée utilisée par plus de la moitié des sites Web sur Internet. Cependant, c'est à cause de cette popularité qu'il attire l'attention des pirates. Vous pouvez sécuriser votre site WordPress avec un plugin de sécurité pour vous assurer que votre site est à l'abri de ces éléments.
Comment sécuriser mon site WordPress sans plugins ?
Si vous souhaitez sécuriser votre site sans utiliser de plugins, vous devez effectuer régulièrement plusieurs contrôles de sécurité. Vous devrez effectuer des analyses de site, effectuer des sauvegardes, rechercher un comportement suspect dans le journal d'activité du site et nettoyer manuellement tout logiciel malveillant que vous pourriez détecter. La liste des façons dont les pirates peuvent accéder à votre site est interminable, et la seule façon de sécuriser votre site sans avoir à être constamment en alerte est d'utiliser un plugin de sécurité.