Comment protéger votre site Web WordPress [Le seul guide dont vous aurez besoin]
Publié: 2021-08-05
Les utilisateurs de WordPress ont tendance à passer beaucoup de temps sur la conception, le contenu et l'optimisation de leur site Web, mais oublient souvent un facteur essentiel : la sécurité du site Web. Bien que cela puisse sembler une question ennuyeuse pour les personnes qui ne sont pas des développeurs, la sécurité de votre WordPress est un élément essentiel de la gestion de votre entreprise.
Pourquoi pouvez-vous demander?
Explorons cette question ensemble.
Beaucoup de gens ignorent ces informations parce qu'ils n'ont jamais eu affaire à un site Web piraté et qu'ils ne peuvent donc tout simplement pas imaginer les tracas, le temps et les efforts que cela peut causer.
Tout d'abord, si vous exploitez une entreprise en ligne, ou du moins si vous gérez une partie de votre entreprise via le site Web, une attaque de pirate informatique arrêtera inévitablement votre processus de travail. Si vous possédez une boutique en ligne, vous ne pourrez pas vendre ; si vous prenez rendez-vous via votre site Web, vous ne pourrez pas le faire.
Pour les magasins en ligne à volume élevé, cela est particulièrement mauvais - non seulement vous ne pourrez pas vendre pendant un certain temps, mais vous risquez également de perdre des commandes. Les sauvegardes de sites Web sont généralement créées une fois par jour, et si vous êtes piraté des heures après l'avoir fait, toutes les commandes passées entre-temps seront perdues.
Si votre site Web est opérationnel, il est possible qu'un piratage ait eu lieu - par exemple, des liens peuvent être injectés dans le code et pointer vers d'autres sites Web.
Si vous monétisez votre site Web via des publicités, vous pouvez faire remplacer vos publicités par les publicités de quelqu'un d'autre (et donc afficher des publicités dont vous ne tirerez aucun revenu).
Il existe de nombreux cas où votre site Web peut être compromis et il vous faudra des jours, voire des semaines, pour vous en rendre compte. Dans le scénario avec l'injection de lien de spam, cela peut affecter votre référencement (puisque Google n'aime pas du tout les liens de spam). Par conséquent, votre classement Google pourrait en pâtir et il vous faudra peut-être beaucoup de temps pour réparer ce genre de dommage.
Il y a aussi la question de la confiance des clients ; les gens s'inquiètent vraiment lorsqu'ils apprennent qu'un site Web qu'ils utilisent a été piraté.
L'utilisation de certificats SSL a évité les conséquences les plus graves telles que la fuite de numéros de carte de crédit, mais certaines données peuvent toujours être obtenues. Les utilisateurs peuvent associer une attaque de pirate sur votre site Web à une sécurité médiocre et décider de cesser complètement d'utiliser vos services.
Dans l'ensemble, si votre site Web est piraté, vous pouvez le réparer, mais protéger votre WordPress en premier lieu est une solution beaucoup plus simple.
Si une attaque a déjà eu lieu, vous pouvez utiliser un plugin pour analyser votre site Web, mais la plupart des plugins disponibles indiqueront simplement quel(s) fichier(s) a été modifié récemment, et vous devrez toujours tout nettoyer manuellement.
Une autre façon d'essayer de résoudre ce problème consiste à restaurer une sauvegarde de votre site Web. Ceci, cependant, n'est pas une solution garantie à 100%, surtout si vous n'êtes pas sûr du moment où votre WordPress a été piraté (et donc, quelle copie de sauvegarde est propre à coup sûr).
Vous pouvez également contacter une agence spécialisée qui propose la suppression des logiciels malveillants et une assistance technique ; ils agiront relativement rapidement et nettoieront votre WordPress pour vous, mais cela a bien sûr un coût.
Vous devez garder à l'esprit que même si vous réussissez à réparer les dégâts, cette situation peut se reproduire (et se reproduira probablement) si vous ne définissez pas une protection appropriée.
Votre meilleure chance ici est d'agir de manière préventive et de sécuriser votre site Web en adoptant une approche détaillée et complète de la protection.
mais qu'est ce que ça veut dire?
Alors, comment protégez-vous votre site WordPress ? Quelles mesures concrètes pouvez-vous prendre ? Nous sommes heureux que vous ayez demandé ! Continue de lire.
L'hébergement Web est généralement choisi par le biais d'une recommandation d'un ami, via l'agence qui a créé le site Web ou via une recherche en ligne.
Ce que les utilisateurs inexpérimentés recherchent souvent, c'est le prix le moins cher. Comme pour la plupart des choses dans la vie, cependant, un hébergement fiable et de haute qualité coûtera plus cher et vous offrira également plus. Les bons hébergeurs offrent de nombreuses fonctionnalités de sécurité qui pourraient faire la différence entre le fait que vous ayez ou non affaire à un site Web piraté.
D'un autre côté, les hébergeurs à bas prix feront des économies chaque fois qu'ils le pourront pour couvrir la différence, et malheureusement, la sécurité est un domaine qui souffre beaucoup.
Laissez-nous vous donner un exemple de certaines des fonctionnalités que nous mettons à la disposition de nos clients. Outre les options classiques telles que la protection DDoS, les certificats SSL et les pare-feu d'application Web, nous en avons quelques-unes qui amélioreront la sécurité de votre site Web.
L'un d'eux est Patchman, une application qui peut être extrêmement utile aux utilisateurs qui ne mettent pas automatiquement à jour leur WordPress. Patchman analyse votre installation et corrige toutes les vulnérabilités connues dans les fichiers principaux de WordPress et de nombreux plugins populaires. Plutôt que de mettre à jour automatiquement le logiciel pour corriger la vulnérabilité, ce qui pourrait entraîner des problèmes de dépendance de rupture de site, Patchman applique le correctif de sécurité à la version actuellement installée.
Vous pouvez être sûr que les correctifs appliqués se produiront en toute sécurité et sans endommager votre site Web.
Si vous optez pour un hébergement mutualisé, choisir un hébergement performant et sécurisé est impératif. De nombreuses entreprises proposent également un hébergement WordPress, qui est spécifiquement configuré pour WordPress et votre site fonctionnera généralement beaucoup mieux dessus.
Si vous avez un site Web à haut volume et que vous choisissez de mettre à niveau votre compte d'hébergement, optez pour le serveur dédié entièrement géré qui garantira un niveau de sécurité plus élevé, par opposition à son homologue moins cher (non géré).
Dans l'ensemble, faites des recherches approfondies sur l'hébergement Web et ne laissez pas le prix vous guider dans votre choix.
La raison pour laquelle cela se produit est due aux vulnérabilités découvertes par les pirates. Si vous souhaitez en savoir plus sur le sujet, nous vous recommandons cet article, mais pour résumer, les vulnérabilités sont des "trous" dans le code de l'application que vous utilisez. Il y a une bataille constante entre les pirates et les développeurs de logiciels, où les pirates trouvent et exploitent les failles de sécurité, et les développeurs cherchent à les corriger rapidement.
Comme d'autres applications CMS, WordPress passe par des cycles de mises à jour, dans lesquels de nouvelles fonctionnalités sont ajoutées, et les développeurs travaillent pour corriger toutes les vulnérabilités connues. Chaque année, il y a généralement 1 à 3 mises à jour majeures et de nombreuses mises à jour mineures, qui sont toutes essentielles pour la sécurité, car elles contiennent presque toujours des correctifs de sécurité.
Mais attendez - si vous avez quelque chose comme Patchman, pourquoi avez-vous encore besoin de mettre à jour ?
Patchman couvre les fichiers principaux de WordPress et certains des plugins les plus populaires, mais de nombreux plugins ne sont pas corrigés via l'application. Cela signifie que tous ces plugins, s'ils sont obsolètes, deviendront facilement un point d'entrée permettant aux pirates de faire ce qu'ils veulent sur votre site Web.
Garder votre WordPress à jour est assez facile.
Tout d'abord, toutes les versions après 5.6 (publiées en décembre 2020) ont des mises à jour automatiques activées, ce qui signifie que vous n'avez rien à faire. Si ce n'est pas le cas pour une raison quelconque (par exemple, votre développeur les a désactivés), vous pouvez activer vos mises à jour automatiques de plusieurs manières.
L'une est via Softaculous, l'application souvent utilisée par les utilisateurs de cPanel pour installer WordPress sur leurs serveurs. Le gestionnaire WordPress de Softaculous vous permet de configurer des mises à jour automatiques ; vous pouvez choisir de mettre à niveau automatiquement uniquement les mises à jour mineures ou les mises à jour majeures également.
Vous pouvez également choisir de mettre à jour automatiquement vos plugins et vos thèmes. Mieux encore, une sauvegarde sera nécessaire avant toute mise à niveau automatique au cas où il serait nécessaire de revenir en arrière.
Une autre option, si vous êtes un peu doué pour modifier votre code, consiste à utiliser la configuration native des mises à jour automatiques de WordPress - découvrez-en plus à ce sujet directement sur la base de connaissances de WordPress.
De nombreuses personnes utilisent le nom d'utilisateur "admin" car celui-ci apparaît par défaut lors de l'utilisation d'une application logicielle comme Softaculous pour installer votre WordPress.
N'utilisez pas le nom d'utilisateur par défaut , ce qui facilite les choses pour les pirates - choisissez un nom d'utilisateur différent, comme votre adresse e-mail. Si vous avez reçu un utilisateur déjà créé avec ce nom d'utilisateur, créez un nouvel administrateur et supprimez celui existant.
Il en va de même pour votre mot de passe ; plus c'est fort, mieux c'est. Choisissez un mot de passe long qui comprend des chiffres et des caractères spéciaux ou, mieux encore, générez-en un aléatoire.
Si vous craignez d'oublier votre mot de passe, essayez de trouver un système qui peut vous aider à vous en souvenir. Certaines personnes aiment utiliser une combinaison statique de caractères + le nom du site Web comme différenciateur ( Jack1990Apple !), d'autres optent pour des mots de passe associatifs.
Bien sûr, vous pouvez simplement enregistrer vos informations de connexion et ne pas vous soucier de savoir si vous vous en souviendrez ou non. N'utilisez pas votre navigateur pour stocker vos informations de connexion ! C'est une option assez dangereuse (et couramment utilisée).
Si vous souhaitez stocker vos informations de connexion afin de ne pas avoir à les saisir à chaque fois, utilisez un gestionnaire de mots de passe comme Lastpass - ils ont un plan gratuit et vos informations de connexion seront aussi sûres que possible. Avec le gestionnaire de mots de passe, vous devez vous souvenir d'un seul mot de passe (le mot de passe principal) et également stocker les détails de la carte de crédit.
Les clients du service d'hébergement partagé de Kualo sont également automatiquement protégés contre les attaques de connexion par force brute - avec des tentatives de force brute limitées et bloquées.
Cela signifie que même si les pirates ont vos informations de connexion exactes, ils ne pourront toujours pas se connecter sans cette authentification supplémentaire.
Vous pouvez installer un plugin tel que WP 2FA et forcer les autres utilisateurs de votre site Web à l'utiliser également (surtout s'ils ont des droits d'administrateur ou d'éditeur). N'oubliez pas de toujours télécharger vos codes de sauvegarde et de les stocker dans un emplacement sécurisé, au cas où vous perdriez l'accès à votre téléphone.
Quoi qu'il en soit, si vous le laissez ainsi, vous permettez aux pirates d'identifier plus facilement l'entrée de votre backend et de lancer une attaque par force brute.
Modifiez l'URL (slug) de votre page de connexion en utilisant un plugin tel que ThemeMyLogin ou recherchez un plugin de sécurité qui inclura plusieurs fonctionnalités que nous avons répertoriées (2FA, limiter les tentatives de connexion, etc.).
Il existe également un excellent article de WPBeginner sur la façon de modifier manuellement votre URL de connexion, mais si vous n'êtes pas à l'aise avec la gestion du code, il vaut mieux ne pas y aller.
D'autre part, chaque plugin que vous installez est un autre morceau de code qui doit être pris en charge (c'est-à-dire mis à jour). Une multitude de plugins augmente également le risque d'incompatibilité - c'est lorsque deux plugins ou plus ne peuvent pas fonctionner ensemble - vous devez donc éviter d'installer des plugins dont vous pouvez vous passer.
Certains des meilleurs plugins de sécurité combineront plusieurs fonctionnalités, comme mentionné ci-dessus, réduisant ainsi le nombre de plugins que vous devrez installer pour faire tout ce dont nous parlons. Voici quelques bons exemples :
Si plusieurs utilisateurs avec des droits d'administrateur travaillent sur votre site Web, c'est un excellent moyen de garder une trace de ce qui est fait.
Du point de vue de la sécurité, il peut vous montrer diverses informations qui peuvent être très utiles - des tentatives de connexion infructueuses aux modifications des fichiers et paramètres du site WordPress. Si vous êtes quelqu'un qui aime effectuer la maintenance de son propre site Web, cette fonctionnalité est indispensable.
Une option intéressante (et gratuite) est le journal d'activité WP, un plugin qui existe depuis des années et qui est également connu pour son journal détaillé et la simplicité de son interface.
Autrefois, un SSL était requis pour les sites Web qui devaient être sécurisés pour des transactions spécifiques telles que les paiements. De nos jours, cependant, peu importe que vous traitiez ou non des paiements sur votre site Web. SSL est obligatoire pour tout site Web qui traite des informations sensibles telles que des mots de passe, des noms, des adresses, etc.
Les mécanismes cachés sont les suivants : sans SSL sur votre site Web, toutes les données transférées entre le navigateur Web de l'utilisateur et votre serveur Web sont fournies en texte brut que les pirates peuvent lire.
Une fois que vous avez installé un SSL, les informations sensibles sont cryptées avant d'être transférées entre les deux parties - le navigateur Web de l'utilisateur et votre serveur, les protégeant des tiers aux intentions malveillantes.
Google a reconnu l'importance d'un certificat SSL il y a quelque temps et a commencé à afficher dans les premières positions des sites Web qui pourraient offrir un transfert crypté d'informations.
De plus, en 2018, Google a averti tous les propriétaires de sites Web que chaque site qui n'a pas de SSL actif serait affiché comme "Non sécurisé" dans l'URL. Cela fait du certificat SSL un must absolu ; la bonne nouvelle c'est qu'il est assez facile à obtenir, et en plus chez certains hébergeurs (dont Kualo !) un SSL est inclus gratuitement.
Souvent, lors de l'installation d'un nouveau thème/plugin ou lorsque vous travaillez activement sur votre site, quelque chose peut se casser, il est donc sans aucun doute indispensable d'avoir une sauvegarde en place.
Alors que la plupart des fournisseurs d'hébergement fiables auront ces sauvegardes quotidiennes définies pour vous, ce n'est pas une mauvaise idée d'apprendre à les faire manuellement ou d'utiliser un plugin de sauvegarde comme UpdraftPlus ou BackupBuddy. Les deux ont la possibilité de télécharger les sauvegardes de votre site Web sur des services cloud comme Amazon ou de les exporter localement.
Vous pouvez également utiliser la fonction Softaculous Backup qui est facilement accessible dans votre cPanel. La bonne nouvelle est qu'il offre un maximum de simplicité et qu'il est proposé sans frais supplémentaires. La mauvaise nouvelle est que, contrairement à ses homologues, il téléchargera les sauvegardes sur votre compte d'hébergement, il utilisera donc de l'espace disque et il sera également stocké au même endroit que le site Web lui-même. Si quelque chose devait arriver à votre compte (par exemple, supprimer des fichiers par accident ou une intrusion manuelle d'un pirate informatique), votre copie de sauvegarde pourrait également être compromise.
N'oubliez pas de toujours créer une copie de sauvegarde si vous prévoyez de travailler sur votre WordPress et que vous n'êtes pas sûr des résultats finaux !
Si vous exploitez un site Web de commerce électronique à fort trafic, les sauvegardes horaires peuvent être le meilleur choix pour vous. Comme mentionné précédemment, les sites Web qui génèrent beaucoup de commandes peuvent subir des pertes importantes s'ils doivent restaurer une sauvegarde effectuée plusieurs heures plus tôt.
Vous pouvez le faire en ajoutant un morceau de code à votre fichier wp-config.php :
Vous pouvez le faire en ouvrant un éditeur de texte comme le Bloc-notes et en collant ce code :
<Fichiers *.php>
refuser de tous
</Fichiers>
Enregistrez ce fichier sous .htaccess et téléchargez-le dans les dossiers /wp-content/uploads/ de votre site Web à l'aide d'un client FTP ou via votre gestionnaire de fichiers dans cPanel.
Par exemple, si un pirate voulait essayer 1000 mots de passe différents sur vos sites Web, il devrait faire 1000 tentatives de connexion distinctes qui seront interceptées par votre plugin de sécurité ou votre pare-feu. Cependant, si vous laissez XML-RPC activé, un pirate pourrait utiliser la fonction system.multicall et essayer 1000 mots de passe différents avec 30 à 60 requêtes.
C'est pourquoi nous vous recommandons fortement de le désactiver, et vous pouvez le faire en ajoutant simplement un code dans votre fichier .htaccess :
À la ligne 5, vous devez insérer votre propre adresse IP si c'est la seule dont vous souhaitez conserver XML-RPC (sinon, supprimez-la simplement).
Remarque : Si vous êtes l'un de nos utilisateurs, il n'est pas nécessaire d'effectuer cette étape, car votre XMLRPC sera protégé par la fonction Brute Force Protection de LiteSpeed.
Une excellente façon de gérer cela est d'empêcher les bots abusifs d'accéder à votre WordPress. Insérez le code suivant dans le fichier .htaccess.
Donnez à l'un des utilisateurs de votre site Web le moins d'accès possible. Si vous avez un rédacteur de contenu, par exemple, il n'est pas nécessaire de lui fournir un compte administrateur - un utilisateur de l'éditeur fera très bien l'affaire. Ne partagez pas votre compte à moins que ce ne soit absolument nécessaire, et si vous le faites, changez votre mot de passe dès que la personne à qui vous l'avez donné n'en a plus besoin.
Ne partagez pas non plus les détails de votre hébergement, sauf si cela est absolument nécessaire.
N'utilisez pas de thèmes et de plugins WordPress annulés (téléchargés illégalement)
À un moment donné, il peut devenir tentant d'économiser de l'argent et de télécharger un plugin ou un thème sans licence. Dans ce cas, vous paierez d'une autre manière - très probablement en positionnant une porte dérobée sur votre WordPress. Les pirates cachent souvent des liens de spam ou des codes malveillants dans les éléments sans licence et les proposent en téléchargement gratuit.
Évitez-les à tout prix et si vous commandez un site Web ou une fonctionnalité, assurez-vous de confirmer auprès du développeur que tout est correctement licencié.
Trouvez-vous certains des conseils offerts difficiles à suivre? Avons-nous oublié quelque chose d'important ? Envoyez-nous un ping dans les commentaires, nous aimerions connaître votre avis !
Ou si vous êtes prêt à passer à l'hébergement WordPress super sécurisé de Kualo, consultez nos plans ici.
Pourquoi pouvez-vous demander?
Explorons cette question ensemble.
Pourquoi est-il important de protéger votre WordPress ?
Comme d'autres choses liées à la sécurité dans la vie, la sécurité des sites Web est un mal nécessaire. Habituellement, lorsque vous demandez à un développeur ou à une agence de créer un site Web pour vous, le sujet de la sécurité apparaît. Les experts savent de première main à quelle fréquence les sites Web sont piratés - en particulier les sites Web WordPress en raison de la popularité de la plate-forme. Ils vous conseilleront généralement de protéger votre site Web de diverses manières et peuvent recommander certaines pratiques de sécurité bien connues.Beaucoup de gens ignorent ces informations parce qu'ils n'ont jamais eu affaire à un site Web piraté et qu'ils ne peuvent donc tout simplement pas imaginer les tracas, le temps et les efforts que cela peut causer.
Tout d'abord, si vous exploitez une entreprise en ligne, ou du moins si vous gérez une partie de votre entreprise via le site Web, une attaque de pirate informatique arrêtera inévitablement votre processus de travail. Si vous possédez une boutique en ligne, vous ne pourrez pas vendre ; si vous prenez rendez-vous via votre site Web, vous ne pourrez pas le faire.
Pour les magasins en ligne à volume élevé, cela est particulièrement mauvais - non seulement vous ne pourrez pas vendre pendant un certain temps, mais vous risquez également de perdre des commandes. Les sauvegardes de sites Web sont généralement créées une fois par jour, et si vous êtes piraté des heures après l'avoir fait, toutes les commandes passées entre-temps seront perdues.
Si votre site Web est opérationnel, il est possible qu'un piratage ait eu lieu - par exemple, des liens peuvent être injectés dans le code et pointer vers d'autres sites Web.
Si vous monétisez votre site Web via des publicités, vous pouvez faire remplacer vos publicités par les publicités de quelqu'un d'autre (et donc afficher des publicités dont vous ne tirerez aucun revenu).
Il existe de nombreux cas où votre site Web peut être compromis et il vous faudra des jours, voire des semaines, pour vous en rendre compte. Dans le scénario avec l'injection de lien de spam, cela peut affecter votre référencement (puisque Google n'aime pas du tout les liens de spam). Par conséquent, votre classement Google pourrait en pâtir et il vous faudra peut-être beaucoup de temps pour réparer ce genre de dommage.
Il y a aussi la question de la confiance des clients ; les gens s'inquiètent vraiment lorsqu'ils apprennent qu'un site Web qu'ils utilisent a été piraté.
L'utilisation de certificats SSL a évité les conséquences les plus graves telles que la fuite de numéros de carte de crédit, mais certaines données peuvent toujours être obtenues. Les utilisateurs peuvent associer une attaque de pirate sur votre site Web à une sécurité médiocre et décider de cesser complètement d'utiliser vos services.
Dans l'ensemble, si votre site Web est piraté, vous pouvez le réparer, mais protéger votre WordPress en premier lieu est une solution beaucoup plus simple.
Pouvez-vous réparer un WordPress piraté ?
Si vous n'êtes pas familier avec le processus, réparer un site Web WordPress piraté peut être assez difficile. Effacer le code infecté nécessite un type spécifique de connaissances. Contrairement à de nombreux autres problèmes techniques, il serait difficile pour Google de trouver une solution rapide en raison de la nature variable des attaques de pirates.Si une attaque a déjà eu lieu, vous pouvez utiliser un plugin pour analyser votre site Web, mais la plupart des plugins disponibles indiqueront simplement quel(s) fichier(s) a été modifié récemment, et vous devrez toujours tout nettoyer manuellement.
Une autre façon d'essayer de résoudre ce problème consiste à restaurer une sauvegarde de votre site Web. Ceci, cependant, n'est pas une solution garantie à 100%, surtout si vous n'êtes pas sûr du moment où votre WordPress a été piraté (et donc, quelle copie de sauvegarde est propre à coup sûr).
Vous pouvez également contacter une agence spécialisée qui propose la suppression des logiciels malveillants et une assistance technique ; ils agiront relativement rapidement et nettoieront votre WordPress pour vous, mais cela a bien sûr un coût.
Vous devez garder à l'esprit que même si vous réussissez à réparer les dégâts, cette situation peut se reproduire (et se reproduira probablement) si vous ne définissez pas une protection appropriée.
Votre meilleure chance ici est d'agir de manière préventive et de sécuriser votre site Web en adoptant une approche détaillée et complète de la protection.
mais qu'est ce que ça veut dire?
Alors, comment protégez-vous votre site WordPress ? Quelles mesures concrètes pouvez-vous prendre ? Nous sommes heureux que vous ayez demandé ! Continue de lire.
Étapes concrètes pour protéger votre site Web WordPress
1. Choisissez un bon fournisseur d'hébergement
Avant de vous concentrer sur d'autres mesures de sécurité, il est essentiel de choisir une base solide pour votre site Web. Travailler avec un bon fournisseur d'hébergement qui peut vous offrir plusieurs couches de sécurité est le moyen le plus simple de protéger votre site Web contre les futures cyberattaques. Le choix d'un fournisseur d'hébergement Web est rarement quelque chose que les gens planifient méticuleusement, surtout s'ils n'ont pas exploité d'entreprise en ligne depuis des années.L'hébergement Web est généralement choisi par le biais d'une recommandation d'un ami, via l'agence qui a créé le site Web ou via une recherche en ligne.
Ce que les utilisateurs inexpérimentés recherchent souvent, c'est le prix le moins cher. Comme pour la plupart des choses dans la vie, cependant, un hébergement fiable et de haute qualité coûtera plus cher et vous offrira également plus. Les bons hébergeurs offrent de nombreuses fonctionnalités de sécurité qui pourraient faire la différence entre le fait que vous ayez ou non affaire à un site Web piraté.
D'un autre côté, les hébergeurs à bas prix feront des économies chaque fois qu'ils le pourront pour couvrir la différence, et malheureusement, la sécurité est un domaine qui souffre beaucoup.
Laissez-nous vous donner un exemple de certaines des fonctionnalités que nous mettons à la disposition de nos clients. Outre les options classiques telles que la protection DDoS, les certificats SSL et les pare-feu d'application Web, nous en avons quelques-unes qui amélioreront la sécurité de votre site Web.
L'un d'eux est Patchman, une application qui peut être extrêmement utile aux utilisateurs qui ne mettent pas automatiquement à jour leur WordPress. Patchman analyse votre installation et corrige toutes les vulnérabilités connues dans les fichiers principaux de WordPress et de nombreux plugins populaires. Plutôt que de mettre à jour automatiquement le logiciel pour corriger la vulnérabilité, ce qui pourrait entraîner des problèmes de dépendance de rupture de site, Patchman applique le correctif de sécurité à la version actuellement installée.
Vous pouvez être sûr que les correctifs appliqués se produiront en toute sécurité et sans endommager votre site Web.
Si vous optez pour un hébergement mutualisé, choisir un hébergement performant et sécurisé est impératif. De nombreuses entreprises proposent également un hébergement WordPress, qui est spécifiquement configuré pour WordPress et votre site fonctionnera généralement beaucoup mieux dessus.
Si vous avez un site Web à haut volume et que vous choisissez de mettre à niveau votre compte d'hébergement, optez pour le serveur dédié entièrement géré qui garantira un niveau de sécurité plus élevé, par opposition à son homologue moins cher (non géré).
Dans l'ensemble, faites des recherches approfondies sur l'hébergement Web et ne laissez pas le prix vous guider dans votre choix.
2. Gardez votre WordPress à jour
C'est probablement le premier conseil que vous recevrez de votre développeur Web - gardez tout à jour ! De nombreux propriétaires de WordPress ignorent cela en règle générale, consciemment ou non, et deviennent la cible d'attaques malveillantes.La raison pour laquelle cela se produit est due aux vulnérabilités découvertes par les pirates. Si vous souhaitez en savoir plus sur le sujet, nous vous recommandons cet article, mais pour résumer, les vulnérabilités sont des "trous" dans le code de l'application que vous utilisez. Il y a une bataille constante entre les pirates et les développeurs de logiciels, où les pirates trouvent et exploitent les failles de sécurité, et les développeurs cherchent à les corriger rapidement.
Comme d'autres applications CMS, WordPress passe par des cycles de mises à jour, dans lesquels de nouvelles fonctionnalités sont ajoutées, et les développeurs travaillent pour corriger toutes les vulnérabilités connues. Chaque année, il y a généralement 1 à 3 mises à jour majeures et de nombreuses mises à jour mineures, qui sont toutes essentielles pour la sécurité, car elles contiennent presque toujours des correctifs de sécurité.
Mais attendez - si vous avez quelque chose comme Patchman, pourquoi avez-vous encore besoin de mettre à jour ?
Patchman couvre les fichiers principaux de WordPress et certains des plugins les plus populaires, mais de nombreux plugins ne sont pas corrigés via l'application. Cela signifie que tous ces plugins, s'ils sont obsolètes, deviendront facilement un point d'entrée permettant aux pirates de faire ce qu'ils veulent sur votre site Web.
Garder votre WordPress à jour est assez facile.
Tout d'abord, toutes les versions après 5.6 (publiées en décembre 2020) ont des mises à jour automatiques activées, ce qui signifie que vous n'avez rien à faire. Si ce n'est pas le cas pour une raison quelconque (par exemple, votre développeur les a désactivés), vous pouvez activer vos mises à jour automatiques de plusieurs manières.
L'une est via Softaculous, l'application souvent utilisée par les utilisateurs de cPanel pour installer WordPress sur leurs serveurs. Le gestionnaire WordPress de Softaculous vous permet de configurer des mises à jour automatiques ; vous pouvez choisir de mettre à niveau automatiquement uniquement les mises à jour mineures ou les mises à jour majeures également.
Vous pouvez également choisir de mettre à jour automatiquement vos plugins et vos thèmes. Mieux encore, une sauvegarde sera nécessaire avant toute mise à niveau automatique au cas où il serait nécessaire de revenir en arrière.
Une autre option, si vous êtes un peu doué pour modifier votre code, consiste à utiliser la configuration native des mises à jour automatiques de WordPress - découvrez-en plus à ce sujet directement sur la base de connaissances de WordPress.
3. Choisissez un nom d'utilisateur et un mot de passe forts
Les tentatives de piratage WordPress les plus courantes incluent l'utilisation d'informations de connexion volées. Nous parlons de la soi-disant attaque Brute Force - un type efficace et simple de cyber-attaques, où les pirates laissent un ordinateur essayer différentes combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce qu'ils trouvent les bons.De nombreuses personnes utilisent le nom d'utilisateur "admin" car celui-ci apparaît par défaut lors de l'utilisation d'une application logicielle comme Softaculous pour installer votre WordPress.
N'utilisez pas le nom d'utilisateur par défaut , ce qui facilite les choses pour les pirates - choisissez un nom d'utilisateur différent, comme votre adresse e-mail. Si vous avez reçu un utilisateur déjà créé avec ce nom d'utilisateur, créez un nouvel administrateur et supprimez celui existant.
Il en va de même pour votre mot de passe ; plus c'est fort, mieux c'est. Choisissez un mot de passe long qui comprend des chiffres et des caractères spéciaux ou, mieux encore, générez-en un aléatoire.
Si vous craignez d'oublier votre mot de passe, essayez de trouver un système qui peut vous aider à vous en souvenir. Certaines personnes aiment utiliser une combinaison statique de caractères + le nom du site Web comme différenciateur ( Jack1990Apple !), d'autres optent pour des mots de passe associatifs.
Bien sûr, vous pouvez simplement enregistrer vos informations de connexion et ne pas vous soucier de savoir si vous vous en souviendrez ou non. N'utilisez pas votre navigateur pour stocker vos informations de connexion ! C'est une option assez dangereuse (et couramment utilisée).
Si vous souhaitez stocker vos informations de connexion afin de ne pas avoir à les saisir à chaque fois, utilisez un gestionnaire de mots de passe comme Lastpass - ils ont un plan gratuit et vos informations de connexion seront aussi sûres que possible. Avec le gestionnaire de mots de passe, vous devez vous souvenir d'un seul mot de passe (le mot de passe principal) et également stocker les détails de la carte de crédit.
4. Limiter les tentatives de connexion
Une autre façon d'empêcher les attaques par force brute (encore une fois, ils essaieront de s'introduire en devinant vos coordonnées) consiste simplement à limiter le nombre de tentatives de connexion. Heureusement, c'est une chose assez facile à faire; installez simplement un plugin tel que Loginizer ou, si vous utilisez un plugin de sécurité, vérifiez s'il ne l'offre pas comme fonctionnalité.Les clients du service d'hébergement partagé de Kualo sont également automatiquement protégés contre les attaques de connexion par force brute - avec des tentatives de force brute limitées et bloquées.
5. Utilisez 2FA (authentification à deux facteurs)
L'authentification à deux facteurs est devenue une sorte d'étalon-or au cours des deux dernières années. En fait, de nombreux sites Web réputés obligeront leurs utilisateurs à mettre en œuvre 2FA sur leur compte comme l'un des moyens les plus fiables de le protéger. La façon dont cela fonctionne est qu'il faudra une authentification supplémentaire (généralement via votre téléphone) chaque fois que vous vous connectez à partir d'un appareil qui n'est pas reconnu.Cela signifie que même si les pirates ont vos informations de connexion exactes, ils ne pourront toujours pas se connecter sans cette authentification supplémentaire.
Vous pouvez installer un plugin tel que WP 2FA et forcer les autres utilisateurs de votre site Web à l'utiliser également (surtout s'ils ont des droits d'administrateur ou d'éditeur). N'oubliez pas de toujours télécharger vos codes de sauvegarde et de les stocker dans un emplacement sécurisé, au cas où vous perdriez l'accès à votre téléphone.
6. Modifiez l'URL de votre page de connexion
Tout comme le nom d'utilisateur "admin", un autre détail notoire de WordPress en matière d'accès à la connexion est sa page de connexion. Celui par défaut est soit "www.yourwebsite.com/wp-login.php" ou "www.yourwebsite.com/wp-admin"Quoi qu'il en soit, si vous le laissez ainsi, vous permettez aux pirates d'identifier plus facilement l'entrée de votre backend et de lancer une attaque par force brute.
Modifiez l'URL (slug) de votre page de connexion en utilisant un plugin tel que ThemeMyLogin ou recherchez un plugin de sécurité qui inclura plusieurs fonctionnalités que nous avons répertoriées (2FA, limiter les tentatives de connexion, etc.).
Il existe également un excellent article de WPBeginner sur la façon de modifier manuellement votre URL de connexion, mais si vous n'êtes pas à l'aise avec la gestion du code, il vaut mieux ne pas y aller.
7. Installez un plugin de sécurité
Au moment de la rédaction de cet article, il existe plus de 50 millions de plugins disponibles, gratuits et payants. Il serait dommage de ne pas profiter de la large base de plugins pouvant protéger votre installation des attaques malveillantes.D'autre part, chaque plugin que vous installez est un autre morceau de code qui doit être pris en charge (c'est-à-dire mis à jour). Une multitude de plugins augmente également le risque d'incompatibilité - c'est lorsque deux plugins ou plus ne peuvent pas fonctionner ensemble - vous devez donc éviter d'installer des plugins dont vous pouvez vous passer.
Certains des meilleurs plugins de sécurité combineront plusieurs fonctionnalités, comme mentionné ci-dessus, réduisant ainsi le nombre de plugins que vous devrez installer pour faire tout ce dont nous parlons. Voici quelques bons exemples :
- La sécurité Wordfence - une autre option répandue regorgeant de fonctionnalités. Idéal pour les utilisateurs de plusieurs sites Web via sa centrale Wordfence, le plugin vérifie WordPress pour plusieurs risques de sécurité tels que le code malveillant, les injections de spam et même les mauvaises URL
- WP Cerber Security - un excellent plugin proposant une puissante combinaison d'options, dont beaucoup sont recommandées dans cet article. En fait, c'est probablement l'un des plugins avec la liste la plus complète de fonctionnalités de sécurité.
- All in One WP Security - ce plugin est très populaire parmi les utilisateurs moins expérimentés techniquement, et il n'y a pas non plus de version payante, donc aucune restriction. Il nécessitera plus de configuration manuelle, mais sa simplicité assure une courbe d'apprentissage relativement plate.
8. Installez un plug-in de journal d'activité
C'est un conseil judicieux qui peut être utile à de nombreuses occasions. Le plug-in de journal d'activité enregistrera et affichera les journaux de toute activité effectuée par différents utilisateurs sur votre site Web. Considérez-le comme une sorte de caméra de vidéosurveillance, gardant un œil sur tout ce qui se passe sur votre site Web (au format texte, bien sûr !)Si plusieurs utilisateurs avec des droits d'administrateur travaillent sur votre site Web, c'est un excellent moyen de garder une trace de ce qui est fait.
Du point de vue de la sécurité, il peut vous montrer diverses informations qui peuvent être très utiles - des tentatives de connexion infructueuses aux modifications des fichiers et paramètres du site WordPress. Si vous êtes quelqu'un qui aime effectuer la maintenance de son propre site Web, cette fonctionnalité est indispensable.
Une option intéressante (et gratuite) est le journal d'activité WP, un plugin qui existe depuis des années et qui est également connu pour son journal détaillé et la simplicité de son interface.
9. Installez un certificat SSL
Cela devrait aller de soi, mais incluons cette recommandation pour être du bon côté.Autrefois, un SSL était requis pour les sites Web qui devaient être sécurisés pour des transactions spécifiques telles que les paiements. De nos jours, cependant, peu importe que vous traitiez ou non des paiements sur votre site Web. SSL est obligatoire pour tout site Web qui traite des informations sensibles telles que des mots de passe, des noms, des adresses, etc.
Les mécanismes cachés sont les suivants : sans SSL sur votre site Web, toutes les données transférées entre le navigateur Web de l'utilisateur et votre serveur Web sont fournies en texte brut que les pirates peuvent lire.
Une fois que vous avez installé un SSL, les informations sensibles sont cryptées avant d'être transférées entre les deux parties - le navigateur Web de l'utilisateur et votre serveur, les protégeant des tiers aux intentions malveillantes.
Google a reconnu l'importance d'un certificat SSL il y a quelque temps et a commencé à afficher dans les premières positions des sites Web qui pourraient offrir un transfert crypté d'informations.
De plus, en 2018, Google a averti tous les propriétaires de sites Web que chaque site qui n'a pas de SSL actif serait affiché comme "Non sécurisé" dans l'URL. Cela fait du certificat SSL un must absolu ; la bonne nouvelle c'est qu'il est assez facile à obtenir, et en plus chez certains hébergeurs (dont Kualo !) un SSL est inclus gratuitement.
10. Configurer les sauvegardes
Bien que les sauvegardes puissent ne pas fonctionner à 100 % si et quand vous devez résoudre un problème WordPress, elles constituent votre première ligne de défense. Une sauvegarde de site Web peut être utile non seulement en cas d'attaque de pirates informatiques, mais également en cas de problèmes techniques.Souvent, lors de l'installation d'un nouveau thème/plugin ou lorsque vous travaillez activement sur votre site, quelque chose peut se casser, il est donc sans aucun doute indispensable d'avoir une sauvegarde en place.
Alors que la plupart des fournisseurs d'hébergement fiables auront ces sauvegardes quotidiennes définies pour vous, ce n'est pas une mauvaise idée d'apprendre à les faire manuellement ou d'utiliser un plugin de sauvegarde comme UpdraftPlus ou BackupBuddy. Les deux ont la possibilité de télécharger les sauvegardes de votre site Web sur des services cloud comme Amazon ou de les exporter localement.
Vous pouvez également utiliser la fonction Softaculous Backup qui est facilement accessible dans votre cPanel. La bonne nouvelle est qu'il offre un maximum de simplicité et qu'il est proposé sans frais supplémentaires. La mauvaise nouvelle est que, contrairement à ses homologues, il téléchargera les sauvegardes sur votre compte d'hébergement, il utilisera donc de l'espace disque et il sera également stocké au même endroit que le site Web lui-même. Si quelque chose devait arriver à votre compte (par exemple, supprimer des fichiers par accident ou une intrusion manuelle d'un pirate informatique), votre copie de sauvegarde pourrait également être compromise.
N'oubliez pas de toujours créer une copie de sauvegarde si vous prévoyez de travailler sur votre WordPress et que vous n'êtes pas sûr des résultats finaux !
Si vous exploitez un site Web de commerce électronique à fort trafic, les sauvegardes horaires peuvent être le meilleur choix pour vous. Comme mentionné précédemment, les sites Web qui génèrent beaucoup de commandes peuvent subir des pertes importantes s'ils doivent restaurer une sauvegarde effectuée plusieurs heures plus tôt.
Plus d'étapes concrètes pour protéger votre site Web WordPress [Avancé]
Les conseils que vous trouverez dans cette section nécessitent des connaissances un peu plus avancées dans la gestion de votre WordPress et de la confiance pour écrire directement dans son code. Si vous ne vous sentez pas à l'aise pour suivre ces étapes, il est conseillé de consulter un développeur WordPress qui pourrait vous aider à les exécuter.11. Désactiver l'édition de fichiers
WordPress est livré avec un éditeur de code intégré, qui vous permet de modifier vos fichiers de thème et de plugins à partir de votre panneau d'administration. Si la mauvaise personne accède à votre panneau d'administration, cela pourrait constituer un énorme risque pour la sécurité. C'est pourquoi nous vous recommandons de désactiver cette fonctionnalité.Vous pouvez le faire en ajoutant un morceau de code à votre fichier wp-config.php :
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Désactiver l'exécution de fichiers PHP pour des répertoires WordPress spécifiques
Ajoutez une autre couche de protection en désactivant l'exécution des fichiers PHP dans les répertoires où ce n'est pas nécessaire. La raison pour laquelle vous voulez faire cela est que les pirates utilisent souvent la fonction pour télécharger des fichiers d'accès par porte dérobée ou des logiciels malveillants sur votre site WordPress. C'est une étape dangereuse si vous ne savez pas ce que vous faites car votre site peut cesser de fonctionner, alors soyez prudent ! Le répertoire que vous recherchez est /wp-content/uploads/Vous pouvez le faire en ouvrant un éditeur de texte comme le Bloc-notes et en collant ce code :
<Fichiers *.php>
refuser de tous
</Fichiers>
Enregistrez ce fichier sous .htaccess et téléchargez-le dans les dossiers /wp-content/uploads/ de votre site Web à l'aide d'un client FTP ou via votre gestionnaire de fichiers dans cPanel.
13. Désactiver XML-RPC
Une fois que XML-RPC a été utilisé pour connecter votre site WordPress avec des applications Web et mobiles, mais depuis que WordPress a publié sa propre API REST, le XML-RPC est devenu un handicap au lieu d'une fonctionnalité utile.Par exemple, si un pirate voulait essayer 1000 mots de passe différents sur vos sites Web, il devrait faire 1000 tentatives de connexion distinctes qui seront interceptées par votre plugin de sécurité ou votre pare-feu. Cependant, si vous laissez XML-RPC activé, un pirate pourrait utiliser la fonction system.multicall et essayer 1000 mots de passe différents avec 30 à 60 requêtes.
C'est pourquoi nous vous recommandons fortement de le désactiver, et vous pouvez le faire en ajoutant simplement un code dans votre fichier .htaccess :
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>À la ligne 5, vous devez insérer votre propre adresse IP si c'est la seule dont vous souhaitez conserver XML-RPC (sinon, supprimez-la simplement).
Remarque : Si vous êtes l'un de nos utilisateurs, il n'est pas nécessaire d'effectuer cette étape, car votre XMLRPC sera protégé par la fonction Brute Force Protection de LiteSpeed.
14. Restreindre l'accès des bots
Bien que votre site Web soit toujours exploré par certains bots, les mauvais bots peuvent créer des perturbations gênantes. Ils pourraient ralentir votre flux de travail et/ou perturber les fonctionnalités de votre site WordPress, entraînant ainsi une perte d'utilisateurs.Une excellente façon de gérer cela est d'empêcher les bots abusifs d'accéder à votre WordPress. Insérez le code suivant dans le fichier .htaccess.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outConseils non techniques pour protéger votre WordPress
Utiliser le principe du moindre privilège (POLP)Donnez à l'un des utilisateurs de votre site Web le moins d'accès possible. Si vous avez un rédacteur de contenu, par exemple, il n'est pas nécessaire de lui fournir un compte administrateur - un utilisateur de l'éditeur fera très bien l'affaire. Ne partagez pas votre compte à moins que ce ne soit absolument nécessaire, et si vous le faites, changez votre mot de passe dès que la personne à qui vous l'avez donné n'en a plus besoin.
Ne partagez pas non plus les détails de votre hébergement, sauf si cela est absolument nécessaire.
N'utilisez pas de thèmes et de plugins WordPress annulés (téléchargés illégalement)
À un moment donné, il peut devenir tentant d'économiser de l'argent et de télécharger un plugin ou un thème sans licence. Dans ce cas, vous paierez d'une autre manière - très probablement en positionnant une porte dérobée sur votre WordPress. Les pirates cachent souvent des liens de spam ou des codes malveillants dans les éléments sans licence et les proposent en téléchargement gratuit.
Évitez-les à tout prix et si vous commandez un site Web ou une fonctionnalité, assurez-vous de confirmer auprès du développeur que tout est correctement licencié.
Dernières pensées
Considérez le temps (et les fonds) que vous consacrerez à la sécurisation de votre WordPress comme un autre investissement commercial essentiel. La réparation d'un site Web piraté vous coûtera beaucoup plus cher - dans le cas le plus malheureux, cela pourrait même vous coûter votre entreprise. Suivre ce guide ne garantira pas une protection à 100 % contre les attaques malveillantes, mais cela réduira considérablement les chances que cela se produise.Trouvez-vous certains des conseils offerts difficiles à suivre? Avons-nous oublié quelque chose d'important ? Envoyez-nous un ping dans les commentaires, nous aimerions connaître votre avis !
Ou si vous êtes prêt à passer à l'hébergement WordPress super sécurisé de Kualo, consultez nos plans ici.