Comment renforcer la sécurité WordPress – Le guide complet

Souhaitez-vous renforcer la sécurité WordPress ?

Lorsque vous aurez terminé avec cet article, je vous garantis que votre site web WordPress sera à l’abri des piratages et des exploits.

Attendez, je ne peux pas le garantir. Permettez-moi de le dire de cette façon, vous serez équipé des connaissances nécessaires pour garder votre site Web relativement sûr.

Il n’existe pas de sécurité infaillible. Vous pouvez prendre des mesures spécifiques pour réduire considérablement le risque que votre site Web soit victime d’un piratage ou d’une attaque.

Dans cet article, je vais vous donner un petit résumé des vulnérabilités WordPress avant de discuter des mesures spécifiques pour renforcer votre site Web WordPress.

WordPress en soi a peu de vulnérabilités et lorsqu’elles sont découvertes, elles sont rapidement corrigées avec une mise à jour. Mais lorsque vous considérez les pratiques de sécurité de votre hébergeur ou leur absence et le logiciel tiers qui fonctionne normalement sur les sites Web WordPress, votre site Web est plus susceptible d’être victime d’un piratage en raison des erreurs d’autres personnes.

51% de tous les sites Web piratés en 2022 ont été compromis par des thèmes ou des plugins qu’ils exécutaient. 41% ont été exploités parce qu’ils ont choisi le mauvais hébergeur et, par conséquent, leurs sites web ont été piratés.

Exécuter un site web WordPress simple et le garder en sécurité n’est pas trop difficile. Mais lorsque vous ajoutez un mélange de logiciels tiers et que vous devez maintenir votre domaine avec le bon hébergeur, cela devient un peu plus difficile.

J’ai lu de nombreux articles de blog d’entrepreneurs Web prospères qui étaient essentiellement des hommes et des femmes d’affaires qui ont mis leur entreprise en ligne. Et lorsque leurs entreprises en ligne ont connu du succès, elles sont devenues des cibles. Cependant, il n’est pas nécessaire que votre site Web réussisse ou même ait du trafic pour devenir une cible.

Les personnes qui piratent des sites Web utilisent des outils automatisés pour parcourir des centaines et des milliers de sites Web à la recherche de vulnérabilités. Votre site Web peut être l’un de ces centaines. Donc, même si votre site Web n’est pas populaire, vous pourriez toujours être une cible.

De nombreux entrepreneurs Web connaissent les normes et les mesures de sécurité pour assurer la sécurité de leurs sites Web et de leurs entreprises en ligne. Mais la grande chose à propos de WordPress et du Web aujourd’hui, c’est que vous n’avez plus besoin d’être un expert en technologie ou un développeur Web pour lancer un site Web.

Et créer un site Web n’est pas difficile, c’est très facile.

Créer un site Web n’est pas trop difficile, le rendre populaire est un peu plus compliqué. Mais le rendre sécurisé, en particulier pour les entrepreneurs Web non technophiles dont la principale préoccupation tourne autour d’un produit / service non basé sur le Web, est plutôt difficile.

Et bien sûr, ils pourraient employer un développeur Web pour les aider. Mais la raison pour laquelle de nombreuses petites entreprises Web prospèrent est certainement directement liée à leur capacité à maintenir des coûts bas. Et employer un développeur Web qui facture 100 $ l’heure ne dépend pas de ses capacités financières.

Un professionnel de la sécurité Web est toujours l’option préférée, mais malheureusement, tout le monde n’a pas le revenu d’entreprise nécessaire pour permettre cette dépense. Et peut-être que ce n’est pas grave, peut-être que ce n’est pas le cas.

Mais le fait crucial est que nous devons reconnaître que même les petites entreprises collectent des informations personnelles sensibles, y compris des éléments tels que votre adresse de résidence, les détails de votre carte de crédit, vos numéros de téléphone et vos identifiants de courrier électronique.

Non seulement les informations de votre client sont menacées en raison de pratiques de sécurité éventuellement négligentes, mais il en va de même pour l’entreprise que vous avez créée ou que vous passerez beaucoup de temps à construire.

Construire une entreprise en ligne est une entreprise plutôt intimidante, votre succès repose sur plusieurs facteurs, notamment la réputation de la marque et ce que Google pense de votre site Web. Et croyez-moi, personne n’aura une opinion favorable de vos entreprises ou services si votre site Web ferme ou devient victime d’une attaque / piratage.

Compte tenu de tout cela et des enjeux impliqués, quelles mesures pouvez-vous prendre en tant qu’entrepreneur Web pour rendre votre site Web sûr?

Cet article s’adresse principalement aux personnes dont la principale occupation n’est pas de gérer une entreprise en ligne. Il s’adresse aux personnes de différents horizons qui démarrent des entreprises qui dépendent partiellement ou fortement d’une présence en ligne.

Et puisque WordPress qui gèrent plus de 65% du Web est le CMS de choix pour l’entrepreneur Web non technophile, je vais me concentrer sur vous armer de connaissances nécessaires pour garder votre site Web WordPress sûr et sécurisé.

#1. Choisissez le bon fournisseur de services d’hébergement

La part du lion des vulnérabilités existe en raison de problèmes créés à l’extrémité serveur de votre site Web. J’ai trouvé ce fait plutôt étonnant, votre service d’hébergement est potentiellement la plus grande source de vulnérabilités de votre site Web.

Et avec un hébergeur tiers, vous ne pouvez pas faire grand-chose en bricolage pour protéger votre site Web.

Donc, la meilleure chose que vous pouvez faire – Choisissez le bon fournisseur de services d’hébergement Web.

Beaucoup trop de fournisseurs d’hébergement Web exécutent leurs systèmes sur des logiciels obsolètes ou des logiciels qui ne sont pas actuellement maintenus. Le problème avec les logiciels qui ne sont plus maintenus est que, bien qu’il n’y ait peut-être pas eu de vulnérabilités dans le passé, il n’existe aucune garantie de sécurité future. Et si une vulnérabilité est détectée, ce qui est presque certain, elle peut ne plus être corrigée car l’équipe principale ne maintient pas activement les anciennes versions du logiciel.

Quand je parle de logiciel, je veux dire tout ce qui fonctionne sur votre serveur pour garder votre site web vivant et fonctionnel.

• Apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• Certificats SSL

Même s’ils ont mis à jour leur logiciel avec un petit délai, lorsque des correctifs logiciels sont publiés. La fenêtre d’opportunité pour les pirates d’exploiter des vulnérabilités qui n’ont été corrigées que dans des mises à jour récentes s’élargit et met en péril votre site Web.

L’hébergement partagé, qui est le choix de l’hébergement pour la plupart des entreprises en ligne nouvellement créées, a quelques problèmes,

• Les attaques DOS sur n’importe quelle adresse IP sur un serveur peuvent affecter tous les sites Web hébergés sur ce serveur particulier.
• Les adresses IP partagées sont un gros problème. Les adresses IP qui sont voisines de la vôtre affectent votre site Web, si une adresse IP partagée est mise sur liste noire, votre site web en subit les conséquences.
• Il y a toujours une chance que certains logiciels chargés sur un serveur partagé puissent compromettre l’ensemble du serveur, même si les fournisseurs de services d’hébergement partagé prennent des mesures pour éviter que cela ne se produise.

Mon choix pour l’hébergement partagé,

• Hébergement partagé – SiteGround – Ils fournissent une isolation de compte qui vous protège contre les sites Web sur le même serveur qui peuvent être vulnérables. Mises à jour automatisées pour WP core et plugins, certificat SSL gratuit et sauvegardes quotidiennes pour le Grow Big Plan et plus, protection contre le spam avec un système de filtrage, un pare-feu, des systèmes de prévention des intrusions et une surveillance en direct. L’utilisation d’un système CDN comme CloudFlare protégera votre site Web contre les attaques DDoS.

SiteGround a une bonne histoire de réponse rapide et incisive contre les vulnérabilités exposées dans le passé. En 2013, lorsque des attaques par force brute ont été perpétrées à partir de plus de 90 000 adresses IP, SiteGround a empêché les requêtes d’atteindre leurs serveurs.

Les attaques par force brute peuvent submerger le serveur avec de la charge, mais si vous ne pouvez pas envoyer un nombre suffisant de requêtes au serveur, vous ne pouvez pas l’affecter. Au cours de l’attaque, plus de 15 millions de tentatives en moins de 12 heures ont été effectuées contre des sites Web sur leurs serveurs, mais aucun de leurs serveurs n’a souffert de problèmes de performances.

En fait, après que certains dans le logement ont forcé brutalement sur les sites Web de leurs propres clients à trouver des mots de passe faibles, ils ont trouvé de nombreux sites Web sur leurs serveurs avec des mots de passe faibles et dangereux.

Ils ont suivi en appliquant des mots de passe forts et leurs clients ont été informés par courrier. Ils semblent se soucier de leur sécurité et d’assurer les performances de leurs environnements de serveurs partagés, même lorsqu’ils sont attaqués. On ne peut pas en dire autant de certaines des plus grandes sociétés d’hébergement Web partagé.

Cependant, supposons que vous ne vouliez pas vous préoccuper de la sécurité WordPress et de tout ce qui est technique à distance sur la création, la maintenance et la croissance d’un site Web. Dans ce cas, vous serez mieux avec un hébergeur WordPress géré. Je préfère l’hébergement géré mais les coûts sont considérablement plus élevés.

Le prix de l’hébergement géré pendant un mois vous permettra également d’acheter un hébergement partagé pendant 8 mois. Si vous dirigez une entreprise à court d’argent, cela a un effet monumental sur la durabilité de votre entreprise. Mais n’importe qui serait idiot de rejeter les avantages d’un hébergeur WordPress géré, s’il peut se le permettre.

Cette liste provient de l’hébergeur wpengine.com

• Protection en écriture sur disque, tout code malveillant qui crée des vulnérabilités pouvant être exploitées est sévèrement limité par les restrictions d’écriture sur disque. L’utilisation de plugins et de thèmes avec des vulnérabilités est soudainement plus sûre, étant donné qu’ils ne peuvent plus écrire de code dans votre serveur, ce qui rend votre WP aussi facilement vulnérable.
• Les privilèges d’écriture sur disque pour les utilisateurs connectés à leur tableau de bord WP s’étendent aux fonctions standard telles que l’écriture et l’édition de posts, l’ajout de thèmes, de nouvelles feuilles de style et l’activation / désactivation de plugins.
• Pour supprimer et écrire de nouveaux fichiers, vous devez être connecté via un client SFTP.
• L’ajout de code PHP générique n’est pas autorisé.
• Les scripts avec des vulnérabilités connues qui compromettent WP ne peuvent pas être ajoutés à WordPress.
• Certains plugins peuvent être interdits et même désactivés, si leurs scanners détectent quelque chose dans le code du plugin qui laisse votre site Web moins sécurisé.
• Les plans de base impliqueront toujours un certain partage de serveur. Dans tout plan d’hébergement dédié, l’hébergeur fournit un serveur entier entièrement dédié à fournir des ressources uniquement pour votre site Web.
• Sauvegardes via Amazon S3 et vous n’y avez pas accès. Vous ne pouvez pas compromettre vos sauvegardes, même si vous essayez. Une police d’assurance pour votre site web est toujours en place.
• L’accès physique aux serveurs est limité au personnel essentiel. Leurs centres de données ressemblent à Fort Knox juste en lisant à ce sujet.
• Ils se spécialisent dans WP et connaissent les tenants et aboutissants de la création d’un site web WordPress sécurisé.
• La récupération dans le cas d’un compte piraté est facile et assurée gratuitement.
• Audits de code réguliers du fournisseur de solutions de sécurité WP – Sucuri.

Pensez à WPEngine de cette façon, cela vous coûte une bombe, mais beaucoup moins qu’un site Web piraté peut vous coûter. Il est beaucoup plus facile de rationaliser les coûts.

S’il vous plaît ne négligez pas que votre site Web ne sera pas seulement plus sûr avec WPEgnine, il sera beaucoup plus rapide selon toute vraisemblance. Même les meilleurs sites Web qui utilisent un serveur privé virtuel ont du mal à égaler la vitesse d’un site Web géré par WPEngine.

Si vous avez encore des doutes et que vous ne pouvez pas choisir entre un hébergeur Web partagé et un hébergeur WP géré, c’est un sujet énorme.

#2. Utilisez des logiciels tiers de confiance – Thèmes et plugins Premium

Les plugins et les thèmes sont toujours suspects, soyez sceptique, surtout lorsqu’ils sont mal entretenus et rarement mis à jour. Vous pouvez prendre de nombreuses mesures en discriminant les plugins en fonction des failles de sécurité, mais il est toujours payant de noter les actions de vos plugins avec WP Security Audit Log.

Un journal de sécurité est très utile pour le développement Web et les professionnels de la sécurité gardent une trace des changements sur plusieurs sites web lorsqu’ils traitent les besoins de leurs clients. Chaque action de chaque utilisateur peut être prise en compte avec ce plugin.

Le journal permet également de garder un œil sur les plugins, le thème et d’autres comportements de logiciels tiers. Ce plugin peut ne pas empêcher un problème de sécurité, mais si quelque chose tourne mal, vous trouverez facile de retracer la source du problème.

Une autre bonne pratique consiste à faire auditer le plugin par un expert en sécurité. Si vous ne pouvez pas vous permettre de le faire, recherchez les tampons de confiance de Sucuri (Sucuri est l’un des principaux fournisseurs de solutions de sécurité pour les utilisateurs de WordPress) sur les plugins. De nombreux plugins/thèmes soumettent volontairement leurs produits à des audits de code.

Elegant Themes a fait l’objet d’un audit de son thème phare Divi. Elegant Themes est l’une des plus grandes, sinon la plus grande, maison de thème dans le créneau WP, mais ils ont leur thème phare audité pour les problèmes de sécurité.

Restez à l’écart des plugins gratuits et des thèmes qui n’ont pas un grand nombre de téléchargements. Parfois, les plugins avec un nombre de téléchargements et des notes excessivement élevés attirent beaucoup plus de malfaiteurs. La protection chiffrée n’est pas applicable. Plus de personnes utilisant un plugin en font une cible plus grande, mais en même temps, avoir des milliers d’utilisateurs aidera probablement à identifier et à protéger contre les exploits zero-day grâce à des mises à jour rapides.

L’utilisation de plugins et de thèmes premium ne signifie pas que la sécurité de votre site web peut être garantie. Mais vous pouvez être certain que si des exploits zero day sont découverts, la réponse est généralement rapide. Les développeurs de thèmes et de plugins ont beaucoup à faire sur leurs produits, la dernière chose qu’ils veulent est l’apparition de vulnérabilité.

Tenez-vous-en aux plugins répertoriés dans le répertoire WordPress.org pour les plugins gratuits. Des notes plus élevées et un nombre de téléchargements font du plugin un pari plus sûr. Consultez l’historique des plugins créés par le même auteur dans le passé, un bon indicateur du pedigree du programmeur. Vous verrez également que certains auteurs prennent des précautions supplémentaires pour assurer la sécurité de leur plugin / thème.

La dernière date de mise à jour est un autre facteur à prendre en compte. S’assurer que la dernière version du plugin est compatible avec la dernière version de WordPress est un autre point essentiel à cocher sur la liste de contrôle avant d’installer et d’activer un plugin.

Comme vous l’avez peut-être deviné, ce qui vaut pour les plugins vaut également pour les thèmes. Il y a quelques choses à retenir lors de l’utilisation de plugins et de thèmes.

• Les plugins Premium sont meilleurs dans le sens où leurs équipes sont susceptibles de répondre à toute vulnérabilité de sécurité beaucoup plus rapidement que les plugins gratuits.
• Utilisez WP Security Audit Log et suivez tout ce qui fonctionne sous le capot de votre site Web.
• Il y a certainement de la sécurité dans les chiffres parce qu’une menace à la sécurité est beaucoup plus susceptible d’être signalée et traitée. Mais je ne peux m’empêcher de penser qu’il s’agit d’une épée à double tranchant, les plugins / thèmes qui compteront beaucoup plus de téléchargements sont également beaucoup plus susceptibles de devenir des cibles de pirates.
• Le répertoire des plugins de WP.org peut être manipulé pour fournir d’excellentes évaluations pour les plugins avec un plus petit nombre de téléchargements et d’évaluations.
• Découvrez l’auteur du plugin, son historique et ses produits précédents. S’ils ont eu des problèmes de sécurité dans le passé, ils n’indiquent pas nécessairement que leurs plugins / thèmes sont mauvais, mais ce n’est pas bon signe.
• Discriminez impitoyablement les plugins / thèmes, lisez les critiques, en particulier celles qui fournissent de mauvaises notes pour le produit (assurez-vous de vérifier pourquoi ces produits ont été mal notés) sur des marchés comme Envato, même pour les plugins premium. Lisez les sections de commentaires, des critiques de produits pour les plugins et les thèmes.
• Si le plugin / thème a vu son code audité par Sucuri ou un autre fournisseur de solutions de sécurité WP réputé, cela ajoute à la probabilité que le produit soit assez solide en termes de sécurité.
• Vous pouvez vous protéger contre les plugins escrocs avec des plugins de sécurité comme Wordfence ou iThemes Security. De plus, vous pouvez utiliser la fonction d’analyse de site gratuite de Sucuri qui recherche dans votre code WP des scripts malveillants.

Aucune des étapes ci-dessus ne garantit que vous ne téléchargerez jamais un mauvais plugin ou thème, mais cela réduit les chances que vous soyez affecté par des problèmes de sécurité.

Maintenant, en supposant que vous utilisez le bon hébergeur, le bon thème et les bons plugins. Je vais décrire et expliquer les mesures de sécurité nécessaires que vous devez prendre pour sécuriser votre site Web. Tout en décrivant les mesures de sécurité individuelles, veuillez noter que je recommande des plugins autonomes conçus pour des applications de sécurité spécifiques.

Plus loin dans cet article, je parlerai de Wordfence, un plugin WordPress de sécurité freemium à part entière et des solutions de sécurité de Sucuri. Vous devez savoir que les deux accomplissent presque toutes les fonctions de sécurité qui peuvent avoir été précédemment discutées dans le post et plus dans certains cas.

Donc, à moins que vous ne vouliez en savoir plus sur les mesures de sécurité individuelles en détail, vous pouvez passer à la dernière partie où je discute des fonctions d’un plugin de sécurité et des fournisseurs de solutions de sécurité comme Sucuri.

Mais si vous utilisez WordPress pour la première fois, je vous recommande vivement de lire l’article en entier pour bien comprendre l’importance de chaque mesure de sécurité différente.

#3. Protégez votre page de connexion

La page de connexion WordPress est une cible de choix pour les attaques par force brute. Votre page de connexion est une partie vulnérable de votre site Web si vous n’obtenez pas les mesures de sécurité appropriées pour entraver les attaquants.

Je discuterai de l’importance de maintenir une page de connexion forte et sécurisée avec de multiples mesures de sécurité qui rendent votre site web sûr et protègent contre les attaques par force brute.

Mots de passe forts et nom d’utilisateur inhabituel

Admin n’est pas un bon nom d’utilisateur. WordPress avait auparavant admin comme nom d’utilisateur par défaut du compte administrateur principal. Aujourd’hui, cependant, lorsque vous installez WordPress, vous pouvez choisir un nom d’utilisateur différent.

Mais lorsque les gens commencent généralement à utiliser WordPress, en particulier pour la première fois, beaucoup s’en tiennent à admin comme nom d’utilisateur. « admin » est un nom d’utilisateur extrêmement prévisible et il rend votre site web beaucoup plus facile à pénétrer.

Vous pouvez également essayer le plugin Admin Renamer Extended qui peut changer votre nom d’utilisateur.

Les mots de passe, le choix d’une chaîne de caractères aléatoire inhabituelle aideront à créer la première ligne de défense contre les personnes qui veulent nuire à votre site Web ou mettre la main sur des informations sensibles stockées sur les serveurs de votre site web.

Une liste des 5 mots de passe les plus courants compilés par SpashData.

1. 123456
2. mot de passe
3. 12345
4. 12345678
5. Qwerty

Un enfant de treize ans très motivé peut deviner le nom d’utilisateur admin et le mot de passe 123456. Avec des mots de passe comme ceux ci-dessus, votre site web tombera en particulier, si vous recevez un trafic décent.

Les meilleurs mots de passe sont un mélange de majuscules et de minuscules avec ponctuation et caractères spéciaux. De préférence, utilisez quelque chose qui n’a aucune signification et assurez-vous qu’il comporte au moins plus de 10 caractères. Il n’y a pas de raison particulière pour 10 caractères, mais rappelez-vous qu’il devient exponentiellement plus difficile de les déchiffrer si les mots de passe sont plus longs.

Il est plus difficile de deviner si votre mot de passe n’a pas de sens et qu’il n’y a aucune raison logique ou sentimentale derrière.

Si vous avez de la difficulté à déterminer quel mot de passe utiliser, essayez des outils comme Strong Password Generator ou Secure Password Generator, tous deux disponibles gratuitement en ligne pour trouver un bon mot de passe pour la connexion administrateur de votre site Web.

Les plugins de sécurité appliquent également des mots de passe forts pour l’administrateur et tous les utilisateurs. Ceci est important, même si vos utilisateurs n’ont pas le statut d’administrateur et les privilèges qui l’accompagnent, quelqu’un ayant accès à un compte de niveau éditeur compromis sur WordPress pourrait faire pas mal de mal.

Un autre bon conseil à toujours retenir, changez vos mots de passe fréquemment. Si vous avez de la difficulté à vous souvenir de tous vos mots de passe, utilisez un gestionnaire de mots de passe. Vous pouvez essayer One Password, Last Pass, KeePass ou DashLane pour stocker tous vos mots de passe en toute sécurité.

En ce qui concerne les noms d’utilisateur et les mots de passe, moins ils ont de sens et plus ils sont aléatoires, meilleure est la sécurité qu’ils peuvent offrir à votre site Web.

Limiter le nombre de tentatives de connexion

Les attaques par force brute ciblent les pages de connexion des sites Web WordPress. Si vous ne le savez pas, la plupart des attaques par force brute impliquent d’essayer différentes combinaisons alphanumériques pour déchiffrer le mot de passe du site pour un nom d’utilisateur particulier.

Même si vous supposez qu’une attaque par force brute échoue, vous devez reconnaître qu’elle consomme d’énormes quantités de mémoire serveur et de puissance de traitement. Cela ralentira presque certainement votre site Web et l’amènera à un crawl. De nombreux hôtes offrent également une protection contre les attaques par force brute. En effet, votre site consommant une quantité excessive de ressources sur un serveur partagé pourrait affecter tout le monde.

Mais la technique la plus simple pour repousser les attaques par force brute est de limiter le nombre de tentatives de connexion. Si quelqu’un ne peut pas frapper votre serveur à plusieurs reprises avec plusieurs combinaisons de nom d’utilisateur et de mot de passe, une attaque par force brute ne fonctionnera pas.

Login Lockdown, Login Security Solution et Brute Force Login Protection visent tous à empêcher l’accès à votre site Web via des tentatives de piratage par force brute. Brute Protect a été acquis par l’équipe Automattic et fait maintenant partie de Jetpack et offre une protection contre les attaques par force brute.

Presque tous les plugins de protection de connexion ont une interface similaire.

Ces plugins fonctionnent en suivant les adresses IP qui tentent à plusieurs reprises et échouent à atteindre la connexion. Après plusieurs tentatives de connexion infructueuses, les adresses IP particulières sont empêchées d’accéder à la page de connexion de votre site web.

Login Security Solution force une authentification par e-mail WordPress et un changement de mot de passe par e-mail, s’il détermine que l’utilisateur actuellement connecté est plutôt suspect.

Le plugin peut imposer des mots de passe forts et imposer des changements fréquents de mots de passe aux utilisateurs. Les tentatives de piratage sont également suivies par des plages d’adresses IP qui tentent à plusieurs reprises d’obtenir un accès illégitime. Ils sont verrouillés pendant de plus longues périodes pour les dissuader d’essayer de pénétrer dans votre site Web.

Authentification de connexion en double facteurs (en deux étapes)

L’authentification d’une connexion ajoute une couche de sécurité supplémentaire et un mot de passe fort, un nom d’utilisateur inhabituel et un nombre limité de tentatives de connexion infructueuses.

Le processus d’authentification de connexion en deux étapes rend votre site web plus que doublement sécurisé. La connexion à votre site WordPress nécessite un code d’authentification qui ne peut être reçu que via un message mobile. Il est plutôt peu probable qu’un pirate vole votre mobile, votre site Web restera sécurisé contre la force brute et d’autres techniques de piratage qui reposent sur le dépassement de la page de connexion de votre site Web.

Google Authenticator est un plugin utile qui repose sur une application installée sur votre Android / iPhone / Blackberry qui vous fournit le code d’authentification nécessaire pour vous connecter avec succès sur votre site Web. Vous pouvez activer cette application pour le niveau de privilège administrateur uniquement ou l’utiliser par utilisateur.

J’aime beaucoup le prochain plugin, ils ont l’intention d’envoyer les personnes qui tentent de se connecter sans le code d’authentification vers une redirection avec une URL personnalisable. Stealth Login Page bloque également complètement les robots.

La tentative de connexion est rejetée si un utilisateur ne respecte pas la séquence de connexion complète. Une autre technique qui peut être utilisée pour bloquer les bots est d’utiliser captcha sur les pages de connexion, vous pouvez utiliser Login No Captcha reCaptcha pour empêcher les bots de se connecter.

Modifier l’URL de votre page de connexion WordPress

Nous avons discuté de la limitation des tentatives de connexion, de l’authentification des connexions et de l’importance d’utiliser un mot de passe fort et un nom d’utilisateur inhabituel.

Maintenant, nous allons cacher ou modifier la page de connexion, ce type de mods de sécurité est également connu sous le nom de sécurité via l’obscurité. Je sais que cela semble un peu exagéré. Mais restez avec moi ici, car cette étape n’est pas plus difficile que les mesures de sécurité suggérées précédemment pour sécuriser votre page de connexion.

Les attaques par force brute ne sont efficaces que si elles peuvent trouver la page de connexion. Laisser votre page de connexion inchangée permettrait aux pirates de trouver vos pages de connexion.

Essayons de leur cacher la page de connexion. Vous pouvez le faire en modifiant l’URL de la page de connexion avec WPS Hide Login. Le plugin ne change rien, il intercepte simplement les demandes de page et rend le répertoire wp-admin et les pages wp-login.php inaccessibles. Vous devrez vous souvenir de la nouvelle page de connexion définie lors de l’activation du plugin WordPress.

Les options alternatives pour modifier l’URL de votre page de connexion incluent deux autres plugins, Protect Your Admin et Rename wp-login.php.

SSL

Bien que je mentionne SSL sous la protection de votre page de connexion, SSL est une fonctionnalité extrêmement importante et nécessaire de toute page sur laquelle vous traitez des informations sensibles. Et cela inclut chaque page sur de nombreux sites Web, comme s’il y avait des formulaires d’abonnement de blog sur toutes les pages Web.

Si vous ou vos visiteurs / clients partagez des informations privées sensibles telles que des adresses, des détails de carte de crédit ou même partagez leurs identifiants de messagerie avec vous. Alors, vous devez protéger leurs informations.

SSL est une couche de protection supplémentaire (Secure Socket Layer) qui transforme le http en https et rend toutes les informations partagées beaucoup plus sûres.

SSL est quelque chose qui brouille vos informations en quelque chose qui ne peut pas être lu comme nous le faisons en texte brut. Ainsi, lorsque des informations circulent entre vos serveurs et n’importe quel navigateur, quiconque y accède ne peut en avoir aucun sens.

Il existe une clé privée et une clé publique. Une fois que le SSL rend les informations fluides et illisibles, nous devons les comprendre à nouveau à la fin du navigateur. C’est là que la clé privée entre en jeu pour rendre les choses à nouveau lisibles. Le mécanisme en jeu est très similaire à une serrure et une clé mathématiques.

Les entreprises telles que SiteGround, fournissent une protection SSL gratuitement. Vous pouvez également acheter un certificat SSL auprès d’une autorité de certification. Si vous exécutez des plugins de sécurité comme Wordfence.

Vous devez forcer le SSL pour les pages de connexion au strict minimum, sinon SSL à l’échelle du site web.

Les navigateurs comme Chrome bloquent l’accès aux sites Web avec des certificats SSL défectueux / expirés sur les SSL.

Vous devrez peut-être déterminer si votre CDN fournit facilement du contenu via SSL et parfois les réseaux publicitaires peuvent présenter des problèmes lors de la diffusion via le SSL.

Si vous utilisez le SSL sur vos sites Web, Google vous donne un petit coup de pouce (1%) dans votre classement de recherche. Ce fait, en soi, devrait justifier l’utilisation de SSL. Pourquoi? Comme le font la plupart des professionnels du développement Web, Google comprend l’importance d’assurer la sécurité des données de votre lecteur / visiteur.

SSL peut également être appliqué sur votre écran de connexion par le plugin de sécurité Wordfence. On s’attend également à ce que les certificats de sécurité soient mis à disposition gratuitement.

En savoir plus sur l’administration du SSL sur WordPress.org.

#4. Protection de votre noyau WP, base de données et utilisation des autorisations de fichiers correctes

Dans beaucoup de ces mesures de sécurité, nous allons modifier votre noyau WP et vous devrez être familiarisé avec la façon d’utiliser le client FTP pour apporter des modifications. Et puisque la plupart de ces conseils de sécurité impliquent de changer ou de modifier votre noyau WP, cela pourrait simplement casser votre site Web. Sauvegardez votre noyau WordPress et tout son contenu avant de continuer, une erreur peut facilement être annulée avec une sauvegarde.

Clés de sécurité WordPress

WordPress utilise des cookies pour identifier et vérifier les utilisateurs connectés pour commenter et apporter des modifications à partir du tableau de bord WP.

Ces cookies contiennent des informations de connexion et vos informations d’authentification. Le mot de passe est haché, ce qui signifie qu’une formule mathématique est appliquée pour le rendre illisible et ne peut pas être lu sans appliquer les mathématiques une fois de plus pour le rendre lisible.

Nous pouvons ajouter une couche de protection supplémentaire autour de ce cookie avec WP Security Keys. Ces variables aléatoires améliorent la sécurité des informations stockées sur un cookie utilisateur. Il y a 4 clés à savoir, AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY et NONCE_KEY.

Un mot de passe non crypté tel que WordPress ou 12345 peut facilement être cassé, si quelqu’un peut reconstruire le cookie d’authentification. Mais le cryptage avec des clés de sécurité WP rend cela beaucoup plus difficile.

Comment ajouter des clés de sécurité WP ?

1. Ouvrez le fichier wp-config.php.
2. Recherchez « authentication unique keys and salts ».
3. Utilisez un outil de génération de clés automatiques en ligne.
4. Copiez les clés de l’outil en ligne et remplacez l’ensemble de clés existant, en l’écrasant dans wp-config.php.
5. Enregistrez-le.
6. Vous pouvez répéter le même processus tous les mois environ.

N’oubliez pas que chaque fois que vous modifiez les clés de sécurité, les utilisateurs seront déconnectés et devront se reconnecter à leurs comptes.

iThemes Security fournit les outils nécessaires pour le faire à partir du tableau de bord WP. Et ils vous enverront également un rappel chaque mois pour changer vos clés de sécurité.

Protégez vos répertoires WP par mot de passe

Cela peut être fait à partir de votre cPanel ou du tableau de bord de n’importe quel hébergeur. Dans le cPanel, ouvrez Security > Password Protect Directories. Vous trouverez une liste de tous les dossiers de votre site web. Commencez par un dossier important comme wp-admin.

Vous trouverez une boîte de dialogue qui vous demande de créer un utilisateur en fournissant un nom d’utilisateur et un mot de passe. Ensuite, créez le nouvel utilisateur. Après cela, si vous devez accéder au dossier wp-admin sur votre site Web, le nom d’utilisateur et le mot de passe doivent être saisis pour accéder au site Web.

Cela ajoute une couche supplémentaire de protection par mot de passe à vos parties les plus importantes de votre site Web.

Utiliser Secure FTP (SFTP)

Un système de transfert de fichiers est nécessaire pour transmettre les données de votre site Web à votre hébergeur lorsque vous ajoutez de nouvelles modifications que vous souhaitez incorporer. Avec un protocole de transfert de fichiers normal ou un FTP, quelqu’un peut intercepter et trouver des vulnérabilités pour exploiter votre site Web augmente.

Vous aurez besoin du bon client pour utiliser une connexion SFTP pour télécharger de nouveaux fichiers et du code modifié. Vous pouvez utiliser FileZilla pour vous aider à démarrer.

En outre, vous aurez besoin de détails spécifiques sur votre compte d’hébergement Web. En règle générale, chaque hébergeur fournira des informations spécifiques pour vous aider à configurer un protocole de transfert de fichiers sécurisé.

Vous aurez normalement une clé SSH que l’hébergeur génère, cette clé doit être ajoutée à votre client SFTP comme FileZilla et il est simple de configurer une connexion sécurisée pour le transfert de fichiers à partir de là.

Utilisation des autorisations de fichier correctes

L’accès à vos fichiers doit disposer des autorisations appropriées. Il est possible d’écrire sur votre WordPress à partir du serveur web. Le problème se pose lorsque vous partagez cet environnement avec plusieurs sites Web qui peuvent également avoir leurs sites Web sur un serveur partagé.

Généralement, les dossiers WordPress et les fichiers WordPress ont des autorisations spécifiques sur différents hébergeurs. Avec l’accès shell, vous pouvez exécuter les deux commandes suivantes pour garder vos dossiers et fichiers WordPress sécurisés et accessibles uniquement au bon utilisateur.

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protection de WordPress à l’aide de .htaccess

Lors de l’édition du fichier .htaccess, veuillez ajouter du code avant # BEGIN WordPress ou après # END WordPress. WordPress peut écraser tout code ajouté dans ces deux hashtags et nous ne voudrions pas que les nouveaux protocoles de sécurité que nous avons ajoutés disparaissent. Ainsi, lorsque vous ajoutez du code au fichier .htaccess, n’oubliez pas de rester en dehors de la section commençant par # BEGIN et se terminant par # END.

Le dossier wp-includes contient des fichiers qui ne sont nécessaires à aucun utilisateur, mais il contient des fichiers nécessaires à l’exécution de WP. Nous pouvons le protéger en empêchant l’accès et en ajoutant du texte au fichier .htaccess. Gardez à l’esprit de rester en dehors du code dans les hashtags.

Ajoutez ce petit extrait de code au fichier .htaccess.

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

Cela ne fonctionnerait pas pour WordPress en multisite.

Supprimez cette ligne – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], cela offrira moins de sécurité mais cela fonctionnera pour le multisite.

Votre fichier wp-config.php contient des informations sensibles sur les détails de votre connexion et les clés de sécurité WP précédemment discutées. La modification de votre .htaccess protégera votre site Web contre les pirates, les spammeurs et renforcera considérablement la protection de votre site Web.

Ce processus implique de déplacer votre fichier .htaccess hors de votre installation WP et vers un emplacement accessible uniquement avec un client FTP ou cPanel ou à partir du serveur Web.

Ajoutez ceci en haut de votre fichier .htaccess.

<files wp-config.php>
order allow,deny
deny from all
</files>

Cela empêchera l’accès à toute personne qui surfe pour le fichier wp-config.php et seul l’accès à partir de l’espace du serveur Web sera autorisé.

Toute cette protection supplémentaire est excellente, mais rappelez-vous que tout cela a été accompli à partir de votre fichier .htaccess. Si quelqu’un peut accéder à votre fichier .htaccess, toute votre sécurité supplémentaire n’est pas utile.

Ajoutez ce qui suit en haut de votre. fichier htaccess. Cela empêchera l’accès à votre fichier .htaccess.

<files .htaccess>
order allow,deny
deny from all
</files>

Vous pouvez ajouter d’autres modifications au fichier .htaccess, si vous le souhaitez.

Vous pouvez, restreindre les fichiers, par types de fichiers et extension. Ce morceau de code limitera non seulement l’accès à votre wp-config, mais il empêchera également l’accès à ini.php et à vos fichiers journaux.

<FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Ensuite, nous pouvons interdire la navigation dans le contenu du répertoire WP.

 Options All -Indexes

En dehors de cela, nous pouvons ajouter quelques autres modifications pour améliorer la sécurité en modifiant le fichier .htaccess dans WordPress.

1. Bloquer les adresses IP et les plages d’adresses IP. Vous pouvez limiter l’accès à vos pages de connexion par plage d’adresses IP
2. Gardez les mauvais bots à distance.
3. Empêcher les liaisons à chaud.

C’est assez vaste et nous commençons à nous en sortir. Si vous souhaitez également faire les autres choses, pour lesquelles je n’ai pas présenté le code ici, vous pouvez utiliser ce morceau de code personnalisé de WP White Security.

N’oubliez pas de garder une trace des fichiers que vous avez déplacés vers le répertoire racine de WP. Vous devrez savoir où se trouve chaque fichier / dossier, afin que vous puissiez non seulement les modifier, mais aussi vous assurer de ne pas créer plusieurs copies à différents endroits, ce qui compromet à nouveau le but de l’ensemble de l’exercice.

Désactiver le rapport d’erreurs PHP et l’exécution PHP

Les exécutions PHP doivent être réduites au minimum. Pourquoi? Un bon exemple de piratage serait le hack Mailpoet Newsletter qui pourrait être utilisé pour ajouter des fichiers qui sont exécutés à partir du dossier wp-content / uploads.

Nous pouvons refuser à PHP toute possibilité de fonctionner sur WordPress pour prévenir de telles vulnérabilités. Ajoutez cet extrait de code au fichier .htaccess.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

Ce code détecte les fichiers PHP et refuse l’accès. Vous devez l’ajouter aux dossiers wp suivants.

• wp-inclut
• wp-content/uploads
• wp-content

Vous devrez créer un .htaccess dans les autres dossiers. Par défaut, il peut être disponible dans le répertoire racine, mais pour empêcher l’exécution de PHP, le fichier .htaccess doit être créé et ajouté aux dossiers susmentionnés. Les trois dossiers mentionnés sont principalement des dossiers où le contenu est téléchargé et sont particulièrement vulnérables à un script PHP qui peut causer beaucoup de problèmes.

Le rapport d’erreurs PHP est un signal à tous les pirates qui recherchent des vulnérabilités qu’il y a quelque chose qui ne fonctionne pas sur votre site Web.

L’ajout de ces deux lignes de code à votre fichier wp-config.php devrait résoudre le problème.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Bien qu’après avoir lu plusieurs fils de discussion et discussions sur les rapports d’erreurs PHP, cela peut ne pas fonctionner. Dans ce cas, votre meilleure option est de contacter votre hébergeur et de demander des instructions sur la façon dont vous pouvez accomplir la même chose.

Modifier le préfixe de la table wp_

Toutes les tables de la base de données WordPress commencent par un préfixe wp_. Modifiez ce préfixe de table sur l’ensemble de votre site Web et rendez plus difficile pour un pirate informatique d’infiltrer votre site Web.

Dans votre wp-config.php, vous trouverez cette ligne de code.

$table_prefix = 'wp_';

Changez cela en quelque chose de complètement aléatoire,

$table_prefix = 'trjk_';

Maintenant, chaque table comme, wp_posts, wp_users, etc… passera à trjk_posts, trjk_users et ainsi de suite.

Presque tous les plugins de sécurité le font pour vous et en outre, changer les préfixes de table wp peut prendre beaucoup de temps. Vous pouvez le faire avec PHPMyAdmin ou d’autres gestionnaires de base de données, mais je préfère de loin utiliser un plugin de sécurité comme iThemes Security pour l’accomplir.

De même, vous pouvez aller plus loin en changeant le nom de votre base de données WordPress. De cette façon, non seulement vous changez le préfixe, mais vous changerez également les noms de ce qui suit le préfixe. Cela rendra presque impossible pour les pirates de deviner au hasard le nom de votre base de données et vous ne pourrez pas accéder à ce que vous ne pouvez pas trouver.

Désactiver XMLRPC

Généralement, les attaques DDOS ciblent toutes les pages Web des sites Web WordPress sans discrimination. Mais cette partie particulière de WordPress peut devenir une cible pour les attaques DDOS. Je vais expliquer, XMLPRC est utilisé pour les pingbacks et les trackbacks. Mais il a, dans le passé, été exploité pour lancer des attaques DDOS sur des sites Web.

Vous pouvez utiliser un plugin comme Disable XMLPRC. Mais vous n’en aurez pas besoin, si vous utilisez des plugins de sécurité ou un plugin de protection de connexion. Ils offrent généralement une protection contre cette vulnérabilité particulière.

#5. Plugin de sécurité – Wordfence / iThemes Security / Sucuri

Un plugin de sécurité efficace est absolument essentiel pour assurer la sécurité de votre site web WordPress, du moins pour les non-technophiles. Les plugins de sécurité remplissent les différentes fonctions dont beaucoup ont déjà été discutées ici, toutes ces mesures de sécurité supplémentaires s’additionnent pour construire une forteresse autour de votre site Web et de son contenu.

Wordfence remplit de nombreuses fonctions cruciales pour la sécurité du site web sur un site WordPress,

• Blocage en temps réel des attaques, blocage de réseaux malveillants entiers et de certains pays.
• Limite les crawlers, les bots et les scrapers.
• Bloque les utilisateurs qui enfreignent vos règles de sécurité.
• L’authentification à deux facteurs par SMS améliore considérablement la sécurité sur les pages de connexion.
• Application de mot de passe fort pour tous les utilisateurs (non-administrateurs).
• Protection contre les attaques par force brute.
• Analyse du site à la recherche de scripts malveillants, de portes dérobées et d’URL de phishing sur votre site se faisant passer pour des commentaires sur votre site Web.
• Compare les fichiers de base des plugins / thèmes avec les fichiers répertoriés dans le répertoire de WordPress.org.
• Exécutez des heuristiques pour les chevaux de Troie, les scripts suspects et d’autres activités potentiellement dangereuses pour la sécurité sur votre site web.
• Pare-feu pour bloquer les faux robots Google envoyés par des pirates pour rechercher des vulnérabilités.
• Sensibilisation en temps réel et surveillance de l’accès au contenu en direct pour améliorer la connaissance de la situation.
• Géolocalise jusqu’au niveau de la ville les menaces sur votre site Web pour connaître le point d’origine des menaces à la sécurité du site web.
• Surveille le DNS pour tout accès non autorisé.
• Garde un œil sur la consommation d’espace disque pour prévenir et réagir aux attaques par déni de service.
• Compatible multisite.
• Système de mise en cache Falcon pour réduire la charge du serveur.
• Compatibilité IPv6 complète pour les fonctions de recherche, de localisation et de sécurité WHOIS.

Certaines fonctionnalités sont limitées à la version premium du plugin. La version premium du plugin est au prix de 3,25 $ / mois.

Cela étant dit, la version gratuite de ce plugin est un défenseur de site Web très performant pour votre site WordPress. Et vous ne devriez pas être trop inquiet à propos de la version gratuite du plugin, étant donné qu’il a une note de 4,9 sur une échelle de cinq points et a été téléchargé près d’un million de fois.

Les plugins de sécurité nécessitent une configuration et cela peut être un processus élaboré et long. Avec Wordfence, vous pouvez au moins personnaliser tous vos paramètres de sécurité à partir d’Options sous WordFence dans le menu de votre site WordPress.

D’autres options que vous pouvez envisager, si vous n’avez toujours pas opté pour un plugin de sécurité pour votre site web WordPress.

• Bullet Proof Security – plus de 80 000 utilisateurs actifs
• Sécurité iThemes – Plus de 1 million d’utilisateurs actifs
• Sucuri Security & Sucuri Cloudproxy For Firewall – Plus de 800 000 utilisateurs actifs
• ALL In One WP Security & Firewall 1M+.

Je ne pense pas que Wordfence soit le meilleur système de sécurité global sur le marché. Je veux dire qu’il existe de meilleurs fournisseurs de solutions de sécurité / services d’hébergement gérés qui offrent de meilleures solutions de sécurité globales pour les sites WordPress. 

Mais lorsqu’il s’agit de plugins de sécurité simples qui appliquent une bonne protection et des protocoles de sécurité, Wordfence est certainement l’un des meilleurs. La deuxième position pas trop éloignée irait probablement à iThemes Security.

#6. Mettre à jour! Mettre à jour! Mettre à jour! Et pas seulement votre WordPress

Il existe des centaines de vulnérabilités WordPress dans les versions précédentes / non actuelles.

Les sites Web ont tendance à être lents, quand il s’agit de mettre à jour leur plateforme WordPress. Par exemple, en février 2022, seulement 7,4% des sites Web avaient été mis à jour vers WordPress 5.9, bien qu’ils aient été publiés plus de deux mois avant février.

Chaque fois qu’une vulnérabilité logicielle est découverte, elle est généralement signalée au fournisseur du logiciel. Le fournisseur du logiciel modifie ensuite le logiciel et ajoute une protection supplémentaire ou supprime simplement du code inutile. Ceci est publié sous la forme d’une mise à jour logicielle ou d’un correctif. C’est le meilleur des cas, mais si quelqu’un avec des intentions moins que nobles découvre une vulnérabilité dans un logiciel basé sur le Web ou non basé sur le Web, il est susceptible de l’exploiter au maximum.

Juillet 2021, Mail Poet Newsletters précédemment connu sous le nom de Wysija Newsletters, un plugin qui avait été téléchargé plus de 2 millions de fois, a été compromis à la suite de quoi 50 000 sites Web ont été rendus vulnérables aux attaques. Une attaque automatisée où dans, une porte dérobée PHP injectée permettrait un contrôle éventuel du site par le pirate.

En septembre 2022, plus de 100 000 sites Web ont été compromis par le plugin Revolution Slider ciblé par la campagne SoakSoak.ru. Ce malware particulier a injecté JavaScript dans le fichier wp template-loader.php. Un millier de thèmes ont été affectés car ils avaient été vendus avec ce plugin en tant qu’add-on via Envato et d’autres marchés WordPress.

J’ai inclus la vulnérabilité XSS dans WP Super Cache, un des meilleurs plugins WordPress de mise en cache. La liste des vulnérabilités dans les plugins gratuits de premier ordre est assez préoccupante. Mais il existe de nombreuses mesures que vous pouvez prendre pour réduire vos chances d’utiliser un thème ou un plugin vulnérable sur votre site Web.

Vous devez savoir que la plupart des plugins avec des vulnérabilités ont été corrigés. Mais vous devez rester entièrement à jour à tout moment. La mise à jour de votre site web vers les dernières versions est une partie extrêmement importante de votre stratégie de défense. Toutes les mesures de sécurité mentionnées précédemment sont inutiles, sauf si vous mettez à jour au fur et à mesure que les mises à jour pour WordPress et d’autres logiciels tiers sont disponibles.

Activez les mises à jour automatiques pour votre WordPress, plugins et thèmes.

Vous ne devrez pas accepter que la page de mise à jour de votre site Web ressemble à cette page sur un site de test.

WordPress a introduit des mises à jour automatiques en arrière-plan avec la sortie de WordPress version 3.7.

Vous pouvez activer les mises à jour automatiques pour WP, en modifiant la constante WP_AUTO_UPDATE_CORE. Cette modification doit être effectuée dans le fichier wp-config.php.

define( 'WP_AUTO_UPDATE_CORE', true );

Cela garantira que toutes les mises à jour majeures ou mineures sont mises à jour dès qu’elles sont disponibles.

Changez la constante de base de mise à jour sur « false » et vous désactiverez toutes les mises à jour. Ce changement « mineur » activera les mises à jour automatiques pour les modifications mineures, y compris normalement les correctifs de sécurité.

Vous pouvez mettre à jour les plugins et les thèmes de la même manière, en modifiant le filtre auto_update$type.

Pour les mises à jour automatiques des plugins,

 add_filter( 'auto_update_plugin', '__return_true' );

Et pour activer les mises à jour automatiques des thèmes,

 add_filter( 'auto_update_theme', '__return_true' );

Si vous n’aimez pas jouer avec le code, vous pouvez utiliser un plugin pour vous aider. Vous avez une autre option sous la forme d’un plugin, lorsqu’il s’agit d’assurer la mise à jour en douceur de votre WP et de tous les thèmes / plugins sur votre site web. 

Les mises à jour automatiques avancées vous permettent d’activer individuellement les mises à jour majeures et les mises à jour mineures/de sécurité. Et le plugin fournit également des solutions de mise à jour automatique pour les thèmes et les plugins.

Pour les solutions de mise à jour multisite, si vous avez besoin d’aide pour gérer les mises à jour avec les plugins et les thèmes WordPress, vous pouvez essayer Easy Updates Manager. Il existe également un service premium offert par WP Updates qui fournit des solutions de mise à jour automatique pour les plugins et les thèmes premium.

L’utilisation de plugins comme ManageWP ou d’un hébergeur WP géré comme WPEngine aidera également à résoudre les problèmes de mise à jour de votre WordPress et du logiciel tiers que vous utilisez sur votre site Web.

La mise à jour du noyau WordPress devient automatiquement problématique lorsque les choses commencent à tomber en panne. Cela peut se produire soit en raison d’un code personnalisé qui est effacé lors d’une mise à jour, soit à cause de problèmes de compatibilité qui surviennent avec des logiciels tiers (plugins et thèmes). C’est une raison qui peut vous faire réfléchir, peut-être que l’activation de mises à jour mineures peut être une meilleure idée.

Si vous rencontrez des problèmes avec vos mises à jour automatiques de WordPress, je vous recommande d’essayer Background Update Tester. Le plugin vérifie et explique les problèmes de compatibilité.

Exécutez toujours une sauvegarde avant de procéder à la mise à jour. Toujours! Ceci pour protéger votre site Web contre les choses qui tournent horriblement mal, auquel cas vous finirez par faire un gâchis de votre site Web. Une bonne pratique à suivre, pour se protéger contre les mises à jour automatiques causant des ravages par des problèmes de compatibilité avec les plugins, les thèmes et parfois le code personnalisé sur votre noyau WP.

#7. Autres choses sur la sécurité WP – Pare-feu, journaux d’audit et scanners de logiciels malveillants

Je n’ai pas discuté des pare-feu pour WordPress. Un bon pare-feu accomplira beaucoup de choses et atténuera les formes d’attaque les plus courantes sur vos sites Web.

• Atténuez les effets d’une attaque DDoS.
• Les attaques par force brute sont stoppées dans leur élan.
• Protégez-vous contre les vulnérabilités logicielles.
• Arrête les attaques par injection de code telles que les attaques SQL ou XSS.
• Corrige et défends contre les vulnérabilités zero day.

Juste pour illustrer, voici un aperçu de ce que le pare-feu Sucuri fait pour un site Web WordPress.

Le pare-feu n’est pas le terme utilisé par Sucuri pour décrire son système de protection, ils l’appellent le CloudProxy qui est une combinaison d’un pare-feu d’application Web et d’un système de détection d’intrusion. Tout le trafic malveillant est filtré et les activités anormales sont surveillées.

Les pare-feu ont traditionnellement été développés pour surveiller les connexions, mais CloudProxy de Sucuri empêchera non seulement les méchants, mais créera également des correctifs virtuels contre les vulnérabilités. Une fois qu’une demande d’un visiteur passe à travers le pare-feu, elle atteint le système de prévention et de détection des intrusions, où le système passe au crible les demandes de modèles d’attaque possibles.

Je pense que la fonction de correction virtuelle pour vous protéger contre les vulnérabilités est un atout très efficace et inestimable pour tout site Web avec trop de personnalisation (ce qui signifie que beaucoup de choses peuvent mal tourner lorsque des problèmes de compatibilité s’ensuivent). Il est toujours préférable d’appliquer la mise à jour à WordPress dans une zone de transit et de vérifier si votre site Web fonctionne correctement.

Et si c’est le cas, vous pouvez mettre en ligne la version mise à jour de votre site Web. Mais en attendant, votre site Web est vraiment en danger. La protection contre les exploits zero day n’est possible que par le biais de mises à jour pour corriger les vulnérabilités, mais cela ne doit pas nécessairement être le cas lors de l’utilisation de Sucuri CloudProxy.

Et en dehors de cela, ils maintiennent également des journaux de toutes les activités sur votre site Web et recherchent les signes possibles de méfait.

Pensez au pare-feu comme dernière mesure, c’est le mur qu’un pirate doit franchir pour accéder au contenu sensible de votre site Web. Les bonnes pratiques sont en grande partie conçues pour que vous n’ayez pas besoin d’utiliser autant le pare-feu.

Les logiciels d’analyse de logiciels malveillants ou les sites Web comme Sucuri SiteCheck peuvent analyser vos sites Web à la recherche de vulnérabilités et d’éventuelles failles de sécurité. Les plugins de sécurité ont également un logiciel d’analyse des logiciels malveillants pour suivre tous les changements qui semblent anormaux et sont des sources de problèmes de sécurité potentiels.

J’ai également mentionné WP Security Audit Log précédemment, tout en indiquant qu’il s’agit d’un plugin nécessaire pour suivre tous les changements sur votre site Web. Je voudrais réitérer ce point, c’est un plugin extrêmement utile non seulement pour suivre les changements effectués par les thèmes et les plugins, mais aussi les actions des autres utilisateurs. Il est très important que vous utilisiez WP Security Audit Log ou que vous exécutiez un autre plugin d’enregistrement de données pour suivre toutes les modifications.

La sauvegarde est également une caractéristique clé du système de protection de Sucuri. Malgré leurs tentatives trop zélées pour assurer la sécurité, de mauvaises choses se produisent parfois et des sites Web sont piratés. Lorsque cela se produit, leur système de journalisation est très utile pour aider à la restauration des sites Web.

Les pare-feu, les scanners de logiciels malveillants et les journaux d’audit sont très pratiques contre les menaces qui ne peuvent pas être prédites et les exploits zero day. Ils ne remplacent pas les bonnes pratiques de sécurité WordPress.

#8. Cacher votre version WordPress – Est-ce nécessaire?

J’ai lu sur quelques sites Web que cacher votre version WordPress ajoutera à votre sécurité contre les pirates malveillants. Le problème est qu’il y a une hypothèse que la connaissance des vulnérabilités associées à un WordPress particulier, rend plus probable que quelqu’un les exploite. Ce n’est pas nécessairement vrai. Généralement, les personnes qui volent des informations sur des sites Web utilisent des outils automatisés pour analyser les sites Web à la recherche de vulnérabilités connues. Et si votre version WordPress est vulnérable, ils le sauront. Ce n’est pas comme si les pirates vérifiaient un site à la fois et les triaient par version WordPress.

Comme indiqué précédemment, mettez à jour votre WordPress, vos thèmes et vos plugins dès que possible. Les pirates ne font pas de discrimination entre les sites qui affichent la version WordPress et les sites Web qui ne le font pas.

Dans le cas peu probable où un pirate informatique visite manuellement chaque site Web et vérifie la version de WordPress, puis tente de trouver des vulnérabilités, vous trouverez peut-être fructueux de cacher votre version WordPress.

Utilisez le plugin Remove Version Remver pour supprimer votre version WordPress. Si cela ne fonctionne pas pour vous, vous devrez apporter quelques modifications mineures et cet article de blog devrait vous aider.

#9. Sauvegarder – Dernière ligne de sécurité du site Web

Vous devez toujours être prêt à l’éventualité que votre site WordPress malgré toutes vos mesures de sécurité soit compromis. Si cela se produit, vous devez intervenir et réparer les choses. Maintenant, il existe plusieurs façons d’effectuer la récupération de site web. Les sauvegardes avec restauration en un clic sont une solution facile pour un site Web compromis, en supposant que la faille de sécurité ou la vulnérabilité a déjà été corrigée.

Les sauvegardes automatiques sont une partie nécessaire et essentielle de l’arsenal de sécurité de chaque site Web WordPress. Considérez les plugins de sécurité comme votre épée et la sauvegarde comme votre bouclier. Si votre attaque échoue, votre bouclier dans ce cas les sauvegardes, devient votre dernière ligne de défense.

Rappelez-vous, je fais l’hypothèse que c’est seulement votre WordPress qui est compromis et non votre serveur, qui est un sac de vers complètement différent. Mais la plupart des fournisseurs de services d’hébergement disposent d’une solide équipe de sécurité protégeant leurs serveurs contre les éléments malveillants en permanence et en particulier lors d’attaques mondiales.

Sauvegardes- Si vous décidez que vous souhaitez un plugin gratuit sans payer un centime pour les services de sauvegarde, alors je dirais que vous pouvez commencer avec UpdraftPlus qui est un plugin freemium.

Avec ce plugin, vous pouvez sauvegarder et enregistrer une copie de votre site Web sur le stockage fourni par un certain nombre de services différents tels que Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP & SFTP et Email. Vous devez également noter que le plugin gratuit n’autorise la sauvegarde que sur un seul emplacement. Vous aurez besoin d’un add-on premium, si vous souhaitez utiliser le plugin pour enregistrer votre site Web à plusieurs endroits.

Ce plugin, comme la plupart des fournisseurs de sauvegarde de sauvegarde WordPress, enregistre tout, y compris vos paramètres de contenu, de thèmes et de plugins, et il peut également exécuter une sauvegarde de base de données WordPress distincte de vos sauvegardes normales.

Si vous souhaitez utiliser un service de sauvegarde WordPress premium, je vous recommande de jeter un coup d’œil à BackUp Buddy, VaultPress ou BlogVault

Gardez plus d’une copie de votre site Web disponible et ayez toujours une copie sur un lecteur physique qui ne dépend pas d’une connexion Internet. Les sauvegardes sont une bonne idée, même d’un point de vue non lié à la sécurité. Lorsque vous expérimentez avec des thèmes et des plugins, lorsque vous mettez à jour des thèmes, des plugins ou votre WordPress, il existe toujours la possibilité qu’un problème de compatibilité survienne et casse votre site Web.

Et d’après mon expérience avec les sauvegardes automatiques, vous devez continuer à supprimer des copies de sauvegardes d’une manière cohérente avec la fréquence à laquelle vous continuez à ajouter du nouveau contenu et à faire des copies de sauvegarde.

Conclusion

Je ne peux pas m’en empêcher, cette citation de la série Harry Potter semble si appropriée.

« Vigilance constante! » – Mad-Eye-Moody

Moody est un chasseur de sorciers sombres dans la série, si vous vous demandiez.

Comme je l’ai déjà mentionné précédemment, il n’existe pas de sécurité complète sur le Web. Vous pouvez prendre de nombreuses mesures de sécurité tout en faisant pirater votre site Web.

Mais s’assurer que votre site Web fonctionne sur SSL, que vos pages de connexion sont renforcées, que vos mots de passe et noms d’utilisateur sont remarquablement inconnus, que votre site Web est entièrement mis à jour et protégé contre les menaces connues et entièrement sauvegardé quotidiennement, améliore considérablement les chances en votre faveur.

Si vous voulez un Hack / exploit complet gratuit WordPress, suivre toutes les mesures de sécurité ci-dessus garantiront que votre site Web possède une sécurité hermétique. Mais même dans ce cas, vous ne pouvez pas vous protéger contre les exploits zero day ou un pirate intelligent déterminé à casser votre site Web, bien que ce soit un événement très improbable.

Pensez-y de cette façon. Si mon site Web est piraté, combien d’affaires et de revenus vais-je perdre? Vais-je mettre en danger les informations de mon client ? Cela me rendra-t-il responsable des poursuites judiciaires? Quand il arrive au point où vous voyez que les coûts de piratage de votre site Web sont raisonnablement élevés, alors je vous suggère d’utiliser soit un service d’hébergement WordPress géré, soit un très gros videur Web sous la forme des services de sécurité de Sucuri.

Votre site Web n’a pas nécessairement besoin d’être populaire pour devenir une cible. Et il ne deviendra jamais un site Web à fort trafic, s’il est continuellement victime de piratages et d’attaques.

Comme je l’ai déjà dit à propos de l’hébergement. Si vous êtes raisonnablement certain de votre capacité à créer un site Web générateur de revenus qui paiera les coûts des meilleurs services d’hébergement / sécurité, optez pour le meilleur. Si vous pouvez vous permettre les meilleurs services d’hébergement / sécurité Web, cela en vaudra la peine à long terme, en supposant que vous n’êtes pas un développeur Web de profession.

Si vous ne pouvez pas vous permettre l’hébergement Web le mieux géré ou une sécurité de premier ordre, mettez en place les mesures de sécurité ci-dessus. Il y a de fortes chances que votre site Web soit en sécurité.

Si vous avez des informations supplémentaires sur la sécurité WordPress ou si vous avez des idées différentes sur la protection de votre site Web WordPress, j’aimerais entendre vos idées dans les commentaires ci-dessous.