fbpx

Blog

Sécurité Web Sécurité WordPress : 15 étapes à suivre pour sécuriser et protéger votre site

sécurité WordPress | Web Diamond

En matière de sécurité, il n’existe aucun type spécifique concernant la sécurité  WordPress. Tous les problèmes de sécurité sont communs à tous les sites Web ou applications.

Cependant, les problèmes de la sécurité WordPress, sont d’un grand intérêt, car il alimente environ 40 % du Web. Lorsqu’on trouve une vulnérabilité dans le noyau ou les plugins de WordPress, les autres sites Web qui l’utilisent deviennent vulnérables, car ils utilisent tous le même code.

D’autre part, il existe un nombre important de plugins que vous pouvez utiliser pour renforcer la sécurité de votre site Web.

Dans cet article, vous allez apprendre à protéger votre site Web WordPress contre les pirates, avec quelques conseils de sécurité et découvrez ce qu’il faut faire si votre site WordPress est piraté.

Protection contre les vulnérabilités de WordPress :

Les types de vulnérabilités de WordPress les plus courants sont :

  • Portes dérobées.
  • Hacks pharmaceutiques.
  • Tentatives de connexion par force brute.
  • Redirections malveillantes.
  • Script intersite (XSS).
  • Déni de service (DDoS).

Ce sont les types de vulnérabilités les plus courants, mais cela ne signifie pas qu’ils se limitent à ceux-ci. Lorsque vous pensez à la sécurité, en général, vous devez penser à 360°. Les attaquants peuvent utiliser de nombreuses techniques pour accéder à votre site.

Par exemple, ils peuvent voler votre PC et avoir un accès physique à votre ordinateur. Ils peuvent également utiliser des techniques de surveillance pour voir vos mots de passe lors de la connexion d’un réseau public à votre site Web.

Voyons donc ensemble, comment renforcer  la sécurité WordPress afin de rendre la vie un peu plus difficile aux attaquants.

1. Sécurisez votre site avec HTTPS :

Tout ce que vous faites, passe par le réseau et les câbles. HTTP échange des données sous forme de texte brut, entre le navigateur et le serveur. Par conséquent, toute personne ayant accès au réseau entre le serveur et le navigateur, peut voir vos données non cryptées.

Si vous ne protégez pas votre connexion, vous risquez d’exposer vos données sensibles à des attaquants. Avec HTTPS, vos données seront cryptées et les attaquants ne pourront pas lire les données transmises même s’ils ont accès à votre réseau.

Donc, la première étape pour sécuriser votre site Web consiste à activer HTTPS. Si vous n’êtes pas encore passé à HTTPS, vous pouvez faire appel à notre agence pour vous guider.

2. Utilisez toujours des mots de passe forts :

Le moyen le plus courant et simple pour les pirates d’accéder aux sites Web, consiste à utiliser des mots de passe faibles ou piratés. Ce qui rend votre site vulnérable aux attaques par force brute.

Améliorez votre sécurité en utilisant des mots de passe forts. Et vérifiez régulièrement s’ils ont été piratés.

3. Utilisez les gestionnaires de mots de passe pour stocker vos mots de passe :

Lorsque vous vous connectez tout en travaillant à partir d’un réseau public, vous ne pouvez pas être sûr de savoir qui regarde ce que vous tapez sur votre ordinateur portable ou qui enregistre vos mots de passe.

Afin de résoudre ce problème, utilisez des gestionnaires de mots de passe pour accéder facilement à vos mots de passe et les stocker dans un endroit sécurisé.

Même si votre PC est accessible, ils ne pourront pas obtenir vos mots de passe. Les gestionnaires de mots de passe sont basés sur un navigateur et non sur des plugins WordPress.

4. Ajouter CAPTCHA sur le formulaire de connexion et d’inscription :

Lorsque vous avez sécurisé votre site Web avec HTTPS et utilisé des mots de passe forts, vous avez déjà rendu la vie des pirates assez difficile.

Mais vous pouvez rendre les choses encore plus difficiles, en ajoutant CAPTCHA aux formulaires de connexion.

Les captchas, sont un excellent moyen de protéger vos formulaires de connexion contre les attaques par force brute.

5. Protéger des tentatives de connexion par force brute :

Le CAPTCHA de connexion vous protégera contre les tentatives de force brute jusqu’à une certaine limite. Souvent, une fois les jetons captcha résolus, ils sont valides pendant quelques minutes.

Google reCaptcha, par exemple, est valide pendant 2 minutes. Les attaquants peuvent utiliser ces deux minutes pour tenter des tentatives de connexion par force brute à votre formulaire de connexion pendant cette période.

Afin d’éviter ce problème, vous devez bloquer les tentatives de connexion infructueuses par adresse IP.

6. Configuration de l’authentification à deux facteurs (2FA) :

Avec des mots de passe sécurisés et des captcha sur les formulaires de connexion, vous êtes plus protégé.

Mais que se passerait-il si des pirates utilisaient des méthodes de surveillance et enregistraient le mot de passe que vous avez tapé sur une vidéo pour accéder à votre site Web ?

Seule l’authentification à deux facteurs, peut protéger votre site Web contre les attaquants.

Pour l’activer, veuillez suivre ces points:

  • Aller sur la page compte, pour choisir quel compte vous allez utiliser, après cliquer sur l’onglet mot de passe sécurisé;
  • Sous AUTHENTIFICATION À DEUX FACTEURS, cliquez sur l’option d’A2F que vous souhaitez activer; Activer l’application d’authentification
  • Ensuite activer l’authentification par SMS ou par e-mail.

7. Définir les en-têtes HTTP de sécurité :

Les en-têtes de sécurité, apportent une couche de protection supplémentaire, en limitant les actions pouvant être effectuées entre le navigateur et le serveur lorsque l’on navigue sur le site Web.

Les en-têtes de sécurité visent à protéger contre les attaques de type Clickjacking et Cross-site Scripting (XSS). On peut les structurer ci-dessous:

  • Strict-Transport-Security (HSTS).
  • Contenu-Sécurité-Politique.
  • X-Frame-Options.
  • X-Content-Type-Options.
  • Récupérer les en-têtes de métadonnées.
  • Référent-Politique.
  • Cache-Control.
  • Clear-Site-Data.
  • Fonctionnalité-Politique.

8. Définir les autorisations de fichier correctes pour les fichiers WordPress :

Les autorisations de fichiers sont des règles sur le système d’exploitation qui héberge vos fichiers WordPress.

Ces règles définissent la manière dont les fichiers peuvent être lus, modifiés et exécutés. Cette solution de sécurité est essentielle, notamment lorsque vous hébergez un site web sur un hébergement mutualisé.

S’il est mal défini, lorsqu’un site Web sur un hébergement partagé est piraté, les pirates peuvent accéder aux fichiers de votre site Web et y lire tout contenu,  en particulier wp-config.php ; Et obtenir un accès complet à votre site Web.

  • Tous les fichiers doivent être 644.
  • Tous les dossiers doivent être 775.
  • wp-config.php devrait être 600.

Les règles ci-dessus signifient que votre compte d’utilisateur d’hébergement peut lire et modifier des fichiers et que le serveur Web WordPress, peut modifier, supprimer et lire des fichiers et des dossiers.

Les autres utilisateurs ne peuvent pas lire le contenu de wp-config.php.

Si le réglage 600 pour wp-config.php met votre site Web hors service, modifiez-le en 640 ou 644.

9. Désactiver l’édition de fichiers à partir de WordPress :

C’est une fonctionnalité connue de WordPress. Là où vous  pouvez modifier des fichiers à partir du backend d’administration.

Ce n’est vraiment pas nécessaire. Car les développeurs utilisent SFTP et rarement.

10. Désactiver toutes les fonctionnalités et les plugins inutiles :

WordPress est livré avec de nombreuses fonctionnalités dont vous n’avez peut-être pas besoin. Par exemple, le point de terminaison XML-RPC dans WordPress a été créé pour communiquer avec des applications externes. Les attaquants peuvent l’utiliser pour les connexions par force brute.

Donc, pour remédier à ce problème, désactiver ou supprimer toutes les fonctionnalités inutiles.

11. Masquer la version WordPress :

C’est un point essentiel pour la sécurité WordPress. Ce dernier injecte automatiquement un commentaire avec la version de WordPress dans le HTML de la page. Il donne à l’attaquant la version de votre WordPress installé comme information supplémentaire.

Par exemple, si vous utilisez une version de WordPress dont le noyau a été signalé comme présentant une vulnérabilité, l’attaquant sait qu’il peut utiliser la technique signalée pour pirater votre site Web.

12. Installer un pare-feu WordPress :

Un pare-feu est une application Web qui s’exécute sur des sites Web et analyse toutes les requêtes HTTP entrantes. Il applique une logique sophistiquée pour filtrer les demandes susceptibles de constituer une menace.

On peut configurer ses règles en plus des règles intégrées du pare-feu pour bloquer les requêtes. L’injection SQL est l’un des types d’attaques les plus courants.

Supposons que vous exécutiez un plugin WordPress vulnérable aux injections SQL, et que vous ne le sachiez pas. Si vous utilisez un pare-feu, même si l’attaquant connaît la faille de sécurité du plugin, il ne pourra pas pirater le site Web.

En effet, le pare-feu bloquera les requêtes contenant des injections SQL. Il est également capable de prévenir les attaques DDoS, en détectant trop de requêtes provenant d’une seule adresse IP pour les bloquer.

13. Conserver les sauvegardes :

Si vous êtes piraté, la meilleure façon de tous récupérer est de restaurer le site Web à partir de la dernière version qui n’a pas été infectée.

Si vous ne stockez pas les sauvegardes du site Web, le nettoyage du site Web peut être une opération qui prend du temps . peut être une opération qui prend du temps. Et dans certains cas, il peut ne pas être possible de restaurer toutes les informations, car le logiciel malveillant a effacé toutes les données.

Afin d’éviter ce majeur problème, effectuez des sauvegardes régulières de la base de données et des fichiers de votre site Web.

Vérifiez auprès de votre support d’hébergement s’il fournit une fonctionnalité de sauvegarde quotidienne et activez-la. Sinon, vous pouvez utiliser ces plugins pour exécuter des sauvegardes comme BackWPup.

14. Utiliser SFTP :

De nombreux développeurs utilisent déjà SFTP pour se connecter aux serveurs Web, mais il est important de le rappeler, en cas où vous ne le feriez toujours pas.

Comme HTTPS, SFTP utilise le cryptage pour transférer des fichiers sur le réseau, ce qui rend impossible la lecture en texte brut même si l’on a accès au réseau.

15. Surveiller l’activité de vos employés:

Nous avons parlé sur des nombreuses façons de sécuriser votre site Web contre les pirates inconnus. Mais qu’en est-il lorsqu’un de vos employés qui ont accès à l’administrateur du site Web, fait des choses louches telles que l’ajout de liens dans le contenu ?

Aucune des méthodes ci-dessus n’est capable de détecter un employé louche.

Cela peut être fait en regardant les journaux d’activité. En examinant l’activité de chaque utilisateur, vous constaterez peut-être que l’un des employés a touché un article qu’il n’était pas censé modifier.

Vous pouvez également examiner les activités qui semblent suspectes et voir quelles modifications ont été apportées.

Que faire si vous vous faites pirater ?

Même avec tous les conseils d’experts en sécurité WordPress contre les piratages, ils se produisent toujours. Si votre site Web a été piraté, vous devez suivre les étapes ci-dessous pour le récupérer :

  • Changez d’abord tous vos e-mails et autres mots de passe personnels. Car les pirates peuvent avoir eu accès à votre e-mail en premier et ainsi pouvoir accéder à votre site Web.
  • Restaurez votre site Web avec la dernière sauvegarde connue non piratée.
  • Réinitialisez les mots de passe de tous les utilisateurs du site Web.
  • Mettez à jour tous les plugins si des mises à jour sont disponibles.

Conclusion :

Pensez donc à toutes les solutions possibles en matière de sécurité. Insistez sur l’importance de la sécurité pour tous vos employés, afin qu’ils comprennent les conséquences que l’entreprise pourra subir s’ils ne respectent pas les règles de sécurité.

Si vous êtes piraté, récupérez votre site Web à partir de la sauvegarde et modifiez tous les mots de passe de votre site Web et de vos e-mails dès que possible.

Avec son expertise en matière de sécurité et l’utilisation de WordPress pour la création des sites Web et mobile, Notre agence Web Diamond, saura vous accompagner dans la création de vos sites web et applications, avec une haute sécurité.

Auteur

Inscrivez-vous à notre newsletter pour rester à jour avec les nouvelles technologies!