Nous facilitons votre migration vers Le Digital

Le guide de sécurité WordPress pour protéger votre site

wp security
Wordpress

Le guide de sécurité WordPress pour protéger votre site

admin
février 10, 2023
228 views
0 Comment

Les menaces de sécurité ne sont pas uniques à WordPress. Chaque plate-forme, qu’elle soit privée ou open source, est attaquée 24 heures sur 7, Heureusement, la communauté WordPress propose de nombreuses solutions pour faciliter le travail.

Voici quelques étapes clés à suivre pour protéger un site WordPress contre les menaces de sécurité.

Comment protéger un site WordPress

Il y a huit actions fondamentales que tous les éditeurs WordPress devraient envisager afin d’atténuer les activités malveillantes et les vulnérabilités.

Suivre ces meilleures pratiques aidera à s’assurer qu’un site WordPress est prêt à faire face à l’assaut des pirates informatiques qui sondent les sites Web tous les jours:

  • Utilisez HTTPS.
  • N’utilisez pas le mot « admin » comme nom d’utilisateur d’administrateur.
  • Appliquez l’utilisation de mots de passe forts.
  • Mettre à jour les plugins et les thèmes.
  • Plan de sauvegarde du site Web.
  • Minimisez l’utilisation de plugins.
  • Authentification à deux facteurs.
  • Installez un pare-feu WordPress et un scanner de vulnérabilité.

Passons en revue chacun d’eux un peu plus en détail.

1. Ajouter HTTPS/SSL

À l’heure actuelle, la plupart des sites utilisent HTTPS. Mais si votre site n’utilise pas HTTPS, vérifiez auprès de votre hébergeur l’ajout d’un certificat SSL gratuit.

Il suffit de définir l’adresse WordPress et l’adresse du site à l’aide de https://. Cela peut être accompli dans l’onglet Paramètres généraux.

Si le site passe d’un état non sécurisé à un état sécurisé, le plugin SSL vraiment simple (utilisé par plus de 5 millions de sites Web) vaut la peine d’être examiné, car il simplifie vraiment la conversion en HTTPS en gérant les redirections et autres tâches connexes.

Le SSL aide également à atténuer les menaces de sécurité telles que le détournement de clic et les attaques de falsification intersites en offrant la possibilité d’ajouter des en-têtes de sécurité.

De nos jours, l’installation d’un certificat SSL est une tâche facile.

De nombreux hébergeurs Web offrent des certificats SSL gratuits – de plus, c’est un facteur de classement connu chez Google.

Après la conversion en HTTPS, il est conseillé de vérifier qu’aucune page ne demande de liens ou de contenu HTTP.

La vérification du contenu mixte est un must.

Le contenu mixte se produit lorsque des ressources de site Web non sécurisées (scripts, images, vidéos, etc.) sont liées à partir de pages HTTPS.

Explorez votre site avec le cadenas manquant pour identifier rapidement les instances de contenu mixte, puis corrigez les erreurs en créant un lien vers des ressources HTTPS.

2. Utilisez un nom d’utilisateur administrateur sécurisé

Un nombre écrasant d’attaques de sécurité contre l’écran de connexion WordPress sont effectuées avec le nom d’utilisateur « Admin ».

Il existe deux principaux types d’attaques qui tentent de déchiffrer le mot de passe de connexion :

  • Force brute.
  • Attaque par dictionnaire.

L’attaque par force brute se produit lorsque le logiciel de piratage automatisé tente de deviner le mot de passe administrateur en utilisant différentes combinaisons de mots, de lettres et de chiffres.

Une attaque par dictionnaire se produit lorsque le logiciel de piratage utilise des mots de passe courants pour essayer de deviner la connexion de l’administrateur.

Dans de nombreux cas, le nom d’utilisateur administrateur utilisé par ces logiciels est « Admin ».

Ne pas utiliser le mot « Admin » comme nom d’utilisateur est une étape simple qui aidera à sécuriser un site WordPress.

Pour aller plus loin, vous pouvez créer une règle de pare-feu avec le plug-in de sécurité Wordfence pour bloquer automatiquement tout humain ou bot qui tente de se connecter avec le nom d’utilisateur Admin.

3. Appliquez des mots de passe forts

N’autorisez personne, en particulier les utilisateurs disposant de privilèges de niveau administrateur, à créer un mot de passe qui n’est pas fort.

Même les utilisateurs disposant de faibles privilèges de site Web, comme le niveau d’abonné, peuvent devenir un vecteur d’attaque. Il est donc important d’appliquer des mots de passe forts à tous ceux qui peuvent se connecter au site WordPress.

Le populaire plugin WordPress iThemes Security, avec plus de 1 million d’utilisateurs, offre l’application de la force du mot de passe de connexion, ainsi que l’authentification à deux facteurs.

Une stratégie de sécurité de mot de passe qui applique des mots de passe forts peut également être activée à l’aide du plugin de sécurité Wordfence WordPress.

4. Mettre à jour les plugins et les thèmes

Certaines mises à jour des plugins, des thèmes et de l’installation principale de WordPress elle-même visent à corriger les vulnérabilités (correctifs).

L’absence de mise à jour du logiciel peut rendre le site vulnérable.

La plupart des mises à jour fonctionnent correctement. En de rares occasions, une mise à jour peut changer quelque chose dans le logiciel qui commence à entrer en conflit avec un autre plugin ou thème, provoquant le plantage du site.

Si cela se produit, il est facile de restaurer le site à un état antérieur si le site a été sauvegardé.

La meilleure façon de mettre à jour les plugins et les thèmes est de mettre en scène le site et de vérifier si le site fonctionne comme il se doit avec le logiciel mis à jour.

Mais si vous ne mettez pas en scène le site, la deuxième option consiste à sauvegarder le site, puis à le mettre à jour.

Testez le site pour vous assurer que tout fonctionne. Si le site ne fonctionne pas correctement, restaurez-le avec la sauvegarde.

La troisième option consiste à configurer tous les plugins pour qu’ils se mettent à jour automatiquement afin que vous n’ayez même pas à y penser. Si quelque chose se casse, restaurez-le à son état précédent.

5. Sauvegardez votre site WordPress

La sauvegarde quotidienne d’un site Web est essentielle.

Il y a beaucoup de choses qui peuvent mal tourner, et une sauvegarde sauvera la journée lorsque quelque chose de catastrophique arrive sur le site.

UpdraftPlus WordPress Backup Plugin, avec plus de 3 millions d’utilisateurs, est une solution populaire et fiable.

Je l’utilise sur tous mes sites Web et je peux le recommander en toute confiance.

Cela m’a sauvé à l’occasion d’une refonte du site Web qui ne s’est pas très bien passée, me permettant de restaurer facilement le site à une version précédente.

Une autre solution populaire s’appelle WP Rollback.

WP Rollback compte plus de 200 000 installations, et les personnes qui créent le logiciel sont des développeurs WordPress de confiance et experts.

Cela fonctionne bien avec les thèmes et les plugins téléchargés à partir de WordPress.org.

6. Minimisez l’utilisation de plugins

Chaque plugin installé augmente les chances que l’un d’entre eux expose le site à une vulnérabilité.

Outre des raisons de sécurité, l’utilisation d’un trop grand nombre de plugins peut avoir un impact sur les performances du site, ainsi qu’augmenter le risque que le code entre deux ou plusieurs plugins ait un conflit et fasse planter le site.

Planifiez à l’avance les plugins que vous souhaitez utiliser pour accomplir ce dont vous avez besoin.

7. Mettre en œuvre l’authentification à deux facteurs

L’authentification à deux facteurs est appelée ainsi parce qu’il faut deux formes d’identification pour se connecter à un site WordPress avec cette fonctionnalité activée.

Le premier facteur est le nom d’utilisateur et le mot de passe.

Le deuxième facteur est une deuxième forme d’authentification, généralement avec une application comme Authy ou Google Authenticator qui se trouve sur le téléphone portable de l’utilisateur.

Ainsi, même si un pirate informatique accède au nom d’utilisateur et au mot de passe, il ne pourra pas se connecter sans la deuxième authentification.

Il existe de nombreux plugins WordPress parmi lesquels choisir pour ajouter cette fonctionnalité, notamment:

WP 2FA

WP 2FA est un plugin de choix populaire pour ajouter l’authentification à deux facteurs.

Il prend en charge plusieurs méthodes d’authentification à deux facteurs, notamment Google Authenticator, Authy, le lien e-mail, le mot OTP par e-mail et la notification push.

Il existe des méthodes supplémentaires telles que l’authentification vocale et WhatsApp disponibles avec la version Pro.

Sécurité de connexion Wordfence

Wordfence est une marque digne de confiance. son plugin d’authentification autonome à deux facteurs prend en charge Authenticator, Authy, 1Password et FreeOTP.

De plus, les plugins de sécurité comme Wordfence et iThemes Security ont également des options pour activer l’authentification à deux facteurs.

8. Installez un plugin de sécurité WordPress

Les plugins de sécurité sont utiles car ils peuvent fermer toutes les failles de sécurité et bloquer les pirates qui tentent de tirer parti de ces vulnérabilités.

Il existe deux types de plugins de sécurité WordPress:

  • Renforcement de la sécurité et analyse.
  • Pare-feu.

Voici quelques outils que je recommanderais.

Sécurité Sucuri

Sucuri est un choix de confiance pour un plugin de sécurité. Il appartient à GoDaddy.

Sucuri analyse un site à la recherche de logiciels malveillants et offre des options pour renforcer le site contre les exploits.

Choisir Sucuri est facile car il complète un plugin de pare-feu, tel que Wordfence.

La version payante comprend également un pare-feu.

Jetpack Protect

Jetpack Protect est créé par Automattic, la société derrière WordPress.com, Akismet, WPScan et WooCommerce, entre autres.

Jetpack Protect effectue une analyse quotidienne des logiciels malveillants du noyau, des plugins et des thèmes WordPress.

Ce plugin gratuit est relativement nouveau – il a été transformé en un plugin autonome en 2022.

Wordfence Security – Pare-feu, analyse des logiciels malveillants et sécurité de connexion

Wordfence est un choix populaire pour la sécurité WordPress. Il y a plus de 4 millions d’installations actives.

Wordfence agit comme un pare-feu pour protéger un site Web contre les attaques de piratage et peut interdire les robots de piratage automatisés et les pirates réels en temps réel si l’activité correspond au modèle d’un pirate informatique.

Les utilisateurs peuvent configurer le pare-feu Wordfence avec des règles qui peuvent immédiatement bloquer les pirates.

Wordfence aide également à renforcer un site contre le piratage en fournissant une authentification à deux facteurs et en désactivant l’exécution PHP dans les dossiers où PHP ne devrait pas s’exécuter.

Un autre avantage de Wordfence est que le plugin envoie des rappels par e-mail lorsqu’un plugin a besoin d’une mise à jour.

La version payante de Wordfence reçoit des règles de pare-feu pour se protéger contre les derniers exploits dès que Wordfence les connaît.

Sécurité iThemes

iThemes Security est un plugin tout-en-un qui analyse et renforce un site Web ainsi que bloque les mauvais bots en tant que pare-feu. Il y a plus d’un million d’installations actives.

iThemes gère de nombreuses activités liées à la sécurité, ce qui en fait un choix populaire pour ceux qui préfèrent un plugin pour tout faire.

Prenez des mesures de sécurité WordPress supplémentaires

Ce sont les étapes supplémentaires pour créer une posture de sécurité forte.

Vérifiez votre version de PHP

PHP est le logiciel sur lequel WordPress fonctionne.

Les versions obsolètes de PHP peuvent exposer un site à des failles de sécurité.

Assurez-vous que la version PHP utilisée n’a pas atteint le statut de fin de vie (EOL).

Rechercher la vulnérabilité en ligne

Voici trois outils en ligne qui recherchent les vulnérabilités ou indiquent si un site a été piraté :

L’avenir de la sécurité WordPress

Les pirates informatiques attaquent tous les sites, quel que soit le système de gestion de contenu (CMS) utilisé.

WordPress est le CMS le plus populaire au monde, ce qui en fait une cible populaire des pirates.

Heureusement, WordPress a une communauté massive qui travaille pour le garder sécurisé, ce qui est un avantage que les autres plates-formes n’ont pas.

Tous les propriétaires de sites Web WordPress devraient envisager de prendre le temps de s’assurer que des mesures sont en place pour garder leurs sites WordPress entièrement sécurisés

Leave your thought here

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles récents

fr_FRFrench
fr_FRFrench
Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
  • Attributes
  • Custom attributes
  • Custom fields
Click outside to hide the compare bar
Compare
Compare ×
Let's Compare! Continue shopping