10 clés puissantes pour sécuriser votre site Web WordPress en 2023

Trop souvent, les propriétaires de sites Web WordPress constatent que leurs sites ont été compromis. Compte tenu de sa popularité en tant que CMS, WordPress est la plate-forme la plus ciblée par les pirates et, par conséquent, elle a la mauvaise réputation d'être non sécurisée.

Mais ce n'est pas vraiment le cas.

La nature open source de WordPress signifie que n'importe qui peut l'utiliser, et la grande majorité de ceux qui l'utilisent ne connaissent pas bien les pratiques de base en matière de cybersécurité. C'est ce qui crée l'illusion que WordPress est en quelque sorte moins sécurisé que les autres options de création de sites Web.

Les personnes qui utilisent de bonnes pratiques de sécurité ont rarement des problèmes avec les sites piratés. Alors, qu'est-ce qui rend un site Web WordPress sécurisé ?

 

Sécuriser votre site WordPress

Voici 10 choses à garder à l'esprit lorsqu'il s'agit de sécuriser votre site Web WordPress.

 

Utiliser un hôte sécurisé

Si vous ne repartez avec rien d'autre de ce post, faites au moins attention à celui-ci. Votre site Web WordPress est aussi sécurisé que le serveur sur lequel il réside.

La plupart des sites Web WordPress sont construits sur un hébergement partagé, ce qui signifie que votre site vit sur le même serveur que les sites Web d'autres clients. Choisissez une société d'hébergement qui gère correctement les autorisations de compte sur ses serveurs.

Regarde ça: Meilleurs services d'hébergement WordPress comparés

Il n'est pas rare qu'un site Web compromis en infecte d'autres sur le même serveur. Si vous choisissez un hébergeur où les autorisations sont correctement séparées pour chaque compte, le risque de contamination intersite est minimisé.

Contrairement à l'opinion populaire, L'hébergement VPS est également sensible à la propagation de logiciels malveillants. Les attaques VMescape, où les logiciels malveillants utilisent les vulnérabilités des plates-formes de virtualisation, peuvent permettre au logiciel malveillant de s'échapper d'un VPS et de passer à un autre VPS qui vit sur le même matériel physique.

Les hôtes sécurisés auront également d'autres mesures d'atténuation en place. Celles-ci incluent l'utilisation de mod-security dans la configuration de leur serveur Web, des packages anti-malware tels que Imunify360 et une protection DDoS pour empêcher les sites d'être submergés par les bots.

 

Gardez votre noyau, vos thèmes et vos plugins à jour

La plupart des sites WordPress sont piratés car ils manquent de code de date. Ce n'est pas une opinion, c'est un fait documenté.

Les chercheurs en sécurité effectuant des analyses médico-légales sur des milliers de sites Web WordPress piratés ont déterminé sans aucun doute que les plugins et les thèmes obsolètes sont responsables de plus de 80 % d'entre eux.

Imaginez, en gardant simplement vos thèmes et plugins à jour, vous pourriez éliminer 80% des chances que votre site soit compromis. Maintenant, c'est une clé pour sécuriser WordPress qui mérite d'être prise en compte.

 

Activer l'authentification à 2 facteurs

Alors que les thèmes et plugins obsolètes sont responsables de la grande majorité des sites Web WordPress piratés, les attaques par force brute sur les noms d'utilisateur et les mots de passe sont les méthodes les plus courantes pour obtenir un accès non autorisé aux sites Web.

Bien que le taux de réussite soit généralement faible, environ 8 % des sites Web piratés ont été piratés simplement en devinant le mot de passe d'un utilisateur.

Une façon de protéger votre site Web consiste à activer l'authentification à 2 facteurs (2FA). En plus de votre nom d'utilisateur et de votre mot de passe, 2FA vous demandera également de soumettre un mot de passe à usage unique depuis votre appareil mobile ou depuis un e-mail.

Si un pirate informatique a votre nom d'utilisateur et votre mot de passe pour votre site Web, mais qu'il n'a pas votre téléphone ni accès à votre e-mail, il ne pourra pas se connecter.

Il existe plusieurs plugins qui ajoutent l'authentification à 2 facteurs à votre site Web, et de nombreux plugins de sécurité complets dont nous parlerons dans la section suivante l'ajoutent également dans le cadre des nombreuses fonctionnalités qu'ils incluent.

 

Installer un plugin de sécurité

Il y a des gens qui disent que toute la sécurité devrait être assurée par votre hôte, mais dans le monde de la cybersécurité, nous pensons que la sécurité se fait par couches. Avoir un plugin de sécurité sur votre WordPress Le site Web n'est qu'une de ces couches.

En ce qui concerne les plugins de sécurité, il existe une variété de choix. Voici quelques-uns des plugins de sécurité les plus populaires. Vous devriez les tester et voir lequel correspond le mieux à vos besoins.

 

Wordfence

Bien que cet article ne précise pas quel plugin de sécurité est le meilleur, le plus populaire est Wordfence – et il y a de bonnes raisons à cela.

D'une part, Wordfence est une entreprise dédiée à la sécurité dans la mesure où la sécurité est tout ce qu'elle fait. Ce ne sont pas des développeurs de plugins WordPress qui ont un plugin de sécurité dans leur portefeuille, ils vivent et respirent la sécurité.

Le plugin Wordfence est livré avec un pare-feu d'application Web gratuit qui vérifie chaque demande par rapport à une liste d'exploits connus et les bloque s'il trouve une correspondance. Ils disposent également d'un scanner de logiciels malveillants qui recherche les signes révélateurs d'activités et de fichiers malveillants. Une autre fonctionnalité intéressante est la possibilité pour le scanner de vérifier tous vos fichiers de thème et de plug-in par rapport à ceux du référentiel WordPress.org pour s'assurer qu'ils correspondent.

Wordfence enregistre par défaut toutes les activités liées à la sécurité afin que vous puissiez les consulter et vous assurer que votre site est sûr.

Une autre fonctionnalité intéressante de Wordfence est qu'ils disposent d'un module d'authentification à 2 facteurs afin que vous puissiez supprimer la recommandation n ° 3 dans cet article. Dans la même ligne de protection, ils disposent également d'une protection contre la force brute pour verrouiller les adresses IP qui tentent de se connecter plusieurs fois en arrêtant efficacement les bots dans leur élan.

 

Sucuri

Sucuri est un autre excellent plugin de sécurité qui peut aider à protéger votre site Web WordPress. Il possède bon nombre des mêmes fonctionnalités intéressantes offertes par Wordfence à une exception notable : il n'y a pas de pare-feu gratuit - il n'est disponible que sur un plan payant premium.

Une remarque importante à propos de Sucuri est que le plugin a été récemment acheté par GoDaddy, de sorte que leur capacité à le prendre en charge correctement n'a pas encore été prouvée. Dans les cercles d'hébergement Web, GoDaddy n'est pas considéré favorablement, donc seul le temps nous dira si cette réputation s'étendra à Sucuri ou s'ils seront en mesure de relever le défi.

Sucuri dispose également d'un journal d'audit afin que vous puissiez examiner les activités liées à la sécurité sur votre site Web, telles que les échecs de connexion.

 

Tout en un WP Security & Firewall

Tout en un WP Security & Firewall est le seul plugin qui se rapproche même de Wordfence en popularité. Il offre bon nombre des mêmes avantages, notamment un pare-feu gratuit basé sur les règles .htaccess, une protection contre la force brute et un scanner de sécurité.

Une chose qu'il n'inclut pas est un module d'authentification à 2 facteurs, vous devrez donc ajouter un plugin autonome pour cette fonctionnalité.

On pourrait affirmer que All in One WP Security & Firewall fournit en fait le pare-feu le plus robuste de tous les plugins de sécurité. Étant donné que le pare-feu est basé sur .htaccess, il est traité avant l'exécution de tout script, ce qui le rend très fiable.

All in One WP Security & Firewall comprend également une fonctionnalité intéressante pour aider à se protéger contre le spam de commentaires automatisés. Alternativement, vous pouvez remplacer le système de commentaires par défaut de WordPress par Deeper Commentaires pour plus de fonctionnalités et de protection.

 

Utiliser Cloud Flare

Cloudflare a gagné en popularité auprès des utilisateurs de WordPress en raison de son excellent service CDN (et gratuit) qui permet d'accélérer votre site Web. Mais Cloudflare propose également une multitude d'outils gratuits qui aident à renforcer votre site contre les attaques.

D'une part, lorsque vous pointez vos serveurs de noms vers Cloudflare, vous bénéficiez de l'un des services DNS les plus rapides et les plus sécurisés disponibles et de certificats SSL gratuits.

Les serveurs de Cloudflare vérifient tout le trafic avant qu'il n'arrive sur votre serveur pour les attaques DDoS et leur pare-feu est hautement configurable même dans la version gratuite (avec un nombre limité de règles) qui vous permet de filtrer le trafic en fonction du pays, de l'ASN ou même du URL ou chaîne de requête.

Par exemple, si vous ne vous connectez à votre site Web qu'à partir d'une seule adresse IP ou d'un petit nombre d'adresses IP fixes, vous pouvez créer une règle dans Cloudflare qui empêche toutes les autres adresses IP d'accéder même à wp-admin ou wp-login.php . Cela bloquerait tous les robots essayant d'effectuer ces attaques par force brute dont nous avons parlé dans la section 3. Vous pouvez également restreindre l'accès à wp-admin en utilisant votre fichier .htaccess au lieu de Cloudflare. Vous pouvez implémenter les deux si vous souhaitez plusieurs couches de protection (fortement recommandé).

 

N'utilisez pas de thèmes ou de plugins nuls

Voulez-vous ce thème premium mais vous ne voulez pas payer pour cela ? Eh bien, si vous l'obtenez sur l'un de ces sites sommaires proposant des thèmes et des plugins annulés, vous pouvez l'obtenir gratuitement. Mais il y a encore un prix...

Lorsque vous utilisez un thème ou un plug-in annulé, vous perdez la garantie que le produit est le même que celui proposé par le fournisseur officiel. Cela signifie que vous perdez l'intégrité du code.

Les thèmes et les plug-ins annulés sont une source importante de logiciels malveillants, car parfois celui qui a annulé le plug-in y a ajouté son propre logiciel malveillant afin de prendre le contrôle de votre site ou d'effectuer d'autres actions malveillantes telles que le vol de vos ressources pour l'extraction de crypto.

Les thèmes et plugins nuls sont les logiciels malveillants que vous installez volontairement sur votre propre site Web sans même vous en rendre compte. Juste pour économiser quelques euros ? Ça ne vaut pas le coup. Si vous avez besoin d'une fonctionnalité premium, payez-la à un développeur réputé.

 

Désactiver l'édition de fichiers

Le tableau de bord d'administration WordPress dispose d'un éditeur intégré très pratique qui vous permet de modifier le contenu de vos fichiers de thème et de plugin. Malheureusement, cet éditeur permet également aux pirates de modifier le code de votre site Web s'ils pénètrent dans votre compte.

La réalité est que vous êtes presque n'allons jamais va utiliser cette fonctionnalité. Si jamais vous éditez un fichier core, vous allez probablement le faire directement via le gestionnaire de fichiers de votre hôte ou en utilisant un client FTP.

Vous pouvez désactiver la possibilité de modifier des fichiers à partir du tableau de bord d'administration en ajoutant cette ligne à votre fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Une fois que vous avez ajouté cette ligne, les menus d'édition ne sont plus disponibles pour les fichiers de plugin et de thème dans le tableau de bord d'administration WordPress.

 

Déplacez et renommez votre fichier wp-config.php

Pendant que nous parlons du fichier wp-config.php, beaucoup de gens savent déjà que vous pouvez déplacer le fichier wp-config.php vers le haut d'un répertoire à partir de votre installation WordPress et votre site fonctionnera parfaitement. Mais allons un peu plus loin.

Saviez-vous que vous pouvez réellement renommer le fichier wp-config.php en ce que vous voulez et le déplacer complètement de votre installation WordPress vers un dossier non public ? Cela demande un peu plus de travail, mais cela en vaut la peine.

Bien que le fichier lui-même renvoie généralement une page vierge lorsqu'il est appelé dans un navigateur Web, dans de rares cas, lorsque le gestionnaire PHP échoue, l'intégralité du contenu du fichier peut être visible en texte brut directement dans un navigateur Web.

Le fichier wp-config.php contient des informations sensibles sur votre site Web, notamment le nom d'utilisateur et le mot de passe de la base de données. Ces informations entre de mauvaises mains pourraient être catastrophiques. Renommer le fichier en quelque chose de aléatoire aide à le cacher des robots et des pirates.

By déplacer wp-config.php vers un dossier non public, vous éliminez la possibilité pour quelqu'un d'obtenir les informations via un navigateur lors d'une défaillance du gestionnaire PHP.

 

Activité d'audit sur votre site

Si vous ne suivez pas ce qui se passe sur votre site Web, vous risquez de manquer des informations clés qui pourraient vous alerter d'une tentative d'activité malveillante, ou même découvrir une activité malveillante si votre site a déjà été compromis.

Outre les avantages en matière de sécurité, si vous avez un site avec plusieurs utilisateurs, un bon plug-in d'audit peut également vous aider à suivre les activités légitimes. En tant qu'agence, c'est un excellent outil pour savoir si votre client a peut-être gâché quelque chose même s'il dit qu'il ne l'a pas fait !

Il existe plusieurs bons plugins pour auditer l'activité du site. Certains des plugins de sécurité mentionnés précédemment ont un certain niveau de capacité de journalisation d'audit, mais ceux ci-dessous le font passer au niveau supérieur en auditant toutes les activités des utilisateurs plutôt que les seuls événements liés à la sécurité. Voici les 3 premiers.

 

Historique simple - Journal d'activité de l'utilisateur, outil d'audit

Histoire simple est le plugin le plus populaire pour l'audit et c'est un excellent pour commencer à tester. Il enregistre toutes les choses auxquelles vous vous attendez, telles que les mises à jour de contenu, les installations et les activations de plugins, et à peu près tout autre type d'activité utilisateur.

Le plugin a une note de 5 étoiles et l'équipe de développeurs est assez active dans les forums de support et y répond régulièrement aux questions de support dans un délai raisonnable.

 

Journal d'activité WP

Les Journal d'activité WP plugin est une autre excellente option à utiliser pour votre site. Il a des options plus configurables que le plugin précédent telles que la possibilité d'activer et de désactiver l'audit de certains événements et une période de rétention configurable pour la journalisation. Il dispose également d'une tonne de modules complémentaires pour étendre la surveillance à des plugins spécialisés tels que WooCommerce et WPForms.

Le plugin a une note de 4.5 étoiles et le développeur principal répond personnellement à presque toutes les questions du forum de support.

Si vous dirigez une agence, WP Activity Log s'intègre bien avec l'outil de gestion populaire MainWP afin que vous puissiez afficher les journaux d'audit de tous vos sites clients dans une seule interface. Parmi les agences, WP Activity Log est le choix n ° 1 pour la journalisation d'audit.

 

Journal d'activité

Une autre option populaire avec une note de 4.5 étoiles. Journal d'activité capture tout ce que vous attendez et possède un bon nombre d'installations actives.

Malheureusement, le développeur ne répond pas souvent aux demandes d'assistance dans les forums, la plupart des questions d'assistance restant sans réponse indéfiniment.

 

Utiliser le principe du moindre privilège

Dans le monde de la cybersécurité, le principe du moindre privilège est un concept dans lequel un utilisateur ne dispose que des autorisations dont il a besoin pour faire son travail.

Dans le monde de WordPress, il n'est pas rare de voir une entreprise avec 10 utilisateurs qui sont tous définis comme administrateur. Il peut y avoir des raisons légitimes à ce niveau d'accès, mais il est rare d'avoir besoin de plus d'un ou deux comptes avec un niveau d'autorisation aussi élevé.

Une chose que vous ne pouvez pas contrôler, c'est ce que font vos utilisateurs lorsqu'ils ne travaillent pas activement sur votre site Web WordPress. Cela signifie que s'ils échouent à protéger ses propres données contre les pirates, il y a de fortes chances que la négligence se répercute sur votre site Web.

En limitant leur accès, vous serez en mesure d'atténuer tout dommage qu'un utilisateur pourrait involontairement faire, comme cliquer sur un lien malveillant alors qu'il est toujours connecté à votre site Web. Même si vous êtes l'administrateur du site, vous devez utiliser un compte d'éditeur distinct avec des autorisations limitées lorsque vous n'effectuez pas de tâches administratives de haut niveau.

Est-ce fastidieux de faire ça ? Bien sûr. Mais c'est beaucoup moins fastidieux que de devoir nettoyer un site Web infecté.

 

Bonus : Effectuez des sauvegardes fréquentes

Dans le pire des cas où votre site a été compromis, parfois la seule option est de le restaurer à partir d'une sauvegarde propre ; celui qui a été pris avant l'infection. La plupart des sociétés d'hébergement Web décentes sauvegardent votre site une fois par jour, mais elles ne conservent généralement ces sauvegardes que pendant quelques semaines.

Ceci est problématique si vous avez une infection qui est passée inaperçue pendant un certain temps. De nombreuses infections se cachent efficacement des administrateurs connectés pour éviter d'être détectées aussi longtemps que possible.

Parce que vous savez maintenant que la sécurité est meilleure en couches, vous pouvez appliquer le même concept à vos sauvegardes en prenant vos propres sauvegardes en plus de votre hébergeur.

Il existe d'excellents plugins de sauvegarde gratuits disponibles, notamment UpdraftPlus, BackWPupet Migration de WP tout-en-un. Chacun a ses propres forces et faiblesses, mais ils sont tous très fiables et vous permettent de sauvegarder votre site plus régulièrement. Dans certains cas, vous pouvez même sauvegarder automatiquement sur un stockage cloud distant comme Dropbox ou OneDrive.

 

Réflexions finales

La sécurité de WordPress est un élément important de la possession d'un site Web. Il peut également s'agir d'un processus chronophage et gourmand en ressources s'il est mal exécuté ou négligé. En implémentant les clés de cet article, vous pouvez mettre la plupart de vos besoins de sécurité en automatique afin que vous puissiez vous concentrer sur ce qui est important : votre entreprise.