Un guide pratique de la sécurité WordPress

Avec la montée des violations de la sécurité Web, il est primordial de prendre des mesures préventives pour protéger votre site Web contre les intrus. Donc, si vous avez un site WordPress, lisez la suite. Nous vous fournirons plusieurs conseils et outils que vous pouvez utiliser pour rendre votre site WordPress sûr et sécurisé.


“Cela ne peut pas arriver à mon site!” Telle est la pensée générale que la plupart d’entre nous ont quand nous entendons qu’un pirate informatique a violé la sécurité d’un site.

Peut-être que la personne avec le site Web piraté pense avoir dû faire quelque chose de terriblement mal pour divulguer des informations vitales. Peut-être que la personne a fait la terrible erreur de prendre la sécurité de son site Web pour acquise.

Vous pouvez vous sentir en sécurité en utilisant un CMS très populaire et une plateforme de blogs comme WordPress pour votre site. Cependant, vous ferez bien de noter que l’immense popularité mondiale de WordPress est l’une des principales raisons pour lesquelles les pirates ciblent des sites basés sur cette plate-forme..

WordPress est une plateforme très conviviale, ce qui la rend encore plus vulnérable aux attaques des pirates et des spammeurs. Dès le début, vous devez faire de la sécurité une priorité absolue pour votre site Web avec l’hébergement et la conception Web.

Voici une étude approfondie sur les différentes mesures à prendre pour améliorer la sécurité de votre site WordPress. Nous examinerons également les meilleurs conseils pour protéger un site WordPress, les meilleurs plugins de sécurité WordPress et les outils de test.

Vous devez savoir qu’aucun site Web ne peut jamais être sécurisé à 100% et même les informations partagées ici ne rendront pas votre site totalement sûr. L’objectif ultime est de vous aider à prendre toutes les précautions nécessaires pour sécuriser votre site WordPress contre la majorité des attaques.

Bases de la sécurité Web

Vous pensez peut-être qu’il est hautement improbable que votre site soit piraté à l’avenir, car il n’a jamais rencontré de problèmes de sécurité par le passé concernant les logiciels malveillants, les codes malveillants ou même les commentaires de spam..

Mais, l’une des choses les plus fondamentales à retenir à propos de la sécurité Web est que vous devez rester actif et non réactif. Cela signifie que vous devez prendre des mesures de précaution dès le début, plutôt que de croire que quelqu’un ne peut pas pirater votre site et travailler à améliorer sa sécurité..

De plus, avant de passer aux étapes de la sécurité WordPress, vous devez réaliser l’importance d’avoir cette sécurité en place.

De nombreuses personnes visitent votre site Web. Certains d’entre eux peuvent s’abonner aux newsletters de votre site, et certains peuvent s’inscrire en tant que membres des forums de votre site. Les données partagées par vos visiteurs sont également vulnérables aux attaques si votre site est piraté. Il est donc de votre responsabilité d’assurer la sécurité des données de votre site Web, qui, à son tour, protégera les données de vos visiteurs.

Si votre site WordPress attire peu de trafic, vous pouvez affirmer qu’il n’y a aucune raison pour qu’un pirate informatique attaque votre site alors qu’il existe des milliers d’autres sites Web plus populaires disponibles en ligne. Si tel est le cas, il est probablement temps pour vous de comprendre les raisons pour lesquelles un pirate peut tenter de violer votre site Web..

Les pirates informatiques ne craignent pas que votre site n’attire que quelques visiteurs, car une fois qu’ils ont accès à votre site, ils peuvent utiliser votre serveur pour envoyer des spams. Ils le font pour les aider à commercialiser leurs services, produits ou sites.
Avec une augmentation de ce type d’activité de spam de votre serveur piraté, les chances que votre adresse IP soit mise sur liste noire augmentent considérablement. Alternativement, les pirates peuvent préférer utiliser votre serveur pour leurs propres activités de site Web car leurs adresses IP sont déjà sur liste noire.

En plus de comprendre les raisons du piratage, vous devez également comprendre les différentes façons dont un pirate ou un spammeur peut attaquer votre site Web. Cela vous aidera en outre à planifier les activités de votre site de telle sorte que votre site devienne moins vulnérable aux menaces de sécurité.

Ils peuvent attaquer via n’importe quel plugin ou thème WordPress. En fait, il y a des cas où des problèmes avec un plugin de sécurité ont permis à des pirates d’attaquer un site Web qui utilisait le plugin. De plus, les pirates peuvent tirer parti de toute vulnérabilité de sécurité sur votre plateforme d’hébergement et utiliser n’importe quel paramètre d’URL pour accéder à votre base de données.

De cette façon, ils peuvent modifier vos données, changer votre mot de passe ou même supprimer des données. Il est surprenant de savoir que de nombreuses attaques se produisent même en raison d’un mot de passe faible pour accéder au panneau d’administration WordPress ou même pour accéder au panneau de contrôle d’hébergement.

Ayant développé une compréhension de base de la nécessité de sécuriser votre site WordPress, vous pouvez maintenant lire plus loin pour en savoir plus sur les moyens d’augmenter la sécurité de votre site Web.

9 conseils de sécurité pour protéger votre site WordPress contre les pirates

Gardez votre site WordPress à jour

Si vous continuez de retarder la mise à jour de votre site WordPress parce que vous craignez de perdre des données en raison d’une mise à jour incorrecte, vous devez immédiatement commencer à faire des sauvegardes. Une fois que vous avez fait une sauvegarde de votre site, vous pouvez facilement aller de l’avant et mettre à jour votre version WordPress vers la dernière. Vous devez le faire car WP corrige les bogues de sécurité de la version précédente avec chaque nouvelle version qui devient disponible.

De plus, les informations WordPress informent le public de ces correctifs, ce qui rend votre site obsolète encore plus vulnérable. Alors, prenez l’habitude d’utiliser régulièrement l’option «Mettre à jour disponible» une fois que vous vous connectez à votre tableau de bord d’administration WordPress.

Mettez à jour les thèmes et plugins que vous utilisez et supprimez ceux qui ne sont pas utilisés

Vous devez garder votre Plugins WordPress et les thèmes mis à jour pour les mêmes raisons que celles dont vous avez besoin pour mettre à jour la version globale de WordPress. Un pirate peut facilement manipuler un plugin ou un thème obsolète (via des failles de sécurité) pour accéder à l’administrateur de votre site Web..

Donc, ne vous inquiétez pas de la compatibilité de votre plugin avec votre thème actuel, mais assurez-vous de toujours utiliser les dernières versions des deux.

Dans le même esprit, assurez-vous que votre section de plug-in dans le tableau de bord d’administration WordPress ne contient que les plug-ins que vous utilisez. Supprimez ceux que vous n’utilisez pas car vous êtes moins susceptible de mettre à jour de tels plugins, ce qui augmente encore leur vulnérabilité aux attaques de sécurité.

Veuillez noter qu’il est important de “supprimer” vos plugins inutilisés et pas seulement de les “désactiver”.

Évitez de télécharger des thèmes ou des plugins à partir de sources inconnues

Vous pouvez être tenté de télécharger gratuitement quelques plugins ou thèmes premium même s’ils proviennent de sources inconnues.

Bien que vous puissiez vous sentir ravi d’obtenir gratuitement des fonctionnalités avancées, vous pouvez oublier de prêter attention à la menace pour la sécurité que ces fonctionnalités peuvent entraîner. Un plugin d’une source inconnue peut introduire des logiciels malveillants ou insérer du code malveillant dans votre site. Au lieu de prendre un tel risque, il est toujours conseillé de ne télécharger que des thèmes et des plugins à partir de sources bien connues.

Vous pouvez utiliser Plugin-Check ou Theme-Check pour vérifier le code de vos plugins et thèmes, respectivement. Un code mal écrit peut faciliter l’accès des pirates à votre site Web..

Si vous n’êtes pas entièrement sûr de la source et ne savez pas comment vérifier la qualité du code, vous pouvez simplement opter pour les conceptions WordPress gratuites de la plateforme WordPress.org.

Avoir un nom d’utilisateur et un mot de passe administrateur WordPress solides

Pour créer votre site à l’aide de la plateforme WordPress, vous avez accès au tableau de bord principal. Par défaut, WP génère un nom d’utilisateur (admin) et un mot de passe fort pour vous connecter à ce tableau de bord d’administration lors de l’installation de WordPress. Mais, après l’installation, vous devez changer votre nom d’utilisateur administrateur WordPress en quelque chose qui vous est propre.

Parallèlement à cela, vous devez vous rappeler de remplacer le mot de passe par un élément inconnu des personnes qui vous entourent ou des visiteurs de votre site Web. Par exemple, si votre site révèle votre date de naissance ou le nom de votre conjoint, assurez-vous que votre mot de passe ne contient pas non plus. Cela rend difficile pour tout pirate de deviner votre mot de passe. Vous devez également conserver un mot de passe sécurisé pour votre compte de panneau de contrôle.

De plus, vous pouvez essayer d’ajouter un CAPTCHA à votre page de connexion WordPress pour augmenter encore la sécurité de votre site. Cela garantira qu’un bot ou un script ne peut pas accéder à votre site Web via une attaque par force brute.

Ajouter une authentification de sécurité WordPress en deux étapes

Combien de mots de passe vais-je conserver et continuer à mettre à jour régulièrement? Vous pouvez avoir cette question concernant le maintien de mots de passe forts pour différents points d’entrée vers votre panneau WordPress ou votre panneau de contrôle.

Eh bien, vous pouvez profiter d’une connexion sans mot de passe à votre panneau WordPress en utilisant quelque chose comme Plugin d’authentification à deux facteurs Clef. Avec ce plugin, vous pouvez utiliser votre téléphone mobile pour authentifier votre connexion sécurisée au tableau de bord d’administration WordPress avec un code PIN ou une empreinte digitale. Donc, même si votre téléphone est perdu, les détails de votre compte Clef restent en sécurité.

Ou, vous pouvez utiliser le Google Authenticator pour assurer une authentification en deux étapes. Avec cela, vous devez utiliser votre mot de passe ainsi que saisir un code de connexion généré de manière unique qui est envoyé par SMS sur votre téléphone.

Recherchez une société d’hébergement sécurisée

Avoir la dernière version du site WordPress n’aura pas d’importance si le pirate informatique peut casser l’ancienne version PHP de la plate-forme qui héberge votre site. Donc, vous devez utiliser les services d’hébergement d’un fournisseur d’hébergement Web extrêmement fiable.

Votre hôte doit avoir la possibilité d’étendre la prise en charge des dernières versions de MySQL et de PHP. Il doit également disposer d’un système de détection d’intrusion efficace pour identifier à temps toutes les attaques et doit offrir à votre site un pare-feu d’application Web pour une sécurité renforcée..

Restreindre le nombre de tentatives de connexion

Les pirates utilisent des attaques par force brute pour déchiffrer le mot de passe que vous utilisez pour vous connecter à votre panneau WordPress. Ils essaient continuellement des tentatives de connexion aléatoires jusqu’à ce qu’ils réussissent.

Même si votre mot de passe est fort, il permet d’identifier de telles quantités déraisonnables de tentatives de connexion et de limiter les adresses IP qui effectuent ces tentatives. Vous pouvez ensuite interdire ces adresses IP pour une période définie. Vous pouvez le faire en utilisant des plugins comme Verrouillage de la connexion ou Solution de sécurité de connexion.

Planifiez des sauvegardes fréquentes de votre site Web

Il s’agit d’une étape importante car elle vous aide même lorsque quelqu’un pirate ou compromet votre site. Lorsque quelqu’un pirate votre site, vous pouvez facilement revenir à la version précédente de votre site Web qui n’était pas compromise. Vous pouvez également utiliser l’une des solutions automatisées pour les sauvegardes, telles que VaultPress ou BackUpBuddy.

Gardez votre espace administrateur WordPress bien protégé

Seul un nombre restreint de personnes doivent avoir accès à votre tableau de bord administrateur. Dans la mesure du possible, essayez également de limiter les autorisations à ceux qui accèdent à votre tableau de bord. Cela vous aidera à réduire la menace d’attaques de sources inconnues.
Vous devez également vous assurer que les autres utilisateurs ont un accès limité ou inexistant au dossier WordPress / wp-admin / ou au fichier wp-login.php. Vous pouvez autoriser l’accès à votre propre adresse IP en ajoutant le morceau de code suivant dans le fichier .htaccess:

ordre refuser, autoriser
Refuser de tout
Autoriser à partir de zz.zz.zz.zz

Dans le code ci-dessus, il vous suffit de remplacer «zz.zz.zz.zz» par votre propre ensemble d’adresses IP pour différents emplacements ou appareils.

Si vous ne traitez pas avec des adresses IP statiques, cette méthode peut ne pas fonctionner pour vous. Dans de tels cas, vous pouvez utiliser les plugins décrits ci-dessus pour limiter les tentatives de connexion.

Plugins de sécurité WordPress pour détecter le code malveillant sur votre site

Si un pirate attaque votre site, cela aidera à limiter les dommages ou à prendre des mesures en temps opportun si vous en apprenez immédiatement. Alors, regardons certains des meilleurs plugins de sécurité WordPress qui peuvent détecter le code malveillant inséré dans votre site Web.

Protection du site WP AntiVirus

Ce plugin populaire, proposé par SiteGuarding.com, aide à détecter et à supprimer tout virus ou code malveillant trouvé sur votre site WordPress. Il analyse des éléments tels que les fichiers de plug-in, les fichiers de thème et tous les téléchargements pour détecter rapidement les menaces de sécurité, y compris les portes dérobées, les logiciels publicitaires, les logiciels espions, les rootkits, les vers, les chevaux de Troie et les outils de fraude..

Si vous continuez à télécharger des thèmes et des plugins à partir de sites torrent (au lieu d’acheter les copies originales auprès des développeurs), vous devez avoir ce type de plugin pour une meilleure sécurité.

Sécurité Wordfence

Ce plugin offre une sécurité gratuite de classe entreprise en protégeant votre site contre les logiciels malveillants ainsi que les hacks potentiels. Il vérifie si votre site a déjà une infection et effectue une analyse approfondie côté serveur du code source de votre site.
Il compare le code au référentiel WordPress officiel pour les plugins, les cœurs et les thèmes. Il protège non seulement votre site Web contre la plupart des menaces, mais rend également votre site Web 50 fois plus rapide qu’auparavant..

Wordfence permet également le blocage en temps réel des attaquants connus. Cela signifie que si un pirate attaque ce plugin dans un autre site, ce pirate est automatiquement bloqué de votre site.

Il peut bloquer tout un réseau d’adresses IP malveillantes en cas de menace d’insertion de codes malveillants sur votre site. Il aide également à bloquer les menaces sous la forme de grattoirs, de chenilles et de robots identifiés lors des analyses de sécurité. Il recherche également les chevaux de Troie, le code suspect, les portes dérobées, les URL de phishing, les logiciels malveillants, la vulnérabilité HeartBleed, etc..

Si vous êtes un utilisateur premium, vous pouvez également bloquer les pays et planifier fréquemment des analyses pour des périodes spécifiques.

Exploit Scanner

Exploit Scanner est toujours à la recherche de quelque chose de suspect dans les fichiers et la base de données de votre site WordPress, y compris les publications et les tableaux de commentaires.

Il analyse également les plugins que vous utilisez pour tout nom de fichier trompeur ou inhabituel. S’il trouve un code ou un fichier malveillant, ce plugin fournit un rapport détaillé à l’administrateur du site et le laisse le soin de supprimer le code malveillant.

Sucuri Security

Il s’agit d’un ensemble complet d’outils de sécurité à utiliser pour la détection de logiciels malveillants, le renforcement de la sécurité et la surveillance de l’intégrité de la sécurité. C’est un excellent support pour les fonctionnalités de sécurité de votre site existant.

Certaines fonctions clés de ce plugin incluent la surveillance de l’intégrité des fichiers, la surveillance des listes noires, l’audit des activités de sécurité, l’analyse des logiciels malveillants à distance, le renforcement de la sécurité et les mesures de sécurité prises après les hacks, les notifications de sécurité et le pare-feu du site Web..

Comment analyser votre site WordPress pour les logiciels malveillants cachés?

Étant donné que WordPress est une plate-forme open source, il est facilement vulnérable aux infections de logiciels malveillants ou aux injections par des pirates. Certaines des façons courantes par lesquelles les pirates informatiques peuvent injecter des logiciels malveillants sur votre site sont les suivantes:

  • Pharma Hacks (injections de spam dans votre base de données ou vos fichiers)
  • Phishing (acquisition d’informations sensibles, telles que des adresses e-mail, des mots de passe et des noms d’utilisateur)
  • Redirection malveillante (redirige les visiteurs de votre site vers une autre page de site où se trouve un fichier infecté téléchargé ou un code malveillant)
  • Injections de fichiers et de bases de données (ajout de code malveillant dans la base de données ou les fichiers de votre site)
  • Backdoors (avoir accès à votre zone d’administration ou à votre compte FTP)
  • Tous les pirates veulent s’assurer que le propriétaire du site n’apprend pas qu’il a piraté son site. Cela permet aux pirates informatiques d’infecter les visiteurs du site par le biais d’un spam continu pendant une période plus longue.

Donc, votre objectif est de continuer à rechercher sur votre site tout malware caché que vous ne connaissez pas et de vous débarrasser des fichiers ou dossiers infectés.

Vous pouvez le faire en utilisant des plugins WordPress populaires de scan anti-malware tels que ceux listés ci-dessous:

Utilisez le Scanner Sucuri SiteCheck pour rechercher d’éventuels logiciels malveillants. Allez simplement sur le site ici et entrez l’URL de votre site Web. Ce scanner gratuit effectuera une analyse complète de votre site à la recherche de logiciels malveillants, d’erreurs de site Web, d’un état de liste noire et de logiciels obsolètes.

Le seul inconvénient est que vous devez effectuer cette analyse manuellement avec la version gratuite. Vous pouvez passer aux plans premium et recevoir des alertes via Twitter, e-mail ou RSS, chaque fois qu’il détecte un malware.

Obtenez votre site Web supprimé de toutes les listes noires si un pirate a utilisé votre serveur pour spam depuis longtemps. Les services premium aident également à supprimer le malware. Vous pouvez même essayer le plug-in de sécurité Sucuri mentionné précédemment pour une protection renforcée contre les logiciels malveillants.

Utilisez le Scanner anti-malware pour rechercher les logiciels malveillants, les virus, les portes dérobées et les menaces similaires connues, ainsi que pour les supprimer automatiquement. Une fonctionnalité clé de ce plugin est de patcher votre page wp-login.php pour arrêter les attaques par force brute.

En outre, vous pouvez utiliser l’un des plugins de sécurité WordPress décrits ci-dessus pour identifier le code malveillant.

Outils de test de sécurité de site Web

Afin de protéger votre site Web contre les attaques, vous devez constamment tester le niveau de sécurité de votre site en utilisant certains outils de test tels que:

Wapiti détecte les vulnérabilités (divulgation de fichiers, injection de base de données, injection de script intersite, configurations .htaccess faibles, etc.) sur votre site Web. Cet outil utilise l’approche de numérisation de boîte noire.

Cela signifie qu’il n’étudie pas le code source de l’application, mais vérifie les pages Web pour les formulaires et les scripts où il peut injecter des données. Il injecte des charges utiles pour identifier les scripts vulnérables. Il fournit des rapports dans différents formats, tels que HTML, XML, texte et JSON.

Google Nogotofail teste le trafic réseau d’un site pour détecter et corriger les connexions TLS ou SSL faibles et le trafic en texte clair sensible sur divers appareils. Vous pouvez également le configurer en tant que serveur VPN ou serveur proxy ou même routeur.

Vous pouvez essayer le scanner et testeur open source nommé Vega. Cette plate-forme basée sur l’interface graphique est en Java et fonctionne avec les plates-formes OS X, Windows et Linux. Il se compose d’un proxy d’interception pour exécuter l’inspection tactique et d’un scanner automatisé pour effectuer des tests rapides.

Cet outil peut être utilisé pour identifier les scripts intersites (XSS), l’injection SQL et des vulnérabilités similaires.
Nous espérons que ces conseils et informations sur la sécurité WordPress vous aideront à améliorer la sécurité de votre site dans une large mesure.

Avez-vous déjà essayé des plugins ou des méthodes qui améliorent considérablement la sécurité de votre site Web WordPress? Veuillez partager votre expérience et continuer à faire connaître l’importance de la sécurité des sites Web au sein de votre réseau.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me