,

Comment sécuriser votre site WordPress ?

Temps de lecture : 10 minutes

WordPress est le système de gestion de contenu (CMS) le plus populaire, utilisé pour toutes sortes de sites, des blogs personnels aux boutiques de commerce électronique.

Malheureusement, sa popularité attire également les cybercriminels qui exploitent les vulnérabilités de la plateforme.

La plupart du temps, les failles de sécurité de WordPress se produisent en raison du manque de sensibilisation des utilisateurs à la sécurité.

C’est pourquoi il est essentiel de comprendre et de mettre en œuvre de multiples mesures de sécurité pour protéger votre site Web contre diverses attaques. Pour vous aider dans ce processus, cet article énumérera les meilleures pratiques et astuces pour sécuriser votre site WordPress.

 

Sommaire

 

1 –  Présentation – Comment sécuriser votre site Web WordPress

2 –  Pourquoi la sécurité de WordPress est-elle importante ?

3 –  Quelles sont les actions essentielles pour sécuriser et protéger votre site ?

 

a . Choisissez un fournisseur d’hébergement sécurisé

b . Mots de passe, autorisations d’utilisateur et authentification 2F (2FA)

c . Réduisez votre surface d’attaque

d . Mettre à jour fréquemment 

e . Installer une solution de sauvegarde

f . Installer un plugin de sécurité

g . Utiliser des certificats SSL (HTTPS)

 

4 –  Quelles configurations de sécurité adopter

 

a . Désactiver l’édition de fichiers

b . Désactiver l’exécution de fichiers PHP dans certains répertoires

c . Désactiver la navigation dans les répertoires

d . Protéger les fichiers de configuration critiques

e . Désactiver XML-RPC

f . Modifier l’URL de connexion WordPress

 

5 –  Conclusion

 

Comment sécuriser votre site Web WordPress

1 – Présentation – Comment sécuriser votre site Web WordPress

 

Vous investissez beaucoup de temps, d’efforts et d’argent pour créer un site Web pour votre entreprise ou pour votre blog. Cependant, tout ce travail et cet investissement  pourrait être réduit à néant en raison d’une simple vulnérabilité exploitée par des personnes malveillantes sur Internet. C’est pourquoi, nous expliquons comment sécuriser votre site Web WordPress en quelques étapes simples en expliquant les consignes de sécurité et les configurations essentielles.

Potentiellement, les pirates peuvent voler des informations de votre site Web (telles que des informations personnelles ou des mots de passe), installer des logiciels malveillants sur celui-ci (affectant à la fois vos utilisateurs et vous même), crypter tous vos fichiers en installant un logiciel malveillant , dégrader votre site Web en ruinant votre réputation, ou le rendre simplement non fonctionnel (inaccessible à vos utilisateurs).

2 – Pourquoi la sécurité de WordPress est-elle importante ?

 

WordPress est le système de gestion de contenu (CMS) le plus répandu, alimentant plus de 40% de tous les sites Web sur Internet. La rançon du succès, est que c’est aussi l’une des plateformes les plus ciblées sur Internet par les pirates.

L’utilisation généralisée de WordPress n’est pas la seule raison de le rendre populaire parmi les pirates. WordPress est également une cible attrayante pour les pirates en raison de ses vulnérabilités potentielles et de sa large surface d’attaque.

Selon un article publié sur le Blog du Modérateur en février 2021, relatif aux menaces les plus fréquentes sur un site WordPress, les tentatives de connexion malveillantes représentent la faille de sécurité la plus répandu sur des sites WordPress durant l’année 2020. Un rapport établi par Wordfence fait état des principales menaces et  attaques auxquelles les sites de l’écosystème ont été les victimes en 2020.

Le rapport dévoile en effet 5 types d’attaques les plus couramment utilisées, parmi 4,3 milliards de failles exploitées à partir de 9,7 millions d’adresses IP uniques.

  • Les attaques par traversée de répertoires
  • Les injections SQL
  • Les téléchargements de fichiers malveillants
  • Le Cross-Site Scripting (XSS)
  • Les vulnérabilités de contournement d’authentification

 

3 – Quelles sont les actions essentielles pour sécuriser et protéger votre site ?

 

  1. Choisissez un fournisseur d’hébergement sécurisé

Au cœur de la sécurisation de votre site WordPress, il y a le choix d’un hébergeur fiable et de qualité, fournissant plusieurs couches de sécurité et agissabt avec diligence pour sécuriser votre site Web. Le reste des directives suivantes que nous présentons ne fera qu’établir une posture de sécurité sur les mécanismes de sécurité fournis par votre société d’hébergement.

En général, un fournisseur d’hébergement approprié doit :

  • Surveiller en permanence le réseau pour détecter toute activité suspecte et utiliser des mesures de contrôle de détection et de prévention,
  • Empêcher les attaques par déni de service distribué (DDoS) et fournir un service fiable,
  • Maintenir leur matériel et leurs logiciels à jour pour réduire la probabilité d’attaque,
  • Et, effectuez des analyses quotidiennes de logiciels malveillants et supprimez-les s’ils sont détectés.

En ce sens, les fonctionnalités de sécurité fournies par une société d’hébergement devraient être un facteur essentiel affectant votre décision sur le fournisseur d’hébergement ou le service à choisir proposé par celui-ci.

 

  1. Mots de passe, autorisations d’utilisateur et authentification 2F (2FA)

La technique la plus courante utilisée par les pirates est la force brute ou les tentatives de connexion devinées à votre site Web. Et la contre-mesure bien connue consiste à utiliser des noms d’utilisateur et des mots de passe forts et difficiles à deviner. En ce sens, l’utilisation du nom d’utilisateur par défaut (admin) doit être strictement évitée. En plus de cela, vous pouvez augmenter la sécurité d’authentification de votre site Web en suivant ces étapes supplémentaires :

  • Limiter les tentatives de connexion : La configuration par défaut des tentatives de connexion de WordPress laisse votre site Web vulnérable aux attaques par force brute. Cette vulnérabilité peut être éliminée simplement en limitant les tentatives de connexion infructueuses à votre site Web. En installant un plugin comme Limit Login Attempts Reloaded, ou encore WPS Limit Login, vous pouvez définir des listes blanches/noires IP ou configurer des verrouillages de connexion en fonction de vos besoins.
  • Utiliser l’authentification à 2 facteurs (2FA) : L’utilisation de l’ authentification 2F est une autre bonne pratique pour empêcher l’accès non autorisé à votre compte. Si votre plugin de sécurité installé prend déjà en charge cette fonctionnalité, vous pouvez simplement l’activer. Sinon, vous pouvez choisir et installer un plugin gratuit spécifique à cet effet, tel que Two Factor Authentication .
  • Ajouter une question de sécurité : envisagez d’ajouter une question de sécurité à l’écran de connexion WordPress pour empêcher les intrus d’accéder sans autorisation à votre site Web.

Vous devez également gérer vos comptes d’utilisateurs WordPress avec soin, si vous avez des comptes supplémentaires autres que l’administrateur. Vous devez attribuer des autorisations d’utilisateur selon le principe du moindre privilège pour chaque compte. À cette fin, assurez-vous de bien comprendre les rôles et les capacités des utilisateurs dans WordPress avant de créer de nouveaux comptes d’utilisateurs.

 

  1. Réduisez votre surface d’attaque

En matière de cybersécurité, l’objectif principal devrait être de réduire la probabilité d’incidents malveillants indésirables. Avoir une surface d’attaque réduite est un catalyseur fondamental pour obtenir une probabilité d’attaque globale réduite.

Comme mentionné ci-dessus, ce qui augmente la possibilité d’introduire des vulnérabilités dans votre site Web, ce sont les installations excessives de thèmes et de plugins WordPress. Dans l’ensemble, un seul thème doit être installé et les autres installations de thèmes doivent être supprimées. De même, vous ne devez identifier qu’un ensemble minimal de plugins essentiels et critiques à installer dans WordPress. Les plugins sélectionnés doivent provenir de sources fiables et la version la plus fiable doit être installée sur votre système. N’oubliez pas que chaque thème et plugin sont livrés avec leurs propres vulnérabilités à exploiter par les pirates.

 

  1. Mettre à jour fréquemment votre site

Garder votre WordPress à jour est une bonne pratique pour sécuriser votre site Web. Environ 86% des sites Web WordPress sont piratés à cause d’un logiciel obsolète. Ce faisant, vous devez non seulement mettre à jour le cœur de WordPress lui-même, mais également tous les thèmes et plugins installés. En général, WordPress de base peut être considéré comme sécurisé par rapport aux installations tierces de thèmes et de plugins moins fiables. C’est pourquoi, en particulier les modules complémentaires du noyau WordPress doivent être mis à jour fréquemment.

Étant donné que chaque nouvelle version contient également principalement des mises à jour de sécurité, disposer de la version la plus récente est votre meilleure chance de réduire les vulnérabilités existantes sur votre site Web. Gardez également à l’esprit que les mises à jour elles-mêmes peuvent introduire de nouvelles vulnérabilités dans votre système, en particulier lorsque les mises à jour incluent de nouveaux ensembles de fonctionnalités.

 

  1. Installer une solution de sauvegarde

En matière de cybersécurité, vous devez toujours être préparé aux incidents malveillants sur vos systèmes et disposer de sauvegardes vous permettra de restaurer rapidement votre site Web après de tels incidents.

À cette fin, vous pouvez effectuer manuellement des sauvegardes complètes de votre site via les outils fourni par WordPress. Mieux encore, vous pouvez choisir parmi de nombreux plugins de sauvegarde gratuits ou payants pour vous aider à effectuer automatiquement des sauvegardes planifiées de votre site Web. En tant que l’un des plugins gratuits les plus populaires (il existe également une version payante), UpdraftPlus peut être utilisé à cette fin. Notez également que les sauvegardes doivent être enregistrées dans un emplacement distant, tel qu’un service cloud comme Google Drive, Dropbox ou Amazon, etc.

Updraft plus - Sauvegarde WordPress - Sécurité

  1. Installer un plugin de sécurité

La configuration d’un plugin d’audit et de surveillance de la sécurité est une autre bonne pratique que nous devons suivre pour notre site WordPress. Encore une fois, il existe un certain nombre de plugins de sécurité gratuits et payants qui offrent des solutions telles que l’analyse des logiciels malveillants , la surveillance de l’intégrité des fichiers, le renforcement de la sécurité ou le suivi des tentatives de connexion infructueuses, etc. Des fonctionnalités avancées telles que le pare-feu d’application Web (WAF), etc. sont également fourni par certains des plugins, mais ces fonctionnalités sont généralement fournies avec les plans payants.

Parmi de nombreuses autres alternatives, vous pouvez installer divers plugins, vos choix peuvent se porter sur Sucuri , Wordfence, ou SecuPress, pour répondre aux besoins de sécurité essentiels et avancés de votre site Web. Si votre site Web est très critique pour votre entreprise, vous devriez également envisager d’activer la fonction WAF pour être plus sûr de la sécurité de votre site Web.

 

  1. Utiliser des certificats SSL (HTTPS)

Vous devez utiliser le protocole HTTPS au lieu de son homologue non sécurisé HTTP, en utilisant des certificats SSL (Secure Socket Layer). HTTPS empêche les attaquants d’écouter et de modifier le trafic de votre site Web.

La plupart des fournisseurs d’hébergement fournissent des certificats SSL avec un coût supplémentaire ou gratuitement dans le cadre du plan d’hébergement que vous avez choisi. Si vous ne souhaitez pas payer pour un certificat SSL, vous pouvez utiliser un certificat SSL gratuit fourni par une organisation à but non lucratif appelée Let’s Encrypt. Cependant, la configuration d’un certificat SSL gratuit peut être délicate. Pour éviter ce problème, vous pouvez utiliser l’un des plugins SSL gratuits pour configurer votre SSL beaucoup plus facilement. Notez également que la configuration SSL gratuite de Let’s Encrypt ne peut être gérée que si vous avez un plan d’hébergement avec cPanel plutôt qu’un plan WordPress géré.

4 – Quelles configurations de sécurité adopter

 

La plupart des configurations de sécurité décrites ci-dessous peuvent être gérées plus facilement et automatiquement par un plugin de sécurité populaire. Ou, vous pouvez essayer de suivre ces astuces de configuration simples pour augmenter la sécurité de votre site Web.

 

  1. Désactiver l’édition de fichiers

L’éditeur de code intégré auquel vous pouvez accéder via Apparence dans le menu de l’ éditeur de thème , peut vous permettre de personnaliser votre thème. Cependant, cette fonctionnalité est également un risque de sécurité car elle donne le même pouvoir aux pirates qui pourraient obtenir un accès administrateur à votre site Web. Pour cette raison, nous vous suggérons de désactiver l’édition de fichiers et de la réactiver temporairement lorsque vous devez utiliser l’éditeur de thème.

Vous pouvez désactiver cette fonctionnalité à l’aide d’un plugin de sécurité déjà installé sur votre système, ou en ajoutant le code suivant dans le fichier wp-config.php (que vous pouvez localiser via le gestionnaire de fichiers cPanel).

 

// Disable Theme Editor
define(‘DISABLE_FILE_EDIT’, true);

 

  1. Désactiver l’exécution de fichiers PHP dans certains répertoires

L’exécution de fichiers PHP est un autre moyen pour les attaquants de cibler votre site Web WordPress en téléchargeant un script shell. À titre préventif, vous pouvez désactiver l’exécution de fichiers PHP dans certains répertoires où elle n’est pas nécessaire (par exemple, les dossiers include , content et/ou uploads .)

Cependant, vous devez être prudent lors de l’application de cette fonctionnalité de renforcement, car de nombreux plugins et thèmes reposent sur la possibilité d’exécuter un fichier PHP dans ces répertoires. Pour cette raison, nous ne suggérons pas de désactiver l’exécution du fichier en configurant le fichier .htaccess manuellement. Au lieu de cela, il vous est conseillé d’utiliser un plugin de sécurité pour vous aider à effectuer cette configuration de manière plus sécurisée et sécurisée.

 

  1. Désactiver la navigation dans les répertoires

Si la navigation dans les répertoires n’est pas désactivée dans la configuration par défaut de votre site Web, vous devez absolument la désactiver. Parce que la navigation dans les répertoires peut permettre aux pirates d’accéder à certains de vos dossiers et/ou fichiers que vous n’avez pas l’intention de partager avec les visiteurs de votre site Web. À l’aide des informations obtenues par la navigation dans les répertoires, les pirates peuvent découvrir si vous avez des vulnérabilités connues sur votre système. Par exemple, en parcourant le répertoire /wp-content , les pirates peuvent énumérer les fichiers téléchargés ( /uploads ), les thèmes (/themes) et les plugins (/plugins), et utiliser ces informations pour trouver des vulnérabilités spécifiques aux modules complémentaires installés.

Pour désactiver la navigation dans les répertoires, il vous suffit d’ajouter la ligne suivante à la fin du fichier .htaccess (que vous pouvez localiser via cPanel File Manager).

Options All -Indexes

Ou comme d’habitude, vous pouvez utiliser un plugin de sécurité, tel que All In One WP Security & Firewall , pour effectuer de telles configurations de sécurité plus facilement et en toute sécurité.

 

  1. Protégez les fichiers de configuration critiques

Le premier fichier de configuration qui doit être protégé contre les accès non autorisés est le fichier wp-config.php . Il contient des informations cruciales sur votre installation WordPress et la sécuriser signifie sécuriser le cœur de votre WordPress. Afin de sécuriser ce fichier, vous pouvez simplement le déplacer vers un dossier supérieur à votre répertoire racine (via cPanel File Manager).

Le deuxième fichier critique qui pourrait être protégé contre les accès non autorisés est le fichier .htaccess . Afin de masquer ce fichier, vous pouvez ajouter le code suivant à votre fichier .htaccess . (Vous pouvez également ajouter le même code au fichier wp-config.php , au lieu de modifier l’emplacement de son dossier.)

 

order allow, deny
deny from all

 

Cependant, nous recommandons fortement que seuls les développeurs expérimentés effectuent de telles configurations manuelles sur ces fichiers. Pour rester en sécurité, vous pouvez facilement sécuriser ces deux fichiers à l’aide d’un plugin de sécurité, tel que All In One WP Security & Firewall .

 

  1. Désactiver XML-RPC

XML-RPC est une spécification qui permet la communication entre WordPress et d’autres systèmes. Il utilise HTTP comme mécanisme de transport et XML comme mécanisme de codage. C’est également une fonctionnalité que les pirates peuvent utiliser pour effectuer des tentatives automatisées de connexion par force brute ou des attaques par déni de service sur votre site Web. C’est pourquoi, si vous n’utilisez pas XML-RPC, vous devez le désactiver. Mais avant de le désactiver, assurez-vous que vos plugins installés ne nécessitent pas cette fonctionnalité. Afin de le désactiver facilement, encore une fois, un plugin de sécurité tel que All In One WP Security & Firewall peut être utilisé.

 

  1. Changez l’URL de connexion WordPress

Si vous utilisez les URL de connexion par défaut ( wp-admin ou wp-login.php ), les pirates peuvent tenter des tentatives de connexion par force brute sur ces adresses de connexion. Limiter les tentatives de connexion peut ralentir les pirates lors des tentatives de connexion par force brute. Mieux encore, vous pouvez modifier l’URL de connexion par défaut afin qu’ils ne la trouvent pas. À cette fin, nous vous suggérons d’utiliser un plugin, tel que WPS Hide Login pour configurer une URL de connexion différente.

 

5 – Conclusion

 

WordPress est le système de gestion de contenu (CMS) le plus populaire, alimentant plus de 30% de tous les sites Web sur Internet. Cependant, c’est aussi l’une des plateformes les plus ciblées sur Internet par les pirates. Dans cet article, nous avons expliqué comment sécuriser votre site Web WordPress en quelques étapes simples en expliquant les consignes de sécurité et les configurations essentielles.

Si vous avez d’autres suggestions sur la façon de sécuriser un site Web WordPress, veuillez les partager avec nous via la section commentaires ci-dessous. Ou, si vous êtes confus et avez besoin d’aide, vous pouvez également commenter ci-dessous.

 

WordPress - guide de securite

A lire également :

Sensibilisation Cybersécurité – Comprendre et prévenir les Cyberattaques

 

0 réponses

Laisser un commentaire

Rejoindre la discussion?
N’hésitez pas à contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *