Temps de lecture : 10 minutes

WordPress est le système de gestion de contenu (CMS) le plus populaire, utilisé pour toutes sortes de sites, des blogs personnels aux boutiques de commerce électronique.

Malheureusement, sa popularité attire également les cybercriminels qui exploitent les vulnérabilités de la plateforme.

La plupart du temps, les failles de sécurité de WordPress se produisent en raison du manque de sensibilisation des utilisateurs à la sécurité.

C’est pourquoi il est essentiel de comprendre et de mettre en œuvre de multiples mesures de sécurité pour protéger votre site Web contre diverses attaques. Pour vous aider dans ce processus, cet article énumérera les meilleures pratiques et astuces pour sécuriser votre site WordPress.

 

 

Sommaire

 

1 –  Présentation – Comment sécuriser votre site Web WordPress

2 –  Pourquoi la sécurité de WordPress est-elle importante ?

3 –  Quelles sont les actions essentielles pour sécuriser et protéger votre site ?

 

a . Choisissez un fournisseur d’hébergement sécurisé

b . Mots de passe, autorisations d’utilisateur et authentification 2F (2FA)

c . Réduisez votre surface d’attaque

d . Mettre à jour fréquemment 

e . Installer une solution de sauvegarde

f . Installer un plugin de sécurité

g . Utiliser des certificats SSL (HTTPS)

 

4 –  Quelles configurations de sécurité adopter

 

a . Désactiver l’édition de fichiers

b . Désactiver l’exécution de fichiers PHP dans certains répertoires

c . Désactiver la navigation dans les répertoires

d . Protéger les fichiers de configuration critiques

e . Désactiver XML-RPC

f . Modifier l’URL de connexion WordPress

 

5 –  Conclusion

 

Comment sécuriser votre site Web WordPress

1 – Présentation – Comment sécuriser votre site Web WordPress

 

Vous investissez beaucoup de temps, d’efforts et d’argent pour créer un site Web pour votre entreprise ou pour votre blog. Cependant, tout ce travail et cet investissement  pourrait être réduit à néant en raison d’une simple vulnérabilité exploitée par des personnes malveillantes sur Internet. C’est pourquoi, nous expliquons comment sécuriser votre site Web WordPress en quelques étapes simples en expliquant les consignes de sécurité et les configurations essentielles.

Potentiellement, les pirates peuvent voler des informations de votre site Web (telles que des informations personnelles ou des mots de passe), installer des logiciels malveillants sur celui-ci (affectant à la fois vos utilisateurs et vous même), crypter tous vos fichiers en installant un logiciel malveillant , dégrader votre site Web en ruinant votre réputation, ou le rendre simplement non fonctionnel (inaccessible à vos utilisateurs).

2 – Pourquoi la sécurité de WordPress est-elle importante ?

 

WordPress est le système de gestion de contenu (CMS) le plus répandu, alimentant plus de 40% de tous les sites Web sur Internet. La rançon du succès, est que c’est aussi l’une des plateformes les plus ciblées sur Internet par les pirates.

L’utilisation généralisée de WordPress n’est pas la seule raison de le rendre populaire parmi les pirates. WordPress est également une cible attrayante pour les pirates en raison de ses vulnérabilités potentielles et de sa large surface d’attaque.

Selon un article publié sur le Blog du Modérateur en février 2021, relatif aux menaces les plus fréquentes sur un site WordPress, les tentatives de connexion malveillantes représentent la faille de sécurité la plus répandu sur des sites WordPress durant l’année 2020. Un rapport établi par Wordfence fait état des principales menaces et  attaques auxquelles les sites de l’écosystème ont été les victimes en 2020.

Le rapport dévoile en effet 5 types d’attaques les plus couramment utilisées, parmi 4,3 milliards de failles exploitées à partir de 9,7 millions d’adresses IP uniques.

  • Les attaques par traversée de répertoires
  • Les injections SQL
  • Les téléchargements de fichiers malveillants
  • Le Cross-Site Scripting (XSS)
  • Les vulnérabilités de contournement d’authentification

 

3 – Quelles sont les actions essentielles pour sécuriser et protéger votre site ?

 

  1. Choisissez un fournisseur d’hébergement sécurisé

Au cœur de la sécurisation de votre site WordPress, il y a le choix d’un hébergeur fiable et de qualité, fournissant plusieurs couches de sécurité et agissabt avec diligence pour sécuriser votre site Web. Le reste des directives suivantes que nous présentons ne fera qu’établir une posture de sécurité sur les mécanismes de sécurité fournis par votre société d’hébergement.

En général, un fournisseur d’hébergement approprié doit :

  • Surveiller en permanence le réseau pour détecter toute activité suspecte et utiliser des mesures de contrôle de détection et de prévention,
  • Empêcher les attaques par déni de service distribué (DDoS) et fournir un service fiable,
  • Maintenir leur matériel et leurs logiciels à jour pour réduire la probabilité d’attaque,
  • Et, effectuez des analyses quotidiennes de logiciels malveillants et supprimez-les s’ils sont détectés.

En ce sens, les fonctionnalités de sécurité fournies par une société d’hébergement devraient être un facteur essentiel affectant votre décision sur le fournisseur d’hébergement ou le service à choisir proposé par celui-ci.

 

  1. Mots de passe, autorisations d’utilisateur et authentification 2F (2FA)

La technique la plus courante utilisée par les pirates est la force brute ou les tentatives de connexion devinées à votre site Web. Et la contre-mesure bien connue consiste à utiliser des noms d’utilisateur et des mots de passe forts et difficiles à deviner. En ce sens, l’utilisation du nom d’utilisateur par défaut (admin) doit être strictement évitée. En plus de cela, vous pouvez augmenter la sécurité d’authentification de votre site Web en suivant ces étapes supplémentaires :

  • Limiter les tentatives de connexion : La configuration par défaut des tentatives de connexion de WordPress laisse votre site Web vulnérable aux attaques par force brute. Cette vulnérabilité peut être éliminée simplement en limitant les tentatives de connexion infructueuses à votre site Web. En installant un plugin comme Limit Login Attempts Reloaded, ou encore WPS Limit Login, vous pouvez définir des listes blanches/noires IP ou configurer des verrouillages de connexion en fonction de vos besoins.
  • Utiliser l’authentification à 2 facteurs (2FA) : L’utilisation de l’ authentification 2F est une autre bonne pratique pour empêcher l’accès non autorisé à votre compte. Si votre plugin de sécurité installé prend déjà en charge cette fonctionnalité, vous pouvez simplement l’activer. Sinon, vous pouvez choisir et installer un plugin gratuit spécifique à cet effet, tel que Two Factor Authentication .
  • Ajouter une question de sécurité : envisagez d’ajouter une question de sécurité à l’écran de connexion WordPress pour empêcher les intrus d’accéder sans autorisation à votre site Web.

Vous devez également gérer vos comptes d’utilisateurs WordPress avec soin, si vous avez des comptes supplémentaires autres que l’administrateur. Vous devez attribuer des autorisations d’utilisateur selon le principe du moindre privilège pour chaque compte. À cette fin, assurez-vous de bien comprendre les rôles et les capacités des utilisateurs dans WordPress avant de créer de nouveaux comptes d’utilisateurs.

 

  1. Réduisez votre surface d’attaque

En matière de cybersécurité, l’objectif principal devrait être de réduire la probabilité d’incidents malveillants indésirables. Avoir une surface d’attaque réduite est un catalyseur fondamental pour obtenir une probabilité d’attaque globale réduite.

Comme mentionné ci-dessus, ce qui augmente la possibilité d’introduire des vulnérabilités dans votre site Web, ce sont les installations excessives de thèmes et de plugins WordPress. Dans l’ensemble, un seul thème doit être installé et les autres installations de thèmes doivent être supprimées. De même, vous ne devez identifier qu’un ensemble minimal de plugins essentiels et critiques à installer dans WordPress. Les plugins sélectionnés doivent provenir de sources fiables et la version la plus fiable doit être installée sur votre système. N’oubliez pas que chaque thème et plugin sont livrés avec leurs propres vulnérabilités à exploiter par les pirates.

 

  1. Mettre à jour fréquemment votre site

Garder votre WordPress à jour est une bonne pratique pour sécuriser votre site Web. Environ 86% des sites Web WordPress sont piratés à cause d’un logiciel obsolète. Ce faisant, vous devez non seulement mettre à jour le cœur de WordPress lui-même, mais également tous les thèmes et plugins installés. En général, WordPress de base peut être considéré comme sécurisé par rapport aux installations tierces de thèmes et de plugins moins fiables. C’est pourquoi, en particulier les modules complémentaires du noyau WordPress doivent être mis à jour fréquemment.

Étant donné que chaque nouvelle version contient également principalement des mises à jour de sécurité, disposer de la version la plus récente est votre meilleure chance de réduire les vulnérabilités existantes sur votre site Web. Gardez également à l’esprit que les mises à jour elles-mêmes peuvent introduire de nouvelles vulnérabilités dans votre système, en particulier lorsque les mises à jour incluent de nouveaux ensembles de fonctionnalités.

 

  1. Installer une solution de sauvegarde

En matière de cybersécurité, vous devez toujours être préparé aux incidents malveillants sur vos systèmes et disposer de sauvegardes vous permettra de restaurer rapidement votre site Web après de tels incidents.

À cette fin, vous pouvez effectuer manuellement des sauvegardes complètes de votre site via les outils fourni par WordPress. Mieux encore, vous pouvez choisir parmi de nombreux plugins de sauvegarde gratuits ou payants pour vous aider à effectuer automatiquement des sauvegardes planifiées de votre site Web. En tant que l’un des plugins gratuits les plus populaires (il existe également une version payante), UpdraftPlus peut être utilisé à cette fin. Notez également que les sauvegardes doivent être enregistrées dans un emplacement distant, tel qu’un service cloud comme Google Drive, Dropbox ou Amazon, etc.

Updraft plus - Sauvegarde WordPress - Sécurité

  1. Installer un plugin de sécurité

La configuration d’un plugin d’audit et de surveillance de la sécurité est une autre bonne pratique que nous devons suivre pour notre site WordPress. Encore une fois, il existe un certain nombre de plugins de sécurité gratuits et payants qui offrent des solutions telles que l’analyse des logiciels malveillants , la surveillance de l’intégrité des fichiers, le renforcement de la sécurité ou le suivi des tentatives de connexion infructueuses, etc. Des fonctionnalités avancées telles que le pare-feu d’application Web (WAF), etc. sont également fourni par certains des plugins, mais ces fonctionnalités sont généralement fournies avec les plans payants.

Parmi de nombreuses autres alternatives, vous pouvez installer divers plugins, vos choix peuvent se porter sur Sucuri , Wordfence, ou SecuPress, pour répondre aux besoins de sécurité essentiels et avancés de votre site Web. Si votre site Web est très critique pour votre entreprise, vous devriez également envisager d’activer la fonction WAF pour être plus sûr de la sécurité de votre site Web.

 

  1. Utiliser des certificats SSL (HTTPS)

Vous devez utiliser le protocole HTTPS au lieu de son homologue non sécurisé HTTP, en utilisant des certificats SSL (Secure Socket Layer). HTTPS empêche les attaquants d’écouter et de modifier le trafic de votre site Web.

La plupart des fournisseurs d’hébergement fournissent des certificats SSL avec un coût supplémentaire ou gratuitement dans le cadre du plan d’hébergement que vous avez choisi. Si vous ne souhaitez pas payer pour un certificat SSL, vous pouvez utiliser un certificat SSL gratuit fourni par une organisation à but non lucratif appelée Let’s Encrypt. Cependant, la configuration d’un certificat SSL gratuit peut être délicate. Pour éviter ce problème, vous pouvez utiliser l’un des plugins SSL gratuits pour configurer votre SSL beaucoup plus facilement. Notez également que la configuration SSL gratuite de Let’s Encrypt ne peut être gérée que si vous avez un plan d’hébergement avec cPanel plutôt qu’un plan WordPress géré.

 

4 – Quelles configurations de sécurité adopter

 

La plupart des configurations de sécurité décrites ci-dessous peuvent être gérées plus facilement et automatiquement par un plugin de sécurité populaire. Ou, vous pouvez essayer de suivre ces astuces de configuration simples pour augmenter la sécurité de votre site Web.

 

  1. Désactiver l’édition de fichiers

L’éditeur de code intégré auquel vous pouvez accéder via Apparence dans le menu de l’ éditeur de thème , peut vous permettre de personnaliser votre thème. Cependant, cette fonctionnalité est également un risque de sécurité car elle donne le même pouvoir aux pirates qui pourraient obtenir un accès administrateur à votre site Web. Pour cette raison, nous vous suggérons de désactiver l’édition de fichiers et de la réactiver temporairement lorsque vous devez utiliser l’éditeur de thème.

Vous pouvez désactiver cette fonctionnalité à l’aide d’un plugin de sécurité déjà installé sur votre système, ou en ajoutant le code suivant dans le fichier wp-config.php (que vous pouvez localiser via le gestionnaire de fichiers cPanel).

 

// Disable Theme Editor
define(‘DISABLE_FILE_EDIT’, true);

 

  1. Désactiver l’exécution de fichiers PHP dans certains répertoires

L’exécution de fichiers PHP est un autre moyen pour les attaquants de cibler votre site Web WordPress en téléchargeant un script shell. À titre préventif, vous pouvez désactiver l’exécution de fichiers PHP dans certains répertoires où elle n’est pas nécessaire (par exemple, les dossiers include , content et/ou uploads .)

Cependant, vous devez être prudent lors de l’application de cette fonctionnalité de renforcement, car de nombreux plugins et thèmes reposent sur la possibilité d’exécuter un fichier PHP dans ces répertoires. Pour cette raison, nous ne suggérons pas de désactiver l’exécution du fichier en configurant le fichier .htaccess manuellement. Au lieu de cela, il vous est conseillé d’utiliser un plugin de sécurité pour vous aider à effectuer cette configuration de manière plus sécurisée et sécurisée.

 

  1. Désactiver la navigation dans les répertoires

Si la navigation dans les répertoires n’est pas désactivée dans la configuration par défaut de votre site Web, vous devez absolument la désactiver. Parce que la navigation dans les répertoires peut permettre aux pirates d’accéder à certains de vos dossiers et/ou fichiers que vous n’avez pas l’intention de partager avec les visiteurs de votre site Web. À l’aide des informations obtenues par la navigation dans les répertoires, les pirates peuvent découvrir si vous avez des vulnérabilités connues sur votre système. Par exemple, en parcourant le répertoire /wp-content , les pirates peuvent énumérer les fichiers téléchargés ( /uploads ), les thèmes (/themes) et les plugins (/plugins), et utiliser ces informations pour trouver des vulnérabilités spécifiques aux modules complémentaires installés.

Pour désactiver la navigation dans les répertoires, il vous suffit d’ajouter la ligne suivante à la fin du fichier .htaccess (que vous pouvez localiser via cPanel File Manager).

Options All -Indexes

Ou comme d’habitude, vous pouvez utiliser un plugin de sécurité, tel que All In One WP Security & Firewall , pour effectuer de telles configurations de sécurité plus facilement et en toute sécurité.

 

  1. Protégez les fichiers de configuration critiques

Le premier fichier de configuration qui doit être protégé contre les accès non autorisés est le fichier wp-config.php . Il contient des informations cruciales sur votre installation WordPress et la sécuriser signifie sécuriser le cœur de votre WordPress. Afin de sécuriser ce fichier, vous pouvez simplement le déplacer vers un dossier supérieur à votre répertoire racine (via cPanel File Manager).

Le deuxième fichier critique qui pourrait être protégé contre les accès non autorisés est le fichier .htaccess . Afin de masquer ce fichier, vous pouvez ajouter le code suivant à votre fichier .htaccess . (Vous pouvez également ajouter le même code au fichier wp-config.php , au lieu de modifier l’emplacement de son dossier.)

 

order allow, deny
deny from all

 

Cependant, nous recommandons fortement que seuls les développeurs expérimentés effectuent de telles configurations manuelles sur ces fichiers. Pour rester en sécurité, vous pouvez facilement sécuriser ces deux fichiers à l’aide d’un plugin de sécurité, tel que All In One WP Security & Firewall .

 

  1. Désactiver XML-RPC

XML-RPC est une spécification qui permet la communication entre WordPress et d’autres systèmes. Il utilise HTTP comme mécanisme de transport et XML comme mécanisme de codage. C’est également une fonctionnalité que les pirates peuvent utiliser pour effectuer des tentatives automatisées de connexion par force brute ou des attaques par déni de service sur votre site Web. C’est pourquoi, si vous n’utilisez pas XML-RPC, vous devez le désactiver. Mais avant de le désactiver, assurez-vous que vos plugins installés ne nécessitent pas cette fonctionnalité. Afin de le désactiver facilement, encore une fois, un plugin de sécurité tel que All In One WP Security & Firewall peut être utilisé.

 

  1. Changez l’URL de connexion WordPress

Si vous utilisez les URL de connexion par défaut ( wp-admin ou wp-login.php ), les pirates peuvent tenter des tentatives de connexion par force brute sur ces adresses de connexion. Limiter les tentatives de connexion peut ralentir les pirates lors des tentatives de connexion par force brute. Mieux encore, vous pouvez modifier l’URL de connexion par défaut afin qu’ils ne la trouvent pas. À cette fin, nous vous suggérons d’utiliser un plugin, tel que WPS Hide Login pour configurer une URL de connexion différente.

 

5 – Conclusion

 

WordPress est le système de gestion de contenu (CMS) le plus populaire, alimentant plus de 30% de tous les sites Web sur Internet. Cependant, c’est aussi l’une des plateformes les plus ciblées sur Internet par les pirates. Dans cet article, nous avons expliqué comment sécuriser votre site Web WordPress en quelques étapes simples en expliquant les consignes de sécurité et les configurations essentielles.

Si vous avez d’autres suggestions sur la façon de sécuriser un site Web WordPress, veuillez les partager avec nous via la section commentaires ci-dessous. Ou, si vous êtes confus et avez besoin d’aide, vous pouvez également commenter ci-dessous.

 

WordPress - guide de securite

A lire également :

Sensibilisation Cybersécurité – Comprendre et prévenir les Cyberattaques

Temps de lecture : 16 minutes

Si vous êtes un entrepreneur, vous connaissez probablement l’importance du marketing.

Sans une stratégie marketing réaliste, tous vos efforts risquent d’être vains, quelle que soit la qualité de vos produits/services.

Et pour créer une stratégie de vente efficace, il est primordial de comprendre votre tunnel de vente en ligne.

Vous vous demandez peut-être ce qu’est un tunnel de vente ?

Définition de l’entonnoir de vente

Tunnel de vente - Définition - Marketing Digital

Un entonnoir de vente est une représentation graphique des étapes de vente par lesquelles passe un client lorsqu’il achète un produit. Ce concept repose sur l’idée que tous les clients passent plus ou moins par les mêmes phases lors d’un achat, la première étape de l’entonnoir de vente traditionnel étant la phase de sensibilisation, tandis que la dernière est l’évaluation post-achat.

Bien que le nombre de niveaux attribués à un entonnoir de vente puisse varier d’une entreprise à l’autre, le modèle classique comprend les phases de sensibilisation, d’intérêt, d’évaluation, de décision, d’achat et d’évaluation post-achat. Le nombre de clients potentiels attirés dans la phase de sensibilisation diminue dans les étapes suivantes de l’entonnoir de vente, de sorte que le résultat final est un nombre beaucoup plus faible de clients réels.

L’efficacité d’un entonnoir de vente peut être évaluée en fonction du nombre de prospects trouvés à chaque étape et des taux de conversion des étapes.

Un entonnoir de vente est une feuille de route ou un processus qui conduit les visiteurs de votre site à travers un processus systématique dans le but d’acheter vos produits/services.

L’idée derrière un entonnoir de vente est de convertir les pistes en prospects, puis les prospects en clients, qui deviennent finalement des clients réguliers, achetant encore et encore.

La mise en place d’un entonnoir de vente en ligne vous permet d’obtenir les meilleurs résultats possibles de vos prospects.  Il vous permet également de comprendre vos clients et de mesurer les progrès réalisés à chaque étape du processus de vente.

WordPress est connu pour sa facilité d’utilisation et ses centaines d’outils conviviaux qui donnent aux propriétaires d’entreprises la possibilité de créer et de gérer tout type de site Web, qu’il s’agisse d’un site d’entreprise ou d’un site de E.commerce. Les milliers de thèmes et de plug-ins offerts par WordPress rendent tout cela étonnamment facile à gérer.

Lorsque vous pensez au e-commerce pour le développement de sites WordPress, WooCommerce vient à l’esprit comme le leader dans le domaine. Malgré tous les atouts que l’on peut trouver dans l’utilisation de WooCommerce, celui-ci présente toutefois un certain nombre de faiblesses. Certes les points positifs l’emportent largement, mais néanmoins parmi les lacunes que l’on peut regretter, l’absence d’option de tunnel de vente, vient rapidement à l’esprit.  C’est là qu’un plugin « d’entonnoir de vente » pour WordPress devient incontournable et vous aidera grandement à optimiser vos conversions.

Cartflows, tunnel de vente, funnel marketing digital WordPress

Nous voici arrivé au sujet de cet article : le plugin CartFlows vous permettant de combler cette lacune.

CartFlows vous permet non seulement d’avoir une plateforme réactive, mais est un moyen très efficace d’améliorer le processus de vente pour votre client et vos clients potentiels. Plus l’expérience client est satisfaisante, plus votre chiffre d’affaires augmentera.

Lire la suite

Temps de lecture : 28 minutes

C’est décidé, vous passez à la vitesse supérieure et donnez toutes les chances à votre site WordPress de générer plus de visites, d’abonnés et de ventes.

Bravo !!! Il est en effet plus que jamais important de faire de votre site internet le centre de votre stratégie digitale. En marketing digital cela porte un nom : Owned Media. En référence aux divers supports de communication que possèdent et contrôlent une marque. Cela comprend le site internet, les réseaux sociaux, la newsletter, les contenus éditoriaux, les vidéos…etc. Nous aurons l’occasion de développer ce sujet dans un prochain article.

Revenons à ce qui nous occupe aujourd’hui. Développer votre site pour qu’il convertisse davantage de visiteurs en abonnés, prospects et clients.

Votre stratégie est bien établie il est temps de passer à l’action. Encore faut-il avoir les bons outils. Parmi la multitude de services et plugins, Thrive Themes sort du lot en proposant un ensemble d’outils qui sont devenus au fur et à mesure des évolutions et mises à jour un véritable « must have ». Voyons ça en détail !

Thrive themes Lire la suite