Bienvenue dans le guide définitif de la sécurité WordPress. WordPress est réputé pour sa facilité d’utilisation et son accessibilité. C’est de loin la méthode la plus populaire pour créer un site web. En fait, selon les statistiques récentes, 43% des sites web utilisent WordPress. Cette popularité a toutefois un prix : les sites WordPress non sécurisés peuvent être une cible facile pour les pirates et les spammeurs qui cherchent à exploiter les vulnérabilités connues à leur avantage.
Si vous consacrez beaucoup de temps et d’efforts à la création de votre site WordPress, vous devez prêter une attention particulière aux meilleures pratiques de sécurité.
Gardez à l’esprit : la sécurité de WordPress vise à réduire les risques, pas à les éliminer. Étant donné qu’il y aura toujours un risque, sécuriser votre site WordPress restera un processus continu, nécessitant une évaluation fréquente des vecteurs d’attaque et des menaces.
Dans ce guide, nous plongerons dans les détails de la sécurité WordPress et présenterons les étapes que vous pouvez suivre pour protéger votre site (et votre trafic) contre les pirates et les logiciels malveillants.
Table des matières:
WordPress est-il sécurisé ?
WordPress est certainement fiable et sûr à utiliser. Le CMS fournit des correctifs et des mises à jour régulières pour résoudre les problèmes de sécurité connus. Cependant, la plateforme elle-même ne représente qu’une infime partie des vulnérabilités de sécurité. Malheureusement, l’extensibilité de WordPress et sa vaste bibliothèque de plugins et de thèmes sont les principaux responsables des problèmes de sécurité auxquels sont confrontés les sites WordPress.
Mais la question de savoir si WordPress est sécurisé ou non dépend entièrement de vous, le propriétaire du site web. Le nombre de plugins, de thèmes et d’autres composants extensibles que vous choisissez d’installer, ainsi que la fréquence à laquelle vous mettez à jour et maintenez les logiciels de votre site, détermineront son niveau de sécurité.
Selon l’étude State of WordPress Security de PatchStack, le nombre de vulnérabilités auxquelles sont confrontés les sites WordPress a augmenté de 150% en 2021, dont 29% n’ont jamais été corrigées.
Cela ne signifie pas pour autant que vous devez éviter d’utiliser WordPress pour maintenir un site web sécurisé.
La sécurité d’un site web consiste à réduire les risques, pas à les éliminer. Et heureusement, la sécurité de WordPress peut être simple si vous prenez les bonnes mesures.
Pourquoi la sécurité WordPress est-elle importante ?
Protéger votre site WordPress contre le phishing, les logiciels malveillants et les attaques par déni de service (DDoS) est essentiel pour protéger vos visiteurs et maintenir votre site en ligne.
1. Les sites WordPress non sécurisés peuvent être infectés par des logiciels malveillants
Si vous ne prêtez pas attention à la sécurité de votre site WordPress, vous pourriez constater que des attaquants sont en mesure d’infecter votre site web, d’exploiter les ressources système, de voler des informations sensibles, voire de mettre votre site hors ligne. Vous pourriez même finir par distribuer des rançongiciels ou d’autres logiciels malveillants à l’insu des visiteurs de votre site. En fin de compte, un site piraté peut nuire à la réputation de votre site web, entraîner des pertes financières et affecter votre classement dans les moteurs de recherche.
2. Les clients du site web s’attendent à être protégés
Tout comme un magasin physique doit être protégé contre les voleurs, votre site web en ligne doit également être protégé contre les acteurs malveillants.
Les visiteurs et les clients du site s’attendent à être protégés contre les attaques. Et si vous exploitez un site de commerce électronique, la sécurité devient encore plus importante pour vous assurer de respecter les normes de conformité PCI DSS. Les sites de commerce électronique qui ne sont pas conformes à ces normes risquent de lourdes amendes, voire de perdre la possibilité d’accepter les paiements par carte de crédit.
3. La sécurité WordPress est très importante pour le référencement
Les moteurs de recherche comme Google apprécient les sites sécurisés. Et la visibilité de votre site web dans les résultats de recherche est directement affectée par sa sécurité.
En fait, les moteurs de recherche comme Google utilisent même le chiffrement HTTPS comme l’un de leurs nombreux critères de classement. De plus, si votre site est détecté comme distribuant des logiciels malveillants, du phishing ou du spam, votre classement dans les résultats de recherche sera rapidement réduit afin de protéger le trafic de recherche.
Donc, si vous souhaitez un site web bien classé, vous devez prêter une attention particulière à la sécurité de votre site et prendre des mesures pour le protéger contre les attaques.
Comment sécuriser un site WordPress
Ce guide de sécurité WordPress vous donnera un aperçu de la façon de protéger les visiteurs, de lutter contre les infections par les logiciels malveillants et de créer un site WordPress plus sécurisé. Pour informer les administrateurs WordPress sur les techniques de sécurité de base, nous avons énuméré plusieurs étapes concrètes que vous pouvez suivre pour protéger votre site web.
Découvrons les principales étapes que vous pouvez suivre pour protéger et sécuriser votre site WordPress.
1. Vulnérabilités des logiciels WordPress
Mettez à jour régulièrement WordPress, les thèmes et les plugins
L’équipe de sécurité WordPress travaille assidûment pour fournir des mises à jour de sécurité importantes et des correctifs de vulnérabilités. Cependant, l’utilisation de plugins et de thèmes tiers, ainsi que d’autres logiciels du site web, expose les utilisateurs à des menaces de sécurité supplémentaires.
En installant régulièrement les dernières versions des fichiers de base de WordPress et des extensions, vous pouvez vous assurer que votre site web dispose de tous les correctifs de sécurité en vigueur et que votre site WordPress est plus sécurisé.
1.1 Vérifiez régulièrement les extensions et les thèmes WordPress
Les extensions et les thèmes peuvent devenir obsolètes, obsolètes ou comporter des bugs qui représentent de sérieux risques de sécurité pour votre site WordPress.
Pour sécuriser votre installation WordPress et améliorer la sécurité, nous vous recommandons d’auditer vos extensions et thèmes régulièrement.
Évaluez la sécurité de vos extensions
Vous pouvez évaluer la sécurité des extensions et des thèmes WordPress en examinant quelques indicateurs importants :
- Est-ce que l’extension ou le thème est très utilisé ? : Vérifiez le nombre d’installations avant d’ajouter une nouvelle extension à votre site WordPress.
- Y a-t-il beaucoup d’avis d’utilisateurs, et la note moyenne est-elle élevée ? : Consultez les avis et les notes des extensions WordPress avant d’en ajouter une nouvelle.
- Les développeurs assurent-ils activement le support de leur extension et publient-ils fréquemment des mises à jour ou des correctifs de sécurité ? : Si une extension n’a pas été mise à jour depuis longtemps, elle peut présenter des vulnérabilités exploitées par des utilisateurs malveillants pour compromettre des sites WordPress.
- Le fournisseur liste-t-il des conditions d’utilisation ou une politique de confidentialité ? : Il est important de vérifier si l’extension dispose d’une politique de confidentialité ou de conditions d’utilisation.
- Le fournisseur inclut-il une adresse de contact physique dans les conditions d’utilisation ou sur une page de contact ? : Une adresse de contact physique ajoute de la crédibilité à une extension WordPress.
- Lisez attentivement les conditions d’utilisation – elles peuvent contenir des éléments indésirables que les auteurs n’ont pas annoncés sur leur page d’accueil. Si l’extension ou le thème ne répond à aucune de ces exigences ou a récemment changé de propriétaire avant la dernière mise à jour, vous voudrez peut-être chercher une solution plus sécurisée pour votre site WordPress.
Supprimez les extensions et les thèmes WordPress inutilisés.
En ce qui concerne les extensions inutilisées, moins c’est mieux. Conserver des extensions non désirées dans votre installation WordPress augmente les chances de compromission, même si elles sont désactivées et ne sont pas utilisées activement sur votre installation. En supprimant les extensions et les thèmes inutilisés, vous contribuez à améliorer la sécurité et à protéger WordPress contre les piratages.
Vous n’utilisez pas cette extension WordPress ? Supprimez-la de votre installation.
1.2 Garder WordPress à jour
Mettre à jour WordPress
Quand une nouvelle mise à jour de WordPress est disponible, vous serez informé dans le menu Tableau de bord > Mises à jour.
Vous devriez toujours appliquer les mises à jour dès que possible pour assurer la sécurité de votre site WordPress. Se connecter à votre site régulièrement vous permettra d’être au courant des mises à jour dès leur sortie. Si vous ne pouvez pas mettre à jour votre site pour une raison quelconque, envisagez d’utiliser un pare-feu de site web pour corriger virtuellement le problème et réduire les risques.
Pour configurer les mises à jour automatiques dans WordPress :
1- Connectez-vous à votre serveur via SFTP ou SSH.
2- Localisez le fichier wp-config.php, normalement situé dans le dossier racine du document public_html.
3- Ajoutez le morceau de code suivant dans le fichier : define( ‘WP_AUTO_UPDATE_CORE’, true );
Remarque :
Certaines mises à jour peuvent endommager votre site web, alors assurez-vous que votre site fonctionne correctement après l’application d’une mise à jour.
Les utilisateurs avancés peuvent se référer au guide sur les mises à jour à l’aide de la sous-version du WordPress Codex.
Pour appliquer manuellement les mises à jour dans WordPress :
1- Connectez-vous à votre serveur via SFTP ou SSH.
2- Supprimez manuellement les répertoires wp-admin et wp-includes.
3- Remplacez les fichiers principaux du répertoire racine, /wp-admin/ et /wp-includes/, en utilisant des copies du dépôt officiel de WordPress.
4- Connectez-vous à WordPress en tant qu’administrateur – vous pourriez voir une invite pour mettre à jour la base de données.
5- Cliquez sur Mettre à jour la base de données WordPress.
6- Une fois la base de données mise à jour, rendez-vous dans Tableau de bord > Mises à jour.
7- Appliquez toutes les mises à jour manquantes.
8- Ouvrez votre site web pour vérifier qu’il fonctionne correctement.
Attention :
Avant de mettre à jour votre site web vers la dernière version de WordPress, nous vous recommandons de prendre les mesures de précaution suivantes :
Sauvegardez votre site web, en particulier tout contenu personnalisé. Nous recommandons d’avoir un service de sauvegarde quotidien pour votre site web.
Consultez les notes de version pour identifier si les changements auront un impact négatif sur votre site web.
Testez la mise à jour sur un site de développement pour vérifier que vos thèmes, plugins et autres extensions sont compatibles avec la dernière version.
Gardez vos extensions WordPress à jour
Il est possible que WordPress ne puisse pas mettre à jour une extension si celle-ci a été téléchargée à partir d’un site web tiers. Dans ce cas, vous devrez peut-être mettre à jour manuellement l’extension en utilisant FTP ou utiliser un outil de mise à jour inclus pour assurer la sécurité de votre site WordPress.
Voici comment procéder pour appliquer manuellement les mises à jour des extensions dans WordPress :
1. Vérifiez la compatibilité entre l’extension et la version actuelle de WordPress.
2. Téléchargez la dernière version de l’extension à partir d’une source officielle et enregistrez-la sur votre ordinateur.
3. Vérifiez s’il existe des instructions spéciales de mise à jour fournies par le développeur ou le vendeur de l’extension. S’il n’y en a pas, suivez les étapes 4 à 9 ci-dessous.
4. Connectez-vous à votre serveur via SFTP ou SSH.
5. Accédez au répertoire /wp-content/plugins/ et téléchargez ce dossier sur votre ordinateur pour en faire une sauvegarde.
6. Trouvez le répertoire de l’extension que vous souhaitez mettre à jour et supprimez-le via FTP.
7. Téléchargez la dernière version dans le même emplacement.
8. Connectez-vous à WordPress en tant qu’administrateur et cliquez sur Tableau de bord > Extensions.
9. Trouvez l’extension que vous venez de mettre à jour dans la liste et cliquez sur Activer.
Gardez vos thèmes WordPress à jour
Mettre à jour les thèmes est un autre aspect important de la sécurité de WordPress. Si vous n’utilisez pas un thème enfant/parent pour vos personnalisations, vous devrez copier vos modifications dans un nouveau dossier de thème, puis le mettre à jour via FTP.
Voici comment procéder pour mettre à jour manuellement les thèmes dans WordPress :
1. Connectez-vous à votre site web à l’aide de FTP et accédez au répertoire /wp-content/themes/, puis téléchargez le dossier du thème actuel sur votre ordinateur.
2. Visitez le site web du thème pour télécharger la dernière version du thème et enregistrez-la sur votre ordinateur – vous aurez maintenant deux copies du dossier du thème.
3. Copiez toutes les personnalisations et modifications de code de votre ancien thème et ajoutez-les aux nouveaux fichiers du thème.
4. Téléchargez la dernière version du répertoire du thème, avec vos personnalisations, dans WordPress en utilisant FTP.
Note :
Si vous utilisez un thème enfant personnalisé qui hérite des fonctionnalités d’un thème parent, la mise à jour de votre thème est assez simple. Écrasez simplement votre copie du thème parent avec la dernière version provenant de la source officielle. Vos personnalisations resteront intactes dans le thème enfant.
2- Limitez l’accès à votre site WordPress
Les attaquants exploitent fréquemment des identifiants d’utilisateur faibles pour accéder aux sites WordPress. La sécurisation de l’accès à votre WP Admin peut empêcher le piratage et protéger votre site WordPress.
Par défaut, WordPress ne limite pas l’accès à la page de connexion de votre panneau d’administration, ce qui la rend particulièrement vulnérable aux attaques par force brute. Restreindre l’accès à cette page est l’une des mesures les plus efficaces que vous puissiez prendre pour sécuriser votre site Web et réduire les risques.
Augmentez la sécurité de votre site WordPress en utilisant des mots de passe forts et uniques, en restreignant les privilèges disponibles pour les utilisateurs par le biais de rôles assignés, en activant l’authentification à deux étapes ou à plusieurs facteurs et en limitant les sessions utilisateur. Cela vous permettra de réduire le risque de compromission de votre site Web par des personnes malveillantes.
2.1 Gestion des comptes d’utilisateurs WordPress
Supprimer le compte WP-Admin par défaut
Une grande majorité des attaques ciblent les points d’accès wp-admin, wp-login.php et xmlrpc.php en utilisant une combinaison de noms d’utilisateur et de mots de passe courants.
En utilisant un nom d’utilisateur unique et en supprimant le compte admin par défaut dans votre installation WordPress, vous rendez beaucoup plus difficile aux attaquants de deviner (par force brute) leur accès à votre site Web.
Astuce:
Créez un surnom différent de votre nom d’utilisateur existant et définissez-le comme votre nom d’affichage public. Cela rendra plus difficile aux attaquants de deviner vos informations de connexion par force brute.
Rôles d’utilisateurs et le principe du moindre privilège
Le principe du moindre privilège se compose de deux étapes très simples :
- Utilisez le minimum de privilèges sur un système pour effectuer une action.
- Accordez des privilèges uniquement pendant la durée exacte où une action est nécessaire.
Avec ce concept à l’esprit, WordPress comprend des rôles intégrés pour les administrateurs, auteurs, éditeurs, contributeurs et abonnés. Ces rôles spécifient ce que les utilisateurs peuvent ou ne peuvent pas accomplir.
Suivez ces recommandations de contrôle d’accès pour sécuriser votre site WordPress :
1- Créez de nouveaux comptes d’utilisateur avec le niveau de permission le plus bas.
2- Accordez des autorisations temporaires et révoquez l’accès lorsqu’il n’est plus nécessaire.
3- Supprimez les comptes qui ne sont plus utilisés.
4- Assurez-vous que le rôle d’utilisateur par défaut est défini sur « Abonné » :
- Connectez-vous à WordPress en tant qu’administrateur.
- Vérifiez que les autorisations de votre rôle « Abonné » incluent uniquement la possibilité de se connecter et de mettre à jour un profil.
- Depuis le tableau de bord, sélectionnez « Réglages » > « Général ».
- Définissez le « Rôle par défaut des nouveaux utilisateurs » sur « Abonné ».
De temps en temps, une vulnérabilité au sein d’une extension ou d’un thème peut permettre à des comptes de niveau inférieur, tels que les abonnés ou les contributeurs, d’augmenter leurs privilèges ou de compromettre le site Web. C’est pourquoi même ces comptes doivent avoir des permissions minimales pour une meilleure sécurité.
2.2 Utilisez des mots de passe forts
La sécurité des mots de passe WordPress est un facteur important pour renforcer votre site Web et augmenter la sécurité de votre WP Admin. Les listes de mots de passe sont souvent utilisées par les attaquants pour pirater des sites WordPress par force brute. C’est pourquoi vous devriez toujours utiliser des mots de passe forts et uniques pour tous vos comptes afin d’améliorer la sécurité de votre site WordPress.
Les mots de passe forts doivent respecter les critères suivants :
- Au moins 1 caractère en majuscule.
- Au moins 1 caractère en minuscule.
- Au moins 1 chiffre.
- Au moins 1 caractère spécial.
- Au moins 10 caractères (plus ils sont longs, mieux c’est), sans plus de deux caractères identiques à la suite.
Remarque:
Utiliser un générateur de mots de passe pour créer une chaîne aléatoire de lettres et de chiffres est l’un des moyens les plus simples de créer un mot de passe sécurisé.
Utiliser l’Identification à Deux Facteurs (2FA) / L’Identification à Facteurs Multiples (MFA)
L’identification à deux facteurs offre un niveau supplémentaire de sécurité pour votre compte WordPress. Cette fonctionnalité demande à l’utilisateur d’approuver une connexion via une application et protège votre compte WordPress dans le cas où quelqu’un parviendrait à deviner votre mot de passe.
Comment ajouter le 2FA à WordPress en utilisant Google Authenticator :
1. Téléchargez et installez Google Authenticator sur votre iPhone ou Android.
2. Installez et activez un plugin 2FA pour WordPress tel que le plugin 2FA de miniOrange.
3. Sélectionnez « miniOrange 2-Factor » dans le menu de gauche et suivez les instructions.
4. Une fois que vous avez obtenu votre code QR, ouvrez Google Authenticator et cliquez sur le bouton « Ajouter » en bas à droite de l’application.
5. Scannez le code QR affiché par le plugin en utilisant la caméra de votre téléphone.
6. Vérifiez le code sur la page du plugin.
La Plateforme de Sécurité Web de Sucuri inclut une fonctionnalité qui vous permet de protéger facilement votre page web par mot de passe ou de mettre en place le 2FA sur n’importe quelle page de votre site.
Pour ajouter le 2FA à n’importe quelle page de votre site web en utilisant Sucuri :
1. Téléchargez et installez Google Authenticator sur votre iPhone ou Android.
2. Connectez-vous au Tableau de Bord Sucuri et accédez au pare-feu du site web.
3. Cliquez sur le site web que vous souhaitez protéger, puis sélectionnez « Contrôle d’Accès » dans la barre de navigation supérieure.
4. Entrez le nom de la page que vous souhaitez protéger (par exemple : /wp-login.php), puis choisissez « 2FA avec Google Auth » dans le menu déroulant.
5. Cliquez sur « Protéger la Page » et scannez le code QR avec votre appareil mobile en utilisant Google Authenticator.
2.3 Limitez les tentatives de connexion à WordPress
Par défaut, WordPress autorise les utilisateurs à tenter une connexion un nombre illimité de fois, mais cela rend votre site vulnérable aux attaques par force brute, car les pirates essaient différentes combinaisons de mots de passe.
Vous pouvez ajouter une couche de sécurité supplémentaire en limitant le nombre de tentatives de connexion pour un compte grâce à un plugin, ou en utilisant un pare-feu d’application Web (WAF).
Certains plugins populaires qui proposent cette fonctionnalité sont Limit Login Attempts, WP Limit Login Attempts et Loginizer.
2.4 CAPTCHAs de préconnexion pour les utilisateurs
L’acronyme signifie « test public de Turing complètement automatisé pour distinguer les ordinateurs des humains ». Cette fonctionnalité est extrêmement utile pour empêcher les bots automatisés d’accéder à votre tableau de bord WordPress, ainsi que pour soumettre du spam indésirable via des formulaires.
Certains plugins populaires qui ajoutent un CAPTCHA à la page de connexion WordPress sont Captcha et Really Simple Captcha.
2.5 Restreindre l’accès aux URLs authentifiées
Limiter l’accès à la page de connexion de votre site WordPress uniquement aux adresses IP autorisées empêchera les entrées non autorisées et sécurisera davantage votre site.
Il existe des extensions disponibles qui peuvent le faire. Si vous utilisez un pare-feu cloud tel que le Sucuri Firewall, vous pouvez restreindre l’accès à ces URLs via votre tableau de bord sans avoir à manipuler les fichiers .htaccess.
3- Surveillance et détection de WordPress
Dans le domaine de la sécurité de l’information (InfoSec), nous aimons utiliser l’expression « défense en profondeur ».
Pour comprendre cette idéologie, vous devez souscrire à un principe très simple : il n’existe aucune solution à 100% capable de protéger n’importe quel environnement.
Dans cette section, nous avons répertorié plusieurs solutions que vous pouvez utiliser sur votre site Web WordPress pour mettre en place une stratégie de défense efficace en profondeur. En superposant ces contrôles défensifs, vous pourrez identifier et atténuer les attaques contre votre site Web.
3.1 Extensions de sécurité WordPress
Si vous allez dans le répertoire officiel de WordPress et que vous recherchez rapidement « sécurité », vous trouverez des milliers d’extensions avec des catégorisations et des ensembles de fonctionnalités distincts. Si vous recherchez une liste plus courte, assurez-vous de consulter notre liste des meilleures extensions de sécurité WordPress pour protéger votre site Web.
Nous allons vous expliquer les catégories et leur importance afin que vous puissiez trouver les bonnes solutions pour vos besoins.
Extension de sécurité WordPress – Catégorie Prévention
Ces extensions visent à fournir un certain niveau de prévention, également connu sous le nom de défense périmétrique pour votre site Web. Leur objectif est d’empêcher les piratages en filtrant le trafic entrant.
Les extensions de prévention sont souvent limitées à travailler au niveau de l’application, ce qui signifie que l’attaque doit atteindre l’application WordPress pour qu’elles puissent réagir. Les attaques contre le logiciel serveur ne peuvent pas être évitées avec des extensions de sécurité, c’est pourquoi nous vous recommandons de envisager une WAF basée sur le cloud.
Extension de sécurité WordPress – Catégorie Détection
La protection est excellente pour les problèmes connus, mais moins efficace pour l’inconnu. Pouvoir détecter tout ce qui passe au-delà de votre défense périmétrique est extrêmement précieux, c’est là que la détection entre en jeu.
Ces extensions tenteront d’identifier les intrus par le biais de vérifications d’intégrité des fichiers, en recherchant des indicateurs de compromission ou une combinaison des deux mécanismes.
L’efficacité de ces extensions est strictement déterminée par l’ordre dans lequel elles sont installées. Par exemple, si l’extension est basée sur des vérifications d’intégrité, elle doit être installée dans un environnement frais et sain afin de pouvoir créer une ligne de base à partir de laquelle sécuriser votre WordPress.
Certaines extensions peuvent comparer des thèmes et des extensions tiers connus avec leur propre référentiel afin de fonctionner avec des sites Web qui ont déjà été compromis, mais elles ne sont pas compatibles avec des fichiers personnalisés ou peu connus.
Astuce:
Les extensions de détection sont importantes pour identifier les problèmes sur votre site Web. Ces outils vous assurent d’être informé lorsqu’un incident de sécurité se produit.
Extension de sécurité WordPress – Catégorie Audit
Contrairement à ce que l’on pense souvent, la sécurité de WordPress n’est pas un processus « installez et oubliez ». Vous devez investir du temps dans le processus et vous familiariser avec ce qui se passe, qui se connecte, ce qui change et quand les changements sont effectués.
Les extensions d’audit peuvent vous aider à répondre aux questions ci-dessus en offrant des fonctionnalités d’administration de base qui vous aident à identifier, contrecarrer ou réagir à une compromission.
Plugin de sécurité WordPress – Catégorie Utilitaire
Ceci est peut-être le groupe le plus diversifié de l’écosystème des plugins de sécurité WordPress. Certains plugins sont ce que nous considérons comme des couteaux suisses du paysage de la sécurité. Ces plugins utilitaires ont un ensemble de fonctionnalités beaucoup plus restreint.
Ces plugins peuvent être exhaustifs dans leurs options de configuration de sécurité. Ils offrent toutes les configurations possibles que vous pourriez vouloir utiliser, et ils sont mieux adaptés aux utilisateurs qui aiment bidouiller ou souhaitent la possibilité de configurer des options spécifiques pour répondre à leurs besoins. Par exemple, certains plugins de sécurité désactivent simplement XML-RPC ou déplacent votre page de connexion.
Nous réservons également cette catégorie pour des ensembles d’outils tels que les sauvegardes ou les plugins de maintenance qui traitent des fonctions de sécurité spécifiques.
3-2- La sécurité d’hébergement de site web
La sécurité d’hébergement de site web a beaucoup progressé ces dernières années et c’est un sujet complexe.
La plupart des hébergeurs fournissent la sécurité requise à différents niveaux dans la pile, mais pas pour le site web lui-même. Il existe plusieurs fournisseurs d’hébergement qui proposent une sécurité moyennant des frais supplémentaires, mais à moins que vous n’ayez acheté un produit de sécurité auprès d’eux, il est peu probable qu’ils résolvent un problème de compromission pour vous.
Il existe quatre principaux environnements d’hébergement qui peuvent être utilisés pour votre installation WordPress :
– Environnements d’hébergement mutualisé
– Environnements de serveur privé virtuel (VPS)
– Environnements d’hébergement gérés
– Serveurs dédiés
En théorie, les environnements qui éliminent le plus de dépendance de l’utilisateur offriront la plus grande sécurité. Si vous avez le temps et les compétences pour sécuriser votre propre environnement, alors vous avez plus d’options mais aussi plus de responsabilités.
En réalité, cependant, le type d’environnement d’hébergement que vous choisissez devrait être dicté par vos besoins et vos compétences :
– Si vous êtes quelqu’un qui comprend peu comment fonctionnent les sites web, il est préférable d’opter pour un environnement géré.
– Si vous êtes une organisation disposant de votre propre centre d’opérations réseau (NOC), centre d’opérations de sécurité des informations (SOC) ou administrateurs système dédiés, alors un VPS ou un serveur dédié offre une meilleure isolation de votre environnement (à condition qu’il soit correctement configuré).
Vous pouvez également entamer une conversation avec votre fournisseur d’hébergement pour identifier leur position concernant la sécurité. Certains points clés devraient être abordés :
– Quelles précautions de sécurité prennent-ils pour protéger votre site web (et non seulement leur serveur) ?
– Quelles mesures prendront-ils s’ils identifient des logiciels malveillants sur l’un de vos sites web ?
– À quelle fréquence recherchent-ils des logiciels malveillants ?
– Proposent-ils des services d’intervention en cas d’incident ?
– Devrez-vous contacter un tiers si votre site est piraté ?
Connexions SFTP/SSH
Le transfert sécurisé de fichiers vers et depuis votre serveur est un aspect important de la sécurité de votre site web dans votre environnement d’hébergement. Le chiffrement garantit que toutes les données envoyées sont protégées des regards indiscrets qui pourraient surveiller votre trafic réseau.
Nous vous recommandons d’utiliser l’une des méthodes suivantes pour vous connecter à votre serveur et sécuriser votre WordPress :
– SSH (Secure Socket Shell) : Secure Socket Shell est un protocole réseau sécurisé et le moyen le plus courant d’administrer en toute sécurité des serveurs à distance. Avec Secure Socket Shell, toute forme d’authentification, y compris l’authentification par mot de passe et les transferts de fichiers, est entièrement chiffrée.
– SFTP (SSH File Transfer Protocol) : SFTP est une extension de SSH et permet une authentification sur un canal sécurisé. Si vous utilisez FileZilla ou un autre client FTP, vous pouvez souvent sélectionner SFTP. Le port par défaut pour SFTP dans la plupart des services FTP est le 22.
Remarque : Utilisez des comptes FTP et utilisateurs soigneusement isolés dans des environnements de serveurs partagés pour éviter toute contamination entre les sites.
3-3- Sauvegardez votre site WordPress
Faire des sauvegardes régulières de votre site WordPress devrait être l’une des tâches les plus importantes pour un administrateur afin d’améliorer la sécurité.
Un bon ensemble de sauvegardes peut sauver votre site web lorsque tout le reste a échoué. Si un attaquant malveillant décide de supprimer tous les fichiers de votre site ou de corrompre vos fichiers avec des scripts défectueux, les dégâts peuvent être annulés en restaurant votre site à partir des sauvegardes.
Il y a quatre exigences clés pour mettre en place une solution de sauvegarde efficace :
Emplacement externe : Vos sauvegardes doivent être stockées en dehors du serveur de votre site web. Les sauvegardes stockées sur votre serveur web présentent un risque sérieux pour la sécurité car elles contiennent souvent d’anciens logiciels non corrigés avec des vulnérabilités, et en raison de leur emplacement accessible au public, n’importe qui peut les exploiter pour attaquer votre site en direct. Les sauvegardes externes aident également à se protéger contre les pannes matérielles. Si le disque dur de votre serveur web tombe en panne, vous pouvez facilement perdre toutes vos données – le site en direct et les sauvegardes.
Automatisation : Les systèmes de sauvegarde doivent être entièrement automatisés pour garantir que les sauvegardes sont effectuées régulièrement. Les humains sont paresseux et oublieux, donc vous pouvez éviter les erreurs humaines grâce à l’automatisation. Si une solution manuelle est votre seule option, assurez-vous de planifier un moment pour effectuer régulièrement les sauvegardes.
Redondance : La Deuxième Loi de l’informatique de Schofield stipule que les données n’existent pas tant qu’il n’y a pas au moins deux copies. Cela signifie que votre stratégie de sauvegarde doit inclure la redondance ou des sauvegardes de vos sauvegardes.
Testé et éprouvé : Assurez-vous que le processus de restauration fonctionne réellement. Commencez avec un répertoire web vide et assurez-vous que vous pouvez utiliser ces sauvegardes pour récupérer toutes vos données et remettre le site en ligne avec un domaine de test en utilisant uniquement le fichier de sauvegarde.
3-4- Outils de détection d’intrusions
Il existe plusieurs outils que vous pouvez utiliser pour vous aider à identifier quand quelque chose ne va pas sur votre site web. Pour vous permettre de réagir rapidement à une violation de sécurité, utilisez un outil qui inclut les services suivants :
Surveillance de l’intégrité
Les vérifications d’intégrité sont un aspect important de l’audit de votre installation WordPress et peuvent vous avertir précocement d’une intrusion sur votre site web.
Les outils de surveillance de l’intégrité des fichiers sont normalement installés sur un serveur où ils créent une empreinte cryptographique de base des fichiers critiques et des entrées de registre. Si un fichier ou un enregistrement est modifié de quelque manière que ce soit, vous recevrez une notification des changements.
Vous pouvez installer le plugin gratuit Sucuri Scanner pour WordPress pour utiliser notre système de surveillance de l’intégrité des fichiers principaux.
Audit / Alertes
Les outils d’audit vous donnent une visibilité sur l’activité des utilisateurs sur le site web.
En tant qu’administrateur de votre site web, vous devriez vous poser des questions comme :
– Qui se connecte ?
– Devraient-ils se connecter ?
– Pourquoi modifient-ils ce message ?
– Pourquoi se connectent-ils quand ils devraient dormir ?
– Qui a installé ce plugin ?
Nous ne saurions trop insister sur l’importance de la journalisation de l’activité. Utilisez un outil qui enregistre et vous alerte de toutes les actions entreprises sur votre site web, y compris :
– Succès et échecs d’authentification des utilisateurs
– Création/suppression d’utilisateurs
– Téléchargement de fichiers
– Création et publication de messages et de pages
– Modification et activation de widgets
– Installation de plugins
– Modifications de thèmes
– Modifications des paramètres
4- Rendre votre site WordPress plus sécurisé
Attention: Les recommandations suivantes s’adressent aux administrateurs de serveurs qui ont des connaissances sur le fonctionnement de ces fichiers. Si vous ne vous sentez pas à l’aise avec ces suggestions, nous vous recommandons d’utiliser un pare-feu de site web qui inclut un renforcement virtuel à la place.
4.1 Configuration sécurisée de base du fichier .htaccess
Le fichier .htaccess est celui que la plupart des fournisseurs vont modifier lorsqu’ils disent qu’ils renforcent votre environnement WordPress.
Ce fichier de configuration critique est spécifique aux serveurs web fonctionnant sur Apache. Si vous utilisez une pile LAMP avec Apache pour votre instance WordPress, alors nous vous recommandons de renforcer votre site en mettant à jour votre fichier .htaccess avec les règles suivantes.
Note:
Certaines des règles ci-dessous dépendent de la version d’Apache que vous utilisez. Dans ces cas, nous avons inclus des instructions pour les versions 2.2 et 2.4 du serveur Apache. »
Source: Sucuri