Si vous lisez régulièrement notre blog, vous savez que la sécurité du site Web et la sécurité de l’hébergement sont les problèmes les plus critiques. Plus important que la performance, les illustrations et autres fonctionnalités. Lors de la création d’un site Web, vous devez vous assurer qu’il est sûr. Mais l’hébergement sécurisé et la sécurité du serveur ne suffisent pas si vous ne gardez pas WordPress sécurisé.
WordPress est vulnérable aux attaques
Plus l’application est populaire, plus elle est susceptible d’être piratée par des pirates. WordPress alimente actuellement plus de la moitié des sites Web dans le monde. Son succès a été déterminé principalement par la combinaison de la simplicité et de la possibilité de développement. La structure ouverte permet le développement de sites Web par plugins.
Malheureusement, le nombre d’installations WordPress apporte également des résultats honteux. Selon Wordfence, le 9 décembre 2021, plus de 1,5 million de sites Web construits sur WordPress ont été attaqués. Plus de 13 millions de tentatives de prise en charge de l’accès aux panneaux de gestion du site ont été faites en 36 heures.
Les cybercriminels ne sont pas inactifs et recherchent constamment des faiblesses dans les sites Web et les applications, grâce auxquelles ils peuvent obtenir des données précieuses. Sucuri souligne un autre élément crucial de la sécurité. Plus de 50% des pages piratées sur WordPress sont liées à une version obsolète de l’application. Keycdn.com ajoute d’autres statistiques: près de 56% des menaces et des vulnérabilités de sécurité sont causées par des plugins ou des thèmes obsolètes.
Comment maintenir WordPress en sécurité?
Mais même corriger une application n’est pas une garantie de sécurité. Prenez soin de votre site Web par vous-même. Faites-le selon nos directives. Plus vous en utilisez, plus vous rendrez votre site Web plus sûr.
Certaines des solutions nécessitent une connaissance de base du panneau phpMyAdmin, dans lequel vous pouvez modifier la base de données. Un fonctionnement incorrect sur les tableaux peut entraîner une inaccessibilité partielle de la page ou de l’ensemble du site Web.
Un autre facteur critique de la sécurité de l’hébergement est de l’héberger sur un serveur sécurisé. Deux solutions s’offrent à vous :VPS hosting or secure WordPress hosting. Je recommande le second car il a des mesures de sécurité intégrées pour protéger WordPress contre les attaques. Passons maintenant à la liste.
1 Mettre à jour WordPress
Cela semble cliché? Peut-être, mais la clé est de vérifier que votre WordPress ne vieillit pas. Depuis la version 3.7, WordPress peut mettre à jour le CMS, les thèmes et les plugins automatiquement. Reporter les mises à jour est très risqué.
2 Modifier le préfixe wp_ par défaut des tables de la base de données
.Grâce à un préfixe aux tables de la base de données MySQL, l’application peut reconnaître quelles données lui appartiennent. Après tout, plusieurs applications peuvent utiliser une seule base de données. L’une des faiblesses de WordPress est qu’il laisse le préfixe wp_ par défaut dans la base de données; Cela facilite les choses pour les pirates. Par conséquent, remplacez ce préfixe par un autre, moins distinctif (par exemple, xtmx 4_).
Vous pouvez le faire de deux manières – lors de l’installation de WordPress et après l’installation en vous connectant à la base de données MySQL via le panneau phpMyAdmin. Grâce à ce changement, un site web basé sur WordPress sera moins sensible aux attaques par injection SQL.
Changer le nom du préfixe de la table nécessite de modifier les entrées de deux tables WordPress : xtmx4_options et xtmx4_usermeta. Vous pouvez le faire par l’une des deux commandes SQL (il est nécessaire d’indiquer les préfixes proposés par vous-même):
SÉLECTIONNEZ * DE ‘xtmx4_options’ OÙ’ option_name’ COMME ‘% wp_%’;
SÉLECTIONNEZ * DE ‘xtmx4_usermeta’ OÙ’ meta_key’ COMME ‘% wp_%’;
N’oubliez pas de modifier la ligne avec le préfixe dans le fichier wp-config.php après ce changement.
3 Modifier l’identifiant de connexion et l’ID administrateur
La connexion par défaut proposée par WordPress est « admin » – il est facile à deviner par quelqu’un qui essaie de se connecter au tableau de bord. Lors de l’installation, il vaut la peine de le changer pour un autre, moins « logique » du point de vue d’un utilisateur externe. N’oubliez pas que le login ne sera pas affiché sous les articles de blog, car le nom d’affichage est configuré individuellement dans le panneau WordPress.
Changez le login après l’installation via phpMyAdmin dans la table (votre-préfixe)_users. Au même endroit, vous modifierez également l’ID de compte. Il est préférable d’entrer un nombre élevé avec une séquence aléatoire de nombres (par exemple, au lieu de 333333, entrez 158062).
4 Restreindre l’accès au tableau de bord WordPress avec .htaccess
Restreindre l’accès à la page de connexion est une solution très sensée. Dans le fichier .htaccess, il suffit de configurer les connexions autorisées à l’adresse IP sélectionnée. Voici la formule correcte à inclure dans le contenu:
- AuthName « Exemple de contrôle d’accès »
- AuthType Basic
- Ordonner de refuser, d’autoriser
- Refuser de tous
- autoriser à partir de IP_address
Au lieu de « IP_address », entrez l’adresse à partir de laquelle vous souhaitez accéder au panneau.
5 Modifier votre adresse de connexion au backend WordPress
Les scripts malveillants attaquent principalement les sous-pages liées au contenu et à son édition, c’est-à-dire « / wp-admin ». Par conséquent, il vaut la peine d’envisager de changer cette adresse pour une autre qui est plus amicale et moins évidente pour les cybercriminels. Installez le plugin WPS Hide Login et configurez-le en fonction de vos besoins. La nouvelle adresse de connexion au panneau sera disponible immédiatement.
Un autre type de protection contre le « détournement » de la page de connexion WordPress est l’utilisation du fichier .htaccess sur l’hébergement et la référence au fichier .htpasswd, dans lequel vous configurez les données d’accès pour afficher la page de connexion.
6 Remplacez la méthode de connexion par votre adresse e-mail
Changer la façon dont l’application vérifie l’utilisateur augmente la sécurité du tableau de bord WordPress. Pour ce faire, installez le plugin WP Email Login et remplacez le nom de connexion par l’adresse e-mail attribuée à l’utilisateur. Après avoir enregistré les modifications, changez la connexion standard en un ensemble de caractères aléatoires (en particulier, si vous avez utilisé « admin »).
Activer la protection supplémentaire des applications lors de l’hébergement (WAF)
L’hébergement WordPress sécurisé vous protège avec une couche de sécurité supplémentaire – un pare-feu d’application Web. Si vous utilisez un autre fournisseur, posez-lui des questions sur le WAF. Il vous protège contre les attaques avec l’utilisation de vulnérabilités liées aux bases de données MySQL ou avec l’utilisation d’en-têtes malveillants.
7 Désactiver l’édition des fichiers de plug-in et de thème
Avez-vous fini de personnaliser votre thème et de lancer les plugins? Sécurisez vos fichiers en empêchant toute modification de code supplémentaire dans le tableau de bord WordPress. Pour ce faire, ajoutez une ligne au fichier wp-config.php :
- définir (‘DISALLOW_FILE_EDIT’, vrai);
8 Désactiver le registre des utilisateurs
WordPress vous permet d’enregistrer des utilisateurs par défaut, mais si vous exécutez un site Web qui n’a pas besoin de cette option (par exemple, il est uniquement orienté lecture), il est préférable de le bloquer dans les paramètres WordPress. C’est une autre « fenêtre » vers une tentative d’attaque potentielle.
9 Activer l’authentification à deux facteurs
Le niveau de sécurité supplémentaire lors de la connexion n’a encore nui à personne. Utilisez le plug-in Two Factor Authentication pour configurer une double connexion au panneau. Après avoir entré un identifiant et un mot de passe, vous devrez entrer un code unique envoyé à votre smartphone. Cette solution nécessite l’installation de l’application Google Authenticator sur votre smartphone, disponible sur Android et iOS.
10 Plugins de sécurité pour WordPress – pourquoi ne vaut-il PAS la peine de les utiliser?
Vous trouverez plusieurs plugins supplémentaires sur le marché qui contiennent plusieurs des fonctionnalités ci-dessus et protègent en outre WordPress contre la force brute et d’autres attaques. Ils gagnent donc du temps (il suffit d’en installer un et de le configurer en quelques minutes) et (en théorie) de s’occuper de plusieurs sujets liés à la sécurité.
Mais êtes-vous sûr? N’oublions pas que c’est juste un autre plugin. Même les plugins de sécurité peuvent contenir des vulnérabilités qui permettraient à un pirate potentiel d’accéder plus facilement à votre tableau de bord WordPress.
Les plugins tels que Wordfence, Sucuri ou iThemes Security sont à la mode, offrent diverses fonctionnalités et semblent tentants, mais les statistiques de l’étude WPwhiteSecurity sont inquiétantes. Parmi les 10 plugins WordPress les plus vulnérables en 2019, Wordfence a pris la 4ème place.
11 Faire des copies supplémentaires de vos données
Sur les serveurs UltaHost, la sauvegarde est effectuée de manière cyclique la nuit, de manière ponctuelle. Tous les fichiers et bases de données de la sauvegarde reflètent l’état du serveur à partir d’une heure donnée. Dans tous les cas, l’utilisateur peut restaurer ces données des 16 derniers jours. C’est l’une des meilleures offres sur le marché, mais cela ne devrait pas surprendre. UltaHost a une politique de sécurité.
Si votre site Web est dynamique et que vous y publiez beaucoup de contenu (par exemple, sous la forme d’un portail publicitaire), installez des applications de sauvegarde WordPress supplémentaires. L’un d’eux est Updraft, grâce auquel vous pouvez programmer une sauvegarde même toutes les 60 minutes. N’oubliez pas de faire des sauvegardes lorsque votre trafic est faible car chaque opération de sauvegarde représente une lourde charge pour le serveur.
12 Supprimer les plugins et les thèmes inutiles
WordPress vous permet de créer un site Web pour n’importe quel but. Pas étonnant que vous testiez de nouveaux thèmes et plugins. N’oubliez pas de les supprimer si vous ne les utilisez pas. Même les plugins désactivés mais obsolètes peuvent être la raison d’une attaque sur votre site Web.
Téléchargez des plugins uniquement à partir d’une source fiable. Il ne doit pas nécessairement s’agir d’un référentiel WordPress officiel, car il existe des plugins premium que vous ne pouvez télécharger qu’à partir du site Web de l’auteur. Mais évitez les plugins provenant de sources peu fiables comme le courrier électronique ou les services de fichiers gratuits. Ils ne font l’objet d’aucune vérification et ne sont soumis à aucun contrôle.
13 Mettre à jour le thème fréquemment
C’est la troisième source potentielle d’un problème qu’un site Web basé sur WordPress peut rencontrer. Les développeurs de thèmes doivent publier des mises à jour aussi souvent que possible pour corriger les bogues et les vulnérabilités logicielles. Ils peuvent être exploités par des pirates informatiques et ne peuvent être sous-estimés.
14 Utiliser un certificat SSL
WordPress provides full support for encrypted HTTPS connection via the browser. As of 2017, the CMS application requires the server to support this protocol. SSL certificate is also essential because of SEO optimization.
In addition, the most popular browsers (Google Chrome, Mozilla Firefox) mark websites without an SSL certificate as “unsecured”. From a psychological point of view, this is equivalent to discouraging the user from visiting the site in the future.
15 Utiliser des mots de passe longs
Plus le mot de passe est long et varié, mieux c’est. WordPress propose automatiquement d’enregistrer le mot de passe sous la forme de plusieurs caractères sans phrases du dictionnaire. Habituellement, dans cette étape, nous voulons proposer notre mot de passe, mais dans la plupart des cas, il ne sera pas assez fort.
Si vous avez apprécié cet article, alors vous allez adorer la plate-forme d’hébergement sécurisée UltaHost. Bénéficiez d’une assistance 24h/24 et 7j/7 de notre équipe d’assistance. Notre infrastructure alimentée se concentre sur la mise à l’échelle automatique, les performances et la sécurité. Laissez-nous vous montrer la différence! Découvrez nos plans d’hébergement WordPress sécurisés!