Ce serait bien si les sites WordPress n’étaient pas vulnérables aux pirates. Tout était sûr et sécurisé, dès la sortie de la boîte. Malheureusement, ce n’est pas le cas avec WordPress, ni aucun site Web.
Mais… n’ayez pas peur.
La plupart des problèmes de sécurité ne sont pas dus aux vulnérabilités principales de WordPress. C’est généralement parce que quelqu’un n’a pas mis en œuvre de simples mesures préventives.
Comme vous le verrez dans cet article, corriger les vulnérabilités dans WordPress est, pour la plupart, simple et facile à faire. Cela nécessite simplement une diligence raisonnable de votre part et la mise en place de systèmes pour s’assurer que les pirates ne peuvent pas accéder à votre site et se sentir chez eux.
De plus, avec l’aide de certains plugins, un certain nombre de vulnérabilités sont automatiquement corrigées – beaucoup d’entre elles avec le plugin de sécurité Defender, déjà inclut dans l’hébergement WB2. Nous le recommanderons ainsi que d’autres plugins tout au long de cet article.
Cet article examinera de près :
- Pourquoi WordPress est vulnérable
- Sept vulnérabilités et correctifs de sécurité WordPress courants
1. Plugins ou thèmes obsolètes
2. Votre WordPress n’est pas mis à niveau vers la dernière version
3. Environnement d’hébergement médiocre
4. Donner aux utilisateurs des privilèges inutiles
5. Mot de passe faible
6. Utilisation de la zone de connexion par défaut de WordPress
7. Non Utilisation de SSL / HTTPS
Cela étant dit, voyons pourquoi WordPress est vulnérable aux pirates et aux sept vulnérabilités de sécurité WordPress courantes. Voyons également comment les corriger.
Pourquoi WordPress est vulnérable
Il convient de répéter que ce ne sont pas seulement les sites WordPress qui sont vulnérables aux pirates. Tous les sites Web le sont.
WordPress est de loin le constructeur de sites Web le plus populaire, ce qui fait des sites WordPress une cible fréquente d’attaques malveillantes de la part de pirates et de bots, en partie à cause du nombre de sites.
Il est également plus facile pour les pirates de localiser les vulnérabilités de WordPress. Et, bien, cela conduit à des problèmes de sécurité WordPress fréquents.
La bonne nouvelle est que WordPress n’a pas besoin d’être vulnérable.
Plus courante qu’autrement, la vulnérabilité de WordPress est due au fait que les administrateurs négligent des tâches simples (par exemple, maintenir WordPress à jour et utiliser des mots de passe forts). Lorsque des précautions sont mises en place, la sécurité de votre site est bien meilleure.
Vous pouvez faire d’autres choses, comme avoir un bon hébergement, supprimer les plugins obsolètes, et plus encore. Nous aborderons tous les éléments essentiels dans un instant.
De plus, WordPress vous a couvert avec ses experts en ce qui concerne l’essentiel.
L’équipe de sécurité de WordPress est composée de plus de 50 professionnels. Et pour s’assurer que les problèmes sont bien traités, l’équipe collabore parfois avec d’autres professionnels de la sécurité pour résoudre les problèmes dans les dépendances courantes.
En un mot, les sites qui ne sont pas mis à jour, bien entretenus et qui n’ont pas de précautions de sécurité mises en œuvre sont les plus vulnérables.
Jetons donc un coup d’œil aux vulnérabilités de sécurité WordPress les plus courantes et comment les corriger si ces mesures ne sont pas déjà mises en œuvre sur votre site.
Sept vulnérabilités et correctifs de sécurité WordPress courants
Il existe des points communs en ce qui concerne les vulnérabilités de WordPress. Nous examinerons sept des plus courants et verrons comment résoudre chaque problème le plus facilement possible.
1. Plugins ou thème obsolètes
WordPress propose divers plugins et thèmes pour répondre à vos besoins, comme vous le savez probablement bien. C’est formidable d’avoir toutes les options disponibles ; cependant, chaque extension peut être une porte d’entrée potentielle pour un pirate informatique.
Votre site devient vulnérable lorsqu’un plugin ou un thème est obsolète ou n’est pas mis à jour.
La raison pour laquelle un plugin ou un thème n’est plus maintenu est que le développeur l’a abandonné ou que l’administrateur ne l’a pas mis à jour.
Il est essentiel de garder vos plugins et votre thème à jour. Si vous ne le faites pas, un plugin ou un thème obsolète est vulnérable aux failles de sécurité. C’est principalement parce que personne ne le surveille et que les vulnérabilités ne sont pas détectées.
De plus, ne téléchargez pas de plugins ou de thèmes obsolètes pour commencer.
Le correctif
Vous pouvez facilement mettre à jour les plugins et les thèmes à partir du panneau d’administration WordPress. De là, il indiquera le nombre de mises à jour disponibles.
Vous pouvez mettre à jour manuellement votre version, vos plugins et vos thèmes WordPress. De plus, la fonction de mise à jour automatique de WordPress peut mettre à jour automatiquement le noyau, les plugins et les thèmes, de sorte que vous n’avez même pas à y penser.
2. Votre WordPress n’est pas mis à niveau vers la dernière version
Attendez ! Vous utilisez TOUJOURS la version 4.3 ? C’est un problème…
WordPress a des mises à jour de base pour corriger les bogues et augmenter la sécurité. Si vous utilisez une version obsolète, vous invitez des vulnérabilités indésirables. Le fait de disposer de la dernière version de WordPress à lui seul peut éviter de nombreux problèmes.
Cependant, tout le monde ne le fait pas. D’après le dernier statistique sur la version de WordPress dont disposent les utilisateurs, seuls 38,3% utilisent la version 5.7, qui est la plus récente au moment de la rédaction de cet article.
Comme vous pouvez le voir, 38,3% utilisent la version 5,7. Cela signifie que la majorité des utilisateurs utilisent une version obsolète. (Source : WordPress.org)
Il peut être facile d’oublier de mettre à jour votre site WordPress, surtout si vous ne l’utilisez pas fréquemment ou si vous n’y prêtez pas attention.
Le correctif
Heureusement, il est extrêmement facile de passer à la dernière version de WordPress pour vous assurer que votre site n’est pas aussi ouvert aux vulnérabilités principales de WordPress.
La mise à jour de WordPress est dans le même domaine que la mise à jour des plugins et des thèmes. Vous pouvez le faire directement depuis le panneau d’administration sous Mettre à jour ou avec un plugin comme Automate.
Vous pouvez également le configurer pour mettre à jour votre site WordPress automatiquement dans cette zone, vous n’avez donc pas à vous soucier de la mise à jour manuelle.
3. Mauvais environnement d’hébergement
Votre environnement d’hébergement peut jouer un rôle majeur dans la sécurité de votre WordPress. Un bon exemple est la version PHP fournie par votre hébergement. La prise en charge de la sécurité PHP expire dans les anciennes versions, ce qui vous expose à des vulnérabilités, de sorte que votre PHP doit être maintenu à jour.
Comme avec les versions obsolètes de WordPress, de nombreux utilisateurs n’utilisent pas de PHP mis à jour.
Comme vous pouvez le voir, de nombreux utilisateurs de WordPress utilisent des versions PHP obsolètes. (Source: WordPress.org)
Vous pouvez vérifier quelle version PHP votre site utilise à partir du tableau de bord WordPress.
Accédez simplement à Outils > Santé du site en premier.
S’il est recommandé de mettre à jour votre PHP, il l’indiquera dans les améliorations recommandées. Si votre PHP est en bon état, il sera affiché dans la zone Test réussi. Il indique également la version de PHP que vous utilisez.
Comme vous pouvez le voir, ce site utilise la version 8.0.0.
Ici, vous pouvez également voir quelle version de WordPress vous avez.
À partir de là, vous pouvez modifier la version de PHP que vous utilisez pour vous assurer qu’elle est à jour.
PHP n’est qu’un aspect d’un bon environnement d’hébergement. Les bonnes sociétés d’hébergement doivent mettre à jour automatiquement et en toute sécurité votre site WordPress afin que vous exécutiez toujours le dernier logiciel.
voici commet mettre à jour la version de PHP avec l’hébergement WB2 :
Le correctif
Un environnement d’hébergement génial. C’est aussi simple que ça.
Par exemple, notre hébergement offre toutes les fonctionnalités de sécurité obligatoires pour assurer la sécurité de votre site WordPress. Découvrez tout ce que nous incluons dans nos plans d’hébergement.
4. Donner aux utilisateurs des privilèges inutiles
Autoriser les utilisateurs à des rôles spécifiques peut être risqué, surtout s’ils ont accès aux mots de passe, aux passerelles de paiement et à l’édition de votre site WordPress.
WordPress a six rôles d’utilisateur différents qui peuvent être accordés pour diverses autorisations :
-
- Administrateur
- Éditeur
- Auteur
- Donateur
- Abonné
Vous pouvez attribuer et ajouter de nouveaux rôles dans la zone Utilisateur de la zone d’administration de WordPress.
De tous ces rôles, les administrateurs sont les plus importants. Ils ont un accès illimité à l’ensemble du site Web.
Malheureusement, certains sites Web permettent à pratiquement tous leurs utilisateurs d’avoir un accès administrateur.
S’il y a une mauvaise pomme (et nous ne parlons pas de MacBook), cela peut faire des ravages. Cela leur donne la possibilité de faire des choses, comme créer des comptes d’administrateur fantômes et des portes dérobées, afin qu’ils puissent retrouver l’accès si jamais vous supprimez leur compte.
De plus, ils peuvent supprimer vos informations, associer des passerelles de paiement à un autre compte, et bien plus encore. Pratiquement tout ce qui est imaginable peut arriver lors de la dévastation complète de votre WordPress si la mauvaise personne prend le contrôle.
Le correctif
Il est généralement préférable de ne pas céder l’accès administrateur à moins qu’il ne s’agisse d’un partenaire clé ou d’une personne extrêmement digne de confiance. Cela dépendra des besoins des personnes qui ont besoin d’un accès complet pour les entreprises, et il est vital d’attribuer les autorisations appropriées.
Si vous dirigez une entreprise qui autorise les utilisateurs à accéder à votre compte ou site WordPress et qu’ils sont abandonnés ou résiliés, assurez-vous de restreindre leur accès ou de supprimer leurs comptes.
Supposons que, par hasard, vous ne puissiez pas accéder à votre compte et que vos privilèges d’administrateur aient été révoqués. Dans ce cas, vous devrez peut-être créer un nouveau compte administrateur via votre base de données en utilisant phpMyAdmin ou en contactant votre administrateur CMS.
Les situations varient, de sorte que le correctif peut consister à appeler un professionnel pour nettoyer un mauvais code ou simplement supprimer le fauteur de troubles dès qu’une situation est remarquée.
Quoi qu’il en soit, il est préférable d’essayer de l’empêcher d’emblée en limitant l’accès administrateur.
5. Mot de passe faible
Un mot de passe fort est presque toujours recommandé, que ce soit pour WordPress ou tout autre site en ligne. Pourtant, les mots de passe faibles sont encore courants.
Les pirates conçoivent des robots qui ont pour seul but de déterminer vos identifiants de connexion. Ils essaient des centaines de noms d’utilisateur et de mots de passe, le tout en quelques minutes. C’est ce qu’on appelle une attaque par force brute.
Lorsqu’il y a des centaines de tentatives de connexion sur votre site, cela peut avoir des conséquences néfastes sur votre serveur. Cela peut ralentir votre site WordPress et votre site peut planter en raison d’une surcharge du système.
Le correctif
Nous allons diviser cela en deux correctifs distincts.
Tout d’abord, un mot de passe fort est une solution facile. Vous pouvez modifier et créer un mot de passe dans l’administrateur WordPress sous Utilisateurs> Profil.
WordPress générera et recommandera un mot de passe fort pour vous. Ou, vous pouvez créer le vôtre.
Un mot de passe fort que WordPress a généré et recommandé.
Le mot de passe recommandé par WordPress a tout ce dont vous avez besoin pour la sécurité, et il est préférable de l’utiliser, ou quelque chose de similaire si vous créez le vôtre.
En ce qui concerne les attaques par force brute, cela peut être arrêté avec le plugin de sécurité gratuit, Defender, et son pare-feu puissant.
Defender est prêt à arrêter les attaques par force brute avec son pare-feu.
Defender verrouille les utilisateurs après un nombre d’échecs de tentatives de connexion.
Vous pouvez modifier le seuil du nombre de tentatives de connexion autorisées avant un verrouillage, la durée du verrouillage et créer un message personnalisé à l’utilisateur pour lui faire savoir ce qui s’est passé.
Le pare-feu comprend également la détection 404 et l’interdiction IP. De plus, si vous voulez vraiment améliorer votre jeu de connexion, Defender dispose également d’une authentification à 2 facteurs.
Lisez un aperçu détaillé étape par étape de la configuration du pare-feu de Defender dans cet article.
6. Utilisation de la zone de connexion par défaut de WordPress
WordPress a des slugs par défaut : wp-admin et wp-login. Les pirates informatiques et les robots en sont conscients, et c’est là qu’ils iront pour essayer de se connecter à votre site.
Le correctif
Faites en sorte qu’il leur soit difficile de trouver votre slug de connexion.
Vous pouvez aider à empêcher les pirates et les robots de trouver votre connexion en créant une zone de connexion personnalisée avec Defender. Accédez simplement aux outils avancés et vous pouvez commencer en un seul clic.
Defender est prêt lorsque vous devez configurer une zone de connexion masquée.
Une fois activé, vous pouvez créer un slug d’URL personnalisé qui remplacera la valeur par défaut de WordPress. En outre, vous avez la possibilité de rediriger le trafic vers une page spécifique ou une URL personnalisée pour éviter les 404.
Ajoutez ici tout nouveau slug d’URL de connexion que vous souhaitez.
Avoir une zone de connexion masquée est un excellent moyen de corriger les vulnérabilités de connexion et d’éviter d’être piraté.
7. Ne pas utiliser SSL / HTTPS
SSL / HTTPS est une méthode de cryptage pour votre site WordPress. Il sécurise la connexion entre les navigateurs des utilisateurs et votre serveur d’hébergement pour WordPress.
Lorsqu’un certificat SSL est installé avec succès, le protocole d’application (par exemple HTTP) se transforme en HTTPS . Le «S» signifie «sécurisé».
Le résultat est qu’il est plus difficile pour les pirates d’accéder à votre connexion.
Sans un site compatible SSL / HTTPS, votre site peut être vulnérable aux pirates.
Le correctif
Il s’agit simplement d’ajouter SSL / HTTPS à votre site Web. Heureusement, obtenir un SSL / HTTPS est facile à obtenir et à configurer.
La plupart des hébergeurs les incluent. Par exemple, si vous avez un hébergement par notre intermédiaire, il est automatiquement inclus dans tous vos sites Web.
Pour en savoir plus sur le fonctionnement de SSL et son activation sur votre site WordPress, nous avons des informations détaillées dans cet article.
Faire disparaître les vulnérabilités
Avec tout ce que nous avons passé en revue, votre WordPress devrait être beaucoup moins vulnérable aux pirates et aux bots. Ces ajustements simples peuvent garantir la sécurité de votre site et son bon fonctionnement.
Avec l’aide d’un plugin comme Defender et d’un bon hébergement, il est pratiquement facile de mettre en œuvre ces améliorations aujourd’hui, et certaines des vulnérabilités importantes de votre site WordPress peuvent disparaître en quelques clics.
Pour en savoir plus sur les vulnérabilités de WordPress, consultez l‘article sur comment ne pas se faire pirater.
source : https://wpmudev.com/blog/quick-easy-wordpress-security-vulnerability-fixes/