Nous ne saurions trop insister sur l’importance d’avoir une sécurité de site robuste. Lorsque vous vous précipitez pour respecter une date limite, sécuriser correctement votre site WordPress n’est peut-être pas votre plus grande priorité, nous avons donc mis en place une liste de contrôle pour vous assurer de ne manquer aucun des éléments essentiels.
Dans une mer de plus de 2 milliards de sites Web, il est compréhensible que de nombreuses personnes ne pensent pas que leur site risque d’être piraté.
Et si vous n’avez jamais été victime d’une attaque, vous pourriez ne pas vous inquiéter autant que vous le devriez probablement.
Cependant, il vaut mieux avoir la bonne protection et ne pas en avoir besoin, que de s’en passer et de le regretter.
Nous avons rassemblé une liste de contrôle de 16 étapes que vous voudrez peut-être suivre lors de la sécurisation de votre site – ce qui, espérons-le, facilitera l’organisation de votre sécurité.
1. Optez pour un hébergement sécurisé
2. Masquez votre URL de connexion
3. Utilisez un gestionnaire de mots de passe
4. Activez l’authentification à deux facteurs
5. Utilisez les délais de connexion
6. Configurez un WAF
7. Renforcez votre sécurité avec un plugin
8. Utilisez des plugins pour transporter Exécuter automatiquement les tâches
9. Prendre des mesures pour empêcher les attaques DDoS
10. Vérifier régulièrement les comptes non autorisés
11. Sécuriser votre fichier wp-config
12. Obtenir un certificat SSL pour votre site
13. Empêcher les hotlinking
14. Empêcher les commentaires de spam
15. Visiter régulièrement votre site
16. Considérez un site statique
Optez pour l’hébergement sécurisé
Vous pouvez franchir toutes les étapes de cet article et aller au-delà pour renforcer votre site, cependant, si vous utilisez un hébergement partagé bon marché, c’est comme avoir une porte d’entrée en titane renforcée et ultra-solide – et laisser une clé sous le paillasson.
Sans même tenir compte de la sécurité, l’hébergement mutualisé présente suffisamment d’inconvénients pour convaincre la plupart des gens de rester clairs – mais c’est tout un sujet en soi. Consultez notre article sur le choix du meilleur type d’hébergement pour vos besoins pour un examen approfondi de tous les avantages et inconvénients de l’hébergement mutualisé.
Le plus gros inconvénient est peut-être le manque de sécurité. Une vulnérabilité sur le site de quelqu’un d’autre pourrait entraîner la compromission du serveur et l’attaque de votre site, sans que vous en soyez responsable.
Bien que les sociétés d’hébergement essaient de prendre toutes les précautions nécessaires pour empêcher la propagation d’attaques malveillantes comme celle-ci, ce n’est pas toujours possible avec l’hébergement partagé, car les sites sont hébergés sur le même serveur.
Si vous ne voulez pas vous soucier de ce qui se passe sur le serveur de votre site, optez plutôt pour un VPS ou un hébergement dédié.
Meilleures astuces :
- Choisissez un fournisseur d’hébergement réputé pour avoir mis en place une sécurité robuste.
- Ne lésinez pas sur le prix – il vaut mieux dépenser un peu plus pour un bon hébergement que d’aller bon marché et de se faire pirater.
- Tirez parti des fonctionnalités proposées par votre hôte, telles que les sauvegardes automatiques , un WAF ou la possibilité de bloquer les adresses IP suspectes.
Sécurisez votre page de connexion
Une tentative de piratage est rarement personnelle. Vous ne pouvez gérer qu’un petit site Web pour un club de navigation de plaisance dans votre village local, mais cela ne signifie pas qu’il sera à l’abri des pirates.
Les robots malveillants reniflent sur Internet à la recherche de vulnérabilités dans les sites Web et ne font aucune discrimination. S’ils découvrent qu’il existe un itinéraire au-delà de votre page de connexion WordPress, ils infecteront vos fichiers avant que vous ne puissiez dire «malware !».
Vous pouvez prendre quelques mesures pour vous assurer que votre page de connexion est à l’abri de ce type d’attaques.
Masquez votre URL de connexion
La première consiste à utiliser un plugin tel que Defender pour masquer votre URL de connexion.
Cela rend considérablement plus difficile pour les robots de mener des attaques par force brute – s’ils ne trouvent pas votre page de connexion, ils n’ont nulle part où essayer de déchiffrer votre mot de passe.
C’est super facile à activer dans Defender. Choisissez simplement un nouveau slug pour votre URL de connexion.
Assurez-vous de garder une note sécurisée de votre nouvelle URL !
Vous pouvez également rediriger les personnes qui tentent d’accéder à votre ancien lien wp-admin vers une page de votre choix.
Pas aujourd’hui, bots !
Utiliser un gestionnaire de mots de passe
Il existe deux règles principales en matière de mots de passe :
- Assurez-vous que vos mots de passe sont de bonne longueur et contiennent une variété de caractères différents.
- N’utilisez pas le même mot de passe pour plus d’un compte.
Le respect de ces deux règles peut rendre presque impossible la mémorisation de tous vos mots de passe, c’est pourquoi vous pourriez bénéficier d’un gestionnaire de mots de passe.
LastPass et 1Password sont deux des meilleurs gestionnaires de mots de passe du marché et vous aideront à créer et à stocker des mots de passe complexes pour tous vos comptes.
Tout ce dont vous devrez vous souvenir est un mot de passe principal fort et sécurisé – le reste sera pris en charge pour vous.
Activer l’authentification à deux facteurs
Votre mot de passe peut sembler long et complexe, cependant, si une chaîne de 15 caractères est tout ce qui se trouve entre vos données et un hacker rusé, malheureusement, ce ne sera pas toujours suffisant.
L’authentification à deux facteurs implique de relier votre téléphone ou un autre appareil à votre administrateur WordPress afin qu’il ne soit pas possible de se connecter sans entrer un code unique.
Defender utilise Google Authenticator, Microsoft Authenticator et Authy pour ce faire.
Configurez-le simplement pour chacun de vos comptes utilisateurs et chaque fois que quelqu’un franchit l’écran du nom d’utilisateur et du mot de passe, il sera invité à ouvrir votre authentificateur et à saisir le code.
Pas de mot de passe, pas d’entrée !
Cela rend presque impossible pour les pirates d’accéder à votre site sans avoir accès à votre nom d’utilisateur, mot de passe ET votre appareil mobile.
Pour mettre les choses en perspective, un site que j’utilise uniquement pour tester des plugins et des thèmes reçoit en moyenne 40 tentatives de connexion par jour par des robots. Ce sont des robots dont le seul travail est d’essayer des combinaisons de mots de passe aléatoires dans l’espoir d’accéder à votre site.
Tout ce qu’il faut, c’est une de ces tentatives pour réussir et vous pourriez perdre complètement l’accès à votre site.
Je peux voir ces tentatives dans les journaux d’audit de Defender.
Plus de tentatives infructueuses, mais les robots n’abandonnent jamais!
Même si mon site est très obscur et n’est pas destiné à être accessible au public, il est toujours sur le radar des robots malveillants.
Et même si mon mot de passe est sécurisé, je serais beaucoup plus inquiet si je n’avais pas activé l’authentification à deux facteurs.
Meilleures astuces :
- L’utilisation de mots de passe uniques pour chaque compte peut également vous aider à identifier la source d’une attaque si votre mot de passe est un jour compromis.
- Configurez une adresse e-mail de secours au cas où vous perdriez votre appareil mobile et ne pourriez pas accéder à votre site.
- Si vous oubliez votre URL de connexion masquée, vous pouvez la récupérer à partir de votre base de données.
- Pour plus de sécurité, vous pouvez supprimer le lien de réinitialisation du mot de passe de votre page de connexion avec un plugin tel que Branda.
Protection de connexion
Defender a quelques outils supplémentaires à sa ceinture lorsqu’il s’agit de bloquer les intrus hors de votre site.
Vous pouvez configurer la protection de connexion pour vous assurer que les pirates ne peuvent pas se frayer un chemin dans votre compte en envoyant du spam à des combinaisons de mots de passe.
Choisissez le nombre maximum de tentatives de connexion que vous souhaitez autoriser dans un certain laps de temps et affichez un message personnalisé à toute personne en dehors de la limite.
Vous pouvez également choisir de définir un verrouillage temporaire – ou de les interdire pour toujours!
Les adresses IP peuvent être bannies directement des journaux de Defender. Si vous voyez la même adresse IP essayant à plusieurs reprises d’accéder à votre site, cliquez simplement sur «BAN IP».
Vous pouvez également interdire les adresses IP en masse.
Assurez-vous simplement que ce n’est pas votre propre adresse IP que vous interdisez, car vous vous serez complètement banni de votre site Web !
Defender propose également quelques moyens supplémentaires de gérer les adresses IP suspectes, que nous aborderons plus en détail dans cet article.
Meilleures astuces :
- Ajoutez votre propre adresse IP à la liste d’autorisation afin de ne pas être accidentellement frappé par un verrouillage.
- Si vous remarquez un nombre élevé de tentatives de connexion à partir d’un pays spécifique, vous pouvez interdire complètement les adresses IP de ce pays en utilisant Defender.
- Ne donnez pas à vos utilisateurs des noms communs tels que Admin ou Administrateur. Les robots les utiliseront souvent pour tenter de déchiffrer vos informations de connexion, donc si vous utilisez un nom de compte commun, ils sont déjà à mi-chemin !
Configurer un WAF
Un pare-feu d’application Web (WAF) est un type spécial de pare-feu, qui définit des règles définies afin d’aider à protéger une application Web contre les attaques.
Toutes les demandes entrantes et les réponses du serveur Web sont examinées par un WAF. Il surveille, filtre et bloque le trafic indésirable, protégeant votre site contre les pirates et autres mauvais trafics.
WAF est simplement un intermédiaire entre l’application web et le client.
Généralement, un WAF est utilisé contre les attaques pour lesquelles les solutions traditionnelles ne fournissent pas de protection, comme les scripts intersites et l’injection SQL, cependant, il peut également être utilisé pour se protéger contre les accès illégaux aux ressources – par exemple le détournement de session.
Renforcez la sécurité de votre site avec un plugin
Si vous voulez avoir une chance réelle d’empêcher toute forme d’attaque contre votre site de réussir, votre meilleur pari est avec un bon plugin de sécurité complet.
Defender possède une tonne de fonctionnalités qui fonctionnent ensemble pour rendre votre site difficile à casser.
Je pourrais cependant écrire un article complet sur toutes les façons dont Defender peut vous aider à sécuriser votre site mais, nous l’avons déjà fait.
Juste pour vous donner un avant-goût, certaines de ses caractéristiques comprennent :
- Authentification à deux facteurs
- Masquage de connexion
- Verrouillage de connexion
- Détection 404
- Pare-feu de sécurité WordPress
- Possibilité de désactiver les trackbacks et les pingbacks
- Recommandations de mise à jour du noyau et du serveur
- Option pour désactiver l’éditeur de fichiers
- Possibilité de masquer les rapports d’erreurs
- Mettre à jour les clés de sécurité
- Empêcher la divulgation d’informations
- Empêcher l’exécution de PHP
La plupart des fonctionnalités de Defender sont en fait gratuites, alors rendez-vous sur WordPress.org, cliquez sur Télécharger et commencez à dissuader ces attaques.
Utilisez des plugins pour effectuer des tâches automatiquement
Fait : les ordinateurs n’oublient pas les choses.
Qu’il s’agisse de sauvegarder votre site ou de mettre à jour vos plugins, rien n’est aussi fiable qu’un processus automatisé.
C’est pourquoi vous devriez laisser ces tâches aux experts – quelques super plugins WordPress !
Mise à jour avec Automate
Les pirates adorent trouver des vulnérabilités dans les plugins et les thèmes et les utiliser pour infiltrer votre site.
Lorsqu’un développeur est informé d’un exploit potentiel dans son produit, il crée un correctif qui corrige la vulnérabilité.
Si vous négligez de mettre à jour vos plugins et vos thèmes lorsque de nouveaux correctifs sont publiés, vous pourriez laisser des trous ouverts aux pirates.
C’est pourquoi il est important de s’assurer que les mises à jour sont appliquées dès leur publication, et c’est là qu’Automate entre en jeu.
Lorsque vous exécutez un certain nombre de sites WordPress, la mise à jour manuelle de tous les plugins et thèmes peut prendre du temps, ce qui signifie que parfois cette tâche peut être mise en veille.
Automate détecte automatiquement lorsque votre site Web exécute des plugins, des thèmes ou une version obsolète de WordPress, et met automatiquement à jour votre site Web pour exécuter les dernières versions.
Mieux encore, il peut même effectuer une sauvegarde de votre site avant d’installer les mises à jour, juste au cas où il y aurait un problème de compatibilité qui poserait des problèmes.
Consultez nos documents pour un didacticiel complet sur la configuration d’Automate.
Sauvegarde avec snapshot
Le plan, bien sûr, est d’éviter d’être piraté.
Cependant, si le pire se produit, une sauvegarde de votre site peut sauver la mise.
Il n’y a pas de meilleur moyen de faire cela (à mon humble avis !) Qu’avec un plugin de sauvegarde fiable comme Snapshot.
Choisissez simplement à quelle fréquence et à quelle heure vous souhaitez que vos sauvegardes aient lieu, et vous êtes prêt.
Ne vous inquiétez plus jamais de manquer une sauvegarde !
Cet article vous donnera un aperçu complet de la configuration et de la gestion de vos sauvegardes avec Snapshot.
Meilleures astuces :
- En plus de mettre à jour régulièrement vos plugins et thèmes, assurez-vous de garder un œil sur les nouvelles versions de PHP et SQL qui devraient également être mises à jour dès que possible après leur sortie.
- Il est toujours bon de prendre des sauvegardes manuelles périodiques et de les enregistrer localement aussi – vous ne pouvez jamais être trop sûr en matière de sécurité du site !
Protection contre les attaques DDoS
Une attaque par déni de service distribué (DDoS) se produit lorsqu’un site Web est inondé de trafic afin de perturber son service.
Elle est réalisée par un réseau d’ordinateurs (parfois des ordinateurs de membres du public inconscients qui ont été infectés par des logiciels malveillants). L’attaquant utilise ces appareils pour former un «botnet», auquel il peut ordonner d’attaquer une cible particulière.
Le but de ces attaques est souvent de demander une rançon aux propriétaires de sites, et il y a eu des cas très médiatisés d’attaques DDoS dans le passé. Certaines sont effectuées simplement pour le plaisir et pour semer le chaos, mais quelle que soit la raison de l’attaque, être victime de l’une d’entre elles n’est jamais idéal.
Heureusement, vous pouvez prendre certaines mesures pour éviter que cela ne se produise sur votre site.
Ceux-ci inclus :
- Désactivation de XML-RPC
- Utiliser un pare-feu
- Désactivation des trackbacks et pingbacks
- Désactivation de l’API Rest
- Utilisation d’un CDN.
Vérifiez régulièrement les comptes non autorisés
Lorsque vous travaillez souvent dans WordPress et que vous avez l’habitude de parcourir les mêmes écrans, il est facile pour certaines choses de glisser sur le net.
C’est pourquoi vous devez prendre le temps de vérifier manuellement que personne d’autre n’a accès à votre site.
Vous devriez vérifier régulièrement les comptes escrocs.
Cela s’applique non seulement aux utilisateurs WordPress supplémentaires, mais également aux comptes FTP et SSH.
Sécurisez votre fichier WP-Config
Votre wp-config détient les clés de l’ensemble de votre site WordPress et est la dernière chose sur laquelle vous voulez que les pirates informatiques mettent la main.
Une façon de vous assurer qu’il est hors de portée est de le déplacer hors de votre dossier racine Web.
Jetez un œil aux conseils de WordPress à ce sujet pour décider si c’est le bon itinéraire pour vous.
Si vous ne souhaitez pas le déplacer complètement, vous pouvez en bloquer l’accès en ajoutant le code suivant dans votre fichier .htaccess.
<files wp-config.php>
order allow, deny
deny from all
</files>
Meilleures astuces :
- Allez plus loin en bloquant également l’accès à votre .htaccess !
Obtenez un certificat SSL pour votre site
Un certificat SSL vérifie que le site Web auquel vous êtes arrivé est la destination prévue, en vérifiant les informations d’identification de son certificat.
Cela permet d’éviter l’usurpation de domaine et d’autres attaques similaires.
Une connexion qui implique un certificat SSL est plus fiable, plus sécurisée et donne une bien meilleure impression au client.
En effet, un certificat SSL transforme une connexion HTTP en connexion HTTPS – le «S» ajouté signifie littéralement sécurisé.
La dernière chose que vous voulez que vos visiteurs voient, c’est ce message!
Vous pouvez obtenir un certificat SSL via un fournisseur de confiance tel que Let’s Encrypt.
Empêcher le hotlinking
Si quelqu’un établit un lien direct entre vos photos, il utilise le lien vers votre image d’origine sur votre site, ce qui signifie que ses visiteurs profitent de l’image, mais c’est votre serveur qui en souffre.
Non seulement cela est considéré comme contraire à l’éthique, mais cela peut mettre beaucoup de pression sur votre serveur, causer des problèmes pour votre site, et peut également entraîner des coûts supplémentaires.
Il existe plusieurs façons de sécuriser vos images, l’une des plus simples étant d’ajouter un extrait de code à votre fichier .htaccess.
Ce code garantira que seuls certains sites Web sont autorisés à afficher vos images. Vous pouvez spécifier les sites individuels.
1
2
3
4
5
6
|
RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?: //(www\.)?example.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?: //(www\.)?google.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?: //(www\.)?youtube.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ - [F] |
C’est le code nécessaire pour les sites s’exécutant sur des serveurs Apache.
1
2
3
4
5
6
|
location ~ .(gif|png|jpeg|jpg|svg)$ { valid_referers none blocked ~.google. ~.bing. ~.yahoo. yourdomain.com *.yourdomain.com; if ( $invalid_referer ) { return 403; } } |
Utilisez ce code si votre site s’exécute sur un serveur NGINX.
Meilleures astuces :
- Vous pouvez également protéger vos images à l’aide d’un plugin ou d’un CDN avec protection hotlink.
- Ajoutez un avis de droit d’auteur au pied de page de votre thème pour décourager les gens d’essayer même de voler vos images.
Arrêtez le spam
Les commentaires de spam sur votre blog ne sont pas seulement frustrants – ils peuvent également poser un risque pour la sécurité.
De nombreux commentaires de spam contiennent des liens malveillants dans l’espoir d’inciter vos visiteurs à soumettre leurs informations personnelles.
Ainsi, bien que vous ne soyez peut-être pas la cible de ce type d’attaques, vous avez le devoir envers les visiteurs de votre site de les protéger.
Si vous êtes touché par une tonne de spam, vous avez deux options : désactiver complètement vos commentaires ou installer un plugin anti-spam.
Si vous choisissez cette dernière option, Akismet peut être exactement ce dont vous avez besoin.
Chaque commentaire laissé sur votre site, PLUS vos soumissions de formulaire sont tous exécutés dans leur base de données mondiale de spam pour empêcher le contenu malveillant de se frayer un chemin sur votre site.
C’est gratuit – et ça marche !
Mieux encore, reCaptcha est en préparation pour Defender et protégera les fonctions natives de WordPress telles que votre page de connexion et les commentaires de votre blog.
Visitez votre site régulièrement
Parfois, la solution la plus simple peut faire des merveilles.
Si votre site a été piraté et que votre contenu a été manipulé, un rapide coup d’œil sur votre site devrait vous le dire en quelques secondes.
Visiter votre site et le voir du point de vue du client est bon non seulement du point de vue de la sécurité, mais aussi du point de vue de l’accessibilité et de l’esthétique.
Alors prenez un café, asseyez-vous et parcourez votre site comme si vous étiez un visiteur régulier.
Meilleures astuces :
- N’oubliez pas de consulter votre site lorsque vous êtes connecté, déconnecté et en mode incognito !
Considérez un site statique
Si vous gérez un site qui nécessite peu d’entrée de l’utilisateur, c’est-à-dire qui sert principalement à partager des informations, plutôt qu’un magasin de commerce électronique ou un blog occupé, la conversion en site statique peut être bénéfique.
Pour ce faire, vous devez créer des copies de vos fichiers et les regrouper dans un fichier .ZIP soigné qui peut être stocké sur votre serveur.
Cela signifie que votre installation WordPress réelle peut être cachée en toute sécurité et hors de portée des robots et des pirates.
Ce n’est pas la bonne voie pour de nombreux sites, mais n’hésitez pas à consulter des services tels que Strattic ou Simply Static si vous souhaitez approfondir vos recherches.
Mieux vaut prévenir que guérir
Nous savons que la mise en œuvre de tant d’étapes différentes peut sembler un travail fastidieux, mais heureusement, une fois que vous avez coché la plupart de celles-ci de votre liste, elles prendront soin d’elles-mêmes.
Les plugins fonctionnent silencieusement en arrière-plan et font le travail difficile pour vous, donc une fois que vous avez configuré toute votre sécurité pour votre nouveau site, cela ne devrait pas nécessiter beaucoup de saisie manuelle continue.
Lorsque vous avez d’autres aspects du site à vous soucier, la sécurité peut être mise en veilleuse, cependant… le recul est une chose merveilleuse.
Prenez le temps maintenant de mettre en œuvre les bonnes procédures de sécurité pour votre site et j’espère que vous n’aurez jamais à faire face à la frustration du piratage de votre site. Souhaitant que vous ayez pris des précautions plus tôt.
source : https://wpmudev.com/blog/checklist-for-securing-wordpress-site/