Protéger votre site WordPress des pirates informatiques en 2021

Plus de 100 000 sites Web sont ciblés par des pirates chaque jour ! Pour cette raison, il est crucial de garder votre site WordPress en sécurité. Votre site Web pourrait être l'un de ces sites Web à un moment donné. WordPress est assez sécurisé. Cependant, de nombreux sites WordPress sont victimes de piratage. Cela a moins à voir avec WordPress lui-même qu'avec la façon dont vous, en tant que webmaster, vous occupez de votre site et configurez votre sécurité.

Même si vous vous êtes assuré que votre site était sécurisé lorsque vous l'avez lancé, le maintien de la maintenance de la sécurité garantira que votre site est protégé de manière appropriée à tout moment.

Avant de commencer, c'est une bonne idée de se familiariser avec certains des problèmes de sécurité courants rencontrés par les sites WordPress :

• Attaques par force brute – Les attaques par force brute sont la raison pour laquelle il est important d'avoir un mot de passe fort. Un attaquant saisira encore et encore les informations de connexion jusqu'à ce qu'il obtienne la bonne combinaison de connexion pour accéder à votre site WordPress.
• Malware – Abréviation de logiciel malveillant, un malware est un code utilisé pour obtenir un accès non autorisé à un site Web afin de collecter des données sensibles appartenant au propriétaire de l'entreprise et à ses clients ou contacts.
• Exploits d'inclusion de fichiers - Les exploits d'inclusion de fichiers se produisent lorsqu'un code non sécurisé est utilisé pour charger des fichiers distants, ce qui donnera aux pirates l'accès à votre site Web. Cela leur donnera également accès à votre fichier wp-config.php, qui est essentiellement l'épine dorsale de votre installation WordPress. Si ce fichier est compromis, les pirates peuvent accéder aux informations de connexion à la base de données et à la sécurité du cryptage.
• Injections SQL – Les injections SQL sont une attaque contre votre base de données WordPress, par laquelle l'attaquant accède à votre base de données et donc à vos données. Lorsque cela se produit, l'attaquant pourra ajouter et modifier les données, qui peuvent inclure des liens malveillants et du spam.
• Cross Site Scripting – Le Cross Site Scripting est le problème le plus courant avec les plugins et fonctionne lorsqu'un attaquant trouve un moyen d'amener une victime à charger sans le savoir des pages Web avec des scripts javascript non sécurisés.

Que se passe-t-il lorsque votre sécurité est compromise ?

Les pirates peuvent voler vos données et toutes les données appartenant à vos clients, laissant ces données exposées. Des logiciels malveillants peuvent être distribués depuis votre site à vos visiteurs, ce qui peut nuire à votre classement SEO ainsi qu'à la réputation de votre marque. Et enfin, tout votre site pourrait être effacé, ce qui, s'il n'est pas sauvegardé, pourrait vous causer de sérieux problèmes.

Maintenant, la grande question est, comment pouvez-vous protéger votre site des pirates informatiques ? Pour les sites WordPress, il existe plusieurs façons de sécuriser votre site Web. Dans ce guide, je vais vous montrer certaines des modifications de sécurité de base que vous pouvez apporter, jusqu'aux fonctionnalités de sécurité WordPress plus approfondies. Plongeons-nous.

Que sont les paramètres de sécurité de base ?

La plupart des sites ne couvrent même pas les bases, ce qui rend la protection assez bâclée. Ici, nous couvrirons les choses de base que vous pouvez faire pour renforcer votre sécurité WordPress.

1. De solides références

Cela peut sembler idiot, mais vous assurer d'avoir un mot de passe fort est votre première ligne de défense. Aujourd'hui, les gens utilisent encore des mots de passe comme Password123 qui offre très peu de protection. Il peut être tentant d'utiliser votre nom d'utilisateur ou même votre adresse e-mail comme mot de passe, mais ne le faites pas !

Un mot de passe fort sera différent de votre nom d'utilisateur et/ou de votre adresse e-mail et comprendra des lettres majuscules ainsi que des lettres minuscules, des chiffres et des caractères spéciaux (par exemple !,*,%).

De même, vous pourriez être surpris d'apprendre que de nombreuses personnes utilisent admin comme nom d'utilisateur. Si vous l'êtes, il est temps de le changer.

2. Hébergement sécurisé qui utilise une connexion sécurisée

Les hébergeurs sont responsables de la sécurité de votre site Web tout autant que vous. De nos jours, l'hébergement est fourni via un hébergement cloud ou un hébergement partagé (consultez les meilleures options d'hébergement WordPress bon marché). L'hébergement cloud héberge plusieurs sites Web sur plusieurs serveurs, tandis que l'hébergement partagé hébergera plusieurs sites Web sur un serveur.

L'hébergement cloud est apprécié pour son plus haut niveau de fiabilité et de sécurité, car il ne nécessite pas le partage de ressources limitées sur plusieurs sites. C'est le problème avec le démarrage de l'hébergement partagé et lorsque les hôtes empilent plus de sites Web que le serveur ne peut en gérer, cela rend les sites vulnérables.

Cela ne veut pas dire que l'hébergement partagé est mauvais. Les hôtes responsables utiliseront toujours une connexion sécurisée et ne donneront jamais à un serveur plus que ce qu'il peut gérer. C'est peut-être le bon moment pour vérifier sur votre hôte et savoir si vous devez faire un changement.

3. Authentification à deux facteurs

Une solution de sécurité simple consiste à activer l'authentification à deux facteurs lors de la connexion à votre tableau de bord. Cela ajoutera une couche de sécurité supplémentaire à votre site Web et est très facile à activer dans vos paramètres.

L'authentification est généralement un code par SMS ou e-mail. Certains trouvent ennuyeux de devoir passer par une étape supplémentaire pour se connecter, mais cela en vaut la peine pour la protection supplémentaire.

3. Certificats SSL

Vous ne savez pas si votre site dispose d'un certificat SSL ? Un site qui a un SSL comportera https:/ au début de son adresse Web et souvent votre navigateur dira que le site n'est pas sécurisé. Les certificats SSL permettent aux visiteurs Web de savoir que votre site est sécurisé, de sorte que leurs données sont protégées lors de l'utilisation de votre site.

La plupart des hébergeurs incluent désormais les certificats SSL dans leurs coûts d'abonnement, mais si vous n'en avez pas, vous pouvez en payer un via votre hébergeur ou vous pouvez utiliser le certificat gratuit Let's Encrypt (voir comment ajouter manuellement du SSL gratuit au site WordPress).

En tant que propriétaire de site Web, vous devez rechercher différents types de SSL lors de la sélection d'un certificat SSL pour votre site Web. Par exemple, si un site Web de commerce électronique comporte plusieurs sous-domaines, vous devriez envisager d'obtenir un certificat SSL générique.

Il existe de nombreuses marques de certificats réputées disponibles qui peuvent vous aider à établir la confiance sur le site comme AlphaSSL, Comodo, GlobalSign, DigiCert. Vous pouvez choisir n'importe qui car toutes les marques réputées servent des certificats SSL authentifiés.

4. Sauvegardez votre site

Quelle que soit la sécurité de votre site, il ne sera jamais à 100 % à l'épreuve des balles. C'est pour cette raison que la sauvegarde de votre site (voir Comparaison des plugins de sauvegarde WordPress) est l'un des incontournables de la sécurité d'un site Web. Si l'inévitable survenait, vous pouvez être assuré que vous n'aurez pas à démarrer votre site Web à partir de zéro.

Vous pouvez utiliser un plugin de sauvegarde comme Duplicator (voir comment migrer un site WordPress à l'aide de Duplicator), BackupBuddy (vérifier la revue BackupBuddy), WPvivid (voir la revue WPvivid), la sauvegarde 10Web (vérifier la revue 10Web), etc.

Une autre façon de sauvegarder vos données consiste à synchroniser les applications ou les logiciels que vous utilisez avec les mêmes données. Par exemple, vous pouvez sauvegarder vos contacts en synchronisant Mailchimp et Office 365, cela vous permettra de conserver les données de contact en toute sécurité.

5. Plugins et thèmes

Les sites WordPress fonctionnent sur des thèmes et de nombreux plug-ins qui nécessitent également des mises à jour. Ces mises à jour sont impératives pour assurer le bon fonctionnement de votre site, mais aussi pour corriger les bogues ou les problèmes de leur logiciel. Tant d'entreprises ont des sites Web qui fonctionnent sur d'anciennes versions de logiciels, et elles ne le savent même pas.

Un autre problème est l'utilisation de thèmes et de plugins annulés, ceux-ci contiennent du code modifié et ne sont pas fiables. L'utilisation de plugins annulés peut mettre votre site en danger.

6. Mettez à jour votre version PHP

Tout site qui exécute une très ancienne version de PHP est exposé à des risques de sécurité. Un PHP obsolète peut rendre votre site WordPress vulnérable. C'est une bonne idée de vérifier que le vôtre fonctionne sur la dernière version de PHP. Vous pouvez retrouver votre version en vérifiant la demande d'en-tête sur votre site, à l'aide d'un plugin divers, ou via votre cPanel si votre hébergement l'utilise.

7. Resserrer votre zone d'administration

La zone d'administration de WordPress donne essentiellement à l'utilisateur la possibilité d'accéder et d'effectuer certaines tâches sur votre site et est souvent laissée sans protection. Pour cette raison, il s'agit de la zone la plus couramment ciblée d'un site WordPress.

Vous pouvez renforcer la sécurité à ce sujet en ajoutant des mesures d'authentification supplémentaires à votre répertoire d'administration. Vous pouvez ajouter une authentification à deux facteurs et limiter les tentatives de connexion pour ajouter une autre couche de sécurité et dissuader les pirates.

Vous pouvez aller plus loin et modifier l'URL de connexion WordPress. L'URL par défaut des sites WordPress est domain.com/wp-admin ou /login.php, ce qui permet aux pirates de tenter plus facilement des attaques par force brute sur votre connexion administrateur.

Bien qu'il ne s'agisse pas d'un gros correctif de sécurité, la modification de l'URL rend difficile l'accès au site pour les attaquants. Vous pouvez modifier votre URL de connexion à l'aide d'un plugin comme iThemes Security (voir la comparaison iThemes Security vs WordFence), Hide My WP (consultez la comparaison Swift Performance vs Hide My WP), etc.

Comment mettre en œuvre une sécurité renforcée ?

Voici quelques recommandations pour un niveau de sécurité plus élevé pour le site WordPress.

1. Installez un plugin de sécurité WordPress

Vous vous demandez peut-être s'il existe un plugin astucieux que vous pouvez installer pour vous aider à faire de la sécurité un poids sur vos épaules et la bonne nouvelle est qu'il y en a beaucoup. L'avantage de l'utilisation de ces plugins réside dans leurs diverses fonctionnalités, ainsi que dans la possibilité d'analyser votre installation WordPress à la recherche de tout fichier modifié pouvant indiquer une tentative de piratage. Ces plugins comportent également :

• Informations WHOIS sur les visiteurs du site
• Authentification à deux facteurs
• reCAPTCHA
• Analyse des logiciels malveillants
• Expiration du mot de passe – vous oblige à réinitialiser votre mot de passe après un laps de temps défini.
• Pare-feu de sécurité WordPress

Bien qu'ils ne résolvent pas tous vos problèmes de sécurité, un plugin peut aider à ajouter une autre couche de défense et à empêcher les tentatives de piratage. Je recommande d'envisager les plugins suivants : Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (voir la revue MalCare), etc.

2. Cachez votre version de WordPress

Moins il y a d'informations disponibles sur vous et la configuration de votre site Web, plus il est difficile pour les pirates de vous cibler. Cacher la version de votre site empêchera les pirates d'identifier votre site comme s'exécutant sur une ancienne version.

Une solution plus simple consiste à vous assurer que votre site Web est toujours à jour, mais si vous souhaitez prendre des précautions, vous pouvez masquer votre version de WordPress en ajoutant du code au fichier functions.php de votre thème.

3. Autorisations de fichiers

Les autorisations de fichiers sont un ensemble de règles utilisées par votre serveur Web pour contrôler l'accès aux fichiers de votre site. Avoir les mauvaises autorisations peut arrêter le fonctionnement de votre site, mais ils peuvent également permettre aux pirates d'accéder à ces fichiers, de les réécrire et de les modifier.

Les valeurs recommandées pour les autorisations de fichiers sont les suivantes : Tous les fichiers doivent être définis sur 644 et tous les répertoires doivent être définis sur 755 ou 750. Les répertoires ne doivent jamais être définis sur 777.

4. Sécurité de la base de données

Votre base de données sera nommée quel que soit le nom de votre site Web. Donc si votre site s'appelle richie rich, votre base de données s'appellera wp_richierich. En changeant cela en quelque chose sans rapport, cela empêche les pirates de deviner le nom de votre base de données.

Une autre façon de renforcer la sécurité consiste à modifier le préfixe de table WordPress par défaut. Par défaut, WordPress utilisait wp_ comme préfixe qu'il utilise pour créer votre base de données. Pendant l'installation, vous pouvez modifier ce préfixe et il est recommandé de le faire pour empêcher les pirates de deviner les noms de vos bases de données.

5. Prévention DDoS

Le DDoS est un type d'attaque par déni de service qui ne nuit pas à votre site Web, mais qui le met hors service pendant des heures, voire des jours. Bien que cela puisse ne pas nuire à votre site Web, cela peut nuire à votre entreprise si vous comptez sur votre site Web pleinement opérationnel à tout moment. Vous pouvez empêcher une attaque DDoS en utilisant une sécurité tierce telle que Securi ou Cloudflare.

6. Protégez votre fichier wp-config.php

Comme je l'ai mentionné précédemment, le fichier wp-config.php est le fichier le plus important de votre installation WordPress. S'il est compromis, le pirate peut obtenir votre connexion à la base de données, ce qui lui donnera un accès complet à votre site Web.

Cela peut sembler effrayant, mais ne vous inquiétez pas, vous pouvez renforcer la sécurité de votre fichier wp-config.php en modifiant les autorisations du fichier. Les fichiers du répertoire racine sont généralement définis sur 644, ce qui permet au propriétaire de lire et d'écrire les fichiers et est lisible par les utilisateurs du propriétaire du groupe et par tous les autres.

Si vous souhaitez refuser l'accès à d'autres utilisations, les fichiers doivent être définis sur 440 ou 400. Il convient de garder à l'esprit que certaines plates-formes d'hébergement auront des autorisations différentes. C'est parce que l'utilisateur n'a pas la permission d'écrire les fichiers. Dans ce cas, c'est une bonne idée de contacter votre hébergeur pour être sûr des autorisations.

Assurer la sécurité de votre site WordPress

Il existe de nombreuses raisons pour lesquelles les sites WordPress sont piratés. Nettoyer un site WordPress piraté n'est pas impossible, mais en prenant des mesures préventives, vous pouvez réduire vos chances d'avoir un site piraté afin que vous n'ayez pas à vous soucier de nettoyer votre site ou, dans le pire des cas, de créer un tout nouveau site Internet.