Meilleures pratiques de sécurité à suivre pour un site Web WordPress sécurisé

Introduction

Vous avez un site WordPress ? Si la réponse est oui, la sécurité de votre site Web devrait être votre priorité absolue.

À l’échelle mondiale, WordPress alimente plus de 455 millions de sites Web. Compte tenu de sa grande popularité, les sites WordPress sont la cible privilégiée des pirates. De plus, en tant que logiciel open source, il souffre de diverses vulnérabilités critiques.

Mais ne vous inquiétez pas. Heureusement, vous pouvez introduire plusieurs mesures de sécurité pour renforcer la sécurité de votre site WordPress. Cet article couvrira les différentes menaces pesant sur votre site Web WordPress et fournira un guide complet sur la façon de les contrer.

À quel point WordPress est-il sécurisé ?

En lisant cet article, vous vous demandez probablement : « WordPress est-il vraiment sécurisé ? ». La reponse courte est oui.

WordPress est le CMS (Content Management System) le plus populaire à ce jour, et cette popularité a un prix. Utilisé par 43,0 % des sites Web sur Internet, WordPress est une cible privilégiée pour les pirates et autres attaques malveillantes.

Cela signifie-t-il que WordPress a un système de sécurité terrible ?

Pas du tout! Les développeurs WordPress publient des mises à jour et des correctifs pour protéger votre site Web chaque fois qu’une vulnérabilité est détectée.

Alors pourquoi tant de sites WordPress sont-ils exposés à de telles vulnérabilités ? C’est parce que la plupart des sites WordPress utilisent des plugins et des thèmes. Sur la base de la base de données de vulnérabilités wpscan , 92 % de toutes les vulnérabilités de WordPress étaient dues à des problèmes avec les plugins.

Vulénaribilités WP
Vulénaribilités WP

Outre les applications tierces, la principale cause des failles de sécurité des sites Web est le manque de sensibilisation des utilisateurs à la sécurité. En bref, vous jouez un rôle important dans la sécurisation de votre site Web.

Le besoin de sécurité

Un site Web est à la pointe de votre entreprise et constitue souvent votre premier contact avec les clients. Ainsi, un site WordPress piraté peut causer de graves dommages à la réputation et aux revenus de votre entreprise. Les menaces contre votre site Web peuvent prendre diverses formes. Les pirates peuvent voler des informations sur les utilisateurs, des mots de passe, installer des logiciels malveillants et diffuser des logiciels malveillants aux visiteurs du site.

Pire encore, vous devrez peut-être payer un rançongiciel aux pirates pour retrouver l’accès à votre site Web.

De plus, Google met sur liste noire plus de 10 000 sites Web par jour pour les logiciels malveillants et environ 50 000 pour le phishing chaque semaine. Faire partie de cette liste peut sérieusement nuire au trafic de votre site Web.

On estime que d’ici 2025, le coût des dommages causés par la cybercriminalité pourra atteindre jusqu’à 10,5 billions de dollars par an. Pour éviter de contribuer à ce chiffre stupéfiant, il est primordial de renforcer la sécurité de votre site Web.

Attaques par Malware annuelles
Attaques par Malware annuelles

Selon WPScan Vulnerability Database , voici quelques-unes des vulnérabilités de sécurité WordPress les plus courantes :

  • Cross-site request forgery (CSRF)

    Oblige les utilisateurs à effectuer des actions indésirables dans une application Web de confiance.

  • Attaque par déni de service distribué (DDoS)

    Entrave les services en ligne en les attaquant avec des connexions indésirables rendant le site inaccessible.

  • Contournement d’authentification

    Permet aux pirates d’accéder aux ressources de votre site Web sans confirmer leur authenticité.

  • Injection SQL (SQLi)

    Force le système à exécuter des requêtes SQL malveillantes et à exploiter les données de la base de données.

  • Cross-site scripting (XSS)

    Injecte un code malveillant qui transforme le site en transporteur de malware.

  • Inclusion de fichiers locaux (LFI)

    Force le site à traiter les fichiers malveillants placés sur le serveur Web.

Meilleures pratiques pour la sécurité WordPress

Un bon plan de sécurité WordPress est une base solide de pratiques de sécurité. Cela rend plus difficile pour les pirates d’atteindre, d’accéder et d’endommager votre site.

Maintenant que vous comprenez le besoin de sécurité, il est temps d’explorer ce que vous pouvez faire pour améliorer les défenses de votre site Web. Jetez un œil aux meilleures pratiques de sécurité ci-dessous pour savoir comment sécuriser un site WordPress.

Utiliser des identifiants de connexion solides

Une erreur courante des utilisateurs consiste à créer des noms d’utilisateur et des mots de passe faciles à deviner. La création d’identifiants de connexion solides est la pratique de sécurité la plus simple que n’importe qui puisse effectuer. Cependant, la réalité de la situation est tout autre.

Selon une enquête du National Cyber Security Center (NCSC), plus de 23 millions de comptes piratés utilisaient le mot de passe « 123456 ». De même, les noms d’utilisateur tels que « admin » ou « administrateur » contribuent également à une violation.

Avoir des informations d’identification simples peut sembler un choix facile, mais cela expose votre site à un risque plus élevé d’attaques par force brute . Ce type de cyberattaque utilise une approche par essais et erreurs pour deviner vos identifiants de connexion. Ainsi, éviter les mots clés courants pour vos informations de connexion est une pratique exemplaire essentielle.

Pour modifier votre nom d’utilisateur et votre mot de passe, accédez à Utilisateurs > Tous les comptes depuis votre tableau de bord WordPress.

WP Utilisateur mot de passe

Gardez WordPress à jour

WordPress publie régulièrement des mises à jour et des correctifs pour minimiser les menaces de sécurité. Certaines des mises à jour mineures sont automatiquement installées. Cependant, pour les versions majeures, les utilisateurs doivent démarrer la mise à jour manuellement.

Il existe également des milliers de plugins et de thèmes disponibles pour WordPress. Ces applications tierces reçoivent également régulièrement des mises à jour.

Pour maintenir la meilleure sécurité et stabilité du site, les utilisateurs doivent s’assurer que toutes ces applications et le noyau WordPress sont tenus à jour. Pour cela aller dans Tableau de bord > Mises à jour :

WP Mise a jour systeme

Ajouter un certificat SSL

Un SSL (Secure Sockets Layer) crypte tous les transferts de données entre votre site Web et le navigateur d’un utilisateur. Le cryptage des données fournit une couche de sécurité, ce qui rend plus difficile le vol d’informations. Les sites Web certifiés SSL bénéficient également d’un meilleur classement dans le moteur de recherche Google.

Une fois SSL activé, votre site Web utilisera HTTPS au lieu de HTTP. Vous verrez également une icône de cadenas à côté de l’adresse de votre site Web dans le navigateur. Pour savoir comment vous pouvez migrer votre site Web vers HTTPS, nous avons un guide complet étape par étape ici .

Certificat SSL pour obtenir du HTTPS
Certificat SSL pour obtenir du HTTPS

Pour installer un certificat SSL sur votre site, vous pouvez utiliser l’interface cPanel de votre hébergeur en allant dans la section Sécurité > Let’s Encrypt™ SSL

Cpanel SSL Certificat

Gérer les rôles des utilisateurs du site WordPress

Il est courant que la plupart des sites WordPress aient plusieurs comptes d’utilisateurs. Dans de tels cas, nous vous recommandons de limiter le contrôle d’accès des utilisateurs, en particulier aux zones critiques telles que le panneau d’administration.

WordPress vous permet d’attribuer six rôles différents aux utilisateurs. Affecter moins d’utilisateurs de confiance avec des comptes d’administrateur réduit les risques que votre site soit compromis. Les utilisateurs tels que les abonnés ou les contributeurs doivent être configurés avec un accès restreint.

Évitez les thèmes et plugins WordPress annulés

Un thème ou plugin WordPress annulé est une version non autorisée de l’original. Les applications annulées sont vendues à un prix inférieur pour attirer plus d’utilisateurs. Cependant, ils sont pour la plupart jonchés de problèmes de sécurité.

Les applications annulées incluent les codes malveillants , les logiciels malveillants et les liens de spam. Ainsi, lorsque vous utilisez une application annulée sur votre site Web, cela crée une porte dérobée permettant aux pirates d’accéder à vos données.

Nous vous recommandons d’installer des plugins et des thèmes WordPress à partir de wordpress.org ou de développeurs de confiance.

Supprimer les plugins et thèmes inactifs

De temps en temps, passez en revue la liste des plugins et thèmes installés. S’ils ne sont pas utilisés activement, ils ont tendance à être négligés pour les mises à jour. Ensuite, si des vulnérabilités sont découvertes, elles deviennent un maillon faible de votre sécurité WordPress.

Supprimer les thèmes et plugins inutilisés de votre site WordPress est la meilleure pratique. À tout le moins, supprimez ceux qui sont désactivés.

Une règle générale consiste à garder constamment une trace de tous vos plugins et thèmes. Les plugins et les thèmes inutilisés peuvent s’avérer nuisibles pour votre site Web.

Les applications WordPress qui ne sont pas activement utilisées ont tendance à être ignorées pour les mises à jour. Les plugins et thèmes obsolètes augmentent le risque de cyberattaques, surtout si des vulnérabilités sont découvertes. Les pirates peuvent exploiter ces vulnérabilités du logiciel pour accéder à votre site.

WP Extension nactive suppression

Profitez de l’authentification à deux facteurs

Nous avons déjà discuté de l’importance d’avoir un mot de passe solide. Mais avec l’aide de l’authentification à deux facteurs (2FA), vous pouvez encore améliorer la sécurité de votre site Web.

Une 2FA oblige les utilisateurs à se connecter en utilisant une méthode en deux étapes. La première étape consiste à vous connecter à l’aide de votre nom d’utilisateur et de votre mot de passe WordPress. La seconde vous oblige à confirmer votre demande de connexion à l’aide d’un appareil distinct, tel qu’un smartphone.

Pour commencer, installez et activez un plugin de sécurité de connexion pour WordPress. Il existe plusieurs plugins de ce type disponibles pour WordPress. Nous vous recommandons d’utiliser Google Authenticator , WP 2FA ou la vérification en 2 étapes de WordPress .

Authentification Double facteur 2FA
Authentification Double facteur 2FA

💡 Attention à bien enregistrer la clé privée de codage avant de quitter la session d’administration sous peine de ne pas pouvoir vous réauthentifiez.

Sauvegardez régulièrement votre site Web

Aucune mesure de sécurité n’est sûre à 100 %. Cela dit, la création d’une sauvegarde de site WordPress est essentielle pour l’atténuation des risques. La sauvegarde régulière de votre site vous permet de réduire les temps d’arrêt et la perte de données en cas d’attaque.

Vous pouvez choisir de créer des sauvegardes manuellement, mais nous vous recommandons d’utiliser un plugin de sauvegarde automatisé comme BlogVolt . Avec un plugin de sauvegarde automatique, vous pouvez programmer la fréquence des sauvegardes et ne pas vous soucier de le faire vous-même .

Gardez une trace des activités des utilisateurs sur votre site

Créez un journal d’activité pour identifier les actions indésirables ou malveillantes qui mettent votre site Web en danger. Un journal d’activité répertorie toutes les actions entreprises par les utilisateurs connectés à votre site Web.

Il vous permet d’identifier les modifications suspectes, telles que la tentative de modification du mot de passe et la modification des thèmes ou des fichiers de plug-in. Un moyen simple de suivre l’activité des utilisateurs consiste à utiliser un plugin WordPress. WP Activity Log ou le plugin Activity Log gratuit sont deux excellents choix.

Analyser les sites WordPress à la recherche de logiciels malveillants

Selon l’institut AV-test, plus de 560 000 nouveaux malwares sont détectés chaque jour. Il va donc sans dire que l’installation d’un plugin de sécurité réputé est fortement recommandée.

Les plugins de sécurité automatisés font une grande partie du travail manuel pour vous et protègent votre site 24h/24 et 7j/7. Ils analysent en permanence votre site Web à la recherche de logiciels malveillants et d’autres menaces.

Les plugins de sécurité suivants sont fortement recommandés par les experts :

Déconnecter automatiquement les utilisateurs inactifs

Il est considéré comme une bonne pratique de vous déconnecter de votre compte une fois votre session terminée. Pourtant, de nombreux utilisateurs peuvent oublier de se déconnecter, permettant à quelqu’un d’autre qui utilise le même appareil d’avoir un accès complet à leur compte.

Ainsi, pour éviter un tel incident, il est essentiel de configurer votre site WordPress pour déconnecter automatiquement les utilisateurs inactifs. Essayez le  plugin Inactive Logout pour activer la déconnexion automatique sur votre compte WordPress.

Limiter les tentatives de connexion

WordPress permet aux utilisateurs de faire un nombre illimité de tentatives de connexion sur leurs sites. En utilisant cela comme un exploit, les pirates peuvent utiliser diverses combinaisons de mots de passe jusqu’à ce qu’ils trouvent le bon pour accéder à votre site Web.

Pour empêcher les pirates de pénétrer de force dans votre site Web, limitez le nombre de tentatives de connexion qu’un utilisateur peut effectuer dans un certain laps de temps.Une façon de limiter les tentatives de connexion et d’augmenter la sécurité de WordPress consiste à utiliser un plugin comme Limit Login Attempts Reloaded.

Étapes supplémentaires pour améliorer la sécurité du site Web

Maintenant que vous êtes arrivé jusqu’ici, vous avez peut-être mis en œuvre certaines ou toutes les mesures susmentionnées. Mais pour ceux d’entre vous qui sont comme moi et qui veulent être mieux préparés, voici quelques étapes supplémentaires pour améliorer la sécurité de votre site Web.

Utilisez un hébergeur sécurisé

Lors du choix d’un hébergeur pour votre site WordPress, plusieurs facteurs doivent être pris en compte. Cependant, la sécurité doit être votre priorité absolue.

Un fournisseur de services d’hébergement WordPress joue sans doute le rôle le plus crucial dans la sécurité de votre site Web. Un bon hébergeur prendra toujours des mesures supplémentaires pour protéger ses serveurs contre toutes les menaces. Mais pour clarifier davantage, examinons comment les bonnes sociétés d’hébergement Web travaillent en arrière-plan pour assurer la sécurité de nos données :

  • L’hébergeur surveille en permanence les activités suspectes.
  • Ils entretiennent régulièrement leur serveur tout en gardant à jour leur matériel et leurs logiciels. Cela permet d’empêcher les pirates d’exploiter les vulnérabilités de l’ancienne version.
  • Les bons hébergeurs utilisent toujours divers outils pour aider à prévenir les attaques DDOS à grande échelle.
  • Ils sauvegardent régulièrement toutes les données sur leurs serveurs. Ainsi, vous pouvez toujours récupérer vos données en cas d’incident majeur.

Désactiver le rapport d’erreurs PHP

Le processus de rapport d’erreurs PHP vous aide à trouver les erreurs dans les fichiers PHP beaucoup plus rapidement. Il affiche toutes les informations sur les chemins et la structure des fichiers de votre site Web, ce qui facilite grandement la surveillance des scripts PHP. Cependant, cela permet également aux autres de voir les vulnérabilités de votre site Web. C’est pourquoi nous vous conseillons de désactiver cette fonction.

Dans WordPress, la fonction de rapport d’erreur PHP est désactivée par défaut. Sinon, vous devez le désactiver manuellement en modifiant le fichier wp-config.php.

La ligne à ajouter ou modifier : define( ‘WP_DEBUG_LOG’, false );

Bloquer les liens dynamiques

Le terme hotlinking est utilisé lorsqu’une personne utilise les ressources de votre site Web pour les afficher sur son site. Ainsi, lorsque les gens visitent un site Web avec des liens vers votre contenu, cela utilise la bande passante de votre serveur Web.

Cela peut ne pas sembler très alarmant, mais les liens directs sans autorisation sont illégaux. De plus, cela ralentit votre site chaque fois que les gens visitent un site Web avec des liens vers votre contenu.

Une option que vous avez pour empêcher le hotlinking dans WordPress est de désactiver la fonctionnalité de clic droit. Il ne s’agit en aucun cas d’une approche à toute épreuve, mais elle peut être un bon moyen de s’assurer que les utilisateurs habituels ne volent pas vos images ou ne les copient pas dans d’autres applications et ne les lient pas à votre domaine source. Il existe un petit plugin gratuit appelé Prevent Content Theft qui vous aidera à arrêter cela. Vous pouvez le télécharger à partir du référentiel WordPress ou en le recherchant dans votre tableau de bord WordPress sous Extensions > Ajouter.  Il n’y a pas de paramètres, il suffit de l’installer et c’est prêt.

Dans l’article suivant d’autres méthodes sont présentées :

Comment prévenir le hotlinking dans WordPress (7 méthodes simples)
Rien n’est pire que le vol de vos images ou de votre bande passante, mais cela arrive assez régulièrement, car tout est ouvert sur Internet pour que les gens puissent y accéder facilement. Cela peut vous coûter de l’argent et c’est même illégal si la personne est liée à des photos dans lesquelles vous avez dû acquérir une licence d’utilisation.

Désactiver l’édition de fichiers

WordPress est livré avec un éditeur de fichiers intégré qui permet aux administrateurs de modifier facilement les codes. Cependant, cette fonctionnalité peut devenir un problème si des pirates accèdent à votre compte.

Dans WordPress, cette option est activée par défaut, mais nous vous recommandons de la désactiver vous-même. Vous pouvez le faire en ajoutant la ligne de code suivante au fichier wp-config.php.

La ligne à ajouter ou modifier : define( ‘DISALLOW_FILE_EDIT’, true );

En conclusion

Aucune mesure de sécurité n’est sûre à 100 % et les besoins en matière de sécurité doivent être réévalués régulièrement. Les risques sont omniprésents, mais avec l’aide des mesures de sécurité de WordPress, vous pouvez minimiser ces risques.

De plus, obtenez toujours des plugins et des thèmes pour votre site WordPress à partir de sources fiables. Dépensez sur des sources authentiques même si cela vous oblige à payer un peu plus pour vous assurer d’obtenir le service le plus fiable.

Nous espérons que cet article vous aidera à comprendre l’importance de la sécurité pour votre site WordPress et comment la renforcer.