Wordpress

Liste de contrôle de sécurité simple pour les sites WordPress

Saviez-vous que plus de 100,000 XNUMX sites Web sont piratés quotidiennement ? C'est vrai, la cybercriminalité est une menace sérieuse pour toute entreprise, et toute personne possédant un site WordPress n'est pas non plus en sécurité. J'ai eu un accrochage avec des pirates (et j'ai dû récupérer mon site WordPress), et vous savez probablement que c'était moche.

Les pirates informatiques recherchent activement des sites Web vulnérables pour casser et voler des données qu'ils peuvent libérer pour un gain monétaire ou une intention purement malveillante. Pour vous protéger et protéger votre précieux site, vous devriez sérieusement envisager de renforcer la sécurité de votre WordPress.

Étant donné que vous perdrez des revenus, du temps et des efforts lorsque des pirates informatiques s'introduisent dans votre site Web, nous avons créé la liste de contrôle de sécurité suivante que vous pouvez utiliser pour sécuriser votre site Web WordPress. Tous les éléments de sécurité de la publication sont relativement faciles à mettre en œuvre, même pour les débutants :

  1. Mettre à jour WordPress
  2. Mettre à jour les thèmes et les plugins
  3. Utilisez des mots de passe uniques et forts
  4. Installer un plugin de sécurité WordPress
  5. Choisissez un excellent hébergement WordPress
  6. Utiliser SSL (HTTPS)
  7. Créer une sauvegarde complète du site
  8. Utiliser un pare-feu d'application Web (WAF)
  9. Désactiver l'édition de fichiers dans WordPress Admin
  10. Sécurisez votre page de connexion
  11. Ajouter une authentification
  12. Déconnecter les utilisateurs inactifs
  13. Rechercher les logiciels malveillants et les problèmes
  14. Utiliser un VPN

Comme vous pouvez le voir, nous allons diviser la publication en plusieurs parties couvrant tout, du choix d'un hôte sécurisé au renforcement de votre zone d'administration et autres. Vous devrez répéter certaines tâches de sécurité, telles que la mise à jour régulière de vos thèmes. D'autres tâches sont ponctuelles, mais ont toujours un impact significatif sur la sécurité de votre site. Vérifiez ce que vous devez corriger et faites-le tout de suite, car les pirates ne perdent pas de temps non plus.

Liste de contrôle de sécurité WordPress simple

1. Mettre à jour WordPress

Le cœur de WordPress est régulièrement audité et vérifié pour les vulnérabilités de sécurité. Si des failles de sécurité et des bogues sont détectés, les développeurs principaux publient généralement des mises à jour de maintenance. Les mises à jour mineures sont installées automatiquement sur votre site WordPress.

Vous devrez cependant mettre à jour WordPress manuellement pour toutes les versions majeures. C'est un processus relativement simple puisque vous recevez un message lancinant dans votre administrateur WordPress. Seuls 22% des sites Web fonctionnent sur la dernière version de WordPress, ce qui est triste compte tenu de la facilité de mise à jour.

Ne faites pas partie des 78% restants, car vous exposez essentiellement votre site à toutes sortes d'attaques en ne mettant pas à jour votre site Web. Habituellement, les pirates informatiques sont le premier groupe de personnes à connaître les vulnérabilités des anciennes versions, car ils comptent sur les failles pour lancer des attaques réussies.

Avant de mettre à jour WordPress, nous vous recommandons de lire les notes de version pour voir ce qui a changé et de faire une sauvegarde de votre site Web (juste pour être sûr). De cette façon, vous savez maintenant à quoi vous attendre lorsque vous cliquez sur ce bouton de mise à jour, et vous disposez d'une sécurité intégrée en cas de problème.

2. Mettre à jour les thèmes et les plugins

Lors de la mise à jour du noyau WordPress, n'oubliez pas de mettre également à jour vos thèmes et plugins. Les hackers sont particulièrement friands des anciens thèmes et plugins avec des failles de sécurité connues.

Ils exploitent ces failles de sécurité et peuvent même cacher une porte dérobée dans un ancien thème ou plugin. Si vous ne mettez pas à jour, ils peuvent pirater votre site Web à leur guise.

Pour éviter de perdre vos styles personnalisés, nous vous recommandons d'utiliser un thème enfant WordPress par opposition au thème parent. De cette façon, vous ne perdrez pas vos personnalisations lorsque vous mettez à jour votre thème.

Vous devez également éliminer tous les thèmes, plugins et installations WordPress inutilisés inactifs. Non seulement vous économiserez de la bande passante et accélérerez votre site Web, mais vous éloignerez également les pirates informatiques.

Une autre note rapide, ne téléchargez jamais de thèmes et de plugins premium « annulés ». Utilisez uniquement des sources fiables telles que WordPress.org, Envato ou toute autre boutique de thèmes réputée.

3. Utilisez des mots de passe uniques et forts

Vous serez surpris d'apprendre que la plupart des sites Web sont piratés lorsque les méchants volent vos informations de connexion. De plus, les attaques par force brute sont assez courantes et impliquent de bombarder votre page de connexion avec des milliers de combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce que quelque chose donne.

Si vous utilisez des noms d'utilisateur et des mots de passe faibles (comme le tristement célèbre « admin » ou « 12345 »), vous permettez aux pirates de s'introduire incroyablement facilement dans votre site Web. Prenez l'habitude de créer des mots de passe uniques et forts que vous changez régulièrement. Vous pouvez même utiliser un générateur en ligne gratuit, comme celui de LastPass.

La gestion de nombreux mots de passe forts peut être un problème. Pour vous aider, je m'appuie souvent sur des gestionnaires de mots de passe tels que 1Password ou LastPass, entre autres. Ne réutilisez pas le même mot de passe sur plusieurs sites Web et gardez toujours vos informations de connexion en sécurité. Assurez-vous que vos utilisateurs WordPress utilisent également des mots de passe forts.

Pendant que vous y êtes, n'oubliez pas d'utiliser des mots de passe forts pour votre courrier électronique, vos bases de données cPanel, MySQL et vos comptes FTP.

4. Installez un plugin de sécurité WordPress

Chaque fois que je crée un nouveau site Web WordPress, j'ai généralement plusieurs plugins de facto que j'installe presque automatiquement. Je reçois un plugin anti-spam, Contact Form 7, Symple Shortcodes et iThemes Security, mon plugin de sécurité WordPress incontournable.

Le plugin me permet de renforcer mes défenses WordPress sans transpirer. Il est livré avec tellement de fonctionnalités qui permettent de garder les méchants hors de mes sites Web un jeu d'enfant. La configuration du plugin est super simple ; vous devriez être opérationnel en un rien de temps.

Les meilleurs plugins de sécurité WordPress vous offrent différentes fonctionnalités, alors assurez-vous de vérifier avant l'installation pour vous assurer que vous obtenez toutes les fonctionnalités dont vous avez besoin pour sécuriser l'ensemble de votre site Web, même s'il est unique. Les fonctionnalités standard incluent l'analyse des logiciels malveillants, le blocage IP, la prévention de la force brute, l'authentification à deux facteurs et bien plus encore – en cochant de nombreuses cases pour cette liste de contrôle de sécurité que vous lisez en ce moment !

5. Choisissez un excellent hébergement WordPress

En règle générale, les débutants recherchent le premier forfait d'hébergement bon marché qu'ils rencontrent. Je ne vous en tiendrai pas rigueur puisque vous ne connaissez pas mieux, mais un hébergement mutualisé douteux (voire gratuit) peut vous exposer à des risques de sécurité. Je le sais pertinemment depuis que j'ai été piraté sur deux sociétés d'hébergement différentes proposant un hébergement partagé.

L'hébergement partagé consiste à partager un serveur avec des milliers d'autres sites Web. Cela augmente le risque de contamination entre les sites. C'est-à-dire qu'un pirate peut accéder à votre site même si le site Web de quelqu'un d'autre était le point d'origine de l'attaque.

L'hébergement WordPress géré, en revanche, se concentre uniquement sur les sites Web WordPress. Vous ne partagez pas de serveur avec d'autres et vous disposez de plus d'options de sécurité pour rester en sécurité. Ils offrent également une assistance dédiée et davantage d'options de récupération si le pire devait arriver.

Si vous devez utiliser un hébergement mutualisé, disons que vous démarrez avec un blog qui ne rapporte pas encore d'argent, assurez-vous que les sites sont isolés ou « emprisonnés ». Si vous exploitez un site Web d'entreprise ou de commerce électronique, il est avantageux d'utiliser le meilleur hébergement WordPress que vous pouvez adapter à votre budget dès le départ, comme un hébergement WordPress dédié ou géré.

6. Utilisez SSL (HTTPS)

De nos jours, de nombreuses sociétés d'hébergement WordPress proposent des certificats SSL gratuits dès le départ et pour une bonne raison. Les certificats SSL rendent votre site Web plus sécurisé que les sites sans SSL. Google recommande également d'utiliser des certificats SSL pour protéger les données de votre site Web (et s'assurer que les utilisateurs sachent si vous utilisez SSL ou non).

HTTPS est plus sécurisé que son prédécesseur HTTP. Un site Web qui utilise HTTPS crypte toutes les données qui se déplacent entre le navigateur de l'utilisateur et vos serveurs. Si un pirate intercepte la communication, il ne trouvera que des données cryptées aussi utiles qu'un homme unijambiste dans une compétition de coups de pied

L'installation de certificats SSL sur la plupart des hébergeurs Web est aussi simple que A, B, C. La plupart proposent des programmes d'installation en un clic qui facilitent l'ensemble du processus. Connectez-vous simplement à votre cPanel et cliquez sur un seul bouton pour installer et gérer vos certificats SSL. Si vous souhaitez une approche plus pratique, envisagez de consulter Let's Encrypt.

7. Créer une sauvegarde complète du site

Lorsque les pirates m'ont détrôné, j'ai dû reconstruire mes sites Web à partir de zéro, un casse-tête que j'aurais évité si j'avais pensé de manière fiable à sauvegarder WordPress.

Mais non, les sauvegardes qui étaient avec mon hébergeur ont été corrompues pendant l'attaque, et non, je n'avais pas de solution de sauvegarde secondaire. Un cas classique de mettre tous vos œufs dans le même panier qui m'a appris une dure leçon.

Aujourd'hui, je crée des sauvegardes complètes de sites Web qui incluent les fichiers et les bases de données de mon site Web. J'utilise principalement ManageWP, mais j'utilise également le plugin Duplicator pour stocker des sauvegardes sur mon ordinateur et dans Google Drive.

Je vous invite à créer régulièrement des sauvegardes complètes. De nombreuses solutions de sauvegarde WordPress vous permettent d'automatiser l'ensemble du processus, vous faisant gagner du temps et vous offrant une tranquillité d'esprit.

8. Utilisez un pare-feu d'application Web (WAF)

Pour ajouter une couche de sécurité supplémentaire à votre site WordPress et mieux dormir la nuit, activez un pare-feu d'application Web (WAF). Un WAF protège votre site Web en bloquant le trafic malveillant bien avant qu'il n'atteigne votre site. C'est une mesure proactive pour arrêter les méchants dans leur élan avant qu'ils ne causent des dommages.

Le pare-feu filtre votre trafic entrant, éliminant les pirates tout en laissant passer les utilisateurs légitimes. De nombreuses sociétés de sécurité WordPress proposent des pare-feu d'applications Web ainsi que d'autres fonctionnalités. Les options populaires dans l'industrie incluent Sucuri et Cloudflare.

9. Désactiver l'édition de fichiers dans WordPress Admin

Le CMS WordPress est livré avec un éditeur de code fantastique qui vous permet de modifier les fichiers de plugin et de thème dans votre tableau de bord d'administration WordPress. L'éditeur de code est un excellent outil à votre disposition, mais entre de mauvaises mains, les pirates peuvent l'utiliser pour dégrader ou ajouter des logiciels malveillants sur votre site Web.

Vous pouvez toujours modifier vos fichiers de thème et de plugins (le cas échéant) via FTP ou le gestionnaire de fichiers dans cPanel, ce qui signifie que vous pouvez complètement désactiver l'éditeur de code dans WordPress. Vous ne voulez pas que les pirates qui accèdent à votre zone d'administration WordPress aient accès à l'éditeur de code, car ils peuvent causer beaucoup de dégâts avec quelques lignes de code.

Que faire? Vous pouvez désactiver l'éditeur de code intégré à l'aide du plugin gratuit Sucuri Security. Alternativement, vous pouvez ajouter le code suivant à votre wp-config.php fichier:

// Interdit l'édition de fichier define( 'DISALLOW_FILE_EDIT', true );

Nous avançons.

10. Sécurisez votre page de connexion

Habituellement, le formulaire de connexion sur votre WordPress comporte deux champs ; nom d'utilisateur et mot de passe. Alors que les attaquants par force brute et les bots deviennent de plus en plus intelligents de jour en jour, comment empêcher les pirates d'accéder à votre zone d'administration WordPress ? C'est simple; vous ajoutez CAPTCHA ou des questions de sécurité qui rendent plus difficile pour quiconque d'obtenir un accès non autorisé.

Et vous n'avez pas besoin de modifier le code pour ajouter CAPTCHA or questions de sécurité à votre page de connexion. Il existe un plugin WordPress populaire connu sous le nom de WP Security Question, facile à configurer et à utiliser. Si vous souhaitez utiliser CAPTCHA, vous pouvez utiliser Simple Login Captcha, WordFence ou l'une des nombreuses autres options disponibles gratuitement sur WordPress.org.

En même temps, vous pouvez changer votre URL de connexion wp à quelque chose d'unique. De cette façon, les robots et les pirates informatiques auront du mal à deviner l'URL de votre page de connexion. wp-login est déjà populaire parmi les pirates informatiques, il est donc parfaitement logique de changer l'URL en quelque chose d'autre. Vous pouvez utiliser un plugin tel que WPS Hide Login.

11. Ajouter une authentification

En outre, envisagez de mettre en œuvre une authentification à deux facteurs et à plusieurs facteurs. Si un pirate informatique accède à vos informations de connexion, il ne pourra pas se connecter à votre site WordPress. De nombreuses options sont disponibles, mais Google Authenticator est un choix populaire.

En dehors de cela, limitez les connexions sur votre page de connexion. Si un visiteur essaie de se connecter avec un compte qui n'existe pas ou essaye de se connecter plusieurs fois, il s'agit probablement d'un pirate informatique ou d'un bot essayant de forcer leur chemin. Vous pouvez utiliser un plugin tel que Limit Login Tentatives ou verrouillage de connexion pour éloigner ces éléments intrusifs.

12. Déconnectez les utilisateurs inactifs

Lorsque vous avez un site Web WordPress multi-utilisateurs, vous ne pouvez pas contrôler entièrement comment et où les utilisateurs accèdent à votre site Web. Un auteur peut décider d'utiliser le Wi-Fi public gratuit pour apporter la touche finale à un article. Un concepteur de sites Web peut quitter son bureau et revenir d'une pause déjeuner d'une heure.

Dans de tels scénarios, votre utilisateur peut exposer votre site Web à des risques de sécurité sans le savoir. Une personne malveillante peut prendre le contrôle de sa session, modifier ses coordonnées et tout simplement faire des ravages. Si la partie non autorisée sait ce qu'elle fait, elle peut facilement s'emparer du compte de l'utilisateur et causer des dommages.

Que faire? Vous pouvez déconnecter automatiquement les utilisateurs inactifs après une période prédéfinie. Et la meilleure partie ? Il existe des plugins pour ce but précis. Une option populaire est le plugin Inactive Logout qui comprend des options pour personnaliser le temps d'inactivité avant la déconnexion, un message contextuel personnalisé ou une redirection lors de la déconnexion et un délai d'attente en fonction du rôle de l'utilisateur.

13. Rechercher les logiciels malveillants et les problèmes (régulièrement)

Souvent oublié, l'analyse régulière de votre site WordPress peut vous aider à identifier les problèmes de sécurité dès le début. Il ne faut qu'une seconde à un pirate informatique pour s'introduire dans votre site Web et faire toutes sortes de choses désagréables. C'est précisément pourquoi vous devez rester au courant des choses à tout moment.

De nombreux plugins de sécurité WordPress pour rechercher les infections de logiciels malveillants, les vulnérabilités de sécurité connues, les scripts obsolètes, les attaques par force brute, les sauvegardes inexistantes, etc. Les plugins vous envoient des rapports détaillés sur les problèmes connus, afin que vous puissiez les résoudre ou engager un professionnel.

Il existe de nombreux scanners de sites Web, tels que Sucuri SiteCheck, que vous pouvez utiliser pour vérifier votre site en un clin d'œil. Tout ce que vous avez à faire est d'entrer votre URL et les outils vérifieront automatiquement votre site Web. Après cela, ils vous proposent un rapport sur ce que vous devez corriger. Une fois que vous avez le rapport, corrigez immédiatement toutes les vulnérabilités de sécurité.

14. Utilisez un VPN

Si vous exploitez un site Web contenant des informations sensibles qui ne doivent jamais tomber entre les mains de pirates informatiques, envisagez d'utiliser un réseau privé virtuel (VPN), d'autant plus lorsque vous utilisez un Wi-Fi public gratuit. Un VPN vous protège des attaques de l'homme du milieu qui sont courantes dans les réseaux publics, y compris à la maison et au travail.

Un réseau privé virtuel garantit que même si les attaquants accèdent au système et volent vos informations, ils ne peuvent rien faire avec les données qu'ils vous prennent. Si vous avez un réseau Internet que vous partagez avec de nombreuses personnes, utilisez toujours un VPN avant d'accéder à votre zone d'administration WordPress.

Autres options de sécurité WordPress

Besoin de plus à faire ? Nous aimerions garder votre site Web sécurisé à tout moment, voici donc des éléments de sécurité supplémentaires à ajouter à votre liste de contrôle :

  • Désactiver l'exécution du fichier PHP dans /wp-content/wp-uploads/
  • Changez le préfixe de votre base de données WordPress
  • Un mot de passe protège vos pages d'administration et de connexion côté serveur
  • Désactiver l'indexation des répertoires
  • Désactivez WP REST API et XML-RPC si vous n'en avez pas besoin
  • Ne pas éditer/changer le noyau WordPress – écrivez ou utilisez un plugin qui offre les fonctionnalités dont vous avez besoin à la place
  • Assurez-vous que votre site Web exécute la dernière version de PHP
  • Utilisez un programme antivirus sur votre ordinateur
  • Activer la console de recherche Google
  • Réduisez les vulnérabilités XSS et SQL Injection (vous pourriez avoir besoin d'une personne plus avertie en technologie pour vous aider avec ces deux)

Vraiment, le nombre de mesures que vous pouvez prendre pour protéger votre site est infini. Mais si vous pouvez cocher les 14 éléments que nous avons répertoriés, c'est une étape énorme pour sécuriser votre site.


Sécuriser votre site WordPress est un défi mais pas impossible. Avec les bons outils et compétences, vous pouvez rapidement renforcer la sécurité de votre WordPress et éloigner les mauvais acteurs.

En résumé, gardez toujours votre site Web à jour. En plus de cela, ne téléchargez jamais de thèmes ou de plugins à partir de sites non fiables. Et pour être du bon côté si le pire devait arriver, ayez toujours une solution de sauvegarde fiable en place.

Nous espérons que vous avez trouvé tous les conseils dont vous avez besoin pour sécuriser votre site WordPress, et donc votre activité en ligne. Si vous avez une question ou avez besoin d'aide pour savoir comment sécuriser votre site Web WordPress, veuillez nous le faire savoir dans les commentaires. Être prudent!

Articles Relatifs

0 Commentaires
Commentaires en ligne
Voir tous les commentaires
Retour à bouton en haut