4 façons de sécuriser votre connexion WordPress

Les pirates n'ont pas besoin d'être sournois ou sophistiqués pour obtenir ce qu'ils veulent. Souvent, ils entrent par effraction par la porte d'entrée. Utiliser les bons outils peut aider, mais vous pouvez faire plus pour protéger votre site Web et sécuriser la connexion WordPress .

Dans ce rapport de Nathan Finch d'Aussie Hosting , ils ont examiné et comparé différentes sociétés d'hébergement en fonction de leurs performances. Ils ont découvert que les entreprises avec plus de temps d'arrêt avaient également des serveurs mal entretenus, ce qui augmentait le risque de problèmes de sécurité.

Il a été rapporté que Google met sur liste noire environ 70 000 sites Web par semaine pour les problèmes de sécurité de connexion WordPress tels que les logiciels malveillants et le phishing. Votre première ligne de défense contre l'infiltration est de protéger votre connexion WordPress. Cette forme de contrôle d'accès semble être une évidence, mais vous seriez surpris de voir à quelle fréquence les mesures de sécurité les plus simples sont négligées ou mises en veilleuse.

Quelles que soient les fonctionnalités de sécurité offertes par votre service d'hébergement en back-end, en tant que propriétaire de site Web, la responsabilité vous incombe.

– Source : Wordfence

Qu'est-ce qui rend les connexions WordPress vulnérables ?

La popularité de WordPress est ce qui en fait une cible facile et attrayante. Mais qu'est-ce qui rend la plate-forme vulnérable aux attaques et aux exploits ?

D'une part, les pirates font beaucoup de reconnaissance avant de cracker un système. Ils savent que certaines versions de WP ont plus de vulnérabilités que d'autres, et la plate-forme existe depuis assez longtemps pour que les pros sachent ce qu'elles sont. Le numéro de version se trouve sur vos pages Web et dans votre URL, sauf si vous le supprimez.

L'affichage de votre répertoire fournit également de nombreuses informations utiles, telles que le type de plugins et de thèmes que vous avez installés. Parce qu'il fonctionne sur le codage open source, laisser des plugins inutilisés ou non pris en charge dans votre répertoire, même s'ils sont désactivés, est un moyen simple pour les pirates d'accéder à votre code. Une fois à l'intérieur, ils peuvent lancer des exploits, modifier le codage, détourner des sessions ou vous verrouiller hors de votre propre site Web.

Les pirates peuvent vérifier l'indexation de votre répertoire en parcourant les emplacements des dossiers et en recherchant une réponse « Index de » comme celle-ci :

/wp-contenu/

/wp-content/plugins/

/wp-content/themes/

/téléchargements/

/images/

Ils peuvent rechercher des plugins vulnérables dans votre répertoire via une recherche active à l' aide d'outils de script ou une recherche passive avec des requêtes HTML normales. Ceci est réalisé en examinant le code source HTML et en recherchant les plugins installés via des feuilles de style CSS, des commentaires et des liens JS.

Une autre façon pour les pirates d'accéder aux sites Web WordPress est l'énumération des utilisateurs . Il s'agit d'un simple prélude à une attaque par force brute qui consiste à découvrir les noms d'utilisateur et à deviner leurs mots de passe via une attaque par dictionnaire ou à essayer d'entrer via des mécanismes par défaut. Par exemple, les utilisateurs peuvent être découverts en itérant leurs identifiants et en les ajoutant à l'URL comme ceci :

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

Si cela fonctionne, l'identifiant de connexion sera révélé via une redirection 303.

Un outil appelé WPScan utilisé pour les tests de vulnérabilité peut passer au crible des centaines de mots de passe possibles en moins d'une minute. Il a pu renvoyer la sortie suivante à partir d'un thème bon marché en quelques secondes :

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* COUPE ******************

[+] Démarrage du forceur de mot de passe

Brute forçant l'utilisateur 'testadmin' avec 500 mots de passe... 100% complet.
[+] Terminé le jeu. 18 juil. 03:39:02 2013
[+] Temps écoulé : 00:01:16

4 façons de sécuriser votre connexion WordPress

Heureusement, la communauté des développeurs et des utilisateurs de WP est diligente lorsqu'il s'agit de fournir une assistance. Pour cette raison, il existe des outils disponibles gratuitement et les meilleures pratiques que vous pouvez apprendre et déployer pour assurer la sécurité de votre site Web.

Voici quatre techniques que vous pouvez mettre en œuvre pour améliorer la sécurité de votre connexion WordPress.

1. Supprimer le numéro de version WP

Étant donné que les pirates informatiques recherchent généralement le numéro de version en premier lors de la recherche de vulnérabilités, c'est la première chose que vous devez modifier lors de la configuration de votre site Web. Cela devrait être fait de manière à ce qu'il soit supprimé des pages, des URL et des balises META sans supprimer le crochet d'en-tête ou d'autres mauvaises méthodes qui sont vantées sur Internet.

La meilleure façon de supprimer votre numéro de version WP est d'ajouter ce bout de code au fichier functions.php :

Pour supprimer de l'en-tête :

 remove_action('wp_head', 'wp_generator');

Pour supprimer du flux RSS :

 fonction remove_version_info() {
revenir '';
}
add_filter('the_generator', 'remove_version_info');

Pour supprimer le numéro de version des scripts et des styles :

 fonction remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
renvoie $src ;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

Peu importe quand vous installez WP, vous devez toujours garder votre WordPress à jour avec la dernière version dès sa sortie. Il en va de même pour les plugins et les thèmes.

Lire la suite : Les mises à jour sont cruciales pour la sécurité de WordPress !

2. Changez votre URL de connexion

L'adresse de connexion par défaut pour les administrateurs WP est yourwebsite.com/wp-admin et c'est quelque chose que presque tout le monde connaît de la plate-forme. Il suffit d'ajouter /wp-login.php après le nom de domaine et vous êtes dedans. Une simple modification de l'URL est tout ce qui est nécessaire pour empêcher les pirates de deviner votre page de connexion.

Vous pouvez utiliser un plugin comme iThemes Security pour y parvenir efficacement.

3. Réduire le nombre de tentatives de connexion

Une autre fonctionnalité par défaut de WP défectueuse permet des tentatives de connexion illimitées. Cela permet des attaques par dictionnaire et d'autres techniques de devinette de mot de passe. Le plugin iThemes Security possède une fonctionnalité qui verrouille votre site Web après un nombre défini de tentatives de connexion infructueuses et vous envoie une alerte.

Si vous souhaitez uniquement la fonction de déconnexion de connexion, vous pouvez installer un plugin appelé Limit Login Attempts Reloaded et accéder à ses paramètres pour configurer le nombre de connexions autorisées.

4. Limitez l'accès et utilisez l'authentification à deux facteurs

À présent, vous devez savoir choisir un mot de passe sécurisé à l'aide d'un plugin d'authentification à deux facteurs. La prochaine étape pour limiter l'accès consiste à limiter le nombre de personnes ayant accès au fonctionnement interne de votre site Web. Troisièmement, utilisez l'authentification à 2 facteurs qui utilise une combinaison de mot de passe et de clé cryptée pour vous connecter.

Dernières pensées!

Bien que ces précautions de sécurité et mesures préventives expliquées dans cet article ne protègent pas votre site à 100%, elles fourniront une énorme mesure de sécurité.

Il est important de se rappeler que les pirates et les tiers malveillants recherchent les portes dérobées les plus simples sur votre site Web. La plupart du temps, des solutions automatisées sont utilisées pour trouver ces portes dérobées.

La sécurisation de votre connexion WP maintient ces portes fermées et garantit que la seule personne à avoir accès à votre site est vous-même.

Avis de non-responsabilité : il s'agit d'un article invité par Nathan Goldfinch d' AussieHosting .