Top 10 des problèmes de sécurité WordPress et comment les résoudre
Publié: 2020-09-16
WordPress est de loin l'un des CMS open source les plus utilisés au monde. Il alimente des millions de sites Web et détient une part de marché de 35%. Cela fait de WordPress le CMS alpha parmi les blogueurs, les concepteurs, les propriétaires de magasins WooCommerce et les autres propriétaires d'entreprise.
Malgré leur popularité, de nombreux utilisateurs de WordPress ne connaissent pas les bases de la sécurisation de leurs sites WordPress. Pire encore, de nombreux utilisateurs croient à l'idée fausse (très dangereuse) selon laquelle il suffit d'installer un certificat SSL pour sécuriser leur site. Par conséquent, il est important de discuter des différentes méthodes efficaces de sécurisation du site WordPress.
Co-fondateur de Sucuri, Dre Armeda estime que :
"Les gens sont et continueront d'être le plus gros problème de sécurité avec WordPress.", Dre Armeda discute de la sécurité de WordPress
Je pense également que la moitié des failles de sécurité de WordPress sont dues à la négligence. C'est une raison importante pour laquelle les sites Web WordPress sont une cible facile pour les cybercriminels. De nombreux utilisateurs débutants installent simplement WordPress, puis font confiance à la sécurité par défaut du site Web WordPress.
Dans cet article, je présenterai plusieurs conseils de base et quelques conseils moins courants sur la gestion des problèmes de sécurité de WordPress.
Commençons!
- Investissez dans le bon hébergement Web
- Acquérir des sauvegardes planifiées
- Créer un mot de passe fort
- Limiter les tentatives de connexion
- Modifier l'URL de connexion WordPress et le nom d'utilisateur par défaut
- Gardez l'utilisateur de WordPress à jour
- Supprimer les plugins ou thèmes inutilisés
- Empêcher l'injection SQL et le piratage d'URL
- Refuser l'accès aux fichiers sensibles dans WordPress
- Masquer la version WordPress et modifier le préfixe par défaut de la base de données
- Astuce bonus : Comment Cloudways aide à sécuriser un site WordPress
Les bases
La sécurité de WordPress est principalement une question de correctifs simples et de bon sens. L'idée est d'appliquer des correctifs qui minimisent les problèmes de sécurité WordPress communément connus et renforcent la sécurité du site Web.
CONSEIL #1 : Investissez dans le bon hébergement Web
La sécurité du site Web commence par un fournisseur d'hébergement WordPress géré et sécurisé. C'est devenu un aspect essentiel de la construction de votre présence en ligne. Un hébergeur sécurisé disposera non seulement de processus de sécurité éprouvés dans l'industrie, mais vous soutiendra également en cas de problème avec votre site Web. Presque tous ces fournisseurs ont une stratégie de reprise après sinistre efficace qui se déclenche au cas où votre site Web subirait un incident.
Pour vous donner une idée des options d'hébergement Web, il existe cinq types de solutions d'hébergement Web où vous pouvez héberger vos sites Web WordPress :
Hébergement partagé : une seule machine serveur est partagée entre plusieurs comptes d'utilisateurs. Si un seul compte est piraté, tout le serveur est compromis. Dans de nombreux cas, le serveur n'est pas vraiment protégé car il y a tout simplement trop de failles.
Hébergement dédié : Vous possédez réellement le serveur et seul votre site Web est hébergé sur le serveur. Puisque vous possédez le serveur, la sécurité du serveur est limitée à votre expertise en cybersécurité.
Hébergement VPS : Dans l'hébergement VPS, vous obtenez une partie dédiée d'une machine physique. Semblable à l'hébergement dédié, vous êtes le seul responsable de la sécurité. Si vous ne maîtrisez pas bien la cybersécurité, vous devez soit apprendre rapidement, soit dépenser beaucoup d'argent pour externaliser la sécurité de votre serveur.
Hébergement Cloud : Dans une solution d'hébergement Cloud, vous possédez une partie d'un réseau de machines serveurs physiques connectées. Les solutions d'hébergement cloud sont sécurisées par définition mais en tant que serveur dédié, vous devez consacrer beaucoup d'efforts et de temps à la sécurité.
Hébergement cloud géré : comme son nom l'indique, une solution d'hébergement cloud géré gère tous les aspects de votre serveur cloud, y compris la sécurité, les performances et les mises à jour côté serveur. C'est ce que fait Cloudways - il fournit plusieurs couches de sécurité (l'une étant des pare-feu au niveau de la plate-forme) résultant en un environnement d'hébergement sécurisé afin que vous n'ayez pas à vous soucier de la sécurité de votre serveur.
Lassitude sécuritaire. Se sentir submergé?
Essayez Cloudways pour renforcer la sécurité de votre site WordPress.
ASTUCE #2 : Tirez parti des sauvegardes planifiées
À première vue, les sauvegardes planifiées peuvent ne pas ressembler à une mesure de sécurité WordPress. Cependant, cette étape cruciale peut s'avérer une bouée de sauvetage en cas de catastrophe. Dans de tels cas, les sauvegardes de sites Web sont un excellent moyen de remettre le site en ligne dans les heures suivant une catastrophe.
Les sauvegardes WordPress peuvent être effectuées à deux niveaux : les sauvegardes hors site et/ou la sauvegarde via un hébergeur.
1- Sauvegarde WordPress hors site
La sauvegarde d'un site WordPress est assez simple, grâce au plugin UpdraftPlus qui sauvegarde un site WordPress sur des solutions de stockage hors site telles que Dropbox, Google Drive et Amazon S3.
Si vous souhaitez explorer l'idée en détail, voici un guide complet sur la sauvegarde d'un site WordPress.
Remarque : 2- Sauvegarde WordPress locale
La sauvegarde d'un site WordPress sur le serveur du fournisseur d'hébergement crée une sauvegarde locale. De nombreux fournisseurs d'hébergement cloud WordPress fournissent un processus de sauvegarde local dans lequel l'ensemble du serveur peut être sauvegardé automatiquement ou manuellement sur le même serveur.
Si vous êtes un client Cloudways, vous êtes entre de bonnes mains. Vous pouvez avoir une sauvegarde locale (même serveur) ET l'intégralité du serveur peut également être sauvegardée sur Amazon S3 . Consultez un guide pour sauvegarder un serveur WordPress.
ASTUCE #3 : Ayez un mot de passe fort
Un mot de passe fort est un incontournable de la sécurité WordPress très basique mais souvent négligé qui protège contre de nombreuses vulnérabilités WordPress.
Idéalement, les mots de passe doivent être difficiles à deviner pour les personnes et doivent contenir des alphabets, des signes de ponctuation et des chiffres sensibles à la casse ( par exemple #[email protected]$).
Les experts suggèrent également d'utiliser différents mots de passe pour différents sites Web tels que les comptes de médias sociaux et les comptes de messagerie.
Pour appliquer l'habitude de mots de passe forts sur votre site, vous devez utiliser un plugin pour appliquer des politiques de mots de passe WordPress forts. Cela garantit que tous vos utilisateurs utilisent des mots de passe forts.
Attaques par force brute : un mot de passe fort est votre première défense contre les attaques par force brute qui essaie diverses combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce que votre site soit compromis. Un mot de passe faible ne résiste jamais bien à une attaque par force brute.
CAPTCHA est considéré comme l'une des meilleures protections contre les attaques par force brute. Auparavant, Google a lancé un projet « Google Invisible reCAPTCHA » dans lequel les visiteurs n'ont pas à se faire contrôler manuellement. Par défaut, il est invisible et ne se déclenche que lorsque Google soupçonne que le visiteur n'est pas un humain.
En savoir plus sur l'ajout de Google invisible reCAPTCHA à WordPress
ASTUCE n° 4 : Limitez les tentatives de connexion
Par défaut, WordPress n'impose aucune restriction sur le nombre de fois qu'un visiteur peut essayer plusieurs fois les noms d'utilisateur et les mots de passe lors de la connexion. C'est la raison des nombreux problèmes de sécurité involontaires causés par les utilisateurs de WordPress.
Pour éviter cela et ajouter une couche de sécurité supplémentaire aux sites Web WordPress, les administrateurs de site doivent installer un plugin de limitation des tentatives de connexion qui empêche les pirates d'exploiter ce problème et de lancer une attaque de connexion par force brute sur votre site.
Cet outil intelligent bloque l'adresse IP de tout éventuel pirate informatique qui tente cette attaque sur le panneau d'administration de votre site WordPress. Le plugin le fait en limitant le nombre de tentatives infructueuses par utilisateur.
Utiliser l'authentification à deux facteurs : L' authentification à deux facteurs (2FA) est une pratique de sécurité standard de l'industrie qui utilise des informations d'identification à deux couches pour minimiser les risques de connexion non autorisée au site. Si vous souhaitez ajouter 2FA à votre site WordPress, voici comment ajouter une authentification à deux facteurs à un site WordPress.
ASTUCE #5 : Modifiez l'URL de connexion WordPress et le nom d'utilisateur par défaut
Après avoir lancé WordPress, vous pouvez accéder au panneau d'administration et modifier votre site en fonction de vos besoins. Ce n'est pas possible si vous n'aviez pas accès au tableau de bord d'administration de WordPress.
Modifier l'URL de connexion WordPress : la modification de l'URL de connexion WP-admin par défaut rend difficile pour les pirates de lancer une attaque par force brute sur votre site Web. Cette étape simple renforce considérablement la sécurité de votre site WordPress.
Bien qu'il existe de nombreux plugins disponibles, je recommande le plugin WPS Hide Login pour modifier l'URL d'administration WordPress par défaut. Le plugin a plus de 700 000 actifs installés et a des critiques 5 étoiles.
Changer le nom d'utilisateur par défaut de WordPress : la faille de sécurité la plus basique que vous puissiez avoir sur votre site Web est le nom d'utilisateur admin "admin". C'est trop facile à deviner. Bien que vous puissiez utiliser un plugin pour modifier ce nom d'utilisateur, il existe une méthode plus simple pour cela : accédez au tableau de bord, créez un nouvel utilisateur et attribuez-lui le rôle d'« Administrateur ».
Différents rôles d'utilisateur WordPress : WordPress permet à plusieurs utilisateurs de contribuer à un site WordPress en utilisant des rôles prédéfinis. En tant qu'administrateur de site Web, vous pouvez modifier ou même créer un rôle d'utilisateur distinct en suivant le guide sur les rôles d'utilisateur WordPress personnalisés.
ASTUCE #6: Gardez WordPress à jour
Team WordPress publie régulièrement des mises à jour des fichiers principaux. Ces correctifs sont disponibles sous forme de fichiers d'installation autonomes qui résolvent les problèmes connus et renforcent généralement la sécurité des sites Web WordPress.
La maintenance du CMS du site Web est un aspect essentiel de la gestion du site Web. Le propriétaire du site devrait idéalement appliquer le correctif dans les heures suivant sa publication, car il est toujours possible que des attaquants soient à l'affût de sites Web vulnérables.
Cela s'applique également aux plugins et thèmes installés. Les développeurs de plugins suivent le cycle de publication des fichiers principaux de WordPress pour s'assurer que le plugin suit le rythme des nouvelles versions de WordPress.
Remarque : Testez toujours les correctifs dans un environnement de développement WordPress pour vous assurer que tout continue de fonctionner comme prévu . Si votre hébergement ne dispose pas d'un environnement de transfert, je vous suggère de commencer par effectuer une sauvegarde et de commencer la mise à jour.
D'un autre côté, si vous êtes sur un hébergement WordPress géré, les ingénieurs s'occupent de patcher les fichiers principaux de WordPress et s'assurent que la sécurité ne soit pas compromise. La plus grande menace de sécurité pour eux-mêmes.
ASTUCE n°7 : Supprimez les plugins ou thèmes inutilisés
Tester de nouveaux thèmes et plugins est un bon moyen d'avoir une expérience directe des dernières versions. Cependant, une fois les tests terminés, les utilisateurs de WordPress désactivent généralement les plugins au lieu d'une désinstallation appropriée.
Notez que les thèmes et plugins inutilisés ou inactifs constituent une menace sérieuse pour le site Web WordPress. Par conséquent, il est de la plus haute importance que tous les plugins et thèmes qui ne sont pas utilisés soient supprimés immédiatement pour s'assurer qu'aucune donnée ne reste dans la base de données WordPress. Voici un guide approprié sur la façon de désinstaller correctement les plugins WordPress.
Par mesure de précaution générale, téléchargez toujours la version la plus récente des thèmes et des plugins à partir d'une ressource de confiance pour vous assurer que le plugin ou le thème n'ouvre pas une nouvelle faille de sécurité sur votre site.
Les pas si basiques
Maintenant que vous avez compris les bases de la sécurité WordPress, il est temps de consulter les conseils avancés suivants pour renforcer la sécurité de vos sites Web.
ASTUCE N°8 : Empêchez les injections SQL et le piratage d'URL
Les injections SQL sont des attaques dans lesquelles les attaquants intègrent des commandes SQL dans diverses zones des sites Web (en particulier la zone de commentaire et les zones de texte). Ces commandes peuvent compromettre la base de données SQL et révéler des informations sensibles stockées dans la base de données.
La modification de l'URL en ajoutant des instructions PHP est une autre menace potentielle pour la sécurité de WordPress dans laquelle les attaquants peuvent déclencher des attaques sur la base de données et d'autres composants du site Web.
La plupart des sites Web WordPress sont hébergés sur un serveur Apache qui possède une astuce astucieuse pour contrer ces attaques. Tous les serveurs Apache ont un fichier .htaccess qui définit les règles d'accès au site Web.
Pour réduire les incidences des injections SQL et du piratage d'URL, ajoutez le code suivant au fichier .htaccess pour établir un ensemble de règles strictes.
<IfModule mod_rewrite.c>
Moteur de réécriture activé
Base de réécriture /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
Règle de réécriture ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
Balise RewriteCond %{QUERY_STRING}\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\ : [NC,OR]
RewriteCond %{QUERY_STRING} http\ : [NC,OR]
RewriteCond %{QUERY_STRING} https\ : [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|e|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR ]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
Règle de réécriture ^(.*)$ - [F,L]
</IfModule>Comme vous pouvez le voir, le code « nettoie » les données qui entrent dans les champs de saisie. De plus, toutes ces entrées sont traitées comme une chaîne au lieu d'une instruction de requête SQL.
ASTUCE N°9 : Refuser l'accès aux fichiers sensibles dans WordPress
Une installation WordPress contient plusieurs fichiers sensibles, tels que les fichiers wp-config.php , install.php et readme.html . Ces fichiers doivent être cachés de tout accès extérieur.
Encore une fois, .htaccess est votre meilleur ami. Vous pouvez ajouter les lignes suivantes au fichier pour éviter que des fichiers importants ne soient dégradés. L'extrait de code suivant empêche également l'accès aux listes de répertoires d'utilisateurs et masque le serveur sensible et les fichiers WordPress des accès non autorisés.
Options Tout -Index <fichiers .htaccess> Ordre autoriser, refuser Refuser de tout </fichiers> <fichiers readme.html> Ordre autoriser, refuser Refuser de tout </fichiers> <licence de fichiers.txt> Ordre autoriser, refuser Refuser de tout </fichiers> <fichiers install.php> Ordre autoriser, refuser Refuser de tout </fichiers> <fichiers wp-config.php> Ordre autoriser, refuser Refuser de tout </fichiers> <fichiers error_log> Ordre autoriser, refuser Refuser de tout </fichiers> <fichiers fantastique_liste de fichiers.txt> Ordre autoriser, refuser Refuser de tout </fichiers> <fichiers fanversion.php> Ordre autoriser, refuser Refuser de tout </fichiers>
Si vous souhaitez approfondir l'utilisation du fichier .htaccess pour optimiser votre WordPress, voici une description détaillée du fichier WordPress .htaccess.
ASTUCE #10 : Changer le préfixe par défaut pour la base de données
Masquer la version WordPress : Par défaut, WordPress ajoute automatiquement le numéro de version actuel à la section principale des thèmes. Un bon conseil de sécurité est de ne JAMAIS afficher publiquement la version de WordPress, simplement à cause du fait que les attaquants peuvent lancer des attaques contre toutes les vulnérabilités connues de la version mentionnée dans l'en-tête.
La simple ligne de code suivante doit être incluse dans le fichier functions.php de votre thème pour masquer les versions de WordPress.
remove_action( 'wp_head', 'wp_generator' );
Changer le préfixe WordPress par défaut pour la base de données : Toutes les tables d'une base de données WordPress ont des noms qui commencent par le préfixe Bien que cela semble être une excellente fonctionnalité, pour les pirates WordPress, cela simplifie grandement les choses en supprimant certaines des conjectures.
Un utilisateur peut limiter cette prévisibilité en modifiant le préfixe WordPress par défaut des tables de base de données utilisateur lors de l'installation de WordPress. Cela peut également être fait pour les sites Web déjà actifs en manipulant les bases de données des utilisateurs à plusieurs endroits. Je recommande d'utiliser l'un des meilleurs plugins de sécurité WordPress qui implémentent une gamme de défenses pour le site Web WordPress.
Cloudways aide à sécuriser les sites WordPress
Après ce guide détaillé sur la sécurisation des sites Web WordPress, il convient de mentionner que WordPress ne peut pas être sécurisé de manière isolée. Les utilisateurs de WordPress doivent également opter pour un environnement d'hébergement sécurisé qui offre un environnement sécurisé pour le site Web.
Voici comment Cloudways fournit un environnement d'hébergement WordPress sécurisé.
- Infrastructure cloud de première classe : Cloudways s'est associé à des fournisseurs d'infrastructure cloud de premier ordre dont la sécurité est leur préoccupation numéro UN. Héberger un site WordPress sur le cloud assure un haut niveau de sécurité.
- Pare - feu : Tous les serveurs lancés via Cloudways sont livrés avec un pare-feu préinstallé qui agit comme la première ligne de défense du site Web.
- Surveillance du serveur : La surveillance d'un serveur aide à identifier les pics de trafic élevés inattendus qui peuvent faire tomber le site Web.
- Protection contre les bots : la protection contre les bots vise à identifier et à bloquer le trafic malveillant, à protéger contre les attaques telles que les attaques par dictionnaire, le grattage Web et les attaques par force brute. Cela permet également de réduire l'utilisation des ressources du serveur pour les applications WordPress. Ces attaques sont ciblées pour obtenir un accès non autorisé à votre site Web ou le submerger, mais Bot Protection surveille toutes ces activités et bloque de manière proactive lors de la détection.
- Accès SSH & SFTP : De nombreux hébergeurs utilisent encore FTP pour accéder aux fichiers. Cependant, avec Cloudways SFTP (Secure File Transfer Protocol) votre connexion est cryptée et sécurisée. Si plusieurs équipes travaillent sur un projet hébergé sur un serveur, elles peuvent se voir attribuer l'accès à une application particulière au lieu de l'ensemble du serveur.
- OS et applications mis à jour : les experts de Cloudways gardent un œil sur les dernières versions et s'assurent de leur disponibilité après des tests de stabilité et de compatibilité.
- Generated de vérification des pouvoirs au hasard: Toutes les applications lancées via Cloudways ont un défaut des titres de compétence générés de façon aléatoire qui sont difficiles à deviner.
- Sauvegarde : En cas de sinistre, la sauvegarde du site est votre meilleur pari pour une reprise après sinistre plus rapide. Vous pouvez définir la fréquence de sauvegarde aussi bas qu'une heure.
- Certificat SSL gratuit : Cloudways fournit une installation de certificat SSL en un clic avec une fonction de renouvellement automatique.
- Environnement de mise en scène gratuit : Cloudways propose un environnement de mise en scène WordPress gratuit pour s'assurer que tout continue de fonctionner comme prévu.
- Assistance par chat en direct 24h/24 et 7j/7 : Vous vous inquiétez toujours de la sécurité et des performances du serveur ? Le support Cloudways est toujours là 24 heures sur 24.
- Assistance téléphonique : il s'agit de l'extension d'assistance premium si vous avez besoin d'aide, vous pouvez également contacter et notre ingénieur senior vous répondra directement à tout moment.
Posez fréquemment des questions
Q : Comment réparer WordPress non sécurisé ?
A: Suivez ce guide et voyez tous les points que j'ai mentionnés, j'espère que cela vous aidera beaucoup.
Q : Dois-je utiliser un certificat SSL pour sécuriser mon site WordPress ?
R : Oui, vous devriez le faire, la plupart des sociétés d'hébergement proposent un certificat SSL gratuit en un clic.
Q : WordPress a-t-il des problèmes de sécurité ?
R : WordPress est le système de gestion de contenu (CMS) le plus utilisé aujourd'hui. À l'aide de nombreux thèmes et plug-ins, on peut facilement personnaliser son site Web selon ses goûts et ses préférences. Cependant, la sécurité de WordPress est l'un des problèmes majeurs qui préoccupe beaucoup.
Conclusion
Les conseils de sécurité WordPress garantissent un site Web efficace et sécurisé. Cependant, beaucoup de gens oublient que la défense d'un site WordPress est un processus continu qui nécessite une attention continue face aux nouveaux outils et astuces émergents dans le cyberespace.
Je suggère fortement aux utilisateurs de WordPress de garder un journal de ce qui s'est passé sur WordPress en utilisant un plugin d'audit de sécurité et d'utiliser le plugin de sécurité WordPress préféré qui renforce l'environnement WordPress contre les menaces de sécurité.
N'hésitez pas à ajouter si vous pensez que j'ai raté quelque chose. Je l'ajouterai à la liste dès que possible. Si vous avez des questions, veuillez les poster dans les commentaires ci-dessous.
Q. WordPress a-t-il des problèmes de sécurité ?
Comme toute plateforme, WordPress a son lot de problèmes de sécurité. Cependant, les problèmes de sécurité WordPress peuvent être facilement évités si vous suivez les meilleures pratiques de sécurité WordPress.
Q. Pourquoi WordPress n'est-il pas sécurisé ?
La plupart des problèmes de sécurité WordPress se produisent parce que les administrateurs du site choisissent d'ignorer les pratiques standard concernant les plugins et les thèmes. Dans de nombreux cas, cela pourrait être évité en effectuant un audit de sécurité et en veillant aux failles afin que le site Web reste sécurisé.
Q. WordPress est-il facilement piraté ?
Non. Les versions récentes de WordPress sont assez sécurisées. Cette sécurité de base peut être encore améliorée en installant des plugins de sécurité WordPress, en optant uniquement pour des thèmes et des plugins de développeurs respectés, et en suivant les meilleures pratiques de sécurité WordPress.
Q. Comment puis-je améliorer ma sécurité WordPress ?
La sécurité de WordPress peut être améliorée en suivant quelques conseils de base :
1. Choisissez une solution d'hébergement sécurisée.
2. Installez un certificat SSL (une exigence essentielle pour les sites Web d'entreprise)
3. Configurez un plugin de sécurité WordPress fiable
4. Installez la limitation du taux de connexion via un plugin
5. Assurez-vous que TFA est actif