13 mythes sur la sécurité WordPress | Protégez votre site Web contre le piratage !

Publié: 2019-03-23

Bien que WordPress abrite une vaste communauté d'utilisateurs du monde entier et soit la meilleure plate-forme de gestion de contenu, cette place numéro un met une cible sur le dos et de nombreux mythes sur la sécurité WordPress apparaissent.

Vous trouverez de nombreux conseils de sécurité sur la protection de vos sites ainsi que sur les moyens d'améliorer la sécurité de WooCommerce, mais cela a conduit à de nombreux mythes qui ne font rien de bénéfique pour protéger votre site. Certains de ces conseils peuvent même le rendre plus vulnérable aux attaques.

Mythes de sécurité WordPress

Examinons les 13 principaux mythes de la sécurité WordPress et ce que vous pouvez faire pour protéger correctement votre site Web WordPress.

1. Cachez vos pages wp-admin ou wp-login, et personne ne peut trouver l'URL de connexion

La logique derrière cette idée est d'empêcher les pirates potentiels de pirater des choses qu'ils ne peuvent pas trouver. Si votre URL de connexion n'est pas l'URL WordPress /wp-admin/ standard, n'êtes-vous pas protégé contre les attaques par force brute ? Bien que masquer votre URL wp-admin puisse aider à arrêter certaines attaques, cela ne les arrêtera pas toutes.

La raison pour laquelle cette stratégie ne fonctionne pas est qu'il existe d'autres moyens de se connecter à vos sites WordPress en plus de la manière normale d'utiliser un navigateur Internet, comme l'API REST ou XML-RPC. Cela signifie que même si vous modifiez l'URL de connexion WordPress , un plugin ou un thème que vous utilisez peut toujours être lié à l'URL modifiée.

Bien que le masquage de la fonctionnalité backend soit suffisant pour empêcher la plupart des tentatives d'accès direct, ceux qui trouvent vos URL wp-admin ou wp-login personnalisées peuvent toujours être redirigés vers vos pages de connexion.

masquer l'url de connexion wordpress

Une autre raison pour laquelle cela ne fonctionne pas est que le fait de masquer complètement le backend endommagerait votre site. Tout ce que vous installez suppose que wp-admin sera dans l'URL.

Masquer l'URL de connexion peut obscurcir, mais cela ne peut pas changer complètement le lien réel vers vos connexions WordPress, et la personnalisation de l'URL de connexion peut en fait causer de nombreux problèmes, car de nombreux thèmes, plugins et applications codent en dur le wp-login.php dans leur code de base.

Si ces plugins, thèmes, etc. ne trouvent pas le lien, ils trouvent une erreur à la place. Une solution plus fiable consisterait à utiliser l'authentification à deux facteurs et à refuser les mots de passe compromis.

2. Cachez votre numéro de version WordPress et le nom de votre thème pour une protection supplémentaire

L'idée derrière cette tactique est que, si les pirates ont ces informations, ils peuvent les utiliser pour accéder à votre site.

Cacher vos informations de version WordPress ou le nom de votre thème ne vous protégera pas des failles de sécurité, car de nombreux robots recherchent des vulnérabilités connues dans le code exécuté sur votre site Web.

masquer le numéro de version du plugin wordpress

Au lieu de masquer ces informations, assurez-vous que votre installation WordPress est toujours à jour pour vous assurer que les derniers correctifs de sécurité sont installés.

3. Renommez votre répertoire wp-content, et vous êtes en sécurité

Vos plugins, thèmes et dossiers de téléchargement de médias sont tous contenus dans le répertoire wp-content de votre site. Il y a une tonne de code et d'informations à utiliser, il est donc bien sûr prudent de protéger ces informations.

Cependant, la modification du nom du répertoire de contenu n'ajoutera pas réellement cette couche de protection supplémentaire à votre site. À l'aide des outils de développement du navigateur, le nom de votre contenu wp peut être trouvé même si vous le modifiez.

renommer le répertoire de contenu wordpress

Le renommer peut même provoquer des conflits avec les plugins qui ont un chemin de répertoire wp-content codé en dur qu'ils doivent utiliser pour fonctionner.

La seule raison pour laquelle vous devriez vous préoccuper de votre répertoire wp-content est s'il contient un plugin ou un thème avec une vulnérabilité qui peut être exploitée. La meilleure façon d'éviter cela est de garder vos thèmes et plugins à jour pour éviter les failles de sécurité.

4. Le piratage n'arrive qu'aux grands sites

Même si votre site WordPress est petit avec un faible trafic, il est essentiel d'être proactif lorsqu'il s'agit de sécuriser votre site.

Le pirate informatique ne se soucie pas de la taille ou de l'occupation d'un site. Tout site vulnérable peut devenir une plaque tournante pour les sites malveillants, les courriers indésirables ou même le minage de bitcoins. La clé est la vulnérabilité plutôt que la taille du site ou les niveaux de trafic.

Vous pouvez atténuer cela en gardant toujours à jour les plugins, les thèmes et WordPress lui-même et en installant un plugin de sécurité de confiance pour WordPress. Un hébergement de qualité et une authentification à deux facteurs sont également des éléments importants pour tenir les attaquants à distance.

5. WordPress n'est pas une plateforme sécurisée

Vous avez peut-être déjà entendu cette affirmation, mais ce n'est tout simplement pas vrai. WordPress, étant l'un des meilleurs systèmes de gestion de contenu en ligne aujourd'hui, n'est pas arrivé là où il est maintenant sans des mesures de sécurité solides et fiables.

La plus grande vulnérabilité vient des utilisateurs et peut être évitée avec des mesures de précaution prises par les propriétaires de sites. La principale raison des piratages est un logiciel obsolète, et la plupart des plugins seront régulièrement corrigés pour corriger les vulnérabilités potentielles de leur code.

Assurez-vous de toujours garder vos thèmes et plugins à jour. Lorsqu'un site est piraté, ce n'est pas une faille de WordPress, c'est un manque de vigilance d'un utilisateur qui le laisse ouvert aux attaques .

6. Des mises à jour régulières assurent toujours la sécurité de votre site

Bien que la mise à jour régulière de vos plugins et thèmes soit vitale pour maintenir la sécurité sur votre site, ce n'est pas une panacée pour une exploitation potentielle de votre site. WordPress propose de nombreux plugins et thèmes, et un grand nombre d'entre eux n'ont pas été mis à jour depuis deux ans ou plus.

mise à jour du thème wordpress

Les plugins qui n'ont pas fait l'objet d'une maintenance régulière et appropriée peuvent contenir des fonctionnalités obsolètes qui ralentissent vos temps de chargement ou, pire encore, endommagent votre site.

Assurez-vous que vos plugins reçoivent un support actif pour vous protéger contre les exploits potentiels et supprimez les anciens plugins qui ne reçoivent plus de support pour minimiser le risque de piratage.

7. Les sauvegardes répareront toujours votre site Web

Les sauvegardes sont l'une des solutions les plus courantes pour réparer les sites Web compromis. Bien qu'une sauvegarde complète du site (vérifiez les meilleurs plugins de sauvegarde WordPress gratuits) vous permette de restaurer votre site, elle vous laisse avec les mêmes vulnérabilités de sécurité qui ont compromis votre site en premier lieu.

  • Nom
  • Version gratuite
  • Version payante
    Avec des mises à niveau et des addons supplémentaires
  • Sauvegarde complète du site
    Est-il possible de sauvegarder le site entier avec tous les fichiers
  • Sauvegardes de bases de données
    Est-il possible de sauvegarder uniquement la base de données
  • Sauvegardes vers Dropbox
    Est-il possible d'enregistrer des fichiers de sauvegarde sur Dropbox
  • Sauvegardes vers Amazon S3
    Est-il possible d'enregistrer des fichiers de sauvegarde sur Amazon S3
  • Sauvegardes sur Google Drive
    Est-il possible d'enregistrer les fichiers de sauvegarde sur Google Drive
  • Sauvegardes sur FTP
    Est-il possible d'enregistrer les fichiers de sauvegarde sur FTP
  • Sauvegardes sur Rackspace
    Est-il possible d'enregistrer des fichiers de sauvegarde sur Rackspace
  • Notification par e-mail
    Notification par e-mail lorsque la sauvegarde est créée
  • Ne modifie que les sauvegardes
    Afin de réduire les ressources du serveur et d'économiser de l'espace, seules les nouvelles modifications sont ajoutées à la sauvegarde
  • Sauvegardes planifiées
  • Sauvegardes en temps réel
    Les fichiers de sauvegarde sont créés chaque fois que vous apportez des modifications sur votre site
  • Migrer le site
    Copiez le site ou déplacez-le vers un nouvel hôte
  • Restauration de fichier individuel
    Restaurer des fichiers/fichiers individuels à partir de la sauvegarde au lieu de tout
  • Restaurer la sauvegarde à partir de l'interface
  • Analyse de sécurité et de logiciels malveillants
    Options de recherche de virus et autres infections
  • Réparation et optimisation de base de données
    Options pour optimiser la base de données wordpress
  • Assistance multisites
  • Prix ​​de la version payante
    Avec tous les addons et fonctionnalités (plan le moins cher pour 1-2 sites)
  • BackWPup
    Il a également une version premium/payante avec des modules complémentaires et des mises à niveau supplémentaires
  • Uniquement en version payante
  • 75$
    Pour le forfait standard
CHÈQUE
  • SauvegardeWordPress
    Il a également une version premium/payante avec des modules complémentaires et des mises à niveau supplémentaires
  • Uniquement disponible avec addon payant dont le prix est d'environ 24$
  • Uniquement disponible avec addon payant dont le prix est d'environ 24$
  • Uniquement disponible avec addon payant dont le prix est d'environ 24$
  • Uniquement disponible avec addon payant dont le prix est d'environ 24$
  • Uniquement disponible avec addon payant dont le prix est d'environ 24$
  • 60$
    Pour un plan personnel
CHÈQUE
  • UpdraftPlus
    Il a également une version premium/payante avec des modules complémentaires et des mises à niveau supplémentaires
  • Uniquement disponible avec addon payant dont le prix est d'environ 15$
  • Module complémentaire payant
    Uniquement disponible avec addon payant dont le prix est d'environ 30$
  • Module complémentaire payant
    Uniquement disponible avec un addon payant dont le prix est d'environ 25$
  • 99$ (nombre de sites illimité)
    Pour le plan développeur avec tous les addons et pour un nombre illimité de sites
CHÈQUE

Alors, comment résolvez-vous cela? Ne comptez pas uniquement sur les sauvegardes pour réparer votre site après un piratage réussi, car vous perdrez des données et des enregistrements tels que les transactions qui ont eu lieu après votre dernière sauvegarde.

Pour sauvegarder vos informations, veillez à appliquer des correctifs aux failles de code réelles avant de pouvoir être la proie d'une tentative de piratage réussie.

8. Changer le préfixe de table WordPress améliore votre sécurité

C'est une recommandation courante. Changer le préfixe de vos tables de base de données WordPress empêchera les attaques par injection SQL. Cependant, ce n'est pas aussi simple que de remplacer le "wp_" par une valeur différente.

Il n'y a pas encore de preuve que cette méthode fera quelque chose pour améliorer la sécurité de votre site. Et cela peut mettre tout votre site en danger s'il n'est pas parfaitement exécuté.

changer le préfixe de la base de données wordpress

Des mesures comme celle-ci sont considérées comme un « théâtre de la sécurité » car elles vous donnent l'impression que vous faites beaucoup d'efforts pour améliorer votre sécurité tout en réalisant très peu. Pour protéger votre site contre les attaques par injection SQL , il nécessite une approche de sécurité à trois volets.

Vous aurez besoin d'un pare-feu d'application Web efficace en plus de corriger et de mettre à jour en permanence vos plug-ins, thèmes et noyaux. Et, bien sûr, assurez-vous de surveiller votre site à la recherche de tentatives de connexion suspectes ou de logiciels malveillants.

9. Mon site dispose d'un certificat SSL, il est donc totalement sécurisé

Une chose à garder à l'esprit à propos des certificats SSL est que la sécurité qu'ils fournissent est purement transactionnelle. Il ne protège que les informations transmises entre votre site et vos visiteurs, comme les informations de carte de crédit et les données personnelles (voir comment ajouter un certificat SSL gratuit au site WordPress).

installer le certificat ssl wordpress

Cependant, les certificats SSL ne protègent pas les fichiers et les données qui se trouvent sur le site lui-même . Pour couvrir les données de votre site, il est essentiel d'avoir un pare-feu d'application Web et de vous assurer que vos plugins, thèmes et fichiers principaux sont à jour.

10. Mon site Web est sécurisé ; J'utilise CDN ou pare-feu cloud

Les réseaux de diffusion de contenu, ou CDN, et les services de pare-feu cloud comme Cloudflare, Incapsula ou Sucuri sécurisent vos sites en redirigeant le trafic vers leurs serveurs et en filtrant le trafic par des règles de pare-feu. Si votre trafic est compatible avec les règles du pare-feu, il se dirige vers votre site.

Bien que vous puissiez penser que c'est le moyen idéal pour éviter d'exposer l'emplacement réel du serveur de votre site, l'adresse IP d'origine de votre site peut toujours vous trahir , et il peut être difficile à masquer, voire impossible.

wordpress-cdn-fournisseurs-comparaison
  • Réseau de diffusion de contenu
  • Protection contre les plus grandes attaques volumétriques
  • Visibilité complète de la couche application
  • Atténuation des attaques contre les serveurs DNS
  • Protection des services d'infrastructure non Web
    (FTP, SMTP, VOIP…)
  • Détection et atténuation des attaques de la couche application
  • Personnalisation et propagation instantanées des règles de sécurité
  • Visibilité et contrôle en temps réel
  • Protection des adresses IP d'origine contre les attaques DDoS
  • Surveillance des attaques DDoS externes pour l'infrastructure réseau
  • Compression et minification
  • Optimisation du contenu et du réseau
  • Mise en cache du contenu statique et généré dynamiquement
  • Servir les ressources mises en cache directement à partir de la mémoire physique
  • Mise en cache de niveau secondaire sur les SSD pour les mises à jour du cache en temps réel
  • Pare-feu d'application Web (WAF) conforme à la norme PCI
  • Contrôle d'accès
  • Système de surveillance basé sur la réputation IP
  • Self Service Personnalisation des règles de sécurité
  • Propagation des règles de sécurité en 60 secondes
  • Protection de porte dérobée pour se prémunir contre les infections par des logiciels malveillants
  • Intégration API
  • Authentification à deux facteurs pour empêcher les mots de passe volés
  • Équilibrage global de la charge du serveur
  • Couche application Équilibrage de la charge du serveur local
  • Basculement du site de la couche d'application
  • Surveillance de l'état de la couche applicative en temps réel
  • Règles de livraison des applications
    (par exemple les redirections basées sur les cookies, l'en-tête, etc.)
  • Système de billets
  • Assistance téléphonique
  • Prise en charge HTTP/2
    HTTP/2 est la dernière évolution du protocole HTTP, qui offre des améliorations significatives des vitesses de chargement et de la réactivité des sites Web.
  • Centres de données
  • Origine-Pull
  • Push (téléchargement sur des serveurs CDN)
  • Purger/Purger tout
  • Gzip
  • Honore tous les en-têtes de serveur d'origine
  • Peut remplacer les en-têtes du serveur d'origine
  • Définir des en-têtes de mise en cache pour les fichiers poussés
  • CNAME personnalisés
  • HTTPS
  • Protection des liens hypertexte
  • Chat en direct
  • Sauvegardes gratuites
  • Intégration avec WordPress
  • Prix
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • Incapsule
  • Toujours allumé
  • 30
  • Renvoyer depuis l'origine, ou compresser sur le bord
  • Le certificat partagé est gratuit sur tous, sauf sur le plan gratuit.
  • Le certificat partagé est gratuit sur tous, sauf sur le plan gratuit.
  • S'intègre indépendamment de WordPress. Vous devez modifier les paramètres DNS. Vous recevrez toutes les instructions par e-mail et sur le tableau de bord Incapsula.
  • Forfaits gratuits et payants
    Un plan gratuit comprend une protection contre les bots, un contrôle d'accès, une protection de connexion, un CDN et un optimiseur, des analyses de site Web et un support communautaire. Un forfait PRO payant commence à 59 $ par mois et comprend les mêmes fonctionnalités que le forfait gratuit, ainsi que la prise en charge SSL, des performances avancées et une assistance par e-mail.
Incapsule
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • CloudFlare
  • Manuel
  • 86
  • S'intègre indépendamment de WordPress. Il vous suffit de vous connecter à CloudFlare, puis d'attribuer de nouveaux serveurs DNS à votre nom de domaine. CloudFlare reprend à partir de là.
  • Forfaits gratuits et payants
    Ils offrent un plan de base gratuit adapté aux petits sites Web et blogs et des forfaits payants allant de 20 $ à 200 $.
CDN CloudFlare
akamai-vs-incapsula-vs-maxcdn
  • Akamai
  • Plus de 100 000
  • Renvoyer depuis l'origine, ou compresser sur le bord
  • Pour obtenir les tarifs des produits Akamai, vous devez les contacter.
Akamai
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • MaxCDN
  • MaxCDN commencera bientôt à offrir DDOS et WAF
  • MaxCDN commencera bientôt à offrir DDOS et WAF
  • MaxCDN commencera bientôt à offrir DDOS et WAF
  • MaxCDN commencera bientôt à offrir DDOS et WAF
  • MaxCDN commencera bientôt à offrir DDOS et WAF
  • MaxCDN commencera bientôt à offrir DDOS et WAF
  • MaxCDN commencera bientôt à offrir DDOS et WAF
  • 75
  • Le CDN gère le gzipping
  • Après avoir configuré votre zone d'extraction, vous pouvez intégrer MaxCDN via le plug-in de cache. Par exemple W3 Total Cache, Super Cache ou WP Rocket.
  • À partir de 9$/mois à 299$/mois
    Il existe également une tarification personnalisée par gigaoctet
MaxCDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • CléCDN
  • 25
  • Seulement si le serveur d'origine fait Gzip
  • Après le réglage, vous pouvez intégrer via le plug-in de cache. Par exemple W3 Total Cache, Super Cache ou WP Rocket.
  • Payez au fur et à mesure
    Vous n'avez pas besoin d'acheter de forfaits. Le prix commence à partir de 0,04 $/Go
CléCDN

Il s'agit d'un problème courant avec les fournisseurs de pare-feu cloud, et la solution simple consiste à mettre en œuvre des mesures de sécurité des points de terminaison sur votre site. Si vous protégez vos données à leur point d'origine, c'est la meilleure défense directe contre les pirates et autres formes d'attaques.

11. Le blocage IP tient les pirates à distance

Il existe des services utiles en ligne pour enregistrer les connexions suspectes et suivre les adresses IP, et peuvent même bloquer complètement ces IP.

Bien que vous puissiez penser que le blocage d'IP est une méthode efficace pour empêcher les pirates d'accéder à votre site, les pirates changent constamment d'IP et opèrent souvent à partir de plusieurs IP simultanément pour atteindre leurs objectifs.

Lorsque vous bloquez une adresse IP, ils peuvent simplement passer à la suivante qu'ils ont alignée. Pire encore, ne pas bloquer correctement les adresses IP peut faire planter votre site, ce qui peut prendre beaucoup de temps à corriger.

12. Un nom d'utilisateur et un mot de passe sécurisés sont tout ce dont vous avez besoin

Bien qu'un nom d'utilisateur administrateur unique et un mot de passe fort et complexe soient essentiels à une sécurité adéquate sur votre site, ce n'est pas une méthode infaillible pour déjouer les pirates potentiels.

Une tactique courante utilisée pour pirater des sites consiste à utiliser des robots pour parcourir des milliers de mots de passe courants avec le nom d'utilisateur « admin » standard.

Assurez-vous de changer votre nom d'administrateur et d' incorporer plusieurs types de caractères dans votre mot de passe , y compris des lettres majuscules et minuscules, des chiffres, des signes de ponctuation et d'autres symboles uniques qui le rendront plus difficile à déchiffrer.

Gardez à l'esprit, cependant, qu'un combo nom d'utilisateur/mot de passe efficace ne protégera pas de tout. Les pirates informatiques ont d'autres moyens d'attaquer votre site, notamment via des vulnérabilités dans des thèmes ou des plugins obsolètes, des violations de données et même des schémas de phishing.

13. Désactivez simplement les plugins/thèmes que vous n'utilisez pas

C'est une erreur courante que font de nombreux propriétaires de sites. Plutôt que de supprimer les anciens plugins, ils les désactivent à la place. Cependant, même les plugins et thèmes inactifs peuvent être exploités en raison du manque de mises à jour ou de correctifs de sécurité.

Bien que vous puissiez mettre à jour les plugins et les thèmes désactivés, la meilleure option consiste à supprimer les éléments dont vous n'avez pas besoin pour minimiser les risques de sécurité.

Conclusion sur les mythes de la sécurité WordPress

Il existe de nombreuses raisons pour lesquelles les sites WordPress sont piratés. Après avoir lu ces mythes sur la sécurité WordPress, l'optimisation de la sécurité sur votre site peut sembler un peu intimidante. Il n'est pas toujours facile de dire si la mesure de sécurité sera efficace et ce qui est simplement un « théâtre de sécurité ».

Il est très important de protéger votre site WordPress et de prévenir le vol de contenu. Bien qu'il n'y ait aucun moyen de garantir qu'un site sera 100% invulnérable aux attaques, il existe de nombreuses pratiques et précautions que vous pouvez intégrer à la gestion et à la maintenance de votre site qui peuvent minimiser le risque de piratage et vous offrir la tranquillité d'esprit.

Pour être sûr, il est préférable d'installer un plugin de sécurité WordPress comme iThemes Security, WordFence, MalCare, Swift Security ou Hide My WP qui fournissent un grand nombre de paramètres et d'options que vous pouvez activer pour protéger votre site Web et implémenter des couches de sécurité. Pour plus d'informations, consultez la revue iThemes Security, la revue MalCare, Wordfence vs iThemes Security, Swift Security vs Hide My WP.