Comment protéger au mieux votre site WordPress ?

En ce qui concerne la sécurité de WordPress, vous pouvez faire beaucoup de choses pour verrouiller votre site afin d’éviter que les pirates et les vulnérabilités n’affectent votre site de commerce électronique ou votre blog. La dernière chose que vous souhaitez, c’est de vous réveiller un matin pour découvrir votre site en ruine. Aujourd’hui, nous allons donc partager de nombreux conseils, stratégies et techniques que vous pouvez utiliser pour améliorer votre sécurité WordPress et rester protégé.

Si vous êtes un client Kinsta, vous n’avez pas à vous soucier de beaucoup d’entre eux, car nous proposons des correctifs de piratage gratuits ! Essayez une démo gratuite Mais même avec cette garantie, vous devez toujours suivre les meilleures pratiques de sécurité.

A lire aussi : Quel est le rôle d'un Pare-feu ?

Votre site WordPress est-il sécurisé ?

La première question que vous vous posez probablement est la suivante : WordPress est-il sécurisé ? Dans la plupart des cas, oui. Cependant, WordPress reçoit généralement une mauvaise réputation pour être enclin à vulnérabilités de sécurité et ne pas être une plate-forme sûre à utiliser pour une entreprise. Le plus souvent, cela est dû au fait que les utilisateurs continuent de suivre les pires pratiques de sécurité éprouvées dans l’industrie.

L’utilisation d’un logiciel WordPress obsolète, de plugins annulés, d’une mauvaise administration du système, d’une gestion des informations d’identification et d’un manque de connaissances nécessaires sur le Web et la sécurité chez les utilisateurs non techniciens de WordPress permettent aux pirates informatiques de rester au courant de leur jeu de cybercriminalité. Même les leaders de l’industrie n’utilisent pas toujours les meilleures pratiques. Reuters a été piraté parce qu’il utilisait une version obsolète de WordPress.

A découvrir également : Qu'est-ce qu'un pare-feu ?

Fondamentalement, la sécurité n’est pas une question de systèmes parfaitement sécurisés. Une telle chose pourrait être irréalisable, voire impossible à trouver et/ou à entretenir. Cependant, la sécurité est la réduction des risques, et non l’élimination des risques. Il s’agit d’utiliser tous les contrôles appropriés à votre disposition, dans des limites raisonnables, qui vous permettent d’améliorer votre posture globale, en réduisant les chances de vous faire une cible, puis d’obtenir piraté. — Codex de sécurité WordPress

Cela ne veut pas dire que les vulnérabilités n’existent pas. Selon une étude du troisième trimestre 2017 réalisée par Sucuri, une société de sécurité multiplateforme, WordPress continue de diriger les sites Web infectés sur lesquels ils ont travaillé (à 83 %). Ce chiffre est en hausse par rapport à 74 % en 2016.

WordPress alimente plus de 40,0 % de tous les sites Web sur Internet, et avec des centaines de milliers de combinaisons de thèmes et de plugins, il n’est pas surprenant que des vulnérabilités existent et soient constamment découvertes. Cependant, il existe également une grande communauté autour de la plateforme WordPress, pour s’assurer que ces éléments sont corrigés dès que possible. En 2021, l’équipe de sécurité de WordPress est composée d’environ 50 experts (contre 25 en 2017), dont des développeurs principaux et des chercheurs en sécurité — environ la moitié sont des employés d’Automattic et un certain nombre travaillent dans le domaine de la sécurité Web.

Vulnérabilités WordPress

Voici quelques-uns des différents types de vulnérabilités de sécurité WordPress.

• Portes arrière
• Astuces Pharma
• Tentatives de connexion par force brute
• Redirections malveillantes
• Script intersite (XSS)
• Déni de service

Portes arrière

La vulnérabilité de porte dérobée bien nommée fournit aux pirates informatiques des passages cachés contournant le cryptage de sécurité pour accéder aux sites Web WordPress via des méthodes anormales — WP-Admin, SFTP, FTP, etc. Une fois exploitées, les portes dérobées permettent aux pirates de faire des ravages sur les serveurs d’hébergement avec des attaques de contamination intersites. compromettant plusieurs sites hébergés sur le même serveur. Au troisième trimestre 2017, Sucuri a signalé que les portes dérobées continuent d’être l’une des nombreuses actions post-piratage entreprises par les attaquants, 71 % des sites infectés ayant une forme d’injection de porte dérobée.

Les portes dérobées sont souvent cryptées pour apparaître comme un système WordPress légitime et se frayer un chemin vers les bases de données WordPress en exploitant les faiblesses et les bogues des versions obsolètes de la plateforme. Le fiasco de TimThumb était un excellent exemple de vulnérabilité de porte dérobée exploitant des scripts douteux et des logiciels obsolètes compromettant des millions de sites Web.

Heureusement, la prévention et la guérison de cette vulnérabilité sont assez simples. Vous pouvez scanner votre site WordPress avec des outils tels que SiteCheck qui peuvent facilement détecter les portes dérobées courantes. L’authentification à deux facteurs, le blocage des adresses IP, la restriction de l’accès administrateur et la prévention de l’exécution non autorisée de fichiers PHP permet de traiter facilement les menaces courantes de porte dérobée, que nous allons voir plus loin. Canton Becker a également un excellent article sur le nettoyage du désordre des portes dérobées sur vos installations WordPress.

Astuces Pharma

L’exploit Pharma Hack est utilisé pour insérer du code malveillant dans des versions obsolètes de sites Web et de plugins WordPress, ce qui amène les moteurs de recherche à renvoyer des publicités pour des produits pharmaceutiques lorsqu’un site Web compromis recherché. Cette vulnérabilité est plus une menace de spam que les logiciels malveillants traditionnels, mais elle donne aux moteurs de recherche suffisamment de raisons pour bloquer le site en cas d’accusation de distribution de spam.

Les parties mobiles d’un Pharma Hack incluent des portes dérobées dans les plugins et les bases de données, qui peuvent être nettoyées en suivant les instructions de ce blog Sucuri. Cependant, les exploits sont souvent des variantes vicieuses d’injections malveillantes cryptées cachées dans les bases de données et nécessitent un processus de nettoyage approfondi pour corriger la vulnérabilité. Néanmoins, vous pouvez facilement empêcher Pharma Hacks en utilisant les fournisseurs d’hébergement WordPress recommandés avec des serveurs à jour et en mettant régulièrement à jour vos installations, thèmes et plugins WordPress. Des hôtes comme Kinsta proposent également des correctifs de piratage gratuits.

Tentatives de connexion par force brute

Les tentatives de connexion par force brute utilisent des scripts automatisés pour exploiter les mots de passe faibles et accéder à votre site. Authentification en deux étapes, limitation des tentatives de connexion, la surveillance des connexions non autorisées, le blocage des adresses IP et l’utilisation de mots de passe forts sont parmi les moyens les plus simples et les plus efficaces de prévenir les attaques par force brute. Malheureusement, un certain nombre de propriétaires de sites Web WordPress ne parviennent pas à appliquer ces pratiques de sécurité alors que les pirates informatiques sont facilement en mesure de compromettre jusqu’à 30 000 sites Web en une seule journée en utilisant des attaques par force brute.

Redirections malveillantes

Les redirections malveillantes créent des portes dérobées dans les installations WordPress en utilisant FTP, SFTP, wp-admin et d’autres protocoles et injectent des codes de redirection dans le site Web. Les redirections sont souvent placées dans votre fichier .htaccess et d’autres fichiers de base WordPress sous forme codée, dirigeant le trafic Web vers des sites malveillants.

Script intersite (XSS)

Le script intersite (XSS) se produit lorsqu’un script malveillant est injecté dans un site Web de confiance ou application. L’attaquant utilise cela pour envoyer du code malveillant, généralement des scripts côté navigateur, à l’utilisateur final sans qu’il le sache. Le but est généralement de récupérer des données de cookies ou de session ou peut-être même de réécrire du code HTML sur une page.

Selon WordFence, les vulnérabilités de script intersite sont la vulnérabilité la plus courante trouvée dans les plugins WordPress.

Déni de service

Peut-être la plus dangereuse d’entre elles, la vulnérabilité de déni de service (DoS) exploite les erreurs et les bogues dans le code pour accabler la mémoire des systèmes d’exploitation des sites Web. Les pirates informatiques ont compromis des millions de sites Web et ont récolté des millions de dollars en exploitant des versions obsolètes et boguées de logiciels WordPress avec des attaques DoS. Bien que les cybercriminels motivés financièrement soient moins susceptibles de cibler les petites entreprises, ils ont tendance à compromettre les sites Web vulnérables obsolètes en créant des chaînes de botnets pour attaquer les grandes entreprises.

Même les dernières versions des logiciels WordPress ne peuvent pas se défendre globalement contre les attaques DoS très médiatisées, mais vous aideront au moins à éviter d’être pris entre deux feux entre les institutions financières et les cybercriminels sophistiqués. Et n’oubliez pas le 21 octobre 2016. C’est le jour où Internet est tombé en panne en raison d’une attaque DDoS DNS. En savoir plus sur les raisons pour lesquelles il est important d’utiliser un fournisseur DNS premium pour augmenter la sécurité de votre WordPress.

Guide de sécurité WordPress 2021

Selon les statistiques en direct sur Internet, plus de 100 000 sites Web sont piratés chaque jour. 😮 C’est pourquoi il est si important de prendre un peu de temps et de suivre les recommandations ci-dessous pour mieux renforcer votre sécurité WordPress.

1. Investissez dans un hébergement WordPress sécurisé

En ce qui concerne la sécurité de WordPress, il y a bien plus qu’un simple verrouillage de votre site, même si nous vous donnerons ci-dessous les meilleures recommandations sur la façon de procéder. Il existe également une sécurité au niveau du serveur Web dont votre hébergeur WordPress est responsable. Nous prenons la sécurité très au sérieux chez Kinsta et nous traitons beaucoup de ces problèmes. pour nos clients.

Il est très important que vous choisissiez un hébergeur auquel vous pouvez faire confiance pour votre entreprise . Ou si vous hébergez WordPress sur votre propre VPS, vous devez avoir les connaissances techniques nécessaires pour faire ces choses vous-même. Et pour être honnête, essayer d’être administrateur système pour économiser 20 $/mois est une mauvaise idée.

Le renforcement du serveur est la clé du maintien d’un environnement WordPress parfaitement sécurisé. Il faut plusieurs couches de mesures de sécurité au niveau matériel et logiciel pour s’assurer que l’infrastructure informatique hébergeant les sites WordPress est capable de se défendre contre les menaces sophistiquées, physiques et virtuelles.

Pour cette raison, les serveurs hébergeant WordPress doivent être mis à jour avec le dernier système d’exploitation et les logiciels (de sécurité), ainsi que des tests approfondis et analysés à la recherche de vulnérabilités et de logiciels malveillants. Un bon exemple de cela est lorsque Kinsta a dû corriger NGINX pour des failles de sécurité OpenSSL qui étaient découvert.

Des pare-feu au niveau du serveur et des systèmes de détection d’intrusion doivent être en place avant d’installer WordPress sur le serveur afin de le protéger correctement, même pendant les phases d’installation de WordPress et de construction du site Web. Cependant, tous les logiciels installés sur la machine destinés à protéger le contenu WordPress doivent être compatibles avec les derniers systèmes de gestion de bases de données afin de maintenir des performances optimales. Le serveur doit également être configuré pour utiliser un réseau sécurisé et des protocoles de cryptage de transfert de fichiers (tels que SFTP au lieu de FTP) afin de masquer le contenu sensible des intrus malveillants.

2. Utiliser la dernière version de PHP

PHP est l’épine dorsale de votre site WordPress et il est donc très important d’utiliser la dernière version sur votre serveur. Chaque version majeure de PHP est généralement prise en charge pendant deux ans après sa sortie. Pendant ce temps, les bugs et les problèmes de sécurité sont corrigés et corrigés régulièrement. À partir de maintenant, tous ceux qui courent sur La version PHP 7.1 ou ultérieure ne prend plus en charge la sécurité et est exposée à des vulnérabilités de sécurité non corrigées.

Et devinez quoi ? Selon la page officielle des statistiques de WordPress, au moment de la rédaction de ces lignes, plus de 57% des utilisateurs de WordPress utilisent toujours PHP 5.6 ou moins . Si vous combinez cela avec PHP 7.0, 77,5 % des utilisateurs utilisent actuellement des versions de PHP qui ne sont plus prises en charge. C’est effrayant !

77,5 % des utilisateurs de WordPress utilisent actuellement des versions PHP qui ne sont plus prises en charge ! 😮 Cliquez pour tweeter Parfois, les entreprises et les développeurs prennent du temps pour tester et garantir la compatibilité avec leur code, mais ils n’ont aucune excuse pour exécuter quelque chose sans support de sécurité. Sans parler de l’énorme impact sur les performances des anciennes versions.

Vous ne savez pas quelle version de PHP vous utilisez actuellement ? La plupart des hôtes incluez généralement cela dans une demande d’en-tête sur votre site. Un moyen rapide de vérifier est de gérer votre site via Pingdom. Cliquez sur la première requête et recherchez un paramètre X-Powered-By. Généralement, cela affichera la version de PHP que votre serveur Web utilise actuellement. Toutefois, certains hôtes supprimeront cet en-tête pour des raisons de sécurité. Kinsta supprime cet en-tête par défaut pour assurer la sécurité de votre site.

Nous recommandons uniquement d’utiliser les versions stables et supportées de PHP, y compris 7.2, 7.3 et 7.4. PHP 5.6, 7.0 et 7.1 ont été progressivement supprimés. Vous pouvez même basculer entre les versions de PHP en cliquant sur un bouton depuis le tableau de bord MyKinsta.

Si vous êtes sur un hébergeur WordPress qui utilise cPanel, vous pouvez généralement basculer entre les versions de PHP en cliquant sur « PHP Select » dans la catégorie des logiciels.

3. Utiliser des noms d’utilisateur et des mots de passe intelligents

Étonnamment, l’un des meilleurs moyens de renforcer votre sécurité WordPress consiste simplement à utiliser des noms d’utilisateur et des mots de passe intelligents . Ça semble assez facile, n’est-ce pas ? Eh bien, consultez la liste annuelle 2019 de SplashData des mots de passe les plus populaires volés au cours de l’année (classés par ordre de popularité).

• 123456
• mot de passe
• 123456789
• 12345678
• 12345
• 111111
• 1234567
• soleil
• qwerty
• Je t’aime

C’est juste ! Le mot de passe le plus populaire est « 123456 » , suivi d’un « mot de passe » étonnant. C’est l’une des raisons pour lesquelles, chez Kinsta, sur les nouvelles installations de WordPress, nous forçons en fait l’utilisation d’un mot de passe complexe pour votre connexion wp-admin (comme indiqué ci-dessous sur notre processus d’installation en un clic). Cette option n’est pas facultative.

La fonction principale de WordPress wp_hash_password utilise le framework de hachage de mot de passe phpass et huit passes de hachage MD5.

Certaines des meilleures mesures de sécurité commencent par les bases. Google a d’excellentes recommandations sur la façon de choisir un mot de passe fort. Vous pouvez également utiliser un outil en ligne comme Strong Password Generator. Vous pouvez en savoir plus sur la façon dont vous pouvez modifier votre mot de passe WordPress ici.

Il est également important d’utiliser des mots de passe différents pour chaque site Web. La meilleure façon de les stocker est de les stocker localement dans une base de données chiffrée sur votre ordinateur. KeePass est un bon outil gratuit pour cela. Si vous ne souhaitez pas suivre cette voie, il existe également des gestionnaires de mots de passe en ligne tels que 1Password ou LastPass. Même si vos données sont hébergées en toute sécurité dans le cloud, elles sont généralement plus sûres puisque vous n’utilisez pas le même mot de passe sur plusieurs sites. Il vous empêche également d’utiliser des notes autocollantes.

😉 Et en ce qui concerne votre installation WordPress, vous ne devez jamais utiliser le nom d’utilisateur « admin » par défaut. Créez un nom d’utilisateur WordPress unique pour le compte administrateur et supprimez l’utilisateur « admin » s’il existe. Vous pouvez le faire en ajoutant un nouvel utilisateur sous « Utilisateurs » dans le tableau de bord et en lui attribuant le profil « Administrateur » (comme indiqué ci-dessous).

Une fois que vous avez attribué le rôle d’administrateur au nouveau compte, vous pouvez revenir en arrière et supprimer l’utilisateur « Admin » d’origine. Assurez-vous que lorsque vous cliquez sur Supprimer, vous choisissez l’option « Attribuer tout le contenu à » et sélectionnez votre nouveau profil d’administrateur. La personne sera alors désignée comme auteur de ces publications.

Vous pouvez également renommer manuellement votre nom d’utilisateur administrateur actuel dans phpMyAdmin à l’aide de la commande suivante. Assurez-vous de sauvegarder votre base de données avant de modifier les tables.

4. Utilisez toujours la dernière version de WordPress, des plugins et des thèmes

Un autre Un moyen très important de renforcer la sécurité de votre WordPress est de toujours le maintenir à jour. Cela inclut le cœur de WordPress, les plugins et les thèmes (à la fois ceux du référentiel WordPress et premium). Celles-ci sont mises à jour pour une raison et, souvent, elles incluent des améliorations de sécurité et des corrections de bugs. Nous vous recommandons de lire notre guide détaillé sur le fonctionnement des mises à jour automatiques de WordPress.

Malheureusement, des millions d’entreprises utilisent des versions obsolètes de logiciels et de plugins WordPress, et croient toujours qu’elles sont sur la bonne voie de la réussite commerciale. Ils citent des raisons de ne pas mettre à jour telles que « leur site sera cassé » ou « les modifications de base disparaîtront » ou « le plugin X ne fonctionnera pas » ou « ils n’ont tout simplement pas besoin de la nouvelle fonctionnalité ».

En fait, les sites Web se cassent principalement à cause de bugs dans les anciennes versions de WordPress. Les modifications de base ne sont jamais recommandées par l’équipe WordPress et les développeurs experts qui comprendre les risques encourus. Et les mises à jour de WordPress incluent principalement des correctifs de sécurité indispensables ainsi que les fonctionnalités supplémentaires requises pour exécuter les derniers plugins.

Saviez-vous qu’il a été signalé que les vulnérabilités des plugins représentent 55,9 % des points d’entrée connus des pirates informatiques ? C’est ce que WordFence a découvert dans une étude où ils ont interviewé plus de 1 000 propriétaires de sites WordPress qui avaient été victimes d’attaques. En mettant à jour vos plugins, vous pouvez mieux vous assurer que vous n’êtes pas l’une de ces victimes.

Il est également recommandé de n’installer que des plugins de confiance. Les catégories « en vedette » et « populaires » du référentiel WordPress peuvent être un bon point de départ. Ou téléchargez-le directement depuis le site Web du développeur. Nous déconseillons fortement toute utilisation de plugins et de thèmes WordPress annulés.

Tout d’abord, on ne sait jamais ce que le code modifié peut contenir. Cela peut facilement se terminer par l’obtention de votre site piraté. Ne pas payer pour les plugins WordPress premium n’aide pas non plus la communauté à se développer dans son ensemble. Nous devons soutenir les développeurs.

Voici comment supprimer correctement un thème WordPress.

Vous pouvez utiliser un outil en ligne comme VirusTotal pour analyser les fichiers d’un plugin ou d’un thème afin de voir s’il détecte tout type de malware.

Comment mettre à jour WordPress Core ?

Il existe plusieurs façons simples de mettre à jour votre installation WordPress. Si vous êtes un client Kinsta, nous avons fourni des sauvegardes automatiques avec une option de restauration en un clic. De cette façon, vous pourrez tester de nouvelles versions de WordPress et de plugins sans avoir à vous soucier qu’il ne casse quoi que ce soit. Vous pouvez également effectuer un premier test dans notre environnement de test.

Pour mettre à jour le noyau de WordPress, vous pouvez cliquer sur « Mises à jour » dans votre tableau de bord WordPress et cliquer sur le bouton « Mettre à jour maintenant ».

Vous pouvez également mettre à jour WordPress manuellement en téléchargeant la dernière version et le téléchargement via SFTP.

Important ! L’écrasement de dossiers incorrects pourrait casser votre site s’il n’est pas effectué correctement. Si vous n’êtes pas à l’aise de le faire, veuillez d’abord consulter un développeur. Suivez les étapes ci-dessous pour mettre à jour votre installation existante :

1. Supprimez les anciens répertoires wp-includes et wp-admin.
2. Téléchargez les nouveaux répertoires wp-includes et wp-admin.
3. Téléchargez les fichiers individuels du nouveau dossier wp-content vers votre dossier wp-content existant, en écrasant les fichiers existants. Ne supprimez PAS votre dossier wp-content existant. Ne supprimez AUCUN fichier ou dossier dans votre répertoire wp-content existant (à l’exception de celui qui est écrasé par de nouveaux fichiers).
4. Téléchargez tous les nouveaux fichiers libres depuis le répertoire racine de la nouvelle version vers votre répertoire racine WordPress existant.

Comment mettre à jour les plugins WordPress ?

La mise à jour de vos plugins WordPress est un processus très similaire à la mise à jour du noyau WordPress. Cliquez sur « Mises à jour » dans votre tableau de bord WordPress, sélectionnez les plugins que vous souhaitez mettre à jour, puis cliquez sur « Mettre à jour les plugins ».

De même, vous pouvez également mettre à jour un plugin manuellement. Il suffit de récupérer la dernière version du développeur de plugins ou du référentiel WordPress et de la télécharger via FTP, en écrasant le plugin existant dans le répertoire /wp-content/plugins.

Il est également important de noter que les développeurs ne tiennent pas toujours leurs plugins à jour. L’équipe de WP Loop a fait une excellente petite analyse du nombre de plugins WordPress dans le référentiel qui ne sont pas à jour avec le noyau WordPress actuel. Selon leurs recherches, près de 50 % des plugins du dépôt n’ont pas été mis à jour depuis plus de 2 ans .

Cela ne signifie pas que le plugin ne fonctionnera pas avec la version actuelle de WordPress, mais il est recommandé de choisir des plugins qui sont activement mis à jour. Les plugins obsolètes sont plus susceptibles de contenir vulnérabilités de sécurité.

Faites preuve de discernement lorsqu’il s’agit de plugins. Regardez la date de la « dernière mise à jour » et le nombre de notes d’un plugin. Comme on le voit dans l’exemple ci-dessous, celui-ci est obsolète et a de mauvaises critiques, nous vous recommandons donc très probablement de rester à l’écart. WordPress a également un avertissement en tête de la plupart des plugins qui n’ont pas été mis à jour depuis un certain temps.

Il existe également de nombreuses ressources pour vous aider à rester informé des dernières mises à jour de sécurité et vulnérabilités de WordPress. Voyez quelques-uns d’entre eux ci-dessous :

• WP Security Bloggers : une ressource agrégée impressionnante de plus de 20 flux de sécurité.
• Base de données de vulnérabilités WPScan : répertorie plus de 10 000 vulnérabilités WordPress Core, Plugin et Theme.
• ThreatPress : base de données mise à jour quotidiennement des plugins WordPress, des thèmes et du noyau WordPress vulnérabilités.
• Archive de sécurité officielle de WordPress

5. Verrouillez votre administrateur WordPress

Parfois, la stratégie populaire de sécurité WordPress par obscurité est suffisamment efficace pour une entreprise en ligne moyenne et un site WordPress. Si vous rendez plus difficile pour les pirates informatiques de trouver certaines portes dérobées, vous risquez moins d’être attaqué. Verrouiller votre espace d’administration WordPress et votre connexion est un bon moyen de renforcer votre sécurité. Deux excellentes façons de le faire sont d’abord de modifier votre URL de connexion wp-admin par défaut et de limiter les tentatives de connexion.

La sécurité par l’obscurité peut être un moyen simple et efficace de renforcer la sécurité de votre WordPress.

Comment modifier votre URL de connexion WordPress ?

Par défaut, l’URL de connexion de votre site WordPress est domain.com /wp-admin . L’un des problèmes avec cela est que tous les bots, hackers et scripts là-bas savent également ceci. En modifiant l’URL, vous pouvez réduire votre cible et mieux vous protéger contre les attaques par force brute. Ce n’est pas une solution complète, c’est simplement une petite astuce qui peut certainement vous aider à vous protéger.

Pour modifier votre URL de connexion WordPress, nous vous recommandons d’utiliser le plugin de connexion gratuit WPS Hide ou le plugin premium Perfmatters. Les deux plugins ont un champ de saisie simple. N’oubliez pas de choisir quelque chose d’unique qui ne figurera pas déjà sur une liste qu’un bot ou un script pourrait tenter d’analyser.

Comment limiter les tentatives de connexion ?

Bien que la solution ci-dessus consistant à modifier votre URL de connexion administrateur puisse aider à réduire la majorité des mauvaises tentatives de connexion, la mise en place d’une limite peut également être très efficace. Le plugin gratuit Cerber Limit Login Attatives est un excellent moyen de configurer facilement les durées de verrouillage, les tentatives de connexion et les listes blanches et les listes noires IP.

Si vous recherchez une solution de sécurité WordPress plus simple, une autre excellente alternative est le plugin Login Lockdown gratuit. Login LockDown enregistre l’adresse IP et l’horodatage de chaque tentative de connexion échouée. Si plus d’un certain nombre de tentatives sont détectées sur une courte période de temps à partir de la même plage d’adresses IP, la fonction de connexion est désactivée pour toutes les demandes de cette plage. Et il est entièrement compatible avec le plugin de connexion WPS Hide dont nous avons parlé plus haut.

Comment ajouter une authentification HTTP de base (protection htpasswd) ?

Une autre façon de verrouiller votre administrateur consiste à ajouter une authentification HTTP. Cela nécessite un nom d’utilisateur et un mot de passe avant même de pouvoir accéder à la page de connexion WordPress. Remarque : Cela ne doit généralement pas être utilisé sur les sites de commerce électronique ou les sites d’adhésion. Mais cela peut être un moyen très efficace d’empêcher les bots d’atteindre votre site.

Apache

Si vous utilisez un hôte cPanel, vous pouvez activer les répertoires protégés par mot de passe depuis leur panneau de configuration. Pour le configurer manuellement, vous devez d’abord créer un fichier .htpasswd. Vous pouvez utiliser cet outil de générateur pratique. Ensuite, téléchargez le fichier dans un répertoire sous votre dossier wp-admin, par exemple :

Créez ensuite un fichier .htaccess avec le code suivant et téléchargez-le dans votre répertoire /wp-admin/. Assurez-vous de mettre à jour le chemin d’accès au répertoire et le nom d’utilisateur.

AuthName « Admins Only » Fichier utilisateur Auth/home/votre/.htpasswds/public_html/wp-admin/htpasswd AuthType basic demander à l’utilisateur votre nom d’utilisateur La seule mise en garde à faire de cette façon est que cela va casser AJAX (admin-ajax) sur le front-end de votre site. Ceci est requis par certains plugins tiers. Par conséquent, vous devrez également ajouter le code suivant au fichier .htaccess ci-dessus.

Autoriser, refuser la commande Autoriser depuis tous Satisfaire tous Nginx

Si vous utilisez Nginx, vous pouvez également restreindre l’accès avec l’authentification de base HTTP. Consultez ce tutoriel.

Si vous hébergez votre site WordPress chez Kinsta, vous pouvez utiliser notre outil de protection par mot de passe facile (htpasswd) dans le tableau de bord MyKinsta. Vous pouvez le trouver dans la section « Outils » de votre site. Il vous suffit de cliquer sur « Activer », de choisir un nom d’utilisateur et un mot de passe, et c’est parti !

Une fois qu’il est activé, votre site WordPress nécessitera une authentification pour y accéder. Vous pouvez modifier les informations d’identification à tout moment ou les désactiver lorsque vous n’en avez plus besoin.

Verrouiller un chemin d’URL

Si vous utilisez un pare-feu d’application Web (WAF) tel que Cloudflare ou Sucuri, ils peuvent également verrouiller un chemin d’URL. Essentiellement, vous pouvez configurer une règle afin que seule votre adresse IP puisse accéder à l’URL de connexion de votre administrateur WordPress. Encore une fois, cette option ne doit généralement pas être utilisée sur Les sites de commerce électronique ou les sites d’adhésion, car ils dépendent également de l’accès au back-end de votre site.

• Cloudflare dispose d’une fonctionnalité d’URL de verrouillage dans ses comptes Pro et supérieurs. Vous pouvez définir une règle pour n’importe quelle URL ou chemin d’accès.
• Sucuri dispose d’une fonctionnalité de chemin d’URL de liste noire. Vous pouvez ensuite ajouter votre propre adresse IP à la liste blanche.

6. Tirez parti de l’authentification à deux facteurs

Et bien sûr, nous ne pouvons pas oublier l’authentification à deux facteurs ! Quelle que soit la sécurité de votre mot de passe, il y a toujours un risque que quelqu’un le découvre. L’authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe pour vous connecter, mais également d’une deuxième méthode. Il s’agit généralement d’un message texte (SMS), d’un appel téléphonique ou d’un mot de passe à usage unique basé sur l’heure (TOTP). Dans la plupart des cas, cela est efficace à 100% pour prévenir les attaques par force brute contre votre site WordPress. Pourquoi ? Parce qu’il est presque impossible que l’attaquant ait à la fois votre mot de passe et votre téléphone portable.

Il y a vraiment deux parties quand il s’agit de deux facteurs authentification. Le premier est votre compte et/ou votre tableau de bord que vous avez auprès de votre fournisseur d’hébergement Web. Si quelqu’un y accède, il pourrait changer vos mots de passe, supprimer vos sites Web, modifier les enregistrements DNS et toutes sortes de choses horribles. Chez Kinsta, nous nous sommes associés à Authy et avons mis à disposition une authentification à deux facteurs pour votre tableau de bord MyKinsta.

La deuxième partie de l’authentification à deux facteurs concerne votre installation WordPress réelle . Pour cela, il existe quelques plugins que nous recommandons :

• Authentification deux facteurs Duo
• Google Authenticator
• Authentification deux facteurs

La plupart d’entre eux ont leurs propres applications d’authentification que vous pouvez installer sur votre téléphone :

• Application mobile Android Duo
• Application mobile iPhone Duo
• Application Google Authenticator pour Android
• Application Google Authenticator pour iPhone

Après avoir installé et configuré l’un des plugins ci-dessus, vous aurez généralement un champ supplémentaire sur votre page de connexion WordPress pour entrer votre code de sécurité. Ou, avec le plugin Duo, vous vous connectez d’abord avec vos informations d’identification et vous devez ensuite choisir une méthode d’authentification, telle que Duo Push, appel ou code d’accès.

Cette méthode peut facilement être combinée avec la modification de votre URL de connexion par défaut, que nous avons déjà vu. Donc, non seulement votre URL de connexion WordPress est quelque chose que vous connaissez, mais elle nécessite désormais une authentification supplémentaire pour y accéder.

Assurez-vous donc de profiter de l’authentification à deux facteurs, elle peut être un moyen facile de renforcer votre sécurité WordPress.

7. Utiliser le protocole HTTPS pour les connexions cryptées — Certificat SSL

L’un des moyens les plus négligés de renforcer votre sécurité WordPress consiste à installer un certificat SSL et à exécuter votre site via HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) est un mécanisme qui permet à votre navigateur ou à votre application Web de se connecter en toute sécurité à un site Web. Une idée fausse est que si vous n’acceptez pas les cartes de crédit, vous n’avez pas besoin de SSL.

Eh bien, expliquons quelques raisons pour lesquelles HTTPS est important au-delà du commerce électronique. De nombreux hôtes, dont Kinsta, proposent des certificats SSL gratuits avec Let’s Encrypt.

1.HTTPS

Bien sûr, la principale raison du HTTPS est la sécurité supplémentaire, et oui, cela concerne fortement les sites de commerce électronique. Toutefois, quelle est l’importance de vos informations de connexion ? Pour ceux d’entre vous exécutant des sites Web WordPress multi-auteurs, si vous utilisez HTTP, chaque fois qu’une personne se connecte, ces informations sont transmises au serveur en texte brut. HTTPS est absolument essentiel pour maintenir une connexion sécuriséeSécurité entre un site Web et un navigateur. De cette façon, vous pouvez mieux empêcher les pirates informatiques et/ou un intermédiaire d’accéder à votre site Web.

Ainsi, que vous ayez un blog, un site d’information, une agence, etc., ils peuvent tous bénéficier du HTTPS car cela garantit que rien ne passe jamais en texte brut.

2. SEO

Google a officiellement déclaré que HTTPS était un facteur de classement. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous profiteraient probablement de tous les avantages que vous pouvez obtenir dans les SERP pour battre vos concurrents.

3. Confiance et crédibilité

Selon un sondage de GlobalSign, 28,9 % des visiteurs recherchent la barre d’adresse verte dans leur navigateur. Et 77 % d’entre eux craignent que leurs données ne soient interceptées ou utilisées à mauvais escient en ligne. En voyant ce cadenas vert, les clients auront instantanément plus de tranquillité d’esprit en sachant que leurs données sont plus sécurisées.

4. Données de référence

Beaucoup de gens ne se rendent pas compte que les données de référence HTTPS vers HTTP sont bloquées dans Google Analytics. Qu’advient-il des données ? Eh bien, la plus grande partie est simplement regroupée avec la section « trafic direct ». Si quelqu’un passe de HTTP à HTTPS, le référent est toujours transmis.

5. Avertissements Chrome

Depuis le 24 juillet 2018, les versions de Chrome 68 et supérieures ont commencé à marquer tous les sites non HTTPS comme « non sécurisés ». Qu’ils collectent des données ou non. C’est pourquoi HTTPS est plus important que jamais !

Ceci est particulièrement important si la majorité du trafic de votre site Web provient de Chrome. Vous pouvez consulter Google Analytics dans la section Audience du navigateur et du système d’exploitation afin de voir le pourcentage de trafic que votre site WordPress reçoit de Google Chrome. Google indique beaucoup plus clairement aux visiteurs que votre site Web WordPress pourrait ne pas être exécuté sur une connexion sécurisée.

6. Performances

En raison d’un protocole appelé HTTP/2, les personnes qui exécutent des sites correctement optimisés sur HTTPS peuvent souvent voir des améliorations de la vitesse. HTTP/2 nécessite HTTPS en raison de la prise en charge du navigateur. L’amélioration des performances est due à diverses raisons, telles que la capacité de HTTP/2 à mieux prendre en charge le multiplexage, le parallélisme, la compression HPACK avec codage Huffman, l’extension ALPN et le push de serveur.

Et avec TLS 1.3, les connexions HTTPS sont encore plus rapides. Kinsta prend en charge TLS 1.3 sur tous nos serveurs et sur notre CDN Kinsta.

Pour appliquer une connexion sécurisée et chiffrée entre vous et le serveur lorsque vous vous connectez à votre site et que vous l’administrez, ajoutez la ligne suivante à votre fichier wp-config.php fichier define (‘FORCE_SSL_ADMIN’, vrai)..

8. Durcir votre fichier wp-config.php

Votre fichier wp-config.php est comme le cœur et l’âme de votre installation WordPress. C’est de loin le fichier le plus important de votre site en matière de sécurité WordPress. Il contient les informations de connexion de votre base de données et les clés de sécurité qui gèrent le cryptage des informations contenues dans les cookies. Voici quelques mesures que vous pouvez prendre pour mieux protéger ce fichier important.

1. Déplacer wp-config.php

Par défaut, votre fichier wp-config.php se trouve dans le répertoire racine de votre installation WordPress (votre dossier HTML /public). Mais vous pouvez le déplacer vers un répertoire non accessible par www. Aaron Adams a écrit une excellente explication des raisons pour lesquelles cela est bénéfique.

Pour déplacer votre fichier wp-config.php, il suffit de copier tout ce qui s’y trouve dans un autre fichier. Ensuite, dans votre wp-config.php, vous pouvez placer l’extrait de code suivant pour simplement inclure votre autre fichier. Remarque : le chemin d’accès au répertoire peut être différent en fonction de votre hébergeur Web et de la configuration. Généralement, il s’agit simplement d’un répertoire ci-dessus.