Guide de sécurité WordPress : Rendre WordPress sécurisé 2022

Publié: 2022-02-17

Imaginez ceci :

Vous ouvrez votre site WordPress, les yeux brillants, la queue broussailleuse et prêt à télécharger votre dernier article de blog… seulement pour être rencontré par un tas de contenus étranges invitant les gens à acheter des pilules pharmaceutiques sur des sites Web sommaires.

C'est le pire cauchemar de la plupart des webmasters, mais c'est quelque chose qui peut arriver à votre site WordPress… si vous ne mettez pas en place les bonnes pratiques de sécurité.

Nous n'essayons pas de vous effrayer - WordPress est sécurisé. Il dispose d'une équipe de sécurité dédiée et d'une armée de contributeurs et de développeurs compétents pour l'aider à rester ainsi.

Mais si vous ne construisez pas sur cette base sécurisée en suivant les meilleures pratiques de sécurité de WordPress, vous pourriez ouvrir la porte à des acteurs malveillants pour mettre leurs crocs dans votre site Web.

Dans cet article, nous sommes là pour vous aider à découvrir quelles sont ces meilleures pratiques afin que vous puissiez empêcher ce scénario cauchemardesque de devenir une réalité.

À cette fin, nous allons couvrir les sections suivantes :

  • WordPress est-il sécurisé ?
  • Pourquoi vous ne devriez pas attendre pour mettre de l'ordre dans votre sécurité
  • 21 choses que vous pouvez faire pour la sécurité dès maintenant
  • Les risques d'une faille de sécurité
  • Comment savoir si votre site a été piraté
  • Trois plugins de sécurité WordPress de premier ordre
  • Trois tactiques de sécurité les plus importantes à mettre en œuvre
  • Surveillance et correction des failles de sécurité de WordPress

Bien que cela puisse vous prendre quelques heures pour parcourir les meilleures pratiques de cet article, ce petit investissement portera désormais ses fruits à l'avenir sous la forme d'un site WordPress sécurisé et à l'épreuve des balles.

WordPress est-il sécurisé ?

WordPress alimente plus de 43 % de tous les sites Web sur Internet, ce qui signifie qu'il s'agit d'une cible juteuse pour les acteurs malveillants.

Le fait que WordPress soit si populaire signifie également qu'il est utilisé par une grande variété de personnes, y compris des personnes ayant des niveaux de connaissances très différents. Pensez à un développeur expérimenté par rapport à quelqu'un qui vient de lancer son premier blog… et à tous les autres.

Il y a une bonne et une mauvaise nouvelle ici…

Bonnes nouvelles:

WordPress est sécurisé. C'est pourquoi il est utilisé par tant de gens ordinaires, ainsi que par de grandes organisations comme la Maison Blanche américaine et Facebook.

WordPress est utilisé par de grandes marques qui valorisent la sécurité

Facebook et la Maison Blanche ne confieraient pas leurs sites Web à une plate-forme non sécurisée. De plus, 43 % des sites Web sur Internet ne fonctionneraient pas sur WordPress s'il n'était pas sécurisé.

Mauvaise nouvelle :

De nombreux sites WordPress sont piratés. Dans les rapports de sites Web piratés de Sucuri, WordPress est régulièrement la plate-forme la plus piratée ( rappelez-vous - c'est super populaire ).

Alors – comment WordPress peut-il être sûr et avoir des sites piratés ? Ces choses ne sont-elles pas mutuellement exclusives ?

Eh bien, la réponse réside entièrement dans la façon dont les gens utilisent WordPress.

Si vous suivez de manière proactive les meilleures pratiques de sécurité, comme celles que nous aborderons dans cet article, vous pouvez sécuriser votre site WordPress et éviter les problèmes.

WordPress dispose d'un vaste appareil de sécurité en place, y compris une équipe de sécurité officielle de plus de 50 membres et un éventail de développeurs expérimentés qui créent des extensions sécurisées et signalent les problèmes potentiels.

Ces personnes font un excellent travail pour sécuriser WordPress – mais vous devez toujours faire votre part si vous voulez que cela continue.

Si vous ne vous basez pas sur le travail acharné de ces contributeurs WordPress et ne suivez pas les meilleures pratiques, vous pouvez faire des erreurs qui ouvrent des trous dans le logiciel WordPress, que ce soit en utilisant un mot de passe faible, en installant un plugin vulnérable ou autre chose.

Pourquoi vous ne devriez pas attendre pour prendre au sérieux la sécurité de WordPress

La sécurité de WordPress est l'une de ces choses qui donnent l'impression que ce n'est pas un gros problème… jusqu'à ce que ce soit vraiment un gros problème .

Vous avez beaucoup de choses à faire en termes de marketing et de développement de votre site, il est donc facile de repousser la sécurité car il est difficile de lier les améliorations de la sécurité à des mesures de croissance telles que le trafic ou les revenus.

Nous sommes un peu directs ici, mais cette ligne de pensée est incroyablement myope. La mise en œuvre de la liste de contrôle de sécurité WordPress ci-dessous prend un certain temps et potentiellement un peu d'argent, mais ces coûts sont minimes par rapport à ce que vous "payerez" si votre site est piraté.

Une faille de sécurité vous «coûtera» facilement plus en termes de temps perdu, de revenus, de trafic SEO et de confiance avec vos visiteurs.

Fondamentalement, vous ne voulez pas jouer avec la sécurité de votre site. Prenez le temps maintenant de vous protéger d'un coût énorme plus tard.

20 choses que vous pouvez faire dès maintenant à propos de la sécurité de WordPress

Jusqu'à présent, nous avons parlé de théorie. Maintenant, commençons à adopter des tactiques pratiques pour verrouiller votre site, en commençant par une liste de contrôle de sécurité WordPress que vous pouvez mettre en œuvre pour protéger votre site aujourd'hui.

1. Comprendre les thèmes de sécurité WordPress de base

Avant de modifier quoi que ce soit sur votre site, vous voudrez comprendre les thèmes de base de la sécurité WordPress :

  • Limiter l'accès - limitez l'accès à votre site, à la fois via les méthodes prévues (comptes d'utilisateurs) et les méthodes non intentionnelles (vulnérabilités).
  • Contenir les problèmes - si un acteur malveillant obtient l'accès, vous souhaitez limiter les dommages qu'il peut causer.
  • N'utilisez que des tiers de confiance - bien que le noyau WordPress soit sécurisé, chaque extension que vous ajoutez à votre site est une vulnérabilité potentielle.

2. Appliquez rapidement les mises à jour WordPress

Pour protéger votre site contre les vulnérabilités de sécurité émergentes, il est essentiel d'appliquer rapidement les mises à jour principales de WordPress, les mises à jour des plugins et les mises à jour des thèmes. Cela est particulièrement vrai pour les mises à jour de sécurité, que vous devez appliquer immédiatement*.

*Les mises à jour de sécurité ont deux points dans le numéro de version - par exemple 5.9.1. Vous pouvez attendre d'appliquer les principales mises à jour de fonctionnalités, qui n'ont qu'un seul point - par exemple 5.9.

3. Utilisez des mots de passe forts pour tout

L'utilisation de mots de passe forts et uniques pour votre compte d'administrateur WordPress, votre compte d'hébergement et d'autres outils (par exemple, les informations d'identification SFTP) peut contribuer grandement à prévenir les attaques par force brute et d'autres types d'attaques basées sur la connexion.

Pour stocker les mots de passe en toute sécurité, vous pouvez utiliser un gestionnaire de mots de passe tel que Bitwarden ou LastPass. Ces gestionnaires de mots de passe peuvent également vous aider à générer des mots de passe uniques.

4. Utilisez des plugins de confiance

Installez uniquement les plugins de développeurs de confiance qui maintiennent activement le plugin pour tenir compte des nouvelles versions de WordPress et des vulnérabilités récemment découvertes.

5. Sécurisez votre ordinateur

Assurez-vous que l'ordinateur que vous utilisez pour accéder à votre site WordPress est propre. Utilisez un logiciel antivirus de qualité et effectuez régulièrement des analyses de logiciels malveillants.

6. Verrouillez votre page de connexion

En plus d'utiliser des mots de passe forts, vous pouvez protéger votre page de connexion en utilisant des tactiques telles que la limitation des tentatives de connexion et l'authentification à deux facteurs. Vous pouvez accomplir cela avec des plugins gratuits spécifiques à des fonctionnalités tels que Limit Login Atempts Reloaded et Two Factor Authentication. Ou, vous pouvez utiliser certains des grands plugins de sécurité WordPress dont nous parlerons plus tard dans cet article.

Vous pouvez également modifier l'URL de connexion WordPress. Bien que cela n'ajoute pas beaucoup de sécurité de connexion supplémentaire si vous mettez en œuvre les conseils ci-dessus, cela peut réduire le trafic des bots.

7. Effectuez des sauvegardes régulières

Prendre des sauvegardes régulières et les stocker dans un endroit long est un élément énorme de la sécurité de WordPress. Si vous avez une sauvegarde récente en place, une faille de sécurité dans le pire des cas est un inconvénient plutôt qu'une catastrophe en ce qui concerne les données de votre site.

De nos jours, la plupart des hébergeurs WordPress gérés proposent des sauvegardes automatiques hors site. Sinon, vous pouvez utiliser un plugin comme UpdraftPlus.

8. Utilisez l'hébergement sécurisé

Utilisez un hébergeur WordPress de haute qualité qui implémente des protocoles de sécurité solides tels que des pare-feu et des analyses de logiciels malveillants. Bien que vous ne devriez pas compter uniquement sur votre hébergeur, un hébergeur WordPress de qualité peut grandement contribuer à sécuriser votre site WordPress.

9. Installez un certificat SSL et utilisez HTTPS

Assurez-vous d'avoir installé un certificat SSL et configuré votre site pour forcer tout le trafic vers la version HTTPS sécurisée. Cela garantit que toutes les données transmises entre le navigateur Web d'un visiteur et le serveur de votre site sont cryptées.

Vous pouvez consulter l'équipe d'assistance ou la documentation de votre hébergeur pour savoir comment installer un certificat SSL et des plugins comme Really Simple SSL peuvent vous aider à forcer le trafic HTTPS sur votre site.

10. Utilisez SFTP et ne stockez pas les mots de passe

Assurez-vous d'utiliser SFTP lorsque vous vous connectez au serveur de votre site, plutôt que FTP simple (qui n'est pas crypté). De plus, essayez d'éviter de stocker vos mots de passe SFTP dans votre client FTP à moins qu'ils ne soient chiffrés et protégés par un mot de passe.

11. Désactiver XML-RPC

XML-RPC aide certaines applications, telles qu'une application iPhone, à se connecter à votre site WordPress. La plupart des gens n'utiliseront jamais ces applications pour se connecter, ce qui signifie que XML-RPC n'est qu'un vecteur de vulnérabilité inutile pour les attaques par force brute ou DDoS.

Pour cette raison, la plupart des gens désactivent XML-RPC, ce que vous pouvez accomplir avec un plugin comme Disable XML-RPC ou l'un des plugins de sécurité généraux dont nous parlerons plus tard.

12. Désactiver l'édition de fichiers

Par défaut, WordPress permet aux utilisateurs administrateurs de modifier directement les fichiers de thème et de plug-in à partir du tableau de bord WordPress, ce qui constitue une énorme vulnérabilité si un acteur malveillant accède un jour à votre tableau de bord.

Vous pouvez le désactiver en ajoutant une ligne à votre fichier wp-config.php .

13. Surveiller les problèmes de sécurité

La mise en place de politiques de surveillance de la sécurité régulières peut vous aider à détecter les problèmes avant qu'ils ne deviennent plus importants. Nous parlerons des pratiques de surveillance appropriées plus tard dans cet article.

14. Fichiers et dossiers WordPress sécurisés

Certains fichiers et dossiers WordPress sont particulièrement vulnérables, vous devrez donc porter une attention particulière à la sécurisation du fichier wp-config.php et des dossiers wp-admin et wp-includes .

15. Implémenter les autorisations de fichiers appropriées

Les autorisations de fichiers contrôlent l'accès des utilisateurs et des programmes aux fichiers et dossiers de votre serveur d'hébergement. S'ils ne sont pas correctement configurés, ils peuvent permettre à des acteurs malveillants d'accéder à des fichiers importants tels que votre fichier wp-config.php ou votre fichier .htaccess .

Pour connaître les autorisations appropriées pour WordPress, vous pouvez lire cette page WordPress.org.

16. Envisagez la journalisation des activités

La journalisation des activités vous permet de suivre ce qui se passe sur votre site, ce qui peut vous aider à détecter les comportements suspects avant qu'ils ne deviennent un problème majeur.

Pour configurer la journalisation des activités, vous pouvez utiliser un plugin spécialisé comme WP Activity Log. Ou, certains plugins de sécurité WordPress polyvalents incluent également une fonctionnalité de journalisation.

17. Ajouter les derniers en-têtes de sécurité

Les en-têtes de sécurité HTTP peuvent aider à sécuriser votre site en contrôlant la façon dont les navigateurs Web interagissent avec le contenu de votre site. Vous les configurerez généralement au niveau du serveur - KeyCDN a un excellent article expliquant les en-têtes de sécurité les plus importants.

18. Sécurisez votre base de données

L'utilisation d'un préfixe de table de base de données unique et d'un nom de base de données unique peut rendre légèrement plus difficile pour les acteurs malveillants d'injecter du contenu malveillant dans votre base de données, bien que certains experts débattent de son utilité. Étant donné que ce changement est facile à appliquer, cela en vaut la peine même s'il s'agit d'une petite quantité de "sécurité par l'obscurité".

19. Désactiver le lien dynamique

Le fait que d'autres sites relient vos images à vos images ne constituent peut-être pas un risque direct pour la sécurité, mais cela peut avoir un effet négatif sur votre serveur en termes de gaspillage de ressources. C'est donc une bonne pratique de sécurité de désactiver le hotlinking.

20. Configurer la protection DDoS à l'avance

Ayez un plan pour faire face aux attaques par déni de service distribué. Vous pouvez demander à votre hébergeur quelles sont les protections qu'il a mises en place ou ajouter votre site à Cloudflare afin de pouvoir activer rapidement le mode "Je suis sous attaque" de Cloudflare si nécessaire.

Quels sont les risques lorsqu'un site est piraté ?

Il existe trois principaux types de risques si votre site est piraté…

Risques pour vos visiteurs Web

Si vous stockez des données sur vos visiteurs, des acteurs malveillants pourraient avoir accès à toutes ces informations, ce qui pourrait entraîner des problèmes d'usurpation d'identité ou de vol financier selon les données que vous stockez.

Des acteurs malveillants pourraient également essayer d'inciter les utilisateurs à télécharger des fichiers malveillants et à infecter leurs ordinateurs.

Risques pour les propriétaires de sites

Une faille de sécurité peut causer des problèmes directs sous la forme de données perdues, de temps perdu et d'indisponibilité du site. Si vous ne maintenez pas de sauvegardes régulières ( ce qui, espérons-le, n'est pas le cas après avoir lu ce guide ), vous risquez même de perdre l'intégralité de votre site et de devoir reconstruire à partir de zéro.

Une violation peut également causer des problèmes moins tangibles, tels qu'une perte de confiance avec vos visiteurs ou une atteinte à la réputation générale.

Risque pour les autres sites

Si vous utilisez un hébergement mutualisé et/ou hébergez certains de vos autres sites sur le même compte d'hébergement, un site piraté peut rapidement se propager à d'autres sites si les sites ne sont pas étroitement isolés les uns des autres. De cette façon, avoir un site infecté peut agir comme un domino pour supprimer d'autres sites, même si ces sites seraient autrement sécurisés.

Comment savoir si votre site WordPress a été piraté

Vous pouvez découvrir que votre site a été piraté de deux manières :

  • Signes réactifs - vous découvrez un problème parce que vous voyez le problème sur votre site.
  • Signes proactifs - vos protocoles de surveillance de la sécurité vous alertent du problème avant qu'il ne se manifeste sur votre site.

Idéalement, vous souhaitez utiliser des outils qui vous permettent de résoudre les problèmes de manière proactive, plutôt que d'attendre qu'ils deviennent un problème. De cette façon, vous pouvez minimiser les dommages causés à votre site.

Signes réactifs de piratage

  • Alerte du navigateur - la plupart des navigateurs afficheront un avertissement si vous visitez une page infectée. Si cela se produit lorsque vous visitez votre propre site, vous savez que vous avez un problème.
  • Alerte du moteur de recherche – Google alertera également les visiteurs s'ils cliquent sur un lien menant à un site infecté. Il dit quelque chose comme "Ce site peut être piraté".
  • Services de webmaster – si vous utilisez Google Search Console, Google vous avertira des problèmes de sécurité si vous accédez à Sécurité et actions manuelles → Problèmes de sécurité .
  • Visiteurs Web - si les visiteurs Web rencontrent un contenu malveillant, ils peuvent vous le dire directement.
Google Chrome affiche un avertissement si un site est infecté par un logiciel malveillant

Signes proactifs de piratage

  • Scanner de logiciels malveillants - un scanner de logiciels malveillants peut détecter un code malveillant sur votre serveur même s'il n'a pas commencé à affecter l'interface de votre site.
  • Vérifications de l'intégrité des fichiers - si les fichiers principaux de WordPress ne correspondent pas aux versions officielles, c'est un signe que quelque chose ne va pas sur votre site. La plupart des plugins de sécurité vous alertent automatiquement si un fichier core a été modifié.
  • Moniteurs de trafic – surveiller le trafic de votre site WordPress vous aidera à détecter les irrégularités au fur et à mesure qu'elles se produisent.
Le plugin Wordfence propose des analyses de sécurité WordPress

Trois meilleurs plugins et outils de sécurité WordPress

Si vous voulez une tranquillité d'esprit supplémentaire en matière de sécurité WordPress, vous pouvez envisager d'utiliser un plugin ou un service de sécurité WordPress dédié.

Bien que ces outils n'éliminent pas complètement la nécessité d'être vigilant, ils peuvent gérer la plupart des meilleures pratiques de sécurité WordPress pour vous.

Voici trois des meilleurs :

1. Clôture des mots

Wordfence est l'un des meilleurs plugins de sécurité WordPress

Wordfence est le plugin de sécurité WordPress le plus populaire sur WordPress.org. Il dispose d'un ensemble complet de fonctionnalités qui peuvent protéger et surveiller tous les domaines de la sécurité de votre site :

  • Pare-feu d'application Web (WAF) pour bloquer de manière proactive les menaces avant qu'elles ne puissent nuire à votre site. Inclut un ensemble de définitions constamment mis à jour pour bloquer les menaces émergentes.
  • Analyse des logiciels malveillants et de la sécurité pour détecter les infections ou les vulnérabilités de sécurité.
  • Fonctionnalités de sécurité de connexion, notamment la limitation des tentatives de connexion, l'authentification à deux facteurs, la protection contre les fuites de mot de passe, la désactivation/renforcement XML-RPC, etc.
  • Journalisation en temps réel pour détecter les acteurs malveillants.
  • Des notifications pour vous alerter instantanément des problèmes potentiels sur votre site.
  • De nombreuses autres tactiques de renforcement plus petites, notamment la détection des modifications de fichiers.
  • Tableau de bord de sécurité central qui vous permet de gérer la sécurité de plusieurs sites à partir d'un seul endroit.

Il existe une version gratuite sur WordPress.org et Wordfence Premium à partir de 99 $.

2. Sucuri

Sucuri est un plugin et un pare-feu

Sucuri c'est deux choses :

  1. Un plugin gratuit sur WordPress.org qui implémente des pratiques de renforcement de la sécurité de base.
  2. Un service de pare-feu payant qui se trouve devant votre serveur et bloque le trafic malveillant avant qu'il ne puisse accéder à votre site.

Pour une meilleure protection, vous voudrez utiliser les deux outils.

Le plugin gratuit Sucuri implémente les fonctionnalités de renforcement de sécurité suivantes :

  • Surveillance de l'intégrité des fichiers
  • Journaux d'audit
  • Surveillance automatique de la liste noire
  • Options de renforcement de base telles que la désactivation de l'édition de fichiers et le blocage de certains fichiers PHP
  • Surveillance des échecs de connexion pour détecter les attaques par force brute
  • Alertes de sécurité automatiques par e-mail

Pour utiliser le service de pare-feu, vous changerez les serveurs de noms de votre domaine en Sucuri et le pare-feu de Sucuri protégera votre site au niveau du réseau.

Le plugin Sucuri est gratuit mais le pare-feu commence à 10 $ par mois. Vous pouvez également payer pour un plan de sécurité complet du site Web qui comprend le nettoyage et la suppression des logiciels malveillants. Ces plans commencent à 200 $ par an.

3. Sécurité iThèmes

iThemes Security Pro pour WordPress

iThemes Security est un autre outil populaire qui peut vous aider à renforcer votre site et à surveiller les problèmes de sécurité.

Voici en quoi cela peut aider :

  • Le scanner de site détectera automatiquement les vulnérabilités connues sur votre site.
  • Protection de la connexion, y compris l'authentification à deux facteurs, la limitation des tentatives de connexion, les appareils de confiance, les exigences de mot de passe fort, etc.
  • Journaux de sécurité, y compris la journalisation des événements de sécurité et la journalisation des activités des utilisateurs.
  • Détection de changement de fichier pour voir si les fichiers principaux ont été modifiés.
  • Notifications par e-mail pour vous alerter instantanément des problèmes de sécurité potentiels.
  • Renforcement général de WordPress, y compris la désactivation de XML-RPC, la désactivation de l'édition de fichiers, la vérification des autorisations de fichiers, etc.

Une fonctionnalité qu'iThemes Security n'offre pas est un pare-feu - les développeurs recommandent de l'associer au service de pare-feu de Sucuri si vous voulez un pare-feu.

Bien qu'il existe une version gratuite limitée d'iThemes Security sur WordPress.org, vous voudrez iThemes Security Pro pour la meilleure protection. Cela commence à 80 $.

Concentrez-vous sur ces trois choses pour le plus grand retour sur investissement de la sécurité WordPress

Comme beaucoup de choses dans la vie, la sécurité de WordPress suit le principe de Pareto 80/20. Autrement dit, se concentrer sur quelques tactiques de sécurité WordPress fondamentales vous permettra d'avoir un site sécurisé.

Ainsi, même si nous pensons certainement qu'il est important de suivre la liste de contrôle de sécurité WordPress que nous avons partagée ci-dessus, se concentrer sur seulement trois domaines vous protégera de la plupart des problèmes de sécurité WordPress.

Passons par eux…

1. Plugins

Alors que le logiciel principal de WordPress est sécurisé ( tant que vous le maintenez à jour ), les plugins introduisent des variables que l'équipe principale ne peut pas contrôler, ce qui en fait l'un des plus grands vecteurs d'attaque pour les acteurs malveillants.

Cependant, les plugins sont également une partie essentielle de WordPress, donc ne pas les utiliser n'est pas une option réaliste.

Voici trois façons de continuer à bénéficier des plugins tout en minimisant grandement vos risques :

  • Évitez les plugins abandonnés - si un plugin n'est plus maintenu, cela signifie qu'il n'y a personne pour résoudre les problèmes nouvellement découverts et le maintenir compatible avec les nouvelles versions de WordPress.
  • Achetez uniquement auprès de développeurs réputés - utilisez des développeurs de confiance comme HeroThemes qui suivent les meilleures pratiques de sécurité WordPress et restent au fait des menaces émergentes.
  • Mettez à jour régulièrement – ​​même les meilleurs plugins des meilleurs développeurs peuvent parfois avoir des vulnérabilités nouvellement découvertes. Les développeurs de qualité corrigeront ces vulnérabilités avant qu'elles ne deviennent un problème - tant que vous effectuez rapidement la mise à jour.

2. Attaques par force brute

Les attaques par force brute sont un vecteur d'attaque courant qui repose sur l'accès à votre site via la page de connexion. Peu importe à quel point le reste de votre site est sécurisé - si un acteur malveillant peut deviner votre nom d'utilisateur et votre mot de passe, il a les clés de la porte d'entrée.

Voici comment vous protéger :

  • Utilisez des mots de passe forts et uniques – choisissez un mot de passe fort pour tous vos comptes et ne réutilisez pas le même mot de passe à plusieurs endroits.
  • Limitez les tentatives de connexion - empêchez les gens de forcer brutalement votre page de connexion en limitant les tentatives de connexion infructueuses et/ou en ajoutant un CAPTCHA.
  • Envisagez l'authentification à deux facteurs - pour encore plus de sécurité, vous pouvez envisager d'utiliser l'authentification à deux facteurs par SMS ou idéalement une application pour smartphone ou une clé matérielle.
  • Nom d' utilisateur unique - n'utilisez pas "admin" comme nom d'utilisateur et essayez de rendre votre nom d'utilisateur difficile à deviner.
Un exemple de limitation des tentatives de connexion sur WordPress

3. Compte d'hébergement

Votre site WordPress pourrait être parfaitement verrouillé ; mais si un acteur malveillant accède à votre compte d'hébergement, il peut faire à peu près tout ce qu'il veut sur votre site.

Pour arrêter cela, il est essentiel de verrouiller également votre compte d'hébergement et votre serveur :

  • Utilisez des mots de passe forts – comme pour votre compte WordPress, utilisez des mots de passe forts et uniques pour vos comptes d'hébergement et SFTP.
  • Activez l'authentification à deux facteurs - la plupart des hébergeurs prennent en charge l'authentification à deux facteurs - profitez-en.
  • Utilisez SFTP - connectez-vous toujours via SFTP et non via FTP non crypté.
  • Ne stockez pas les mots de passe SFTP - ne stockez pas les mots de passe SFTP non chiffrés dans votre client FTP.

Surveillance, identification et correction des failles de sécurité WordPress

Si vous mettez en œuvre toutes les tactiques de sécurité WordPress ci-dessus, vous ne devriez, espérons-le, jamais avoir à faire face à une faille de sécurité.

Cependant, il est toujours possible que quelque chose passe entre les mailles du filet, c'est pourquoi il est important d'avoir un plan en place pour détecter et résoudre les problèmes de sécurité.

Surveillance des vulnérabilités

  • Analysez votre site - utilisez des outils comme Sucuri SiteCheck pour détecter les problèmes de liste noire et analysez votre serveur avec un plugin de sécurité.
  • Google Search Console – faites attention aux avertissements dans la section des problèmes de sécurité.
  • Utilisez la commande de site Google dans la recherche - recherchez site:votresite.com pour voir si Google a indexé du contenu qui semble malveillant. Il peut s'agir de contenu que vous n'avez pas créé ou de contenu avec des titres/méta descriptions bizarres.
  • Journal d'activité - parcourez le journal d'activité de votre site pour détecter les activités suspectes.
  • Vérifiez les analyses - recherchez les baisses ou les pics inexpliqués dans vos analyses de trafic.
  • Fichier .htaccess - faites attention aux modifications apportées à votre fichier .htaccess, car c'est là que de nombreux acteurs placeront des redirections malveillantes ou mettront en place des règles d'agent utilisateur pour cacher leur spam SEO aux visiteurs humains.
Un exemple de vérification de la liste noire dans Sucuri SiteCheck

Identifier les problèmes

Une fois que vos efforts de surveillance ont détecté quelque chose qui ne va pas, il est temps d'identifier le problème spécifique sur votre site afin que vous puissiez le résoudre et faire fonctionner votre site. Pour ce faire, vous pouvez utiliser un plugin de sécurité pour analyser votre site et identifier les fichiers malveillants et les portes dérobées.

Réparer votre site

Une fois que vous avez identifié le problème spécifique, il est temps de réparer votre site.

Il existe plusieurs itinéraires différents que vous pouvez emprunter ici en fonction de la gravité de l'infection et de votre niveau de connaissances :

  • Utilisez un plugin de sécurité – de nombreux plugins de sécurité proposent des correctifs en un clic, soit en nettoyant le fichier, soit en restaurant votre site vers une version propre.
  • Engagez un expert - si vous vous sentez dépassé, vous pouvez payer pour un service expert comme la sécurité du site Web de Sucuri ou les services de nettoyage du site Wordfence.
  • Effectuez un nettoyage manuel - si vous avez les connaissances techniques, vous pouvez nettoyer votre site manuellement - MalCare a un guide détaillé sur la façon d'effectuer un nettoyage manuel.

Si votre site a été mis sur liste noire par Google, vous souhaiterez également demander un examen après avoir nettoyé votre site. Vous pouvez le faire à partir de la section Problèmes de sécurité de Google Search Console.

Gardez votre site WordPress sécurisé

WordPress est sécurisé, mais les façons dont les gens utilisent WordPress ne sont pas toujours sécurisées.

Prendre un peu de temps maintenant pour créer un plan proactif pour la sécurité de WordPress rapportera des dividendes sous la forme d'un site sécurisé et évitera d'avoir à faire face à une violation à l'avenir.

Vous pouvez mettre en œuvre les conseils de cet article et suivre une liste de contrôle de sécurité WordPress comme la liste de contrôle de Wordfence. Si vous souhaitez un coup de main, vous pouvez également obtenir l'aide d'un développeur ou louer un service de maintenance WordPress.

La sécurité WordPress n'est pas non plus quelque chose dans laquelle vous êtes seul. Vous avez toute la communauté WordPress sur votre site pour vous aider à créer des sites plus sécurisés.

Chez HeroThemes, nous nous concentrons sur la création de plugins et de thèmes sécurisés et fiables qui vous permettent d'étendre votre site WordPress tout en le gardant sécurisé. Il y a des tas d'autres développeurs qui font de même.

Si vous vous en tenez à des extensions comme celles-ci et suivez d'autres bonnes pratiques de sécurité, vous pouvez profiter des avantages d'un site WordPress sécurisé.