Liste des mauvaises pratiques de CISA qui nuisent à la sécurité de WordPress

CISA, qui signifie Cybersecurity & Infrastructure Security Agency, est une agence fédérale américaine relevant du Department of Homeland Security. Créée en 2018, elle remplace la NPPD - Direction nationale de la protection et des programmes et est chargée d'améliorer la cybersécurité contre les attaques provenant de pirates privés et soutenus par l'État.

CISA effectue beaucoup de travail pour aider à assurer la sûreté et la sécurité des infrastructures et des systèmes critiques. À cette fin, il publie plusieurs guides et listes pour aider les entités gouvernementales et les entreprises privées à maintenir de bonnes pratiques de sécurité et à rester en sécurité en ligne. Vous pouvez tout aussi facilement appliquer les guides de CISA à votre site Web WordPress personnel ou professionnel pour une sécurité conforme aux normes de CISA.

L'une de ces ressources que la CISA met à la disposition du public est son catalogue de mauvaises pratiques. Bien que ce catalogue soit un travail en cours - et le sera toujours en raison de la nature dynamique et évolutive des menaces - il nous donne un aperçu inestimable de ce que la CISA considère comme de véritables mauvaises pratiques.

Sécurité CISA et WordPress

Les mauvaises pratiques de CISA sont souvent répandues dans les environnements WordPress, ce qui rend la liste encore plus pertinente pour les administrateurs WordPress et les propriétaires de sites Web. Heureusement, éliminer ces mauvaises pratiques est facile et peut être fait en un rien de temps.

Si vous cherchez à faire passer votre sécurité au niveau supérieur, reportez-vous au guide de sécurité WordPress pour une liste complète et détaillée de tout ce que vous pouvez faire pour vous assurer que votre site Web est sécurisé.
L'agence a également ouvert une page GitHub où les administrateurs et autres professionnels de l'informatique peuvent donner leur avis sur les mauvaises pratiques à inclure dans le catalogue.

Risque 1 : Utilisation de logiciels non pris en charge

Invariablement, les logiciels sont accompagnés de bogues, ce qui est l'une des raisons pour lesquelles les développeurs publient des mises à jour. Les mises à jour corrigent non seulement les bogues et les failles de sécurité, mais ajoutent également de nouvelles fonctionnalités et améliorations. L'installation de ces mises à jour dès que possible est très importante pour assurer la sécurité de votre infrastructure.

Les logiciels non pris en charge, tels que les anciennes versions, les logiciels qui ont atteint leur fin de vie et les plugins annulés, ne reçoivent pas de mises à jour, ce qui les rend particulièrement dangereux car ils peuvent introduire des vulnérabilités connues dans votre environnement.
Les attaquants peuvent exploiter ces vulnérabilités pour obtenir un accès non autorisé à votre système. À leur tour, cela leur permet de voler vos données, de désactiver votre site Web et de mener une foule d'autres activités malveillantes.

La solution

L'installation des mises à jour dès que possible peut réduire considérablement le risque associé aux failles de sécurité et aux bogues. De même, vous voulez vous assurer que les fournisseurs et les développeurs que vous choisissez sont réactifs et publient des mises à jour fréquemment (et non une fois par an).

Lorsque vous choisissez des plugins, consultez l'historique des versions pour voir à quelle fréquence les mises à jour sont publiées. Les mises à jour quotidiennes ne sont pas un bon signe ; cependant, les mises à jour annuelles peuvent également indiquer que quelque chose ne va pas. Vous pouvez également consulter les commentaires des utilisateurs pour voir dans quelle mesure le développeur répond aux questions des utilisateurs.

Risque 2 : Mauvais mots de passe

Les mots de passe incorrects incluent les mots de passe par défaut, les mots de passe recyclés, les mots de passe qui ont déjà été divulgués et les mots de passe faibles. Les mauvais mots de passe peuvent être très faciles à déchiffrer, offrant aux attaquants un chemin facile vers vos systèmes. Le partage de mot de passe est une autre mauvaise pratique qui se produit souvent dans les environnements WordPress et au-delà. Les mots de passe partagés augmentent considérablement le risque de fuite de mots de passe et rendent difficile le suivi des problèmes et la responsabilisation de l'équipe.

La solution

Une politique de mot de passe WordPress solide vous aide grandement à éliminer les mauvais mots de passe. WPassword est un plugin WordPress qui offre aux administrateurs un contrôle granulaire sur la façon dont les utilisateurs configurent leurs politiques de mot de passe, garantissant l'utilisation de mots de passe sûrs et efficaces.

Risque 3 : Authentification à facteur unique

L'authentification à facteur unique est le troisième et dernier risque qui figure dans le catalogue des mauvaises pratiques de CISA. Dans les configurations d'authentification à facteur unique, les utilisateurs peuvent se connecter uniquement avec leur nom d'utilisateur et leur mot de passe. Dans les environnements d'authentification à deux facteurs (2FA) ou MFA, les utilisateurs doivent s'authentifier via une deuxième (ou plusieurs) méthode.

L'authentification à facteur unique peut être particulièrement problématique en cas de fuite de mots de passe, et bien qu'une bonne politique de mot de passe contribue grandement à minimiser les risques, un facteur d'authentification secondaire augmente considérablement la sécurité globale de votre site Web WordPress.

2FA est en passe de devenir la référence en matière d'authentification. Bien que son principe soit assez simple, il peut arrêter la plupart des attaques les plus courantes dans leur élan. Cela en fait un favori parmi les géants de l'industrie, les amateurs et tous les autres.

La solution

WordPress n'offre pas 2FA dès la sortie de la boîte. Cependant, la mise en œuvre de 2FA sur votre site Web WordPress est facile, grâce à WP 2FA. Ce plugin WordPress 2FA est livré avec plus d'options que vous ne pouvez en utiliser, garantissant que tous vos utilisateurs peuvent profiter de 2FA pour un WordPress plus sécurisé.

Un plan d'action de sécurité WordPress pour mettre fin aux mauvaises pratiques

Les mauvaises pratiques sont comme les mauvaises habitudes. Ils doivent être contrôlés au fil du temps pour s'assurer que rien ne passe entre les mailles du filet. C'est pourquoi la sécurité de WordPress est un processus itératif ; une à laquelle nous devons assister de temps en temps pour nous assurer que nous suivons les meilleures pratiques à tout moment.

Bien qu'il existe sans aucun doute d'autres mauvaises pratiques qui ne figurent pas sur la liste de CISA, ce qu'elles proposent est un bon point de départ. Récapituler,

1. Installez les mises à jour dès qu'elles sont disponibles. Si vous craignez que les mises à jour ne cassent votre site, installez un environnement intermédiaire pour tester les mises à jour avant de les déployer dans l'environnement en direct.
2. Implémentez une politique de mot de passe WordPress forte en utilisant WPassword pour éliminer les mots de passe faibles de votre environnement. Encouragez les utilisateurs à utiliser un gestionnaire de mots de passe pour atténuer les appels au support pour les mots de passe oubliés qui sont trop complexes.
3. Activez et utilisez des politiques pour exiger une authentification à deux facteurs WordPress pour tous les utilisateurs. Utilisez WP 2FA pour tirer parti de ses nombreuses fonctionnalités, notamment l'intégration d'Authy, les périodes de grâce et l'étiquetage blanc, entre autres.

Bien que la liste de CISA constitue un bon point de départ, la sécurisation de votre site Web WordPress nécessite une approche plus globale. De la garantie de mots de passe forts au renforcement de WordPress, vous pouvez faire beaucoup de choses vous-même en suivant les guides de WP White Security pour une excellente sécurité WordPress.

PS Nous vous recommandons de configurer un environnement de test WordPress si vous avez une expérience limitée de la sécurisation des sites Web WordPress.