Comment mener un audit de sécurité WordPress

Sécuriser votre site WordPress n'est pas une affaire unique. Peu importe à quel point vous faites confiance à votre plugin de sécurité ou à quel point vous avez approfondi le renforcement de votre site Web, un site Web sûr aujourd'hui ne fera pas un site Web sûr demain. Pour tenir les pirates à distance, vous devez effectuer régulièrement des audits de sécurité WordPress et combler les failles de sécurité que vous trouvez.

Les tactiques de piratage de sites Web progressent constamment, et avec elles, les mesures préventives pour assurer la sécurité de votre site. Considérez-le comme un cycle. Plus un site Web est sûr, plus les pirates informatiques doivent être créatifs pour y accéder, ce qui signifie que votre site Web doit devenir encore plus sûr, et ainsi de suite.

Visez à effectuer un audit de sécurité WordPress tous les trois mois au moins. Chaque mois est meilleur, et chaque semaine (ou même quotidiennement, selon la sensibilité de votre site) est le meilleur. Et bien sûr, si vous pensez que quelque chose ne va pas avec votre site, effectuez immédiatement un audit de sécurité. L'un des éléments suivants devrait déclencher un drapeau rouge :

• Votre site Web est lent et lent tout d'un coup.
• Il y a une forte baisse du trafic sur le site Web sans raison apparente.
• Il y a de nouveaux comptes, des tentatives de connexion ou des demandes de « mot de passe oublié ».
• Les nouveaux liens que vous n'avez pas ajoutés se trouvent sur votre site.

Les étapes suivantes sont indispensables pour maintenir votre site en parfait état, en toute sécurité. Avec une liste de contrôle à portée de main, vous simplifierez vos audits au lieu de les accabler.

Un aperçu de l'audit de sécurité WordPress

À un moment ou à un autre, presque tous les sites Web WordPress rencontreront un type de problème de sécurité. Un plugin ou un thème courant est en proie à une vulnérabilité, permettant aux pirates d'accéder directement à votre site. Une fois votre site piraté, un certain nombre de choses peuvent se produire :

• Les données personnelles des clients volées
• Annonces et contenus illégaux affichés
• Trafic dévié ailleurs
• Données WordPress cryptées, supprimées ou vendues

C'est bien plus qu'un casse-tête ou un site en panne pendant quelques heures. Les pirates peuvent détenir vos données contre rançon. Les informations de votre site peuvent être vendues sur le Dark Web. Google peut mettre votre site sur liste noire pour afficher du spam sur des pages Web. Les clients peuvent vous poursuivre si leurs informations de carte de crédit sont volées. D'autres sites Web peuvent être infectés une fois que des pirates ont eu accès au vôtre.

Les audits de sécurité de WordPress identifient ces vulnérabilités afin que vous puissiez les corriger immédiatement - avant qu'un pirate ne se soit introduit. Vous vous assurerez que les mesures de sécurité que vous prenez actuellement fonctionnent toujours, et vous découvrirez également où vous besoin de plus de protection.

Évaluez le plugin de sécurité que vous utilisez

Votre plugin de sécurité WordPress est l'un des outils les plus importants pour protéger votre site. Assurez-vous que votre plugin de sécurité fonctionne toujours de la manière suivante :

• Journal d'activité : cela suit les utilisateurs de votre site, y compris qui s'est connecté et quand, les tentatives de connexion infructueuses et les modifications du site.
• Pare-feu : cela bloquera les robots, les pirates et les adresses IP qui tentent d'accéder à votre site.
• Tentatives de connexion : les plugins de sécurité de qualité appliqueront des mots de passe forts, exigeront une authentification à deux facteurs et limiteront les tentatives de connexion.
• Protection de la connexion : cela bloque les attaques par force brute, c'est-à-dire lorsque les pirates essaient différentes combinaisons de nom d'utilisateur et de mot de passe pour se connecter.
• Analyses et nettoyages des logiciels malveillants : cela devrait être exécuté quotidiennement, en analysant en profondeur la base de données, les fichiers et les dossiers de votre site à la recherche de logiciels malveillants et en effaçant tout ce qu'il trouve.
• Alertes en temps réel : le plugin devrait vous avertir immédiatement s'il y a quelque chose de suspect sur votre site Web.

Vous n'avez pas encore de plugin de sécurité ? Envisagez d'en obtenir un comme étape préliminaire dans votre audit de sécurité WordPress. Nous avons rassemblé les 6 meilleurs plugins de sécurité WordPress parmi lesquels choisir.

Testez votre solution de sauvegarde de site Web

Si quelque chose ne va pas sur votre site et qu'il est impossible ou trop complexe de le réparer, avoir une sauvegarde WordPress signifie que vous pouvez restaurer votre site à son état antérieur avant que le problème ne se produise. Cependant, si votre sauvegarde échoue, vous n'avez rien à restaurer, ce qui signifie que vous pourriez être bloqué avec un site infecté ou défectueux. Idéalement, vous utiliserez une solution de sauvegarde (que ce soit celle fournie par votre hébergeur ou un plugin que vous utilisez) qui vous permet de tester vos sauvegardes, comme BlogVault. Vous pouvez également lire notre article avec les 6 meilleurs plugins de sauvegarde WordPress.

Passez en revue votre administrateur WordPress et votre configuration FTP

Avec WordPress, plusieurs personnes peuvent se connecter pour travailler sur différents projets, mais cela ne signifie pas que chaque personne disposant d'une connexion doit avoir un accès complet à votre site Web. Et lorsqu'il s'agit de votre client FTP, autoriser l'accès à plusieurs personnes signifie qu'ils pourraient apporter des modifications à votre site… eh bien, tout.

Lorsque vous ajoutez un nouvel utilisateur dans WordPress, vous lui attribuez un rôle (et vous pouvez également modifier son profil pour modifier son rôle) :

Différents rôles ont des capacités différentes. Par exemple, un administrateur peut accéder à tous les outils d'administration du site (comme changer le thème ou installer un plugin), mais un contributeur ne peut écrire et gérer que ses propres publications. Voici une ventilation complète des différents rôles et de leurs capacités.

Pour votre audit de sécurité WordPress, procédez comme suit :

• Découvrez quels utilisateurs WordPress ont un accès de niveau administrateur.
• Décidez si tous ces utilisateurs ont besoin de ce niveau d'accès (et si d'autres qui ont un accès limité doivent être des administrateurs).
• Réduisez les autorisations et restreignez l'accès en mettant à jour les rôles d'utilisateur pour ces personnes.
• Si vous ne reconnaissez pas les utilisateurs dans le tableau de bord, supprimez-les. Il peut s'agir de comptes créés par un pirate.
• Certains noms d'utilisateur sont-ils simplement "admin" ? Il s'agit d'un nom d'utilisateur trop courant et que les pirates essaient souvent d'utiliser pour accéder à votre site. Créez un nouveau compte utilisateur pour la personne et supprimez l'ancien compte.
• Supprimez les comptes FTP des utilisateurs qui n'ont pas besoin d'un niveau d'accès aussi élevé.

Enfin, si votre site autorise les membres, vous voulez vous assurer qu'ils doivent réellement créer un compte lors de leur inscription et que leur rôle par défaut n'autorise pas l'accès administrateur. Accédez à Paramètres > Général . Décochez la case à côté de Tout le monde peut s'inscrire . Ensuite, sélectionnez l'option appropriée sous Nouveau rôle utilisateur par défaut .

Assurez-vous que WordPress est à jour

Vous pouvez avoir cette exécution automatique, mais il est toujours avantageux de vérifier que WordPress est mis à jour vers sa version la plus récente. Les mises à jour ne se contentent pas de corriger les failles de sécurité, elles améliorent également les performances et ajoutent des fonctionnalités. Accédez à Tableau de bord > Mises à jour pour voir si l'une est prête.

Nettoyez vos plugins et thèmes

Les plugins peuvent étendre les capacités de votre site Web, mais ils sont également vulnérables aux attaques, surtout s'ils restent trop longtemps sans mise à jour. Les développeurs fiables resteront au courant des vulnérabilités de leur plugin et publieront des mises à jour avec des correctifs. Lors de votre mise à jour de sécurité WordPress, dirigez-vous vers votre liste de plugins et procédez comme suit :

• Désactivez et désinstallez tous les plugins que vous n'utilisez plus ou que vous ne reconnaissez pas.
• Mettez à jour tous les plugins restants qui ont des mises à jour prêtes.
• Si vous utilisez un plugin qui n'a pas reçu de mises à jour du développeur, envisagez d'en utiliser un autre qui a la même fonctionnalité - un plugin obsolète est trop vulnérable aux problèmes de sécurité.

Même si vous faites votre audit de sécurité WordPress une fois par mois environ, c'est une bonne idée de vérifier vos plugins plus régulièrement pour les mettre à jour si nécessaire. Supprimez également tous les thèmes que vous n'utilisez pas actuellement ou dont vous ne pensez pas avoir besoin. Tout comme avec les plugins, les thèmes présentent un risque de vulnérabilités de sécurité, il est donc préférable de garder votre site Web aussi exempt d'encombrement que possible.

Restez en sécurité là-bas !

Vous n'arrêtez pas de travailler sur d'autres parties de votre entreprise - proposer de nouveaux produits ou services, les commercialiser, les vendre, etc. La sécurité de votre site Web ne devrait pas être différente. Un petit problème peut rapidement conduire à un piratage menaçant l'entreprise si vous ne le détectez pas à temps, mais sans savoir où se situent les problèmes, vous ne saurez pas quels correctifs mettre en œuvre.

Garder votre site Web en sécurité est un processus continu, et avoir une liste de contrôle d'audit de sécurité WordPress vous évite d'avoir à vous souvenir de ce qu'il faut faire chaque mois. De plus, plus vous pouvez automatiser avec un plugin de sécurité, mieux c'est. Votre liste de contrôle d'audit de sécurité WordPress peut être beaucoup plus petite si la majorité de ce que vous avez à faire est de vérifier que le plugin fonctionne toujours correctement. Nous avons des aperçus détaillés des critiques de deux principaux plugins de sécurité, Sucuri et Wordfence.