Renforcer la sécurité WordPress – Un guide complet pour sécuriser les sites WordPress

Lorsque vous aurez terminé cet article, je garantirai que votre site WordPress sera à l'abri des piratages et des exploits.

Attends, je ne peux pas le garantir. Permettez-moi de le dire de cette façon, vous serez équipé des connaissances nécessaires pour garder votre site Web relativement sûr.

La sécurité à toute épreuve n'existe pas. Il existe des mesures spécifiques que vous pouvez prendre pour réduire considérablement le risque que votre site Web soit victime d'un piratage ou d'une attaque.

J'ai déjà écrit un petit article sur la façon dont les sites Web WordPress sont compromis et pourquoi vous devriez investir dans de bonnes pratiques de sécurité. Vous pouvez soit le lire ici, soit je vais vous donner un petit résumé des vulnérabilités de WordPress avant de discuter de mesures spécifiques pour renforcer votre site Web WordPress.

WordPress en lui-même présente peu de vulnérabilités et lorsqu'elles sont découvertes, elles sont rapidement corrigées avec une mise à jour. Mais lorsque vous tenez compte des pratiques de sécurité de votre hébergeur ou de son absence et du logiciel tiers qui s'exécute normalement sur les sites Web WordPress, votre site Web est plus susceptible d'être victime d'un piratage en raison des erreurs d'autres personnes.

51% de tous les sites Web piratés en 2021 ont été compromis par des thèmes ou des plugins qu'ils exécutaient. 41% ont été exploités car ils ont choisi le mauvais hébergeur et, par conséquent, leurs sites ont été piratés.

Exécuter un site WordPress simple et le garder en sécurité n'est pas trop difficile. Mais lorsque vous ajoutez un mélange de logiciels tiers et que vous devez maintenir votre domaine avec le bon hébergeur, cela devient un peu plus difficile.

J'ai lu de nombreux articles de blog écrits par des entrepreneurs Web prospères qui étaient essentiellement des hommes et des femmes d'affaires qui ont créé leur entreprise en ligne. Et lorsque leurs entreprises en ligne ont connu du succès, ils sont devenus des cibles. Cependant, il n'est pas nécessaire que votre site Web ait du succès ou même qu'il ait du trafic pour qu'il devienne une cible.

Les personnes qui piratent des sites Web utilisent des outils automatisés qui leur permettent de parcourir des centaines et des milliers de sites Web à la recherche de vulnérabilités. Votre site Web peut être l'un de ces centaines. Ainsi, même si votre site Web n'est pas populaire, vous pourriez toujours être une cible.

Aujourd'hui, de nombreux entrepreneurs Web sont conscients des normes de sécurité et des mesures nécessaires pour assurer la sécurité de leurs sites Web et de leurs activités en ligne. Mais la grande chose à propos de WordPress et du Web aujourd'hui, c'est que vous n'avez plus besoin d'être un expert en technologie ou un développeur Web pour démarrer un site Web. Et créer un site Web n'est pas difficile du tout, c'est très facile et j'ai même écrit un article à ce sujet sur Colorlib (pour ceux d'entre vous qui recherchent un peu d'aide lorsque vous créez votre premier site Web WordPress).

Créer un site Web n'est pas trop difficile, le rendre populaire est une proposition légèrement plus compliquée. Mais le sécuriser, en particulier pour les entrepreneurs Web non avertis en technologie dont la principale préoccupation tourne autour d'un produit / service non basé sur le Web, est plutôt difficile.

Et bien sûr, ils pourraient employer un développeur Web pour les aider. Mais la raison pour laquelle de nombreuses petites entreprises Web prospèrent est certainement directement liée à leur capacité à maintenir des coûts bas. Et employer un développeur Web qui facture 100 $ de l'heure ne dépend pas de ses capacités financières.

Un professionnel de la sécurité Web est toujours l'option préférée, mais malheureusement, tout le monde n'a pas le revenu d'entreprise nécessaire pour permettre cette dépense. Et peut-être que ce n'est pas grave, peut-être que non. Mais le fait crucial est que nous devons reconnaître que même les petites entreprises collectent des informations personnelles sensibles, notamment votre adresse de résidence, les détails de votre carte de crédit, vos numéros de téléphone et vos identifiants de messagerie.

Non seulement les informations de vos clients sont menacées en raison de pratiques de sécurité éventuellement négligentes, mais il en va de même pour l'entreprise que vous avez créée ou que vous consacrerez beaucoup de temps à construire. Construire une entreprise en ligne est une entreprise plutôt intimidante, votre succès repose sur un certain nombre de facteurs, notamment la réputation de la marque et ce que Google pense de votre site Web. Et croyez-moi, personne n'aura une opinion favorable de vos entreprises ou de vos services si votre site Web ferme ou est victime d'une attaque ou d'un piratage.

Compte tenu de tout cela et des enjeux, quelles mesures pouvez-vous « vous » en tant qu'entrepreneur web entreprendre pour sécuriser votre site Web ?

Cet article s'adresse principalement aux personnes dont l'activité principale n'est pas la gestion d'une entreprise en ligne. Il s'adresse aux personnes qui, de différents horizons, lancent une entreprise reposant partiellement ou fortement sur une présence en ligne. Et puisque plus de 65% du Web est géré par WP et que WordPress est le CMS de choix pour l'entrepreneur Web non averti en technologie, je concentrerai mes efforts sur vous armer des connaissances nécessaires pour garder votre site Web WordPress sûr et sécurisé. .

#1. Choisissez le bon fournisseur de services d'hébergement

La part du lion des vulnérabilités existe en raison de problèmes créés du côté serveur de votre site Web. J'ai trouvé ce fait plutôt étonnant, votre service d'hébergement est potentiellement la plus grande source de vulnérabilités de votre site Web.

Et avec un hébergeur tiers, vous ne pouvez pas faire grand-chose en termes de bricolage pour protéger votre site Web.

Donc, la meilleure chose à faire est de choisir le bon fournisseur de services d'hébergement Web.

Il y a beaucoup trop de fournisseurs d'hébergement Web qui exécutent leurs systèmes sur des logiciels obsolètes ou qui ne sont pas actuellement maintenus. Le problème avec les logiciels qui ne sont plus maintenus est que, bien qu'il n'y ait eu aucune vulnérabilité dans le passé, il n'existe aucune garantie de sécurité future. Et si une vulnérabilité est détectée, ce qui est presque certain, il se peut qu'elle ne soit plus corrigée car l'équipe principale ne maintient pas activement les anciennes versions du logiciel.

Quand je parle de logiciel, je veux dire tout ce qui s'exécute sur votre serveur pour que votre site reste vivant et fonctionnel.

• Apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMonAdmin
• Certificats SSL

Même s'ils ont mis à jour leur logiciel avec un petit délai, lorsque les correctifs logiciels sont publiés. La fenêtre d'opportunité pour les pirates informatiques d'exploiter des vulnérabilités qui n'ont été corrigées que dans les mises à jour récentes s'élargit et met votre site Web en danger.

L'hébergement partagé, qui est le choix d'hébergement pour la plupart des entreprises en ligne nouvellement créées, présente quelques problèmes,

• Les attaques DOS sur n'importe quelle adresse IP sur un serveur peuvent affecter tous les sites Web hébergés sur ce serveur particulier.
• Les adresses IP partagées sont un gros problème. Les adresses IP voisines de la vôtre affectent votre site Web, si une adresse IP partagée est mise sur liste noire, votre site en subit les conséquences.
• Il est toujours possible que certains logiciels chargés sur un serveur partagé puissent compromettre l'intégralité du serveur, même si les fournisseurs de services d'hébergement partagé prennent des mesures pour empêcher que cela ne se produise.

Mon choix pour l'hébergement mutualisé,

• Hébergement partagé - SiteGround - Ils fournissent une isolation de compte qui vous protège contre les sites Web sur le même serveur qui peuvent être vulnérables. Mises à jour automatisées pour le noyau WP et les plugins, certificat SSL gratuit et sauvegardes quotidiennes pour le Grow Big Plan et au-dessus, protection contre le spam avec un système de filtrage, un pare-feu, des systèmes de prévention des intrusions et une surveillance en direct. L'utilisation d'un système CDN comme CloudFlare protégera votre site Web contre les attaques DDoS.

SiteGround a eu une bonne histoire en termes de réponse rapide et incisive contre les vulnérabilités exposées dans le passé. En 2013, lorsque des attaques par force brute ont été perpétrées à partir de plus de 90 000 adresses IP, SiteGround a même empêché les requêtes d'atteindre leurs serveurs.

Les attaques par force brute peuvent submerger le serveur de charge, mais si vous ne pouvez pas envoyer un nombre suffisant de requêtes au serveur, vous ne pouvez pas l'affecter. Au cours de l'attaque, plus de 15 millions de tentatives en moins de 12 heures ont été effectuées contre des sites Web sur leurs serveurs et pourtant aucun de leurs serveurs n'a souffert de problèmes de performances.

En fait, après avoir hébergé certains par force brute sur les sites Web de leurs propres clients pour trouver des mots de passe faibles, ils ont trouvé de nombreux sites Web sur leurs serveurs avec des mots de passe faibles et dangereux. Ils l'ont suivi en imposant des mots de passe forts et leurs clients ont été informés par courrier. Ils semblent vraiment se soucier de leur sécurité et assurer les performances de leurs environnements de serveurs partagés, même en cas d'attaque. On ne peut pas en dire autant de certaines des plus grandes sociétés d'hébergement Web partagé.

Si vous souhaitez des options alternatives à SiteGround pour l'hébergement partagé, j'en ai énuméré quelques-unes dans un article précédent.

Cependant, si vous ne voulez pas vous soucier de la sécurité de WordPress et de pratiquement tout ce qui est technique à distance concernant la création, la maintenance et la croissance d'un site Web, vous serez mieux avec un hébergeur WordPress géré. Je préfère l'hébergement géré mais les coûts sont considérablement plus élevés.

Le prix de l'hébergement géré pour un mois vous permettra également d'acheter un hébergement mutualisé pour une période de 8 mois. Si vous dirigez une entreprise à court d'argent, cela a un effet très monumental sur la durabilité de votre entreprise. Mais n'importe qui serait fou de rejeter les avantages d'un hébergeur WordPress géré, s'il en a les moyens.

Mesures de sécurité WPEngine-

• Protection en écriture sur disque, tout code malveillant créant des vulnérabilités pouvant être exploitées est sévèrement limité par les restrictions d'écriture sur disque. L'utilisation de plugins et de thèmes avec des vulnérabilités est soudainement plus sûre, étant donné qu'ils ne peuvent plus écrire de code sur votre serveur, ce qui rend votre WP vulnérable aussi facilement.
• Les privilèges d'écriture sur disque pour les utilisateurs connectés à leur tableau de bord WP s'étendent aux fonctions standard telles que l'écriture et la modification de publications, l'ajout de thèmes à de nouvelles feuilles de style et l'activation/la désactivation de plugins.
• Pour supprimer et écrire de nouveaux fichiers, vous devez être connecté via un client SFTP.
• L'ajout de code PHP générique n'est pas autorisé.
• Les scripts avec des vulnérabilités connues qui compromettent WP ne peuvent pas être ajoutés à WordPress.
• Certains plugins peuvent être interdits et même désactivés si leurs scanners détectent quelque chose dans le code du plugin qui rend votre site Web moins sécurisé.
• Les plans de base dans WPEngine impliqueront toujours un partage de serveur. Dans tout plan d'hébergement dédié, l'hébergeur fournit un serveur entier entièrement dédié à la fourniture de ressources uniquement pour votre site Web.
• Sauvegardes via Amazon S3 et vous n'y avez pas accès. Vous ne pouviez pas compromettre vos sauvegardes, même si vous essayiez. Une police d'assurance pour votre site est toujours en place.
• L'accès physique aux serveurs est limité au personnel essentiel. Leurs centres de données ressemblent à Fort Knox qui vient de lire à ce sujet.
• Ils se spécialisent dans WP et connaissent les tenants et aboutissants de la création d'un site WordPress sécurisé.
• La récupération en cas de compte piraté est simple et assurée gratuitement.
• Audits de code réguliers du fournisseur de solutions de sécurité WP – Sucuri.

Pensez à WPEngine de cette façon, cela vous coûte une bombe mais beaucoup moins qu'un site Web piraté peut vous coûter. Il est beaucoup plus facile de rationaliser les coûts.

N'oubliez pas que votre site Web ne sera pas seulement plus sûr avec WPEgnine, il sera probablement beaucoup plus rapide. Même les sites Web comme Colorlib qui utilisent un serveur privé virtuel ont du mal à égaler la vitesse d'un site Web exécuté par WPEngine.

Si vous avez encore des doutes et que vous ne pouvez pas choisir entre un hébergeur Web partagé et un hébergeur WP géré, c'est un sujet énorme en soi. S'il vous plaît, lisez un article que j'ai écrit il y a quelque temps. Espérons que cela répondra à toutes vos questions concernant la pertinence d'un plan d'hébergement pour votre site Web.

#2. Utilisez un logiciel tiers de confiance - Thèmes et plugins premium

Les plugins et les thèmes sont toujours suspects, soyez sceptique, surtout lorsqu'ils sont mal entretenus et rarement mis à jour. Maintenant, vous pouvez prendre de nombreuses mesures en discriminant les plugins en fonction des failles de sécurité, mais il est toujours utile de noter les actions que vos plugins effectuent avec WP Security Audit Log.

Un journal de sécurité est très utile pour le développement Web et les professionnels de la sécurité gardent une trace des modifications sur plusieurs sites lorsqu'ils traitent les besoins de leurs clients. Chaque action de chaque utilisateur peut être prise en compte avec le plugin. Le journal permet également de garder un œil sur les plugins, le thème et le comportement d'autres logiciels tiers. Ce plugin n'empêche peut-être pas un problème de sécurité, mais si quelque chose tourne mal, il vous sera facile de retracer la source du problème.

Une autre bonne pratique consiste à faire auditer le plugin par un expert en sécurité. Si vous ne pouvez pas vous permettre de faire cela, recherchez les sceaux de confiance de Sucuri (Sucuri est l'un des principaux fournisseurs de solutions de sécurité pour les utilisateurs de WordPress) sur les plugins. De nombreux plugins/thèmes soumettent volontairement leurs produits à des audits de code.

Elegant Themes a fait auditer son thème phare Divi. Elegant Themes est l'une des plus grandes, sinon la plus grande maison de thèmes du créneau WP et pourtant, leur thème phare est audité pour les problèmes de sécurité.

Éloignez-vous des plugins et des thèmes gratuits qui n'ont pas un grand nombre de téléchargements. Parfois, les plugins avec un nombre de téléchargements excessivement élevé et des notes élevées attirent beaucoup plus de malfaiteurs. La protection en nombre n'est pas vraiment applicable. Plus de personnes utilisant un plugin en font une cible plus importante, mais en même temps, le fait d'avoir des milliers d'utilisateurs aidera probablement à identifier et à se protéger contre les exploits zero day grâce à des mises à jour rapides.

L'utilisation de plugins et de thèmes premium ne signifie pas que la sécurité de votre site peut être garantie. Mais vous pouvez être certain que si des exploits zero day sont découverts, la réponse est généralement rapide. Les maisons à thème et les développeurs de plugins ont beaucoup à faire avec leurs produits, la dernière chose qu'ils veulent, c'est l'apparence de vulnérabilité.

Tenez-vous en aux plugins répertoriés dans le répertoire WordPress.org pour les plugins gratuits. Des notes et un nombre de téléchargements plus élevés font du plugin un pari plus sûr dans une certaine mesure. Consultez l'historique des plugins créés par le même auteur dans le passé, un bon indicateur du pedigree du programmeur. Vous constaterez également que certains auteurs prennent des précautions supplémentaires pour assurer la sécurité de leur plugin/thème.

La dernière date de mise à jour est un autre facteur à prendre en compte. S'assurer que la dernière version du plugin est compatible avec la dernière version de WordPress est un autre point essentiel à cocher sur la liste de contrôle avant d'installer et d'activer un plugin.

Comme vous l'avez peut-être deviné, ce qui vaut pour les plugins vaut également pour les thèmes. Quelques points à retenir lorsqu'il s'agit d'utiliser des plugins et des thèmes.

• Les plugins Premium sont meilleurs dans le sens où leurs équipes sont susceptibles de répondre à toute vulnérabilité de sécurité beaucoup plus rapidement que les plugins gratuits.
• Utilisez le journal d'audit de sécurité WP et suivez tout ce qui se passe sous le capot de votre site Web.
• Il y a certainement la sécurité en nombre, car une menace pour la sécurité est beaucoup plus susceptible d'être signalée et traitée. Mais je ne peux pas m'empêcher de penser qu'il s'agit d'une arme à double tranchant, les plugins/thèmes auront un grand nombre de téléchargements sont également beaucoup plus susceptibles de devenir des cibles de pirates informatiques.
• Le répertoire des plugins de WP.org peut être manipulé pour fournir d'excellentes notes pour les plugins avec un plus petit nombre de téléchargements et de notes.
• Découvrez l'auteur du plugin, son historique et ses produits précédents. S'ils ont eu des problèmes de sécurité dans le passé, ils n'indiquent pas nécessairement que leurs plugins/thèmes sont mauvais, mais ce n'est pas bon signe.
• Discriminez impitoyablement les plugins/thèmes, lisez les critiques, en particulier celles qui donnent de mauvaises notes pour le produit (assurez-vous de rechercher les raisons pour lesquelles ces produits ont été mal notés) sur des marchés comme Envato, même pour les plugins premium. Lisez les sections de commentaires des critiques de produits pour les plugins et les thèmes. Lorsque je rédige des critiques sur des produits WordPress spécifiques ou que je crée une liste de thèmes, je regarde toujours la section des commentaires pour les plaintes des utilisateurs qui ont téléchargé/acheté le produit. Cet exercice est toujours fructueux, vous apprendrez presque toujours quelque chose sur le produit que vous avez l'intention d'acheter ou de télécharger.
• Si le code du plugin/thème a été audité par Sucuri ou un autre fournisseur de solutions de sécurité WP réputé, cela augmente la probabilité que le produit soit assez solide en termes de sécurité.
• Vous pouvez vous protéger contre les plugins malveillants avec des plugins de sécurité comme Wordfence ou iThemes Security. De plus, vous pouvez utiliser la fonction d'analyse de site gratuite de Sucuri qui recherche dans votre code WP les scripts malveillants.

Aucune des étapes ci-dessus ne garantit que vous ne téléchargerez jamais un mauvais plugin ou thème, mais cela réduit les chances que vous soyez affecté par des problèmes de sécurité.

Maintenant, en supposant que vous utilisez le bon hôte, le bon thème et les bons plugins. Je vais décrire et expliquer les mesures de sécurité nécessaires que vous devez prendre pour sécuriser votre site Web.

Tout en décrivant les mesures de sécurité individuelles, veuillez noter que je recommande des plugins autonomes conçus pour des applications de sécurité spécifiques.

Plus tard dans cet article, je parlerai de Wordfence, un plugin de sécurité freemium à part entière, ainsi que des solutions de sécurité de Sucuri. Vous devez savoir que les deux accomplissent presque toutes les fonctions de sécurité qui ont pu être précédemment discutées dans le post et plus dans certains cas.

Donc, à moins que vous ne vouliez en savoir plus sur les mesures de sécurité individuelles, vous pouvez passer à la dernière partie où je discute des fonctions d'un plugin de sécurité et des fournisseurs de solutions de sécurité comme Sucuri.

Mais si vous utilisez WordPress pour la première fois, je vous recommande fortement de lire l'intégralité de l'article pour bien comprendre l'importance de chaque mesure de sécurité différente.

#3. Protégez votre page de connexion

La page de connexion WordPress est une cible de choix pour les attaques par force brute. Votre page de connexion est certainement une partie vulnérable de votre site Web, si vous ne mettez pas en place les mesures de sécurité appropriées pour empêcher les attaquants.

Je discuterai de l'importance de maintenir une page de connexion solide et sécurisée avec plusieurs mesures de sécurité qui rendent votre site sûr et protègent contre les attaques par force brute.

Mots de passe forts et nom d'utilisateur inhabituel

Admin n'est pas un bon nom d'utilisateur. WordPress avait auparavant admin comme nom d'utilisateur par défaut du compte administrateur principal. Aujourd'hui, cependant, lorsque vous installez WordPress, vous pouvez choisir un autre nom d'utilisateur. Mais lorsque les gens commencent généralement à utiliser WordPress, surtout pour la première fois, beaucoup continuent à s'en tenir à admin comme nom d'utilisateur. « admin » est un nom d'utilisateur extrêmement prévisible et il rend votre site beaucoup plus facile à pénétrer.

Vous pouvez également essayer le plugin Admin Renamer Extended qui peut changer votre nom d'utilisateur.

Les mots de passe, la sélection de chaînes de caractères aléatoires inhabituelles aideront à créer la première ligne de défense contre les personnes qui veulent nuire à votre site Web ou mettre la main sur des informations sensibles stockées sur les serveurs de votre site.

Une liste des 5 mots de passe les plus courants tels qu'ils sont compilés par SpashData.

1. 123456
2. le mot de passe
3. 12345
4. 12345678
5. azerty

Un jeune de treize ans très motivé peut deviner admin et 123456. Avec des mots de passe comme celui-ci, votre site est en panne surtout si vous recevez un trafic décent.

Les meilleurs mots de passe sont un mélange de majuscules et de minuscules avec des signes de ponctuation et des caractères spéciaux. De préférence, utilisez quelque chose qui n'a aucune signification et assurez-vous qu'il contient au moins plus de 10 caractères. Aucune raison particulière pour 10 caractères, mais rappelez-vous qu'il devient exponentiellement plus difficile de les déchiffrer si les mots de passe sont plus longs.

Si votre mot de passe n'a aucun sens et qu'il n'y a aucune raison logique ou sentimentale derrière votre mot de passe, il est évidemment beaucoup plus difficile à deviner. Rappelez-vous, comment Sherlock devine le mot de passe mobile d'Irene Addler - "JE SUIS _ _ _ _ LOCKED". Eh bien, même Sherlock aurait du mal à deviner un mot de passe qui ne peut être raisonné !

Si vous rencontrez des difficultés pour déterminer quel mot de passe utiliser, essayez des outils tels que Strong Password Generator ou Secure Password Generator, tous deux sont des outils en ligne disponibles gratuitement pour trouver un bon mot de passe pour la connexion administrateur de votre site Web.

Les plugins de sécurité appliquent également des mots de passe forts pour l'administrateur et tous les utilisateurs. Ceci est important, même si vos utilisateurs n'ont pas le statut d'administrateur et les privilèges qui l'accompagnent, une personne ayant accès à un compte de niveau éditeur compromis sur WordPress pourrait faire pas mal de mal.

Un autre bon conseil à toujours retenir, changez fréquemment vos mots de passe. Si vous avez du mal à vous souvenir de tous vos mots de passe, utilisez un gestionnaire de mots de passe. Vous pouvez essayer One Password, Last Pass, KeePass ou DashLane pour stocker tous vos mots de passe en toute sécurité.

En ce qui concerne les noms d'utilisateur et les mots de passe, moins ils ont de sens et plus ils sont aléatoires, meilleure est la sécurité qu'ils peuvent offrir à votre site Web.

Limiter le nombre de tentatives de connexion

Les attaques par force brute ciblent les pages de connexion des sites Web WordPress. Si vous ne le savez pas, la plupart des attaques par force brute impliquent d'essayer différentes combinaisons alphanumériques pour déchiffrer le mot de passe du site pour un nom d'utilisateur particulier.

Maintenant, même si vous supposez qu'une attaque par force brute échoue, vous devez reconnaître le fait qu'elle consomme d'énormes quantités de mémoire du serveur et de puissance de traitement. Cela ralentira presque certainement votre site Web et le fera ramper. De nombreux hôtes offrent également une protection contre les attaques par force brute. En effet, sur un serveur partagé, votre site consommant une quantité excessive de ressources pourrait potentiellement affecter tout le monde.

Mais la technique la plus simple pour repousser les attaques par force brute est de limiter le nombre de tentatives de connexion. Si quelqu'un ne peut pas frapper à plusieurs reprises votre serveur avec plusieurs combinaisons de nom d'utilisateur et de mot de passe, une attaque par force brute ne fonctionnera pas.

Le verrouillage de connexion, la solution de sécurité de connexion et la protection de connexion par force brute visent tous à empêcher l'accès à votre site Web via des tentatives de piratage par force brute. Brute Protect a été acquis par l'équipe Automattic et fait maintenant partie de Jetpack et offre une protection contre les attaques par force brute.

Presque tous les plugins de protection de connexion ont une interface similaire.

Tous ces plugins fonctionnent essentiellement en suivant les adresses IP qui tentent à plusieurs reprises et ne parviennent pas à se connecter. Après plusieurs tentatives de connexion infructueuses, les adresses IP particulières ne peuvent pas accéder à la page de connexion de votre site.

La solution de sécurité de connexion force une authentification par e-mail WordPress et un changement de mot de passe par e-mail, si elle détermine que l'utilisateur actuellement connecté est plutôt suspect.

Le plugin peut imposer des mots de passe forts et imposer des changements fréquents de mots de passe aux utilisateurs. De plus, les tentatives de piratage sont suivies par des plages d'adresses IP qui tentent à plusieurs reprises d'accéder de manière illégitime, sont verrouillées pendant de longues périodes pour les dissuader d'essayer de pénétrer dans votre site Web.

Authentification de connexion en deux étapes

L'authentification d'une connexion ajoute une couche de sécurité supplémentaire en plus d'un mot de passe fort, d'un nom d'utilisateur inhabituel et d'un nombre limité de tentatives de connexion infructueuses.

Le processus d'authentification de connexion en deux étapes rend votre site plus que doublement sécurisé. La connexion à votre site WordPress nécessite un code d'authentification qui ne peut être reçu que via un message mobile. Étant donné qu'il est peu probable que votre mobile soit volé par un pirate informatique en préparation, votre site Web restera protégé contre la force brute et d'autres techniques de piratage qui reposent sur le dépassement de la page de connexion de votre site Web.

Google Authenticator est un plugin utile qui repose sur une application installée sur votre Android/iPhone/Blackberry qui vous fournit le code d'authentification nécessaire pour vous connecter avec succès sur votre site Web. Vous pouvez activer cette application pour le niveau de privilège administrateur uniquement ou l'utiliser utilisateur par utilisateur.

J'aime beaucoup le prochain plugin, ils ont l'intention d'envoyer les personnes qui tentent de se connecter sans le code d'authentification vers une redirection avec une URL personnalisable. La page de connexion furtive bloque également complètement les robots.

Si un utilisateur ne se conforme pas à la séquence de connexion complète, la tentative de connexion est rejetée. Une autre technique qui peut être utilisée pour bloquer les bots consiste à utiliser le captcha sur les pages de connexion, vous pouvez utiliser Login No Captcha reCaptcha pour empêcher les bots de se connecter.

Changez l'URL de votre page de connexion WordPress

Nous avons discuté de la limitation des tentatives de connexion, de l'authentification des connexions et de l'importance d'utiliser un mot de passe fort et un nom d'utilisateur inhabituel.

Maintenant, nous allons masquer ou modifier la page de connexion, ce type de mods de sécurité est également connu sous le nom de sécurité par obscurité. Je sais que cela semble un peu exagéré. Mais restez avec moi ici, car cette étape n'est pas plus difficile que les mesures de sécurité suggérées précédemment pour sécuriser votre page de connexion.

Les attaques par force brute ne sont efficaces que si elles peuvent trouver la page de connexion. Laisser votre page de connexion inchangée permettrait aux pirates de trouver vos pages de connexion.

Essayons de leur cacher la page de connexion. Vous pouvez le faire en modifiant l'URL de la page de connexion avec WPS Hide Login. Le plugin ne change vraiment rien, il intercepte simplement les requêtes de page et rend le répertoire wp-admin et les pages wp-login.php inaccessibles. Vous devrez vous souvenir de la nouvelle page de connexion définie lors de l'activation du plugin.

Les options alternatives pour modifier l'URL de votre page de connexion incluent deux autres plugins, Protect Your Admin et Rename wp-login.php.

SSL

Bien que je mentionne SSL sous la protection de votre page de connexion, SSL est une fonctionnalité extrêmement importante et nécessaire de toute page sur laquelle vous traitez des informations sensibles. Et cela inclut à peu près toutes les pages de nombreux sites Web, comme s'il existe des formulaires d'abonnement au blog sur toutes les pages Web.

Si vous ou vos visiteurs/clients partagez des informations privées sensibles telles que des adresses, des détails de carte de crédit ou même partagez leurs identifiants de messagerie avec vous. Ensuite, vous leur devez de protéger leurs informations.

SSL est une couche de protection supplémentaire (Secure Socket Layer) qui transforme le http en https et, ce faisant, rend toutes les informations partagées beaucoup plus sûres.

C'est ainsi que la page d'édition de publication sur laquelle je travaille, pour Colorlib, ressemble à SSL. Remarquez le « https : » de couleur verte sur la barre d'URL ?

SSL est essentiellement quelque chose qui brouille vos informations en quelque chose qui ne peut pas être lu comme nous le faisons en texte brut. Ainsi, lorsque des informations circulent entre vos serveurs et n'importe quel navigateur, quiconque y accède ne peut rien en comprendre. Il existe une clé privée et une clé publique. Une fois que SSL rend le flux d'informations amusant et illisible, nous devons à nouveau les comprendre à la fin du navigateur. C'est là que la clé privée entre en jeu pour rendre les choses à nouveau lisibles. Le mécanisme en jeu est très similaire à une serrure et une clé mathématiques.

SiteGround, notre hébergeur partagé recommandé, fournit une protection SSL gratuitement. Vous pouvez également acheter un certificat SSL auprès d'une autorité de certification. Si vous exécutez des plugins de sécurité comme Wordfence, SSL peut être activé.

Je recommanderais SSL à l'échelle du site, de nombreux sites WordPress inclus dans ColorLib utilisent SSL à l'échelle du site. Si ce n'est pas SSL à l'échelle du site, vous devez absolument forcer SSL pour les pages de connexion au strict minimum.

Les navigateurs comme Chrome bloquent même l'accès aux sites Web avec des certificats incorrects/expirés sur SSL.

Vous devrez peut-être déterminer si votre CDN fournit facilement du contenu via SSL et parfois les réseaux publicitaires peuvent présenter des problèmes lors de la diffusion via SSL. L'ajout de SSL à l'échelle du site peut présenter des difficultés importantes, vous devriez lire cet article très instructif sur les difficultés d'activation de SSL à l'échelle du site.

Google vous donne un petit coup de pouce (1%) dans vos classements de recherche, si vous utilisez SSL sur vos sites Web. Ce fait, en soi, devrait justifier l'utilisation de SSL. Pourquoi ? Eh bien, Google comprend, comme la plupart des professionnels du développement Web, l'importance d'assurer la sécurité des données de vos lecteurs/visiteurs.

SSL peut également être appliqué sur votre écran de connexion par le plugin de sécurité Wordfence. Il est également prévu que les certificats de sécurité seront mis à disposition gratuitement dans le courant de 2015.

En savoir plus sur l'administration via SSL sur WordPress.org.

#4. Protéger votre noyau WP, votre base de données et utiliser les autorisations de fichiers correctes

Dans bon nombre de ces mesures de sécurité, nous modifierons votre noyau WP et vous devrez vous familiariser avec l'utilisation du client FTP pour apporter des modifications et le télécharger. Et comme la plupart de ces conseils de sécurité impliquent de changer ou de modifier votre noyau WP, cela pourrait simplement casser votre site Web. Sauvegardez votre noyau WordPress et tout son contenu avant de continuer, une erreur peut facilement être annulée avec une sauvegarde.

Clés de sécurité WordPress

WordPress utilise des cookies pour identifier et vérifier les utilisateurs qui sont connectés pour commenter et apporter des modifications à partir du tableau de bord WP.

Ces cookies contiennent des informations de connexion et vos informations d'authentification. Le mot de passe est haché, ce qui signifie qu'une formule mathématique est appliquée pour le rendre illisible et ne peut pas être lu sans appliquer à nouveau le calcul pour le rendre lisible.

Nous pouvons ajouter une couche de protection supplémentaire autour de ce cookie avec les clés de sécurité WP. Il s'agit d'un ensemble de variables aléatoires qui améliorent la sécurité des informations stockées sur un cookie utilisateur. Il existe 4 clés, à savoir AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY et NONCE_KEY.

Un mot de passe non crypté tel que WordPress ou 12345 peut facilement être cassé, si quelqu'un peut reconstituer le cookie d'authentification. Mais le cryptage avec les clés de sécurité WP rend cela beaucoup plus difficile.

Comment ajouter des clés de sécurité WP ?

1. Ouvrez le fichier wp-config.php.
2. Recherchez « clés et sels uniques d'authentification ».
3. Utilisez un outil de génération de clés automatique en ligne.
4. Copiez les clés de l'outil en ligne et remplacez le jeu de clés existant, en l'écrasant dans wp-config.php.
5. Sauvegarde le.
6. Vous pouvez répéter le même processus tous les mois environ.

N'oubliez pas qu'à chaque fois que vous modifiez les clés de sécurité, les utilisateurs seront déconnectés et devront se reconnecter à leurs comptes.

iThemes Security fournit les outils nécessaires pour le faire à partir du tableau de bord WP. Et ils vous enverront également un rappel chaque mois pour changer vos clés de sécurité.

Protégez vos répertoires WP par mot de passe

Cela peut être fait à partir de votre cPanel ou du tableau de bord de n'importe quel hébergeur. Dans le cPanel, ouvrez Sécurité > Répertoires protégés par mot de passe. Vous trouverez une liste de tous les dossiers de votre site. Commencez par un dossier important comme wp-admin.

Vous trouverez une boîte de dialogue qui demande de créer un utilisateur en fournissant un nom d'utilisateur et un mot de passe. Créez maintenant le nouvel utilisateur. Après cela, si vous devez accéder au dossier wp-admin sur votre site Web, le nom d'utilisateur et le mot de passe doivent être saisis pour accéder au site Web.

Cela ajoute une couche supplémentaire de protection par mot de passe aux parties les plus importantes de votre site Web.

Utiliser le FTP sécurisé (SFTP)

Un système de transfert de fichiers est nécessaire pour transmettre les données de votre site Web à votre hébergeur lorsque vous ajoutez de nouvelles modifications que vous souhaitez intégrer. Avec un protocole de transfert de fichiers normal ou un FTP, les chances que quelqu'un puisse intercepter et trouver des vulnérabilités pour exploiter votre site Web augmentent.

Vous aurez besoin du bon client pour utiliser une connexion SFTP pour télécharger de nouveaux fichiers et du code modifié. Vous pouvez utiliser FileZilla pour vous aider à démarrer.

De plus, vous aurez besoin de quelques détails spécifiques sur votre compte d'hébergement Web. Généralement, chaque hébergeur fournira des informations spécifiques pour vous aider à mettre en place un protocole de transfert de fichiers sécurisé. Vous aurez normalement une clé SSH qui est générée par l'hôte, cette clé doit être ajoutée à votre client SFTP comme FileZilla et il est simple de configurer une connexion sécurisée pour le transfert de fichiers à partir de là.

Utilisation des autorisations de fichier correctes

L'accès à vos fichiers doit avoir les bonnes autorisations. Il est possible d'écrire sur votre WordPress depuis le serveur web. Le problème survient lorsque vous partagez cet environnement avec plusieurs sites Web qui peuvent également avoir leurs sites Web sur un serveur partagé.

Généralement, les dossiers WordPress et les fichiers WordPress ont des autorisations spécifiques sur différents hôtes. Avec l'accès shell, vous pouvez exécuter les deux commandes suivantes pour garder vos dossiers et fichiers WordPress sécurisés et accessibles uniquement au bon utilisateur.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Pourquoi ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

#5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• Sécurité et pare-feu WP tout en un

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

#6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter( 'auto_update_theme', '__return_true' );

Si vous n'aimez pas jouer avec le code, vous pouvez utiliser un plugin pour vous aider. Vous avez une autre option sous la forme d'un plugin, lorsqu'il s'agit d'assurer la mise à jour en douceur de votre WP et de tous les thèmes/plugins de votre site. Les mises à jour automatiques avancées vous permettent d'activer individuellement les mises à jour majeures et les mises à jour mineures/de sécurité. Et le plugin fournit également des solutions de mise à jour automatique pour les thèmes et les plugins.

Pour les solutions de mise à jour multisites, si vous avez besoin d'aide pour gérer les mises à jour avec les plugins et les thèmes WordPress, vous pouvez essayer Easy Updates Manager. Il existe également un service premium offert par WP Updates qui fournit des solutions de mise à jour automatique pour les plugins et les thèmes premium.

L'utilisation de plugins comme ManageWP ou d'un hôte WP géré comme WPEngine aidera également à résoudre les problèmes de mise à jour de votre WordPress et du logiciel tiers que vous utilisez sur votre site Web.

La mise à jour du noyau WordPress devient automatiquement problématique lorsque les choses commencent à tomber en panne. Cela peut se produire soit à cause d'un code personnalisé qui est effacé lors d'une mise à jour, soit à cause de problèmes de compatibilité qui surviennent avec des logiciels tiers (plugins et thèmes). C'est une raison qui peut vous faire réfléchir, peut-être que l'activation de mises à jour mineures peut être une meilleure idée.

Si vous rencontrez des problèmes avec vos mises à jour automatiques de WordPress, je vous recommande d'essayer Background Update Tester. Le plugin vérifie et explique tous les problèmes de compatibilité.

Exécutez toujours une sauvegarde avant de mettre à jour. Toujours! Ceci pour protéger votre site Web contre les choses qui tournent horriblement mal, auquel cas vous finissez par gâcher votre site Web. Une bonne pratique à suivre, pour se protéger des mises à jour automatiques causant des ravages via des problèmes de compatibilité avec les plugins, les thèmes et parfois le code personnalisé sur votre core WP.

#7. Quelques informations supplémentaires sur WP Security - Pare-feu, journaux d'audit et scanners de logiciels malveillants

Je n'ai pas parlé des pare - feu pour WordPress. Un bon pare-feu accomplira beaucoup et atténuera les formes d'attaques les plus courantes sur vos sites Web.

• Atténuer les effets d'une attaque DDoS.
• Les attaques par force brute sont stoppées net dans leur élan.
• Protégez-vous contre les vulnérabilités logicielles.
• Arrête les attaques par injection de code comme les attaques SQL ou XSS.
• Corrigez et protégez-vous contre les vulnérabilités Zero Day.

Juste pour illustrer, voici un aperçu de ce que fait le pare-feu Sucuri pour un site Web WordPress.

Pare-feu n'est pas le terme utilisé par Sucuri pour décrire son système de protection, ils l'appellent CloudProxy, qui est une combinaison d'un pare-feu d'application Web et d'un système de détection d'intrusion. Tout le trafic malveillant est filtré et les activités anormales sont surveillées.

Les pare-feu ont traditionnellement été développés pour surveiller les connexions, mais CloudProxy de Sucuri empêchera non seulement les méchants d'entrer, mais créera également des correctifs virtuels contre les vulnérabilités. Une fois qu'une demande d'un visiteur traverse le pare-feu, elle atteint le système de prévention et de détection des intrusions, où le système passe au crible les demandes de modèles d'attaque possibles.

Je pense que la fonction de correctif virtuel pour vous protéger contre les vulnérabilités est un atout très efficace et inestimable pour tout site Web avec trop de personnalisation (ce qui signifie que beaucoup de choses peuvent mal tourner lorsque des problèmes de compatibilité s'ensuivent). Il est toujours préférable d'appliquer la mise à jour à WordPress dans une zone de transit et de vérifier si votre site Web fonctionne correctement. Et si c'est le cas, vous pouvez mettre en ligne la version mise à jour de votre site Web. Mais dans l'intervalle, votre site Web est véritablement en péril. La protection contre les exploits zero day n'est possible que via des mises à jour pour corriger les vulnérabilités, mais cela ne doit pas nécessairement être le cas lors de l'utilisation de Sucuri CloudProxy.

Et en dehors de cela, ils maintiennent également des journaux de toutes les activités sur votre site Web et recherchent des signes possibles de méfait.

Considérez le pare-feu comme une dernière mesure, c'est le mur qu'un pirate doit franchir pour accéder au contenu sensible de votre site Web. Les bonnes pratiques sont en grande partie conçues pour que vous n'ayez pas autant besoin d'utiliser le pare-feu.

Un logiciel d'analyse de logiciels malveillants ou des sites Web comme Sucuri SiteCheck peuvent analyser vos sites Web à la recherche de vulnérabilités et d'éventuelles failles de sécurité. Les plug-ins de sécurité disposent également d'un logiciel d'analyse des logiciels malveillants pour suivre tout changement qui semble anormal et qui est à l'origine de problèmes de sécurité potentiels.

J'avais également mentionné précédemment WP Security Audit Log, tout en déclarant qu'il s'agit d'un plugin nécessaire pour suivre toutes les modifications sur votre site Web. Je voudrais réitérer ce point, c'est un plugin extrêmement utile non seulement pour suivre les changements effectués par les thèmes et les plugins, mais aussi les actions des autres utilisateurs. Il est très important que vous utilisiez le journal d'audit de sécurité WP ou exécutiez un autre plug-in d'enregistrement de données pour suivre tous les changements.

La journalisation est également une caractéristique clé du système de protection de Sucuri. Malgré leurs tentatives trop zélées pour assurer la sécurité, parfois de mauvaises choses se produisent et des sites Web sont piratés. Lorsque cela se produit, leur système de journalisation est très utile pour aider à extraire des sites Web d'un fossé.

Les pare-feu, les scanners de logiciels malveillants et les journaux d'audit sont très pratiques contre les menaces imprévisibles et les exploits zero day. Ils ne remplacent pas les bonnes pratiques de sécurité WordPress.

#8. Cacher votre version WordPress – Est-ce nécessaire ?

J'ai lu sur quelques sites Web que le fait de cacher votre version de WordPress augmentera votre sécurité contre les pirates informatiques malveillants. Le problème est qu'il existe une hypothèse selon laquelle la connaissance des vulnérabilités associées à un WordPress particulier rend plus probable que quelqu'un les exploite. Ce n'est pas forcément vrai. En général, les personnes qui volent des informations sur des sites Web utilisent des outils automatisés pour analyser les sites Web à la recherche de vulnérabilités connues. Et si votre version de WordPress est vulnérable, ils le sauront. Ce n'est pas comme si les pirates vérifiaient un site à la fois et les triaient par version de WordPress.

Comme indiqué précédemment, mettez à jour votre WordPress, vos thèmes et vos plugins dès que possible. Les pirates ne font pas de distinction entre les sites qui affichent la version WordPress et les sites qui ne le font pas.

Dans le cas peu probable où un pirate informatique visiterait manuellement chaque site Web et vérifierait la version de WordPress, puis tenterait de trouver des vulnérabilités, vous trouverez peut-être utile de masquer votre version de WordPress.

Utilisez Remove Version Plugin pour supprimer votre version de WordPress. Si cela ne fonctionne pas pour vous, vous devrez apporter quelques modifications mineures et cet article de blog devrait vous aider.

#9. Sauvegarder - Dernière ligne de sécurité du site Web

Vous devez toujours être prêt à l'éventualité que votre site WordPress, malgré toutes vos mesures de sécurité, soit compromis. Si cela se produit, vous devez intervenir et réparer les choses. Maintenant, il existe plusieurs façons d'accomplir la récupération de site. Les sauvegardes avec restaurations en un clic sont une solution facile pour un site Web compromis, en supposant que la faille de sécurité ou la vulnérabilité a déjà été corrigée.

Les sauvegardes automatiques sont une partie nécessaire et essentielle de l'arsenal de sécurité de chaque site Web WordPress. Considérez les plugins de sécurité comme votre épée et la sauvegarde comme votre bouclier. Si votre attaque vous échoue, votre bouclier dans ce cas les sauvegardes, devient votre dernière ligne de défense.

N'oubliez pas que je suppose que seul votre WordPress est compromis et non votre serveur, qui est un sac de vers complètement différent. Mais la plupart des fournisseurs de services d'hébergement disposent d'une solide équipe de sécurité protégeant leurs serveurs contre les éléments malveillants en permanence et en particulier lors d'attaques mondiales. J'ai écrit un article il y a quelques semaines, sur les différents fournisseurs de services d'hébergement partagé, si cela vous intéresse.

Sauvegardes - Si vous décidez que vous souhaitez un plugin gratuit sans payer un centime pour les services de sauvegarde, alors je dirais que vous pouvez commencer avec Updraft Plus qui est un plugin freemium.

Avec ce plugin, vous pouvez sauvegarder et enregistrer une copie de votre site Web sur un stockage fourni par un certain nombre de services différents. Il comprend Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP & SFTP et Email. Vous devez également noter que le plugin gratuit ne permet la sauvegarde que sur un seul emplacement. Vous aurez besoin d'un module complémentaire premium si vous souhaitez utiliser le plugin pour enregistrer votre site Web à plusieurs endroits.

Ce plugin, comme la plupart des fournisseurs de sauvegarde de sauvegarde WordPress, enregistre tout, y compris vos paramètres de contenu, de thèmes et de plugins, et il peut également exécuter une sauvegarde de la base de données WordPress séparément de vos sauvegardes normales.

Si vous souhaitez utiliser un service de sauvegarde WordPress premium, je vous recommande de jeter un œil à BackUp Buddy, VaultPress ou BlogVault (j'ai travaillé avec eux dans le passé et ils ont un service génial).

Gardez plus d'une copie de votre site Web à disposition et ayez toujours une copie sur un disque physique qui ne dépend pas d'une connexion Internet. Les sauvegardes sont une bonne idée, même d'un point de vue non sécuritaire. Lorsque vous expérimentez des thèmes et des plugins, lorsque vous mettez à jour des thèmes, des plugins ou votre WordPress, il existe toujours la possibilité qu'un problème de compatibilité survienne et casse votre site Web.

Et d'après mon expérience avec les sauvegardes automatiques, vous devez continuer à supprimer des copies de sauvegardes d'une manière cohérente avec la fréquence à laquelle vous continuez à ajouter du nouveau contenu et à faire des copies de sauvegarde.

En ce qui concerne mon PC, je préfère toujours les solutions de sauvegarde qui offrent des sauvegardes incrémentielles/différentielles par opposition aux sauvegardes complètes, mais vous notez également qu'avec l'ancienne reconstitution, la restauration prend plus de temps. La même chose est certainement applicable à un système de sauvegarde WordPress. Cependant, à moins que votre fournisseur de sauvegarde ne facture des frais supplémentaires avec des contraintes strictes sur les limites de stockage des données, vous ne devriez pas vous en soucier.

Conclusion

Je n'y peux rien, cette citation de la série Harry Potter semble si appropriée.

"Vigilance constante!" – Mad-Eye-Moody

Moody est un attrapeur de sorcier noir de la série, si vous vous le demandiez.

Comme je l'ai déjà mentionné auparavant, il n'existe pas de sécurité à toute épreuve sur le Web. Vous pouvez prendre de nombreuses mesures de sécurité tout en faisant pirater votre site Web. Mais s'assurer que votre site Web fonctionne sur SSL, que vos pages de connexion sont renforcées, que vos mots de passe et noms d'utilisateur sont remarquablement inconnus, que votre site Web est entièrement mis à jour et protégé contre les menaces connues et entièrement sauvegardé quotidiennement, améliore considérablement les chances en votre faveur .

Si vous voulez un WordPress complet sans hack/exploiter, suivre toutes les mesures de sécurité susmentionnées garantira que votre site Web dispose d'une sécurité étanche à l'air. Mais même dans ce cas, vous ne pouvez pas vous protéger contre les exploits du jour zéro ou un pirate informatique intelligent déterminé à casser votre site Web, bien que ce soit un événement très improbable.

Pense-y de cette façon. Si mon site Web est piraté, combien d'affaires et de revenus vais-je perdre ? Vais-je mettre en danger les informations de mes clients ? Cela me rendra-t-il passible de poursuites ? Lorsque vous en arrivez au point où vous constatez que les coûts de piratage de votre site Web sont raisonnablement élevés, je vous suggère d'utiliser soit un service d'hébergement WordPress géré, soit un très gros videur Web sous la forme des services de sécurité de Sucuri.

Votre site Web n'a pas nécessairement besoin d'être populaire pour devenir une cible. Et il ne deviendra jamais un site Web à fort trafic s'il est continuellement victime de piratages et d'attaques.

Comme je l'ai dit précédemment à propos de l'hébergement. Si vous êtes raisonnablement certain de votre capacité à créer un site Web générateur de revenus qui paiera les coûts des meilleurs services d'hébergement/de sécurité, alors optez pour le meilleur. Si vous êtes en mesure de vous offrir les meilleurs services d'hébergement et de sécurité Web, cela en vaudra la peine à long terme, en supposant que vous n'êtes pas développeur Web de profession.

Si vous ne pouvez pas vous permettre le meilleur hébergement Web géré ou une sécurité de premier ordre, mettez en place les mesures de sécurité susmentionnées. Il y a de fortes chances que votre site Web soit en sécurité.

Si vous avez des informations supplémentaires sur la sécurité de WordPress ou avez des idées différentes sur la façon de protéger votre site Web WordPress, j'aimerais entendre vos idées dans les commentaires ci-dessous. À votre santé