Pleins feux sur la fonctionnalité iThemes Security Pro – Tweaks WordPress

Publié: 2021-06-23

Dans les publications Feature Spotlight, nous mettrons en évidence une fonctionnalité du plug-in iThemes Security Pro et partagerons un peu les raisons pour lesquelles nous avons développé la fonctionnalité, à qui elle est destinée et comment l'utiliser.

Aujourd'hui, nous allons couvrir WordPress Tweaks, une collection d'outils pour sécuriser votre site Web WordPress.

Pourquoi vous devriez utiliser WordPress Tweaks

L'un des grands avantages de WordPress est sa compatibilité avec les outils et services tiers. Cependant, si vous ne profitez pas de ces services, vous disposez de points d'entrée inutiles sur votre site Web qu'un pirate pourrait potentiellement exploiter.

WordPress fournit également d'autres commodités qui permettraient à un attaquant d'amplifier une attaque par force brute ou même d'apporter des modifications malveillantes aux fichiers stockés sur votre serveur.

Vous devez utiliser les paramètres iThemes Security Pro WordPress Tweaks car il s'agit d'un ensemble d'outils spécialement conçus pour renforcer certains des points faibles potentiels de WordPress.

Comment utiliser WordPress Tweaks dans iThemes Security Pro

Pour commencer à utiliser WordPress Tweaks, cliquez sur le lien Avancé dans le menu Sécurité.

Une fois que vous êtes dans le menu Avancé. cliquez sur l'onglet WordPress Tweaks .

Les paramètres de WordPress Tweaks

Les Tweaks WordPress sont divisés en 2 sections, API Access et Users. Examinons de plus près ces paramètres.

Accès API

1. XML-RPC

Le paramètre Désactiver l'éditeur de fichiers désactive l'éditeur de fichiers WordPress pour les plugins et les thèmes. La désactivation de l'éditeur de fichiers WordPress ajoute une énorme sécurité à votre site Web.

Si un pirate parvient à s'introduire dans votre site Web, l'éditeur de fichiers WP lui permettra d'apporter des modifications malveillantes aux fichiers stockés sur votre serveur. Cependant, si vous désactivez l'éditeur de fichiers WP, le pirate informatique aura toujours besoin des informations d'identification du serveur pour apporter des modifications malveillantes à vos plugins et thèmes.

La fonctionnalité XML-RPC de WordPress permet aux services externes d'accéder et de modifier le contenu du site. Par exemple, Jetpack nécessite XML-RPC pour se connecter aux sites Web WordPress et modifier le contenu.

Le paramètre XML-RPC dans iThemes Security Pro a 3 options :

Désactiver XML-RPC – XML-RPC est désactivé sur le site. Ce paramètre est fortement recommandé si Jetpack, l'application mobile WordPress, les pingbacks et d'autres services qui utilisent XML-RPC ne sont pas utilisés.
Désactiver les pingbacks – Ne désactivez que les pingbacks. Les autres fonctionnalités XML-RPC fonctionneront normalement. Sélectionnez ce paramètre si vous avez besoin de fonctionnalités telles que Jetpack ou l'application WordPress Mobile.
Activer XML-RPC – XML-RPC est entièrement activé et fonctionnera normalement. Utilisez ce paramètre uniquement si le site doit avoir une utilisation illimitée de XML-RPC.

Nous vous recommandons d'utiliser l'option Désactiver XML-RPC si vous n'utilisez aucun service utilisant XML-RPC.

2. Tentatives d'authentification multiples par requête XML-RPC

Il existe d'autres moyens de se connecter à WordPress en plus d'utiliser un formulaire de connexion. En utilisant XML-RPC, un attaquant peut effectuer des centaines de tentatives de nom d'utilisateur et de mot de passe dans une seule requête HTTP.

La méthode d'amplification par force brute permet aux attaquants de faire des milliers de tentatives de nom d'utilisateur et de mot de passe en utilisant XML-RPC en quelques requêtes HTTP.

Le paramètre Tentatives d'authentification multiples par requête XML-RPC dans iThemes Security Pro propose deux options :

Bloquer – Bloque les requêtes XML-RPC qui contiennent plusieurs tentatives de connexion. Ce paramètre est fortement recommandé.
Autoriser – Autorise les requêtes XML-RPC qui contiennent plusieurs tentatives de connexion. N'utilisez ce paramètre que si un service l'exige.

L'utilisation de plusieurs tentatives d'authentification par l'option Blocage de requête XML-RPC empêchera plusieurs tentatives d'authentification par requête XML-RPC. Limiter le nombre de tentatives de nom d'utilisateur et de mot de passe à une pour chaque demande contribuera grandement à sécuriser votre connexion WordPress.

3. API REST

L'API WordPress REST fait partie de WordPress et offre aux développeurs de nouvelles façons de gérer WordPress.

Par défaut, l'API REST peut être utilisée pour accéder à des informations que vous pensez être privées sur votre site, notamment :

Publications de tous types de publications, y compris celles qui ne ressemblent pas à des publications, telles que des produits ou des programmes membres.
Détails de l'utilisateur pouvant inclure des utilisateurs qui n'ont pas de publications ou de pages publiées.
Entrées de la médiathèque qui peuvent exposer des liens vers des médias de téléchargement qui ne sont publiquement liés nulle part. Cela peut inclure des liens pour télécharger du contenu réservé aux membres, des sauvegardes créées par certains plugins ou tout autre type de fichier ajouté à la médiathèque. (Notez que les sauvegardes BackupBuddy ne sont pas stockées dans la médiathèque et ne sont pas accessibles via l'API REST.)

Le paramètre de l'API REST dans iThemes Security Pro propose deux options :

Accès restreint – Restreindre l'accès à la plupart des données de l'API REST. Cela signifie que la plupart des demandes nécessiteront un utilisateur connecté ou un utilisateur avec des privilèges spécifiques, bloquant les demandes publiques de données potentiellement privées. Nous vous recommandons de sélectionner cette option.
Accès par défaut – L'accès aux données de l'API REST est laissé par défaut. Les informations, y compris les articles publiés, les détails de l'utilisateur et les entrées de la médiathèque, sont accessibles au public.

Nous vous recommandons d'utiliser l'option Accès restreint pour limiter l'accès aux informations privées.

Utilisateurs

1. Désactiver l'éditeur de fichiers

2. Forcer un surnom unique

Le paramètre Forcer le surnom unique oblige les utilisateurs à choisir un surnom unique lors de la mise à jour de leur profil ou de la création d'un nouveau compte. L'utilisation d'un surnom unique empêche les robots et les attaquants de récolter facilement les noms d'utilisateur de connexion des utilisateurs à partir du code sur les pages d'auteur. Notez que cela ne met pas automatiquement à jour les utilisateurs existants, car cela affectera les URL de flux d'auteur s'il est utilisé.

Forcer les utilisateurs à utiliser un surnom unique est un autre exemple de sécurité par l'obscurité. Vous feriez mieux d'activer les exigences de mot de passe iThemes Security Pro et les fonctionnalités d'authentification à deux facteurs pour sécuriser votre connexion WordPress.

3. Désactiver les archives utilisateur supplémentaires

Le paramètre Désactiver les archives utilisateur supplémentaires dans iThemes Security Pro rend plus difficile pour les robots de déterminer les noms d'utilisateur en désactivant les archives de publication pour les utilisateurs qui ne publient pas sur votre site.

La désactivation de la page d'auteur d'un utilisateur si son nombre de publications est de 0 est un autre exemple de sécurité par l'obscurité. Vous feriez mieux d'activer les exigences de mot de passe iThemes Security Pro et les fonctionnalités d'authentification à deux facteurs pour sécuriser votre connexion WordPress.

4. Connectez-vous avec l'adresse e-mail ou le nom d'utilisateur

Par défaut, WordPress permet aux utilisateurs de se connecter en utilisant une adresse e-mail ou un nom d'utilisateur. Le paramètre Connexion avec une adresse e-mail ou un nom d'utilisateur vous permet de restreindre les connexions pour n'accepter que les adresses e-mail ou les noms d'utilisateur.

Le paramètre Connexion avec adresse e-mail ou nom d'utilisateur dans iThemes Security Pro propose trois options :

Adresse e-mail et nom d'utilisateur (par défaut) – Autoriser les utilisateurs à se connecter en utilisant l'adresse e-mail ou le nom d'utilisateur de leur utilisateur. C'est le comportement par défaut de WordPress.
Adresse e-mail uniquement – Les utilisateurs ne peuvent se connecter qu'à l'aide de l'adresse e-mail de leur utilisateur. Cela désactive la connexion à l'aide d'un nom d'utilisateur.
Nom d'utilisateur uniquement – Les utilisateurs ne peuvent se connecter qu'en utilisant le nom d'utilisateur de leur utilisateur. Cela désactive la connexion à l'aide d'une adresse e-mail.

Limiter les connexions aux adresses e-mail peut ajouter un peu de protection contre une attaque par force brute. Alors qu'un bot peut gratter la page de l'auteur pour les noms d'utilisateur, il est moins susceptible de gratter un site Web pour les adresses e-mail des utilisateurs.

Mais encore une fois, vous feriez mieux d'activer les exigences de mot de passe iThemes Security Pro et les fonctionnalités d'authentification à deux facteurs pour sécuriser votre connexion WordPress.

Conclusion : WordPress Tweaks pour renforcer la sécurité de WordPress

Les WordPress Tweaks dans iThemes Security Pro ont été spécialement conçus pour renforcer la sécurité de votre site Web WordPress. Avec le plugin iThemes Security Pro, vous pouvez également ajouter ces couches de sécurité supplémentaires à votre site Web, notamment :

Authentification à deux facteurs
Connexions sans mot de passe
Détection de changement de fichier
Protection locale contre la force brute

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.