Conseils pour sécuriser votre site Web WordPress contre les vulnérabilités

Vous pourriez vous retrouver sur cet article à la recherche de Comment sécuriser le site Web WordPress contre les exploits ? ou

Comment se prémunir par site WordPress contre les hacks et malwares ?

Ou Astuces sécurisez votre site WordPress contre tous les exploits.

Bien sûr, c'est le bon article et il parle de toutes sortes de techniques, d'outils et de plugins pour vous aider à sécuriser votre site WordPress.

Selon W3Techs, WordPress alimente plus de 58% de tous les sites Web qui utilisent le CMS, ce qui représente 24,9% de tous les sites Web dans le monde.

Ainsi, avec l'augmentation de l'utilisation de WordPress et avec la popularité toujours croissante de la facilité de configuration et de la facilité d'utilisation, il y a eu une augmentation de l'utilisation de plus en plus de thèmes WordPress ainsi que de plugins.

Mais comme c'est facile, il y a aussi un cavalier qui l'accompagne. Il devient assez facile pour les pirates de le pirater s'il est utilisé dans tous ses paramètres par défaut.

D'où la nécessité de comprendre la sécurité et de sécuriser votre site Web alimenté par WordPress, car personne n'aime se faire pirater son site Web.

Il est évident lorsque vous recherchez sur Google ce mot-clé : « empêcher le piratage de WordPress », il arrive avec 8 millions de résultats ou plus que les gens comme les développeurs ainsi que les utilisateurs novices veulent désespérément connaître les techniques et les outils de prévention du piratage pour leur site Web WordPress.

Voici une liste de conseils et d'outils ainsi que des techniques auxquelles nous, en tant que développeurs de thèmes WordPress, pourrions penser.

Bien sûr, cet article peut mener à une discussion et plus d'entrées et plus d'ajouts peuvent être faits au fil du temps.

Nous commencerons par les techniques les plus simples puis passerons aux plus complexes :

Conseils plus simples pour la sécurité :

1. Hébergement : Votre hébergement joue un rôle crucial et important dans la sécurisation de votre site WordPress. Souvent, c'est le mauvais hôte qui vous fait pirater.

Si vous avez un excellent hébergement en place, de nombreuses choses peuvent être réglées rapidement et la plupart de vos frustrations peuvent être réduites. Par exemple : Les sauvegardes sont faciles.

Les attaques par force brute, le spam et l'injection SQL sont souvent contrôlés et évités. Nous parlerons donc des hébergeurs les plus recommandés et de leurs outils.

une. Hébergement partagé : La plupart des gens veulent juste démarrer leur site Web et ne veulent donc pas dépenser beaucoup lors de leur première tentative et choisissent donc l'hébergement partagé comme plate-forme.

Il existe des milliers de sociétés d'hébergement qui proposent un hébergement partagé et nous ne pouvons pas tous les ajouter ici, mais nous n'incluons que 4 hébergements partagés que nous avons personnellement essayés et que nous pouvons recommander.

Cependant, il pourrait y avoir un service encore meilleur ou similaire. Faites-nous savoir:

je. Bluehost : Bluehost a été référencé en permanence par WordPress.org sur sa page d'hébergement : https://wordpress.org/hosting/ C'est un bon point de départ pour l'hébergement mutualisé au cas où vous auriez besoin d'un site WordPress puisqu'il dispose à la fois d'un hébergement premium WordPress pour futur et simple hébergement mutualisé avec installation en 1 clic.

Puisqu'il s'agit d'un hébergement partagé qui vous coûte 3 à 4 USD par mois, vous ne pouvez pas vous plaindre du manque de fonctionnalités ou de services.

Cependant, il dispose d'un outil de sauvegarde automatisé appelé assistant de sauvegarde fourni avec cpanel que vous pouvez utiliser. Ainsi, les sauvegardes peuvent garantir votre sécurité et si jamais votre site Web est piraté, vous pouvez restaurer la sauvegarde.

ii. Un Petit Orange : Nous sommes personnellement hébergés sur cet hébergement et la plupart des fonctionnalités présentes dans Bluehost sont présentes ici. Mais surtout ce que nous aimons le plus et pouvons dire que c'est encore mieux que l'hébergeur ci-dessus, c'est le support.

Les tickets d'assistance reçoivent une réponse dans les 5 à 6 heures et nous pouvons toujours discuter avec quelqu'un sur le chat en direct en quelques minutes.

Le support est ce qui distingue cet hôte des autres car il y a beaucoup de réponses et d'aide qu'ils peuvent fournir gratuitement. Tout ce que vous avez à faire est de le leur demander. Exemple : installation du cache du serveur NGINX, sauvegardes et comment l'utiliser, etc.

iii. SiteGround : Un autre hébergement partagé WordPress populaire, ils vous fournissent également de bons outils pour sauvegarder votre site Web. Reste cpanel et les fonctionnalités standard sont présentes. Le chat est également proactif et les tickets d'assistance reçoivent souvent une réponse.

iv. Godaddy : Godaddy est le plus grand registraire de domaines et donc beaucoup le préfèrent également pour leur hébergement. Heures supplémentaires Godaddy a également apporté plusieurs modifications pour en faire un hébergement fiable pour WordPress.

Il a également commencé à fournir un hébergement WordPress Cpanel standard qui permet des sauvegardes et d'autres outils faciles à utiliser.

b. Hébergement infogéré WordPress : Pour ceux qui ont un petit budget et qui souhaitent qu'un hébergement gère leur sécurité à leur place.

Ces 2 sociétés d'hébergement parmi les nombreuses que nous avons trouvées sont fiables, moins chères que le reste et vous aident souvent à sécuriser votre site Web ainsi qu'à vous faire savoir quels plugins sont bons et lesquels ne le sont pas.

Ils ont également des sauvegardes nocturnes, ce qui signifie que vous êtes en paix avec eux. Ainsi dès qu'un piratage arrive ce qui est rare puisqu'ils le gèrent, ils peuvent restaurer la sauvegarde rapidement :

je. WP Engine : WP Engine vous permet de connaître la liste des plugins qu'ils recommandent pour la plupart. Par conséquent, les plugins vulnérables sont tenus à distance.

ii. FlyWheel : Flywheel vous dit de ne pas installer de plugin de sécurité car ils gèrent eux-mêmes la sécurité, ce qui signifie que vous n'avez rien à faire une fois que vous avez installé avec eux et ils s'occupent du reste.

2. Sauvegardes : les sauvegardes peuvent être effectuées à l'aide du gestionnaire de fichiers cpanel ou via ftp (pour les fichiers) et le téléchargement de la base de données à l'aide de phpMyAdmin à l'aide de cpanel ou de l'accès à la base de données hôte.

Il existe des centaines de tutoriels sur la façon dont vous pouvez sauvegarder manuellement votre site Web WordPress. Cependant, vous devriez envisager de lire les procédures de sauvegarde du Codex car elles sont sûres et ont été bien écrites : http://codex.wordpress.org/WordPress_Backups.

Il existe également plusieurs plugins. Nous en parlerons brièvement car la plupart d'entre eux que nous avons mentionnés ici fonctionnent bien et ont de bonnes critiques des autres :

une. SauvegardeWordPress
b. BackUpBuddy (version payante de ce plugin également présente)
c. VaultPress
ré. Sauvegarde et restauration Dropbox
e. Sauvegarde et restauration Amazon S3

3. Mettre à jour la version de WordPress : La plupart du temps, en raison de l'utilisation d'une ancienne version de WordPress, votre site risque d'être piraté. WordPress reconnaît de nombreux défauts et paramètres de sécurité dans ses versions précédentes et tels que rapportés par d'autres contributeurs qui sont mis à jour de temps en temps.

Par conséquent, l'utilisation de la dernière version de WordPress devrait réduire le risque de piratage ou de connexion par des logiciels malveillants.

4. Mise à jour des plugins et des thèmes WordPress : Généralement de la même manière, les auteurs de thèmes et les auteurs de plugins publient des mises à jour et des fonctionnalités. La plupart du temps, ce sont des mises à jour de fonctionnalités.

Mais de temps en temps, ces auteurs reconnaissent également des failles de sécurité et c'est donc une bonne pratique de continuer à utiliser également les plugins et les thèmes mis à jour.

5. Changer le nom d'utilisateur et le mot de passe par défaut : L'utilisation du nom d'utilisateur et du mot de passe par défaut comme une simple série de chiffres ou le maintien de l'administrateur convient tant que vous êtes sur un serveur local ou sur un site de test.

Mais pour les sites Web professionnels, il est important que vous changiez le nom d'utilisateur et le mot de passe par défaut.

Désormais, avec les dernières versions de WordPress, il est possible de choisir un nom d'utilisateur sécurisé et il génère un mot de passe sécurisé, mais pour les utilisateurs disposant d'anciennes versions de WordPress, vous pouvez accéder à votre profil pour modifier votre mot de passe.

Cependant, pour changer de nom d'utilisateur, utilisez soit phpMyAdmin si vous êtes à l'aise de le changer à partir de là, soit utilisez l'un des plugins ci-dessous :
une. Nom d'administrateur étendu
b. Changeur de nom d'utilisateur

6. Authentification en 2 étapes pour les attaques par force brute : L'authentification en 2 étapes est essentielle si votre site reçoit beaucoup d'attaques par force brute et a un trafic élevé ou des informations sensibles.

L'authentification en 2 étapes sécurise la zone de connexion de votre site Web WordPress et la rend très complexe pour les attaques par force brute. Les plugins qui peuvent être utilisés pour l'authentification en 2 étapes sont :
une. Clef
b. Duo
c. Authy
ré. Authentificateur Google
e. Rublon

Ces étapes simples devraient permettre à l'utilisateur de se sentir rassuré en termes d'avoir au moins des sauvegardes en temps opportun et au moins de présenter son site Web avec une sécurité minimale.

Les prochaines étapes dont nous allons discuter sont des étapes plus complexes pour sécuriser encore plus votre site Web WordPress.

Étapes complexes :

1. Étapes listées dans Hardening WordPress par Codex : http://codex.wordpress.org/Hardening_WordPress
La plupart de ces étapes sont destinées aux développeurs ou aux personnes qui utilisent WordPress depuis assez longtemps et qui comprennent le fonctionnement de wp-config.

Avoir utilisé le gestionnaire de fichiers ou ftp et peut implémenter des modifications dans htaccess, wp-config, etc.

Ces étapes constituent certainement un point de départ pour sécuriser votre site Web. Cependant, certains des quelques plugins de sécurité dont nous allons discuter ensuite placeront une couverture nette de sécurité sur votre site Web WordPress et vous devriez donc également vérifier les suivants :

2. Plugins qui aideront dans les détections de logiciels malveillants et la détection de changement de fichiers :

une. Sucuri Site Scan : Sucuri Site Scan comporte plusieurs onglets. Le premier onglet contient des paramètres généraux indiquant quand être averti des alertes telles que la connexion, les attaques par force brute, l'enregistrement de nouveaux utilisateurs, les alertes pour les tentatives de connexion infructueuses, l'installation du plug-in, etc.

Donc, si vous avez de nombreux utilisateurs sur votre site Web et de nombreux administrateurs ou éditeurs susceptibles d'installer un plug-in, ces fonctionnalités sont utiles et essentielles.

Le second est l'analyse des logiciels malveillants qui vous informe de tout type de logiciel malveillant ou de codes malveillants présents dans n'importe quel plugin ou répertoire de thème.

Il vérifie également les fichiers d'erreur, les fichiers modifiés le cas échéant. L'analyse doit être réduite si le trafic de votre site est faible et que vous êtes hébergé sur un hébergement partagé, car l'analyse prend également beaucoup de RAM d'hébergement.

La troisième partie est le renforcement de la sécurité comme la suppression de la version de WordPress (comme les versions inférieures sont plus sujettes au piratage, les pirates vérifient la version et ils savent sur quelle version quel type de vulnérabilités de sécurité sont présentes).

D'où la suppression de la version de WordPress, le répertoire de téléchargements où les médias sont stockés doit être sécurisé et renforcé, restreignant l'accès au contenu wp, readme.html à renforcer, le compte administrateur par défaut à supprimer et à modifier, le préfixe de base de données par défaut à modifier Sucuri Firewall protection .

Nous n'avons pas testé cela, mais nous utilisons Cloudproxy Firewall qui, selon lui, devrait vous aider à sécuriser votre site Web contre les injections DDOS, Brute Force et SQL. Si vous avez utilisé cette fonctionnalité, faites-le nous savoir car nous n'avons aucune preuve que ce pare-feu soit vraiment utile.

b. Antivirus : Un autre plugin que nous avons trouvé utile est Antivirus. Il détecte les fichiers de thème WordPress et les fichiers de base de données pour la sécurité et l'exploitation.

Le seul inconvénient de ce plugin de sécurité est qu'il utilisera wp-cron et si vous configurez une analyse quotidienne et au cas où votre hébergement partagé n'est pas si puissant et que votre site Web est plus grand.

En termes de pages, de publications et de base de données, ce plugin peut consommer beaucoup de ressources car il analyse les fichiers et les tables de base de données.

c. Anti-Malware et Brute Force Security par ELI : Anti-malware et Brute Force Security, comme son nom l'indique, fait un excellent travail à cet égard.

Si vous vous inscrivez au plugin sur gotmls.net, vous obtenez toutes les mises à jour des menaces connues. Il analyse également htaccess pour tous les scripts, il vérifie les exploits timethumb et vous avertit, il vérifie les scripts de porte dérobée et demande de ne pas vous utiliser, et vérifie votre connexion pour toutes les vulnérabilités.

Donc, de cette façon, ce plugin fait la tâche d'anti-malware. Vérifie également tous les fichiers WordPress originaux. Vous pouvez l'utiliser et vérifier s'il y a des problèmes dans votre site Web existant et les corriger.

ré. Vérificateur d'authenticité du thème : Eh bien, dans la plupart des cas, nous essayons de faire analyser les plugins et la sécurité générale du tableau de bord WordPress comme la connexion, les fichiers WordPress, etc.

Mais les thèmes WordPress et leur sécurité sont également importants car il peut y avoir des scripts inutiles ou du code malveillant obscurci qui peuvent être facilement piratés.

Par conséquent, ce plugin est un bon outil pour scanner et vérifier votre thème et une fois que vous savez quels fichiers sont indésirables ou quel code est problématique, vous pouvez le renvoyer à l'auteur du thème d'origine pour la suppression ou la modification du code.

Pour des pratiques plus sûres ou s'il y a trop de vulnérabilités, utilisez plutôt un thème plus sûr. Dans la plupart des cas, pour les vérifications de thème, il fait mieux qu'Antivirus.

3. Des plugins de sécurité qui sécuriseront votre site WordPress

une. All in One WP Security and Firewall : Celui-ci s'occupe des éléments suivants qui résument la plupart de la sécurité que vous pouvez prendre sur votre site Web :
je. Sécurité de la connexion utilisateur
ii. Sécurité du compte utilisateur
iii. Sécurité de l'enregistrement des utilisateurs
iv. Sécurité des fichiers système
v. Configuration du pare-feu
vi. Fonctionnalité de liste noire
vii. Sécurité de la base de données
viii. Sauvegardes
ix. Pare-feu et force brute

b. Sécurité WordFence

c. Meilleure sécurité WP (maintenant iThemes Security)

ré. Sécurité à l'épreuve des balles

4. D'autres ne figurent pas dans cette liste mais peuvent être utiles :

une. Acunetix WP Security : Récemment, de nombreuses critiques négatives ont surgi pour ce plugin sur WordPress.org, nous ne pouvons donc pas vous le recommander.

b. 6Scan Security : De nombreux clients se sont plaints du fait que le site devenait vide après l'installation de ce plugin et nous ne pouvions donc pas vous le recommander.

c. Analyseur d'exploitation

ré. Analyseur de logiciels malveillants Web Quttera