Le processus de sécurité WordPress ; Tester, durcir, surveiller, améliorer

La sécurité de WordPress n'est pas sans rappeler de nombreux autres domaines de la sécurité informatique. Ce n'est pas une solution ponctuelle. C'est quelque chose qui n'est jamais vraiment terminé. Bien que vous puissiez prendre plusieurs mesures pour améliorer la sécurité de votre WordPress, les exigences de votre site et de votre entreprise changeront. Ainsi, l'adoption d'une évaluation de sécurité ponctuelle ne vous donnera qu'un faux sentiment de sécurité. Au lieu de cela, la stratégie gagnante consiste à suivre un processus continu . Un processus de test constant de vos défenses et d'itération pour améliorer la sécurité de votre site Web.

Cet article vise à proposer un processus itératif à long terme simple à suivre que vous pouvez mettre en œuvre pour vous assurer que vos efforts de sécurité WordPress sont continus et restent pertinents pour le paysage des menaces dans lequel vous et votre entreprise évoluez.

1. Testez la sécurité de WordPress

La plupart des parcours de sécurité WordPress commencent ici ; vous avez remarqué quelque chose de mal configuré dans votre installation WordPress, ou vous avez lu des informations sur l'utilisation d'outils tels que WPScan ou nmap pour évaluer la sécurité de votre site Web WordPress. Vous avez peut-être été victime d'un incident de sécurité et vous aimeriez savoir comment tester votre sécurité WordPress.

Les tests de sécurité sont une étape vitale dans une stratégie de sécurité WordPress continue. En regardant votre site Web à travers le même objectif que celui d'un attaquant, vous êtes en mesure de mieux comprendre sa posture de sécurité. Cela signifie que vous apprenez ce qui peut être fait pour renforcer vos défenses contre les faiblesses que vous avez identifiées. Voir l'étape 2 pour plus de détails à ce sujet.

Si vous ne savez pas par où commencer pour tester votre sécurité WordPress, engagez un professionnel tiers. Bien sûr, rien ne vous empêche de monter en puissance progressivement vos connaissances pour pentester vous-même votre site WordPress.

2. Renforcer WordPress

Une fois que vous avez compris ce que vos tests de sécurité ont découvert, il est temps de renforcer votre installation WordPress. Par défaut, WordPress est raisonnablement sécurisé. Cependant, il existe de nombreux choix, optimisations et modifications que vous pouvez apporter à votre configuration WordPress et à votre infrastructure de serveur pour rendre la vie d'un attaquant plus difficile. Bon nombre de ces optimisations , dont beaucoup peuvent dépendre de votre cas d'utilisation. Ce processus est généralement appelé "renforcement de la sécurité" ou simplement "renforcement".

Le durcissement de votre installation WordPress n'est certainement pas une affaire ponctuelle. Vous devrez installer de nouveaux plugins et étendre les fonctionnalités de votre site WordPress pour répondre à l'évolution des besoins de l'entreprise. Les ressources ne manquent certainement pas pour vous aider à renforcer la sécurité de WordPress. Voici deux principes fondamentaux auxquels vous devez vous tenir lors du renforcement de votre configuration WordPress.

Exécutez moins de logiciels

Initialement, "exécuter moins de logiciels" ne semble pas très utile. Cependant, vous utilisez probablement plus de logiciels que nécessaire. Cela signifie également plus de place pour les attaquants pour exploiter les faiblesses potentielles de ce logiciel supplémentaire .

Si vous ne savez pas par où commencer, commencez par jeter un œil à vos plugins WordPress. Demandez-vous ce dont vous pouvez vous passer et supprimez-le. Appliquez le même principe aux extensions PHP, à la configuration du serveur Web, aux outils du système d'exploitation et aux services réseau.

La suppression d'un logiciel n'est généralement pas un processus facile pour commencer. Cependant, chaque fois que vous ferez cet exercice, cela deviendra plus difficile. Bien que le résultat de l'exécution d'un système plus léger en vaille la peine.

En plus de toujours vous assurer de tester tout changement dans un environnement de test ou de mise en scène, vous voulez également vous assurer de ne pas supprimer des logiciels tels que votre pare-feu WordPress, votre journal d'activité WordPress ou vos plugins de surveillance de l'intégrité des fichiers WordPress, qui sont là pour améliorez votre sécurité WordPress.

Ceci s'applique également aux plugins et thèmes désactivés. Les plugins désactivés doivent être supprimés immédiatement, car dans certains cas, leur code peut toujours être exploité s'il est vulnérable. En ce qui concerne les thèmes, votre site Web n'utilise qu'un seul thème. Peut-être deux si vous avez une configuration de thème enfant. Supprimez tous les thèmes supplémentaires de votre site Web, y compris ceux par défaut fournis avec WordPress.

Principe du moindre privilège

WordPress n'a pas besoin de l'utilisateur root MySQL pour fonctionner. De même, c'est une mauvaise idée d'exécuter la plupart des logiciels en tant que root sur des serveurs Linux (équivalent à Administrator sur Microsoft Windows). N'utilisez les comptes admin / root que s'il existe une raison justifiable de le faire.

Dans une telle mesure, en règle générale, faites toujours de votre mieux pour donner à une application ou à un utilisateur le moins de privilèges possible pour faire le travail. Bien sûr, tout exécuter en tant que root ou administrateur signifie que tout fonctionnera sans se soucier des privilèges. Cependant, c'est potentiellement très dangereux. L'exécution d'applications (y compris des tâches telles que les tâches cron) avec des privilèges d'administration peut permettre à un attaquant ou à un plugin malveillant de causer plus de dégâts en cas de faille de sécurité.

Si vous ne savez pas par où commencer, commencez par regarder qui est administrateur dans WordPress et décidez si vous devez limiter cela d'une manière ou d'une autre - pendant que vous y êtes, vous voudrez peut-être vous assurer que vous êtes accéder à l'administrateur WordPress via HTTPS (SSL), et que vous avez implémenté l'authentification à deux facteurs (2FA) (ou qu'au moins vous avez implémenté l'authentification HTTP pour votre administrateur WordPress).

Bien sûr, il existe plusieurs autres conseils de renforcement de la sécurité WordPress que vous pouvez mettre en place pour améliorer la sécurité de votre site Web WordPress. Reportez-vous à nos tutoriels et astuces de sécurité WordPress pour en savoir plus.

3. Surveillez WordPress

Les journaux sont absolument cruciaux pour maintenir la sécurité de tout système. Ils sont ce que nous avons de plus proche d'une machine à voyager dans le temps. Être capable de répondre à ce qui s'est passé et quand est un outil indispensable lors d'une enquête sur un incident de sécurité. Avoir accès aux bons journaux pourrait faire la différence entre remarquer qu'un attaquant a pris pied sur votre site Web et laisser un braquage passer inaperçu jusqu'à ce qu'il soit trop tard.

La surveillance est complémentaire à la journalisation. Dans sa forme la plus élémentaire, la surveillance attend qu'un événement se produise (généralement en consultant périodiquement un journal), l'enregistre et est généralement configuré avec une sorte de système d'alerte pour alerter un administrateur système que quelque chose s'est produit (comme un système de détection d'intrusion WordPress ). Alors que de nombreux administrateurs système surveillent généralement l'utilisation du processeur et de la mémoire, il se peut qu'ils ne puissent pas surveiller l'accès à WordPress.

Journaux d'activité WordPress

Pouvoir consulter un journal d'activité WordPress pour déterminer exactement ce qu'un utilisateur a fait dans un laps de temps donné est un outil analytique crucial dans une enquête. De plus, vous voudriez pouvoir corréler ces informations avec le serveur Web, les erreurs PHP et les journaux de base de données. Voici quelques conseils pour vous assurer que vous couvrez correctement au moins la gestion de base des journaux.

• Assurez-vous d'effectuer correctement la rotation de vos journaux afin de vous assurer de ne pas manquer d'espace disque
• Sauvegardez vos journaux périodiquement sur une sauvegarde hors site (par exemple, Amazon S3 ou Digital Ocean Spaces)
• déterminez combien de temps vous souhaitez conserver les journaux et configurez les politiques de conservation des journaux d'activité. Une conservation d'au moins 1 an est conseillée
• Assurez-vous de disposer d'un moyen rapide d'accéder aux informations importantes de vos journaux lors d'un incident

Autres journaux

Outre les journaux d'activité WordPress, en tant qu'administrateur de site, vous avez accès à de nombreux autres journaux, tels que les journaux du serveur Web, les journaux PHP et bien d'autres. Reportez-vous à la liste des fichiers journaux pour les administrateurs WordPress pour en savoir plus sur tous les différents fichiers journaux auxquels vous avez accès. Les messages soulignent également comment vous pouvez utiliser les informations de tous les journaux pour retracer un incident ou une attaque.

4. Améliorez votre sécurité WordPress

Une fois que vous avez terminé avec le cycle décrit ci-dessus, l'étape suivante consiste à essayer d'analyser ce que vous pouvez faire mieux la prochaine fois. Comme indiqué au début de l'article, gardez à l'esprit que la sécurité est un processus continu - essayez de vous tenir au courant des actualités de sécurité de WordPress et, surtout, assurez-vous d'être toujours au courant des mises à jour de sécurité de WordPress.

Une fois que vous avez suivi ce processus plusieurs fois, essayez de documenter les détails de votre propre processus. Faites-en une routine que vous suivez de temps en temps. De plus, chaque fois que vous apportez des modifications à votre site Web WordPress, gardez à l'esprit la sécurité. Suivez le processus de sécurité itératif de WordPress consistant à tester , renforcer , surveiller et améliorer la sécurité de votre site Web chaque fois que vous apportez une modification à votre site Web.