La liste de contrôle en 16 étapes pour sécuriser votre site WordPress


Nous ne saurions trop insister sur l’importance d’une sécurité de site robuste. Lorsque vous vous précipitez pour respecter une date limite, sécuriser correctement votre site WordPress n’est peut-être pas votre plus grande priorité, nous avons donc mis en place une liste de contrôle pour vous assurer que vous ne manquez aucun des éléments essentiels.

Dans une mer de plus de 2 milliards de sites Web, il est compréhensible que de nombreuses personnes ne pensent pas que leur site risque d’être piraté.

Et si vous n’avez jamais été victime d’une attaque, vous pourriez ne pas vous inquiéter autant que vous le devriez probablement.

Cependant, il vaut mieux avoir la bonne protection et ne pas en avoir besoin, que de s’en passer et de le regretter.

Nous avons dressé une liste de contrôle de 16 étapes que vous voudrez peut-être suivre lors de la sécurisation de votre site – ce qui, espérons-le, facilitera l’organisation de votre sécurité.

1. Optez pour un hébergement sécurisé
2. Masquez votre URL de connexion
3. Utilisez un gestionnaire de mots de passe
4. Activer l’authentification à deux facteurs
5. Utiliser les délais de connexion
6. Configurer un WAF
7. Renforcez votre sécurité avec un plugin
8. Utilisez des plugins pour effectuer automatiquement des tâches
9. Prendre des mesures pour prévenir les attaques DDoS
10. Vérifiez régulièrement les comptes non autorisés
11. Sécurisez votre fichier wp-config
12. Obtenez votre site un certificat SSL
13. Empêcher le Hotlinking
14. Empêcher les commentaires de spam
15. Visitez votre site régulièrement
16. Considérez un site statique

Optez pour l’hébergement sécurisé

Vous pouvez franchir toutes les étapes de cet article et aller au-delà pour renforcer votre site, cependant, si vous utilisez un hébergement partagé bon marché, c’est comme avoir une porte d’entrée en titane renforcée et ultra-solide – et laisser une clé sous le paillasson.

Dessin animé de Devman obtenant une clé sous un paillasson.
Ne rendez jamais la tâche facile pour les visiteurs indésirables (désolé, Devman!)

Sans même tenir compte de la sécurité, l’hébergement mutualisé présente suffisamment d’inconvénients pour convaincre la plupart des gens de rester clairs, mais c’est tout un sujet en soi. Consultez notre article sur le choix du meilleur type d’hébergement pour vos besoins pour un examen approfondi de tous les avantages et inconvénients de l’hébergement mutualisé.

Le plus gros inconvénient est peut-être le manque de sécurité. Une vulnérabilité sur le site de quelqu’un d’autre peut entraîner la compromission du serveur et une attaque de votre site, sans que vous en soyez responsable.

Bien que les sociétés d’hébergement essaient de prendre toutes les précautions nécessaires pour empêcher la propagation de telles attaques malveillantes, ce n’est pas toujours possible avec l’hébergement partagé, car les sites sont hébergés sur le même serveur.

Si vous ne voulez pas vous soucier de ce qui se passe sur le serveur de votre site, optez plutôt pour un VPS ou un hébergement dédié.

L’hébergement de WPMU DEV vous offre une mémoire dédiée, un processeur et un stockage SSD indépendant de tout autre site, y compris des autres que vous hébergez chez nous!

Meilleures astuces:

  • Choisissez un fournisseur d’hébergement réputé pour avoir mis en place une sécurité robuste.
  • Ne lésinez pas sur le prix – il vaut mieux dépenser un peu plus pour un bon hébergement que de passer à bas prix et de se faire pirater.
  • Tirez parti des fonctionnalités proposées par votre hébergeur telles que les sauvegardes automatiques, un WAF ou la possibilité de bloquer les adresses IP suspectes.

Sécurisez votre page de connexion

Une tentative de piratage est rarement personnelle. Vous ne dirigez peut-être qu’un petit site Web pour un club nautique dans votre village local, mais cela ne signifie pas qu’il sera à l’abri des pirates.

Les robots malveillants reniflent sur Internet à la recherche de vulnérabilités sur les sites Web et ne font aucune discrimination. S’ils découvrent qu’il existe un itinéraire au-delà de votre page de connexion WordPress, ils infecteront vos fichiers avant que vous ne puissiez dire “malware!”.

Vous pouvez prendre quelques mesures pour vous assurer que votre page de connexion est à l’abri de ce type d’attaques.

Masquez votre URL de connexion

La première consiste à utiliser un plugin tel que Défenseur pour masquer votre URL de connexion.

Cela rend considérablement plus difficile pour les robots de mener des attaques par force brute. S’ils ne trouvent pas votre page de connexion, ils n’ont nulle part où essayer de déchiffrer votre mot de passe.

C’est super facile à activer dans Defender. Choisissez simplement un nouveau slug pour votre URL de connexion.

Capture d'écran de l'utilisation de la fonction de masquage d'URL pour modifier l'URL en
Assurez-vous de garder une note sécurisée de votre nouvelle URL!

Vous pouvez également rediriger les personnes qui tentent d’accéder à votre ancien lien wp-admin vers une page de votre choix.

Capture d'écran de l'option de redirection du trafic.
Pas aujourd’hui, bots!

Utiliser un gestionnaire de mots de passe

Il existe deux règles principales en matière de mots de passe:

  • Assurez-vous que vos mots de passe sont de bonne longueur et contiennent une variété de caractères différents.
  • N’utilisez pas le même mot de passe pour plus d’un compte.

Le respect de ces deux règles peut rendre presque impossible la mémorisation de tous vos mots de passe, c’est pourquoi vous pourriez bénéficier d’un gestionnaire de mots de passe.

Dernier passage et 1Mot de passe sont deux des meilleurs gestionnaires de mots de passe sur le marché et vous aideront à créer et à stocker des mots de passe complexes pour tous vos comptes.

Tout ce dont vous devrez vous souvenir est un mot de passe principal fort et sécurisé – le reste sera pris en charge pour vous.

Activer l’authentification à deux facteurs

Votre mot de passe peut sembler long et complexe, cependant, si une chaîne de 15 caractères est tout ce qui se trouve entre vos données et un hacker rusé, malheureusement, ce ne sera pas toujours suffisant.

L’authentification à deux facteurs consiste à associer votre téléphone ou un autre appareil à votre administrateur WordPress afin qu’il ne soit pas possible de se connecter sans entrer un code unique.

Defender utilise Google Authenticator, Microsoft Authenticator et Authy pour ce faire.

Configurez-le simplement pour chacun de vos comptes utilisateurs et chaque fois que quelqu’un franchit l’écran du nom d’utilisateur et du mot de passe, il sera invité à ouvrir votre authentificateur et à saisir le code.

Capture d'écran de la page de Defender vous demandant de saisir le code d'authentification.
Pas de mot de passe, pas d’entrée!

Cela rend presque impossible pour les pirates d’accéder à votre site sans avoir accès à votre nom d’utilisateur, mot de passe ET à votre appareil mobile.

Pour mettre les choses en perspective, un site que j’utilise uniquement pour tester des plugins et des thèmes reçoit en moyenne 40 tentatives de connexion par jour par des robots. Ce sont des robots dont le seul travail est d’essayer des combinaisons de mots de passe aléatoires dans l’espoir d’accéder à votre site.

Tout ce qu’il faut, c’est une de ces tentatives pour réussir et vous pourriez perdre complètement l’accès à votre site.

Je peux voir ces tentatives dans les journaux d’audit de Defender.

Capture d'écran montrant une série de tentatives de connexion au site sur une période d'environ 8 heures.
Plus de tentatives infructueuses, mais les robots n’abandonnent jamais!

Même si mon site est très obscur et n’est pas destiné à être accessible au public, il est toujours sur le radar des robots malveillants.

Et même si mon mot de passe est sécurisé, je serais beaucoup plus inquiet si je n’avais pas activé l’authentification à deux facteurs.

Meilleures astuces:

  • L’utilisation de mots de passe uniques pour chaque compte peut également vous aider à identifier la source d’une attaque si votre mot de passe est un jour compromis.
  • Configurez une adresse e-mail de secours au cas où vous perdriez votre appareil mobile et ne pourriez pas accéder à votre site.
  • Si vous oubliez votre URL de connexion masquée, vous pouvez la récupérer dans votre base de données.
  • Pour plus de sécurité, vous pouvez supprimer le lien de réinitialisation du mot de passe de votre page de connexion avec un plugin tel que Branda.

Protection de connexion

Defender a quelques outils supplémentaires à sa ceinture lorsqu’il s’agit de bloquer les intrus hors de votre site.

Vous pouvez configurer une protection de connexion pour vous assurer que les pirates informatiques ne peuvent pas se frayer un chemin dans votre compte en envoyant du spam à des combinaisons de mots de passe.

Choisissez le nombre maximum de tentatives de connexion que vous souhaitez autoriser dans un certain laps de temps et affichez un message personnalisé à toute personne en dehors de la limite.

Capture d'écran de l'écran de protection de connexion montrant qu'il est configuré pour être banni après 5 échecs de connexion dans les 300 secondes?
Vous pouvez également choisir de définir un verrouillage temporaire – ou de les interdire pour toujours!

Les adresses IP peuvent être bannies directement des journaux de Defender. Si vous voyez la même adresse IP essayant à plusieurs reprises d’accéder à votre site, cliquez simplement sur «BAN IP».

Capture d'écran d'une tentative de connexion infructueuse montrant l'adresse IP, la date et l'heure.
Vous pouvez également interdire les adresses IP en masse.

Assurez-vous simplement (et notre équipe d’assistance me remerciera d’avoir dit cela) que ce n’est pas votre propre adresse IP que vous interdisez, car vous vous enfermerez complètement hors de votre site Web!

Defender propose également quelques moyens supplémentaires de gérer les adresses IP suspectes, que nous aborderons plus en détail dans cet article.

Meilleures astuces:

  • Ajoutez votre propre adresse IP à la liste d’autorisation afin de ne pas être accidentellement frappé par un verrouillage.
  • Si vous remarquez un nombre élevé de tentatives de connexion depuis un pays spécifique, vous pouvez interdire totalement les adresses IP de ce pays en utilisant Defender.
  • Ne donnez pas à vos utilisateurs des noms communs tels que Admin ou Administrateur. Les robots les utiliseront souvent pour tenter de déchiffrer vos informations de connexion, donc si vous utilisez un nom de compte commun, ils sont déjà à mi-chemin!

Configurer un WAF

Un pare-feu d’application Web (WAF) est un type spécial de pare-feu, qui définit des règles définies afin d’aider à protéger une application Web contre les attaques.

Toutes les demandes entrantes et les réponses du serveur Web sont examinées par un WAF. Il surveille, filtre et bloque le trafic indésirable, protégeant votre site contre les pirates et autres mauvais trafics.

WAF est simplement un intermédiaire entre l’application web et le client.

Généralement, un WAF est utilisé contre les attaques pour lesquelles les solutions traditionnelles ne fournissent pas de protection, comme les scripts intersites et l’injection SQL, cependant, il peut également être utilisé pour se protéger contre les accès illégaux aux ressources – le piratage de session par exemple.

Ça sonne bien?

Consultez notre aperçu complet du fonctionnement d’un WAF et apprenez à tirer parti de notre impressionnant WAF (qui est inclus dans tous nos plans d’hébergement sans frais supplémentaires).

Renforcez la sécurité de votre site avec un plugin

Si vous voulez avoir une chance réelle d’empêcher toute forme d’attaque contre votre site de réussir, votre meilleur pari est avec un bon plugin de sécurité complet.

Défenseur a une tonne de fonctionnalités qui fonctionnent ensemble pour rendre votre site difficile à casser.

Cependant, je pourrais écrire un article complet sur toutes les façons dont Defender peut vous aider à sécuriser votre site – nous l’avons déjà fait.

Juste pour vous donner un avant-goût, certaines de ses caractéristiques comprennent:

  • Authentification à deux facteurs
  • Masquage de connexion
  • Verrouillage de connexion
  • Détection 404
  • Pare-feu de sécurité WordPress
  • Possibilité de désactiver les trackbacks et les pingbacks
  • Recommandations de mise à jour du noyau et du serveur
  • Option pour désactiver l’éditeur de fichiers
  • Possibilité de masquer les rapports d’erreur
  • Mettre à jour les clés de sécurité
  • Empêcher la divulgation d’informations
  • Empêcher l’exécution de PHP

La plupart des fonctionnalités de Defender sont en fait gratuites, alors rendez-vous sur WordPress.org, cliquez sur Télécharger et commencez à dissuader ces attaques.

Utilisez des plugins pour effectuer des tâches automatiquement

Réalité: les ordinateurs n’oublient pas les choses.

Qu’il s’agisse de sauvegarder votre site ou de mettre à jour vos plugins, rien n’est aussi fiable qu’un processus automatisé.

C’est pourquoi vous devriez laisser ces tâches aux experts – quelques super plugins WordPress!

Mise à jour avec Automate

Les pirates aiment trouver des vulnérabilités dans les plugins et les thèmes et les utiliser pour infiltrer votre site.

Lorsqu’un développeur est mis au courant d’un exploit potentiel dans son produit, il crée un correctif qui corrige la vulnérabilité.

Si vous négligez de mettre à jour vos plugins et vos thèmes lorsque de nouveaux correctifs sont publiés, vous pourriez laisser des trous ouverts aux pirates informatiques.

C’est pourquoi il est important de s’assurer que les mises à jour sont appliquées dès leur publication, et c’est là qu’Automate entre en jeu.

Lorsque vous exécutez un certain nombre de sites WordPress, la mise à jour manuelle de tous les plugins et thèmes peut prendre du temps, ce qui signifie que parfois cette tâche peut être mise en veilleuse.

Automate détecte automatiquement lorsque votre site Web exécute des plugins, des thèmes ou une version obsolète de WordPress, et met automatiquement à jour votre site Web pour exécuter les dernières versions.

Mieux encore, il peut même effectuer une sauvegarde de votre site avant d’installer les mises à jour, juste au cas où il y aurait un problème de compatibilité qui poserait des problèmes.

Consultez nos documents pour un tutoriel complet sur la configuration d’Automate.

Sauvegarde avec snapshot

Le plan, bien sûr, est d’éviter d’être piraté.

Cependant, si le pire se produit, une sauvegarde de votre site peut sauver la mise.

Il n’y a pas de meilleur moyen de le faire (à mon humble avis!) Qu’avec un plugin de sauvegarde fiable comme Snapshot.

Choisissez simplement la fréquence et l’heure auxquelles vous souhaitez que vos sauvegardes aient lieu, et vous êtes prêt.

Capture d'écran des programmes de sauvegarde que vous pouvez choisir.
Ne vous inquiétez plus de manquer une sauvegarde!

Cet article vous donnera un aperçu complet de la configuration et de la gestion de vos sauvegardes avec Snapshot.

Meilleures astuces:

  • En plus de mettre à jour régulièrement vos plugins et thèmes, assurez-vous de garder un œil sur les nouvelles versions de PHP et SQL qui devraient également être mises à jour dès que possible après leur sortie.
  • Il est toujours bon de prendre des sauvegardes manuelles périodiques et de les enregistrer localement également – vous ne pouvez jamais être trop sûr en matière de sécurité du site!

Protéger contre les attaques DDoS

Une attaque par déni de service distribué (DDoS) se produit lorsqu’un site Web est inondé de trafic afin de perturber son service.

Elle est réalisée par un réseau d’ordinateurs (parfois des ordinateurs de membres du public inconscients qui ont été infectés par des logiciels malveillants). L’attaquant utilise ces appareils pour former un «botnet», auquel il peut ordonner d’attaquer une cible particulière.

Le but de ces attaques est souvent de demander une rançon aux propriétaires du site, et il y a eu des cas très médiatisés d’attaques DDoS dans le passé. Certaines sont menées simplement pour le plaisir et pour semer le chaos, mais quelle que soit la raison de l’attaque, être victime d’une attaque n’est jamais idéal.

Heureusement, vous pouvez prendre certaines mesures pour éviter que cela ne se produise sur votre site.

Ceux-ci inclus:

  • Désactivation de XML-RPC
  • Utiliser un pare-feu
  • Désactivation des trackbacks et pingbacks
  • Désactivation de l’API Rest
  • Utilisation d’un CDN.

Ces étapes sont toutes décrites en détail dans notre guide de prévention des attaques DDoS.

Vérifiez régulièrement les comptes non autorisés

Lorsque vous travaillez souvent dans WordPress et que vous avez l’habitude de parcourir les mêmes écrans, il est facile pour certaines choses de passer à travers le filet.

C’est pourquoi vous devez prendre le temps de vérifier manuellement que personne d’autre n’a accès à votre site.

Vous devriez vérifier régulièrement les comptes escrocs.

Cela s’applique non seulement aux utilisateurs WordPress supplémentaires, mais également aux comptes FTP et SSH.

Si vous hébergez avec WPMU DEV, ces informations sont disponibles dans The Hub.

Capture d'écran des comptes utilisateurs SFTP.
Une vérification rapide pour vous assurer que vous reconnaissez tous les comptes actifs est tout ce dont vous avez besoin.

Sécurisez votre fichier WP-Config

Votre wp-config détient les clés de l’ensemble de votre site WordPress et est la dernière chose sur laquelle vous voulez que les pirates informatiques mettent la main.

Une façon de vous assurer qu’il est hors de portée consiste à le déplacer hors de votre dossier racine Web.

Jeter un coup d’œil à Les propres conseils de WordPress à ce sujet pour décider si c’est le bon itinéraire pour vous.

Si vous ne souhaitez pas le déplacer complètement, vous pouvez en bloquer l’accès en ajoutant le code suivant dans votre fichier .htaccess.



order allow, deny

deny from all


Meilleures astuces:

  • Allez plus loin en bloquant également l’accès à votre .htaccess!

Obtenez votre site un certificat SSL

Un certificat SSL vérifie que le site Web auquel vous êtes arrivé est la destination prévue, en vérifiant les informations d’identification de son certificat.

Cela permet d’éviter l’usurpation de domaine et d’autres attaques similaires.

Une connexion qui implique un certificat SSL est plus fiable, plus sécurisée et donne une bien meilleure impression au client.

En effet, un certificat SSL transforme une connexion HTTP en connexion HTTPS – le «S» ajouté signifie littéralement sécurisé.

Capture d'écran montrant le message que vous recevez lorsque vous visitez une page sans certificat SSL dans Chrome.
La dernière chose que vous voulez que vos visiteurs voient, c’est ce message!

Vous pouvez obtenir un certificat SSL via un fournisseur de confiance tel que Let’s Encrypt.

Meilleures astuces:

Empêcher le Hotlinking

Si quelqu’un établit un lien direct entre vos photos, il utilise le lien vers votre image d’origine sur votre site, ce qui signifie que ses visiteurs profitent de l’image, mais votre serveur prend l’onglet.

Non seulement cela est considéré comme contraire à l’éthique, mais cela peut mettre beaucoup de pression sur votre serveur, causer des problèmes pour votre site et entraîner des coûts supplémentaires.

Il existe plusieurs façons de sécuriser vos images, l’une des plus simples étant d’ajouter un extrait de code à votre fichier .htaccess.

Ce code garantira que seuls certains sites Web sont autorisés à afficher vos images. Vous pouvez spécifier les sites individuels.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?example.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?youtube.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ - [F] 

Il s’agit du code nécessaire aux sites exécutés sur des serveurs Apache.

location ~ .(gif|png|jpeg|jpg|svg)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo. yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Utilisez ce code si votre site s’exécute sur un serveur NGINX.

Meilleures astuces:

  • Vous pouvez également protéger vos images à l’aide d’un plugin ou d’un CDN avec protection hotlink.
  • Ajoutez un avis de droit d’auteur au pied de page de votre thème pour dissuader les gens d’essayer même de voler vos images.

Arrêtez le spam

Les commentaires de spam sur votre blog ne sont pas seulement frustrants – ils peuvent également poser un risque pour la sécurité.

De nombreux commentaires de spam contiennent des liens malveillants dans l’espoir d’inciter vos visiteurs à soumettre leurs informations personnelles.

Ainsi, bien que vous ne soyez peut-être pas la cible de ce type d’attaques, vous avez le devoir envers les visiteurs de votre site de les protéger.

Si vous êtes touché par une tonne de spam, vous avez deux options: désactiver complètement vos commentaires ou installer un plugin anti-spam.

Si vous choisissez cette dernière option, Akismet peut être exactement ce dont vous avez besoin.

Chaque commentaire laissé sur votre site, PLUS vos soumissions de formulaire sont tous exécutés dans leur base de données mondiale de spam pour empêcher le contenu malveillant de pénétrer sur votre site.

C’est gratuit – et ça marche!

Visitez votre site régulièrement

Parfois, la solution la plus simple peut faire des merveilles.

Si votre site a été piraté et que votre contenu a été mêlé, un rapide coup d’œil sur votre site devrait vous le dire en quelques secondes.

Visiter votre site et le voir du point de vue du client est une bonne chose non seulement du point de vue de la sécurité, mais aussi du point de vue de l’accessibilité et de l’esthétique.

Alors prenez un café, asseyez-vous et parcourez votre site comme si vous étiez un visiteur régulier.

Meilleures astuces:

  • N’oubliez pas de consulter votre site lorsque vous êtes connecté, déconnecté et en mode navigation privée également!

Considérez un site statique

Si vous exécutez un site qui nécessite peu d’entrée de l’utilisateur, c’est-à-dire qu’il sert principalement à partager des informations, plutôt qu’un magasin de commerce électronique ou un blog occupé, la conversion en site statique peut être bénéfique.

Pour ce faire, vous devez créer des copies de vos fichiers et les regrouper dans un fichier .ZIP soigné qui peut être stocké sur votre serveur.

Cela signifie que votre installation WordPress réelle peut être cachée en toute sécurité et hors de portée des robots et des pirates.

Ce n’est pas la bonne route pour de nombreux sites, mais n’hésitez pas à consulter des services tels que Strattique ou Simplement statique si vous souhaitez approfondir vos recherches.

Mieux vaut prévenir que guérir

Nous savons que la mise en œuvre de tant d’étapes différentes peut sembler une tâche fastidieuse, mais heureusement, une fois que vous avez coché la plupart de ces étapes de votre liste, elles se débrouillent toutes seules.

Les plugins fonctionnent silencieusement en arrière-plan et font le travail difficile pour vous, donc une fois que vous avez configuré toute votre sécurité pour votre nouveau site, il ne devrait pas nécessiter beaucoup de saisie manuelle continue.

Lorsque vous avez d’autres aspects du site à vous soucier, la sécurité peut être mise en veilleuse, cependant… le recul est une chose merveilleuse.

Prenez le temps maintenant de mettre en œuvre les bonnes procédures de sécurité pour votre site et espérons que vous n’aurez jamais à faire face à la frustration du piratage de votre site et à souhaiter que vous ayez pris des précautions plus tôt.