Categories: Wordpress

Comment renforcer votre sécurité WordPress

En ce qui concerne la sécurité, il n’existe aucun type de sécurité spécifique à WordPress. Tous les problèmes de sécurité sont communs à tous les sites Web ou applications. Les problèmes de sécurité de WordPress sont cependant très intéressants, car il alimente environ 40 % du Web et est open source. Lorsque l’on trouve une vulnérabilité dans le noyau WordPress ou dans les plugins, les autres sites Web qui l’utilisent deviennent vulnérables car ils utilisent tous le même code. D’un autre côté, il existe un nombre décent de plugins que vous pouvez utiliser pour renforcer la sécurité de votre site Web. cette colonne, vous apprendrez comment renforcer votre site WordPress contre différents types de vulnérabilités, bien que la portée de cet article soit plus large et s’applique à tous les types d’applications Web.

Protection contre les vulnérabilités WordPress

Les types de vulnérabilités les plus courants sont :

  1. Portes dérobées
  2. Hacks pharmaceutiques
  3. Tentatives de connexion par force brute
  4. Redirections malveillantes
  5. Script intersites (XSS)
  6. Déni de service (DDoS)

Voyons comment renforcer nos installations WordPress afin de rendre la vie un peu plus difficile pour les attaquantsol/li>/li>/li>

  • Activez Captcha sur les formulaires de connexion
  • Empêchez les tentatives de connexion par force brute

    • /li>

  • Gardez les plugins à jour
  • Définissez les en-têtes HTTP de sécurité
  • Définissez les autorisations de fichier correctes pour les fichiers WordPress
  • Désactivez l’édition de fichiers à partir de WordPress
  • Désactivez toutes les fonctionnalités inutiles
  • Cachez la version WordPress
  • Installez un pare-feu WordPress
  • Gardez des sauvegardes

    • /li>

  • Surveiller les activités des utilisateurs

    • Sécurisez votre site avec HTTPS

    Ce n’est pas par hasard que nous allons commencer par sécuriser le site Web avec HTTPS. HTTP échange des données sous forme de texte brut entre le navigateur et le serveur. Par conséquent, toute personne ayant accès au réseau entre le serveur et le navigateur peut voir vos données non cryptées. Si vous ne protégez pas votre connexion, vous risquez d’exposer des données sensibles à des attaquants. Avec HTTPS, vos données seront cryptées et les attaquants ne pourront pas lire les données transmises même s’ils ont accès à votre réseau. Ainsi, l’étape numéro un pour sécuriser votre site Web est d’activer HTTPS. Si vous n’êtes pas encore passé à HTTPS, vous pouvez utiliser ce guide pour déplacer votre WordPress vers HTTPS.

    Outils et plugins WordPress que vous pouvez utiliser pour migrer HTTP vers HTTPS

    1. Meilleure recherche de remplacement
    2. Script de recherche et de remplacement de base de données

    /h2>

    Plugins WordPress pour améliorer la sécurité des mots de passe  :

    1. Interdire le mot de passe pwned
    2. Mot de passe bcrypt

    /h2> vous ne pouvez pas savoir qui regarde ce que vous tapez sur votre ordinateur portable ou enregistre vos mots de passe Même si vous accédez à votre PC, ils ne pourront pas obtenir vos mots de passe. Les gestionnaires de mots de passe sont basés sur un navigateur et non sur des plugins WordPress.

    Modules complémentaires du navigateur du gestionnaire de mots de passe  :

    1. Dernier passage
    2. 1Mot de passe
    3. NordPass

    PublicitéContinuer la lecture ci-dessous

    Ajouter CAPTCHA sur le formulaire de connexion et d’inscription

    Lorsque vous avez sécurisé votre site Web avec HTTPS et utilisé des mots de passe forts, vous avez déjà rendu la vie des pirates assez difficile. Mais vous pouvez la rendre encore plus difficile en ajoutant CAPTCHA aux formulaires de connexion. Les captchas sont un excellent moyen de protéger vos formulaires de connexion. contre les attaques par force brute.

    Plugins pour ajouter Captcha sur WordPress Login :

    1. Connexion Pas de Captcha reCAPTCHA
    2. Sécurité de connexion reCAPTCHA

    Protégez-vous des tentatives de connexion par force brute

    Connexion CAPTCHA vous protégera contre les tentatives de force brute jusqu’à un certain point, mais pas complètement. Souvent, une fois les jetons captcha résolus, ils sont valides pendant quelques minutes.PublicitéContinuer la lecture ci-dessousGoogle reCaptcha, par exemple, est valide pendant 2 minutes. Les attaquants peuvent utiliser ces deux minutes pour tenter des tentatives de connexion par force brute à votre formulaire de connexion pendant ce temps. Afin de résoudre ce problème, vous devez bloquer les tentatives de connexion infructueuses par adresse IP.

    Plugins WordPress pour empêcher les attaques par force brute  :

    1. WP Limiter les tentatives de connexion
    2. Limiter les tentatives de connexion rechargées

    Configurer l’authentification à deux facteurs (2FA)

    Avec des mots de passe sécurisés et des captcha sur les formulaires de connexion, vous êtes plus protégé, oui. Mais et si les pirates utilisaient des méthodes de surveillance et enregistraient le mot de passe que vous avez tapé en vidéo pour accéder à votre site Web ? S’ils ont votre mot de passe, seule l’authentification à deux facteurs peut protéger votre site Web des attaquants.

    Plugins WordPress pour configurer l’authentification 2FA  :

    1. Deux facteurs
    2. Authentificateur Google
    3. Authentification WordPress à deux facteurs (2FA, MFA)

    PublicitéContinuer la lecture ci-dessous

    Gardez WordPress Core et plugins à jour

    Les vulnérabilités se produisent souvent pour le noyau et les plugins WordPress, et quand elles le font, elles sont trouvées et signalées. Assurez-vous de mettre à jour vos plugins avec la dernière version afin d’éviter que les sites Web ne soient piratés à partir de trous connus et signalés dans les fichiers. Je ne recommanderais pas de passer à la mise à jour automatique car cela pourrait entraîner la rupture de vos sites Web à votre insu. Mais je fortement recommandé que vous activez les mises à jour mineures du noyau WordPress en ajoutant cette ligne de code dans wp-config.php car ces mises à jour incluent des correctifs de sécurité pour le core.define( ‘WP_AUTO_UPDATE_CORE’, ‘minor’ );

    Définir les en-têtes HTTP de sécurité

    Les en-têtes de sécurité apportent une couche de protection supplémentaire en restreignant les actions qui peuvent être effectuées entre le navigateur et le serveur lorsque l’on navigue sur un site Web. Les en-têtes de sécurité visent à protéger contre les attaques de détournement de clic et de script intersite (XSS). Les en-têtes de sécurité sont  :

    • Stricte-Sécurité-Transport (HSTS)
    • Contenu-Sécurité-Politique
    • X-Frame-Options
    • X-Content-Type-Options
    • Récupérer les en-têtes de métadonnées
    • Référent-Politique
    • Cache-Contrôle
    • Effacer-Données-Site
    • Fonctionnalité-Politique

    Nous n’entrerons pas en profondeur dans chaque explication d’en-tête de sécurité, mais voici quelques plugins pour les corriger.

    Plugins WordPress pour activer les en-têtes de sécurité  :

    1. En-têtes HTTP pour améliorer la sécurité du site Web
    2. En-têtes de sécurité GD

    Définir les autorisations de fichier correctes pour les fichiers WordPress

    Les autorisations de fichiers sont des règles sur le système d’exploitation qui héberge vos fichiers WordPress ; ces règles définissent la manière dont les fichiers peuvent être lus, modifiés et exécutés. Cette mesure de sécurité est essentielle, en particulier lorsque vous hébergez un site Web sur un hébergement partagé. Si elle est définie de manière incorrecte, lorsqu’un site Web sur un hébergement partagé est piraté, les attaquants peuvent accéder aux fichiers de votre site Web et y lire n’importe quel contenu – en particulier wp-config.php – et obtenez un accès complet à votre site Web.

    • Tous les fichiers doivent être 644
    • Tous les dossiers doivent être 775
    • wp-config.php doit être 600

    Les règles ci-dessus signifient que votre compte d’utilisateur d’hébergement peut lire et modifier des fichiers et que le serveur Web (WordPress) peut modifier, supprimer et lire des fichiers et des dossiers. Les autres utilisateurs ne peuvent pas lire le contenu de wp-config.php. Si le réglage 600 pour wp-config.php met votre site Web hors service, modifiez-le en 640 ou 644.

    Désactiver l’édition de fichiers à partir de WordPress

    C’est une fonctionnalité connue de WordPress que vous pouvez modifier des fichiers à partir du backend d’administration. Ce n’est vraiment pas nécessaire car les développeurs utilisent SFTP et l’utilisent rarement.

    Désactiver toutes les fonctionnalités inutiles

    revenir « ;

    ‘disable_users_rest_json’, 10, 3 );

    Masquer la version WordPress

    l’attaquant sait qu’il peut utiliser la technique signalée pour pirater votre site Web.

    Masquer les balises méta de la version WordPress à l’aide de ces plugins  :

    1. Générateur de méta et solvant d’informations de version
    2. WP Générateur Remover par Dawsun

    Installez un pare-feu WordPress

    Un pare-feu est une application Web qui s’exécute sur des sites Web et analyse toutes les requêtes HTTP entrantes. Il applique une logique sophistiquée pour filtrer les demandes qui peuvent potentiellement constituer une menace. On peut configurer ses règles en plus des règles intégrées du pare-feu pour bloquer les demandes. L’un des types d’attaques les plus courants est l’injection SQL. Supposons que vous exécutiez un plugin WordPress vulnérable aux injections SQL et que vous ne le sachiez pas. Si vous exécutez un pare-feu, même si l’attaquant connaît la faille de sécurité du plugin, il ne pourra pas pirater le site Web. En effet, le pare-feu bloquera les requêtes contenant des injections SQL. Les pare-feu bloqueront ces requêtes du IP et empêcher l’arrivée de requêtes dangereuses successives. Les pare-feu sont également capables d’empêcher les attaques DDoS en détectant trop de demandes d’une seule adresse IP et en les bloquant. PublicitéContinuer la lecture ci-dessous Il est également possible d’exécuter des pare-feu de niveau DNS qui s’exécutent avant que les demandes ne soient adressées à un serveur Web. Un exemple est le pare-feu DNS Cloudflare. L’avantage de cette méthode est qu’elle est plus robuste contre les attaques DDoS. Les pare-feu au niveau de l’application qui s’exécutent sur le serveur permettent aux requêtes HTTP d’atteindre le serveur Web, puis de le bloquer. Cela signifie que le serveur dépense des ressources CPU/RAM pour les bloquer. Avec les pare-feu de niveau DNS, il ne dépense pas de ressources serveur, il est donc plus résistant aux attaques.

    Plugins de pare-feu WordPress que vous pouvez utiliser  :

    1. Sécurité Wordfence
    2. Sucuri
    3. Tout en un WP Sécurité et pare-feu
    4. Sécurité pare-balles
    5. Bouclier de sécurité

    Remarque : si vous décidez d’installer des pare-feu, ils peuvent avoir des fonctionnalités telles que la protection contre la force brute de connexion ou l’authentification 2F et vous pouvez utiliser leurs fonctionnalités au lieu d’installer les plugins mentionnés ci-dessus.

    Conserver les sauvegardes

    le nettoyage du site Web peut prendre beaucoup de temps. Et dans certains cas, il peut ne pas être possible de restaurer toutes les informations car le logiciel malveillant a effacé toutes les données. Afin d’éviter de tels scénarios, effectuez des sauvegardes régulières de la base de données et des fichiers de votre site Web. Vérifiez auprès de votre support d’hébergement s’il propose une fonctionnalité de sauvegarde quotidienne. et l’activer. Sinon, vous pouvez utiliser ces plugins pour exécuter des sauvegardes  :

    1. BackWPup
    2. UpdraftPlus
    3. BackupBuddy
    4. BlogVault

    Utiliser SFTP

    De nombreux développeurs utilisent déjà SFTP pour se connecter aux serveurs Web, mais il est important de le rappeler, juste au cas où vous ne le feriez toujours pas. Comme HTTPS, SFTP utilise le cryptage pour transférer des fichiers sur le réseau, ce qui rend impossible la lecture comme texte brut même si l’on a accès au réseau.PublicitéContinuer la lecture ci-dessous

    Surveiller l’activité des utilisateurs

    Nous avons discuté de nombreuses façons de sécuriser votre site Web contre les pirates informatiques inconnus. Mais qu’en est-il lorsqu’un de vos employés qui a accès à l’administrateur du site Web fait des choses louches telles que l’ajout de liens dans le contenu ? Aucune des méthodes ci-dessus n’est capable de détecter un employé louche. Cela peut être fait en regardant les journaux d’activité. En examinant l’activité de chaque utilisateur, vous pouvez constater que l’un des employés a édité un article qu’il n’était pas censé faire. Vous pouvez également rechercher une activité qui semble suspecte et voir quels changements ont été apportés.

    Plugins WordPress pour surveiller l’activité des utilisateurs  :

    1. Journal d’activité
    2. Journal d’activité de l’utilisateur
    3. Journal d’activité WP

    Notez que vous voudrez peut-être limiter la période (ou le nombre d’enregistrements) que ces plugins conservent. S’il y en a trop, cela surchargera votre base de données et peut affecter les performances et la vitesse du site Web.

    Que faire si vous vous faites pirater ?

    Même avec tous les conseils d’experts en sécurité et connaissant les moyens de protéger vos sites Web contre les piratages, ils se produisent toujours. Si votre site Web a été piraté, vous devez effectuer les étapes ci-dessous pour récupérer  :

    1. Changez tous vos e-mails et autres mots de passe personnels premier car les pirates informatiques peuvent avoir accès à votre e-mail en premier et ainsi pouvoir accéder à votre site Web
    2. Restaurez votre site Web avec la dernière sauvegarde non piratée connue
    3. Réinitialiser les mots de passe de tous les utilisateurs du site Web
    4. Mettez à jour tous les plugins si des mises à jour sont disponibles

    Conclusion

    Partagez
    Tweetez
    Partagez
  • 582 problèmes de sécurité WordPress détectés en 2020, plus de 96% provenant d'extensions tierces : WordPress Tavern
  • Top plugins WordPress pour la sécurité
  • Le plugin WordPress vulnérable ouvre la porte à des millions d'attaques
  • Comment sécuriser votre connexion WordPress avec 2FA

    • Tags: ,