Avec environ 37 % des portails web présents conçus via le célèbre CMS WP (WordPress), le système de gestion de contenu le plus populaire à l’international se révèle être par conséquent la cible favorite des pirates du web. Il n’y a aucune option idéale. Le CMS WordPress dévoile plusieurs failles sur lesquelles vous pouvez avoir une action. Dès la conception d’un portail internet WordPress, nous vous recommandons vivement de penser à concevoir des actions afin de combattre efficacement les intrusions. Découvrez dix conseils dans le but de sécuriser votre plateforme WP.
Sommaire
- 1 Effectuer des sauvegardes récurrentes de la base de données
- 2 Suivi des mises à jour WP
- 3 Intégrer un plugin antivirus
- 4 Usage unique des extensions officielles
- 5 Optimisation du niveau de sécurité des bases de données
- 6 Concevoir un identifiant personnel au lieu du compte admin
- 7 Activation de l’authentification en deux phases
Effectuer des sauvegardes récurrentes de la base de données
La base de données est le lieu où le contenu du portail WP est gardé. Nous vous recommandons d’effectuer souvent des sauvegardes de cette base de données en physique, cela signifie sur un PC ou un disque dur externe.
S’il y a hacking ou une faille de sécurité, vous pourrez procéder à la récupération de la dernière version sauvegardée du portail internet. Les experts de l’Internet conseillent d’effectuer des sauvegardes régulièrement (cela correspondant à un rythme hebdomadaire) et de les hiérarchiser dans des dossiers classifiés semaine après semaine.
Néanmoins, les sauvegardes manuelles sont des actions qui nécessitent du temps et qui peuvent être laissées de côté. Sur WP, une multitude d’extensions offrent la possibilité d’effectuer une sauvegarde automatique des fichiers d’un portail web ou de ses aspects graphiques tels que les templates et les add-on. Voici deux excellentes références : UpdraftPlus WP Backup Plugin et BackWPup.
Suivi des mises à jour WP
Comme CMS, WP offre à ses internautes des mises à jour récurrentes de son système. Nous vous recommandons vivement de mettre en œuvre ces conseils. Pensez toujours à procéder au téléchargement de la dernière version de WP quand cette dernière est sortie. Effectivement, ces différentes mises à jour du système surviennent dans le but de régler de possibles soucis sécuritaires (failles si vous préférez) ou dans un but de prévention de l’obsolescence avec les navigateurs internet (Google Chrome, Mozilla Firefox, Internet Explorer ou encore Safari).
Par rapport aux plugins WP, une règle semblable est utilisée. Les extensions sont souvent optimisées via l’apparition d’une nouvelle version. Ainsi, vérifiez que vous ayez toujours la dernière mise à jour afin d’améliorer la compatibilité avec la version WP actuelle et les différentes extensions.
Intégrer un plugin antivirus
Les plugins antivirus sont pensés spécifiquement afin de garantir la sécurité optimale des portails web WP. Outre une protection face aux virus et attaques dotées de mauvaises intentions, ces extensions permettent d’offrir des renseignements au propriétaire du portail, et cela en temps réel. Réel et pertinente boîte à outils, ce genre de plugins propose un panorama complet sur le pourcentage de sécurité de la plateforme web concernée. Voici trois exemples de plugins antivirus WP : Wordfence Security, All In One WP Security & Firewall ou encore le renommé SecuPress.
Usage unique des extensions officielles
Les propriétaires de portails web WP peuvent désirer procéder à l’installation d’une extension non officielle afin d’optimiser des fonctions que leur thème n’a pas ou pour ne pas avoir à régler un « réel » plugin. Néanmoins, il faut savoir que ces systèmes sont compromettants par rapport à la sécurité du portail internet dans sa totalité.
Le téléchargement d’une version « crackée » offre un accès au portail web à tous via un fichier malveillant présent dans le code de l’extension. Ce dernier offre la possibilité d’obtenir les accès à la plateforme WP destinataire.
Afin de ne pas effectuer une installation par mégarde d’une version non officielle d’extension, il est nécessaire d’aller dans la partie « Ajout d’extension » du back-office de WP. C’est tout simplement la bibliothèque officielle.
Afin que vous puissiez plus vous y retrouver, nous allons vous dévoiler trois extensions de sécurité WP. Nous devons mentionner trois extensions de sécurité WordPress. Il existe une multitude de développeurs et de sociétés qui offrent des solutions optimales pour permettre de protéger efficacement votre portail WordPress. Les voici : iThemes Security, Sucuri SecuritySucuri Security ainsi que WordFence Security.
Kinsta offre des pare-feu matériels, une sécurité optimale active et passive, des contrôles à la minute et des dizaines d’autres outils fiables et poussés pour stopper les tentatives des hackers d’avoir accès à vos données. Si, malgré la totalité des efforts, votre portail web est l cible d’un piratage, tournez-vous vers une société spécialisée.
Spécificités et usages classiques des extensions
Voici la liste des caractéristiques des extensions WP :
- Génération et forçage des mots de passe forts durant la conception profils utilisateurs
- Forçage de l’expiration des mots de passe et réinitialisation récurrente
- Sauvegarde des actions de l’internaute
- Actualisation et mises à jour simples des clés de sécurité WP
- Authentification dotée de deux facteurs
- reCAPTCHAs
- Scan anti-malware
- Pare-feu de sécurité WP
- Changelogs de fichiers
- Liste blanche d’adresses IP
- Liste noire d’adresses IP
- Surveiller les changements de DNS
- Stopper les réseaux malveillants
- Découvrir les renseignements WHOIS sur les internautes.
Une spécificité essentielle que de multiples plugins de sécurité intègrent est un outil par rapport au checksum. Cela veut dire qu’ils étudient votre installation WP et partent à la recherche des changements sur les fichiers de base proposés par WordPress.org (avec l’API). N’importe quelle modification par rapport à ces fichiers peut représenter une preuve de piratage. Il est également possible de se servir de WP-CLI dans le but de procéder à l’exécution de votre checksum.
Un autre grand plugin que nous vous recommandons vivement se nomme WP Security Audit Log. C’est fortement utile si vous travaillez sur des portails web WordPress multisites ou tout simplement des sites internet multi-auteurs. Il permet de garantir une productivité optimale pour les utilisateurs et offre la possibilité aux administrateurs de découvrir tout ce qui est en train d’être changé, tels que les connexions, les modifications de mots de passe, les changements liés aux thèmes, ceux liés aux widgets, les nouvelles conceptions de messages ou encore les mises à jour WP.
Il s’agit d’une solution complète de log d’activité WP. Par exemple, le plugin WP Security Audit Log a environ plus de 80 000 installations actives avec une excellente notation de 4.7 sur 5. C’est une très bonne décision de faire le choix de ce plugin si vous êtes à la recherche d’une option sécuritaire compatible avec WP multisite.
Il y a aussi des extensions premium additionnelles comme les notifications par e-mail, la gestion des sessions utilisateurs, la recherche ou encore les rapports. N’oubliez pas d’effectuer la vérification de ces extensions de sécurité WP qui peuvent permettre de neutraliser les hackers et internautes malveillants !
Optimisation du niveau de sécurité des bases de données
Il y a différentes manières d’optimiser la sécurité de votre base de données WP. Tout d’abord, vous pouvez vous servir d’un nom de base de données intelligent. Si votre plateforme internet est nommée volleyball tricks. Il faut savoir que par défaut votre base de données WP est sans aucun doute appelée wp_volleyballtricks. En remplaçant le nom de votre base de données par quelque chose plus obscur, cela offre une bien meilleure protection à votre portail web en rendant plus compliqué pour les hackers le travail d’identification et d’accès aux informations de votre base de données.
Un second conseil est de vous servir d’un autre préfixe que celui de la table de base de données. Par défaut, sachez que WordPress se sert de wp. Le changer par quelque chose comme 39xw peut être nettement plus sûr. Quand vous procédez à l’installation de WordPress, le CMS vous passe la demande d’un préfixe de table. Il y a aussi des options pour procéder à la modification du préfixe de table de WP sur des installations déjà présentes.
Concevoir un identifiant personnel au lieu du compte admin
Par défaut, l’adresse web de connexion au back-office de WP se fait de la façon qui suit : « nom-du-site.com/wp-admin ». Si un pirate essaye d’attaquer le contenu d’un portail WordPress, vous n’aurez qu’à inscrire « wp-admin » à la suite du nom de domaine. Il est alors nettement plus simple d’emprunter une route en direction du contenu du portail web.
Afin de vous en protéger, il faut changer cette adresse web (URL si vous préférez) par défaut en allant dans le fichier appelé « .htaccess ». Il y a aussi des extensions spécifiques qui offrent la possibilité de supplanter l’adresse web de connexion par défaut. Cela est notamment le cas de Custom Login URL.
En outre, la connexion à l’administration WP s’effectue grâce à un identifiant par défaut appelé « admin ». Les hackers s’en servent également grandement pour essayer d’attaquer les portails WP. Au lieu de « admin », nous vous recommandons vivement de concevoir un identifiant personnel, que vous pourrez aisément mémoriser et que les personnes extérieures ne pourront pas se souvenir. Si une équipe entière peut avoir accès au même portail web du CMS WordPress, cela peut par exemple être le prénom de chaque utilisateur. Ensuite, la meilleure action à faire est tout simplement d’effacer le compte « admin ».
Activation de l’authentification en deux phases
L’authentification en deux étapes est l’option dont se serve les établissements bancaires dans le but de rendre sûr leurs échanges web. Elle offre la possibilité d’optimiser le seuil de sécurité, durant la connexion à l’administration du CMS WP. Le premier pallier de sécurité se caractérise par l’action classique suivante : l’internaute doit indiquer un id et un mot de passe. Ensuite, le deuxième niveau arrive, avec un appel mobile ou la transmission d’un message (SMS). Vu qu’on se sert d’un autre périphérique par rapport à la seconde phase de connexion, il n’y a aucune possibilité qu’un logiciel nocif y ait accès.
Afin de profiter de l’authentification à deux facteurs, la meilleure solution est le téléchargement d’un plugin WP particulier. En voici deux : Google Authenticator ou Two Factor Authentication.
Stopper l’accès aux dossiers WP
Il faut savoir, que par défaut, le CMS WP permet d’accéder aux dossiers du portail web par tous. Dans le but de les protéger des offensives extérieures, il est grandement recommandé de stopper leur accès. Sachez que les spécificités d’accès aux dossiers peuvent être changées dans le fichier appelé .htaccess. Pour les propriétaires de plateformes WP peu à l’aise avec le code informatique, prenez en compte que l’extension dénommée Hide My WordPress offre la possibilité d’effectuer la même action plus aisément.
Faire le choix d’un hébergeur sûr et fiable
Même quand tous les moyens sont mis en œuvre pour sécuriser un site WordPress, il arrive que l’hébergeur du site soit en cause lors d’une faille de sécurité. Afin d’éviter ce type de situation, il convient de ne pas négliger l’étape du choix de l’hébergeur WordPress. Pour bien protéger le contenu d’un site web, il doit disposer d’un pare-feu et d’un antivirus intégrés et proposer des sauvegardes automatiques régulières du site.
Activation du protocole HTTPS
L’usage d’un protocole HTTPS est possible quand le portail internet intègre un certificat SSL. Une telle certification offre la possibilité de dévoiler un petit cadenas à gauche de l’adresse web. Ce dernier assure que la connexion entre le navigateur et le serveur web est entièrement sûre. Posséder ce certificat est également un point de réassurance pour les utilisateurs web. En effet, cela garantit que leurs informations sensibles et personnelles circulent de façon cryptée.
Prévention des offensives DDoS
Les attaques DDoS (il s’agit des attaques par déni de service) sont un genre d’actions nocives apparues assez récemment. Leur but est d’enrayer l’accès à un portail internet en effectuant une attaque concomitante via divers systèmes. Ces offensives se déroulant en même temps engendrent une surcharge du portail web. Ainsi, ce dernier ne peut plus offrir de réponses aux multiples requêtes réceptionnées.
Dans un but de prévention et d’atténuation des offensives DDoS, l’extension Sucuri Security pour WP se révèle être performante. Il s’agit d’un plugin fiable et performant par rapport à la sécurisation d’une plateforme web. Il peut par conséquent aussi avoir la fonction d’un programme antivirus. Renseignez-vous sur les méthodes positives de la génération de leads via des pages de destination proposant un pourcentage de conversion conséquent.
Désactivation de l’édition de fichiers dans le tableau de bord WP
Énormément de plateformes WP intègrent différents utilisateurs et administrateurs, ce qui peut rendre la sécurité WordPress difficile. Une action inadéquate est de fournir aux auteurs ou aux contributeurs un accès administrateur. Néanmoins, cela survient continuellement. Il est primordial d’offrir aux utilisateurs les permissions et rôles adéquats afin d’éviter le risque de mauvaises manipulations. Ainsi, nous vous recommandons de procéder à la désactivation de l’Éditeur d’apparence dans le CMS WP.
La majorité d’entre vous y sont sans aucun doute déjà allés à un instant ou à un autre. Vous effectuer une édition dans l’éditeur d’apparence et puis un écran blanc de la mort s’affiche. Il vaut mieux modifier le fichier localement et par la suite faire le téléchargement via le FTP. La meilleure chose à faire est de tester ce genre de choses sur un portail web de développement.
Petit plus : Dissimuler votre version WP
Dissimuler votre version WP est une action qui revient souvent par rapport au thème de la sécurité de WordPress. Il faut prendre en compte que moins on en sait sur la configuration de votre portail WP, mieux c’est. Si des individus s’aperçoivent que vous procédez à l’exécution d’une installation WP obsolète, cela pourrait représenter une porte pour les hackers. Il faut savoir, que par défaut, la version WordPress s’affiche au niveau de l’en-tête du code source de votre portail web. Une nouvelle fois, nous vous recommandons de vérifier régulièrement que votre installation WP est à jour.
