10 conseils pour sécuriser votre site WordPress

10 conseils pour sécuriser votre site WordPress

Il semble que presque chaque semaine, nous voyons un nouveau message de Matt Southern sur une nouvelle vulnérabilité ou exploitation d'un site WordPress. C'est pour une bonne raison car WordPress représente plus de 23% de tous les sites Web sur Internet, et ce nombre ne cesse d'augmenter.

En raison du nombre de sites Web qui utilisent la plate-forme WordPress, il n'est pas étonnant que les pirates tentent d'exploiter cette plate-forme Web constamment car ils peuvent potentiellement avoir accès à une grande partie d'Internet s'ils réussissent.

Ne pensez pas que cela ne peut pas vous arriver!

Comme de nombreux sites WordPress propriétaires, je suis tombé dans le piège de ne pas être plus proactif en matière de sécurité sur quelques-uns de mes sites personnels doucement utilisés. Cela est revenu me mordre avec une vengeance en décembre dernier lorsque j'ai vécu le pire cadeau de Noël qu'un webmaster puisse recevoir - un gros hack de site Web!

Le hack de malware que j'ai vécu était particulièrement méchant car il était très probablement exploité l'un de mes sites Web via une ancienne version du plugin Revolution Slider fourni avec mon thème. Ce que je n'ai réalisé que des mois plus tard, c'est que ce premier piratage a ouvert la porte dérobée à une infection généralisée d'autres sites WordPress que j'avais sur ma solution d'hébergement partagé. Un cauchemar de quatre mois a ensuite suivi, ce qui m'a même obligé à refaire complètement l'un de mes sites Web sur une toute nouvelle version et base de données WordPress.

Alors, quelle est la morale de l'histoire? Contrairement à moi, soyez plus proactif en matière de sécurité WordPress.

En repensant à toute cette expérience, il est clair que j'ai commis des erreurs assez graves en matière de sécurité de mes sites Web. Beaucoup de ces erreurs auraient pu être corrigées en suivant quelques directives simples.

Afin de vous aider à éviter une faille de sécurité potentielle, voici 10 conseils basés sur les choses que j'ai apprises pour vous aider à garder votre site WordPress plus sûr:

1. Vérifiez votre site avec Webmaster Tools

Aussi effrayant que cela ait été de recevoir un e-mail de Google m'informant que mon site avait été compromis, Dieu merci, ils m'ont prévenu! La dernière chose que vous voulez faire, c'est de faire l'expérience d'un exploit de site Web et même de ne pas le savoir.

En vérifiant votre site avec Outils pour les webmasters , vous pouvez avoir accès à des données importantes qui peuvent être utilisées pour trouver un problème potentiel tel que le trafic, les requêtes et les messages d'action manuelle . En fait, Google a une section entière dans son panneau Outils pour les webmasters dédiée aux problèmes de sécurité pour vous aider à identifier où votre site Web rencontre des problèmes.

10 conseils pour sécuriser votre site WordPress

Personnellement, j'ai trouvé la fonctionnalité "Récupérer en tant que Google" très utile car vous avez la possibilité de voir une page comme vous le souhaitez Google le voit. Ceci est particulièrement utile dans le cas d'un piratage pharmaceutique , que j'ai rencontré sur l'un de mes sites, dans lequel les pages de spam créées par le piratage ne sont pas visibles par l'utilisateur normal et n'apparaissent que sur Le robot d'exploration de Google.

Il est également important de vérifier que votre site fonctionne avec Google via leur plate-forme d'outils pour les webmasters afin que vous puissiez demander que votre site soit supprimé de la liste noire une fois le piratage d'un site Web résolu.

2. Mettre à jour et mettre à jour

Dans l'écosystème WordPress, trois composants nécessitent une mise à jour constante: WordPress lui-même, les plugins et les thèmes.

Mises à jour WordPress :L'une des meilleures choses à propos de WordPress est leur rapidité à corriger les failles de sécurité et à déployer les mises à jour. En fait, depuis WordPress 3.7, les mises à jour de sécurité automatiques ont été activées sur la plupart des sites. Cependant, les nouvelles versions de WordPress doivent souvent être mises à jour manuellement, et il est important de le faire car WordPress améliore constamment la plate-forme à chaque version. Si vous n'êtes pas sûr de la façon dont vos mises à jour sont gérées lorsque WordPress effectue une modification, découvrez comment les configurer ici .

Mises à jour du plugin : WordPress le rend très facile pour voir quels plugins doivent être mis à jour en cliquant sur l'onglet "Plugins" du tableau de bord d'administration. Certains plugins tiers offrent l'option de mise à jour automatique, ce que je recommanderais absolument de faire.

10 conseils pour sécuriser votre site WordPress

Vous peut également forcer les plugins à se mettre à jour automatiquement en ajoutant le code suivant à votre fichier wp-config.php:

add_filter ('auto_update_plugin', '__return_true');

Thème Mises à jour : les thèmes sont également sensibles aux attaques, et un bon développeur de thème corrige et déploie une version mise à jour chaque fois qu'une vulnérabilité est détectée.

De nombreux thèmes ont également la possibilité de configurer la mise à jour automatique , mais sinon, voici un moyen facile de forcer les mises à jour automatiques en modifiant votre fichier wp-config.php:

add_filter ('auto_update_theme', '__return_true');

3. Faites attention à qui vous faites confiance

L'une des meilleures choses à propos de WordPress est le nombre impressionnant de plugins tiers qui peuvent être téléchargés pour ajouter des fonctionnalités et des fonctionnalités à votre site Web. Cle répertoire de plugins WordPress compte actuellement 37723+ plugins que vous pouvez installer - c'est un tas de plugins!

La triste réalité est que chaque fois que vous superposez quelque chose au-dessus d'une plate-forme initiale, cela peut créer un nouvel ensemble de failles de sécurité et de vulnérabilités. La plupart des attaques WordPress se produisent souvent à travers des vulnérabilités trouvées dans les plugins et les thèmes.

Il est également important de noter qu'il existe des plugins gratuits ainsi que des plugins premium. La plupart des gens pensent que s'ils paient pour un plugin, ils sont automatiquement à l'abri des vulnérabilités. Bien que le fait d'avoir une équipe de développement rémunérée aide à contrecarrer les attaques, cela ne signifie pas pour autant que c'est une garantie à 100% que cela ne se produira jamais. Même lorsqu'un développeur premium corrige une menace connue, vous, en tant que webmaster, êtes toujours à risque jusqu'à ce que le plugin soit mis à jour sur votre propre site Web.

10 conseils pour sécuriser votre site WordPress

Ce fut le cas avec mon site Web et le Attaque Revolution Slider qui a compromis plus de 100 000 sites Web à la fin de l'année dernière. En raison de mon thème ayant été pré-packagé avec le plugin premium, je n'ai pas été informé qu'il y avait une mise à jour pour le plugin car je n'avais pas ma propre licence premium (le développeur du thème avait très probablement une licence de développeur pour inclure le plugin dans le thème qui ne m'a pas été transféré en tant qu'utilisateur lorsque j'ai acheté le thème). Je n'ai pas pu mettre à jour le plugin avant d'avoir acheté ma propre licence, mais à ce moment-là,était trop tard pour éviter les dommages qui avaient déjà été causés.

Depuis cette attaque, cet éditeur de plugin a changé quelques choses pour être plus transparent, mais méfiez-vous des plugins qui viennent avec les thèmes et font assurez-vous de vérifier manuellement si le développeur de ces plugins a mis à jour une mise à jour dont vous ne seriez pas au courant.

Voici quelques éléments à considérer avant d'installer un plugin sur votre site Web:

  • La fonctionnalité de ce plugin est-elle absolument essentielle pour offrir à l'utilisateur la meilleure expérience possible? Sinon, ne l'installez pas.
  • Le plugin a-t-il été mis à jour récemment? Chaque plugin du répertoire de plugins WordPress a un journal des modifications (une liste des modifications et les dates auxquelles ces modifications ont été apportées). S'il n'a pas été mis à jour depuis longtemps, ne l'installez pas.
  • S'il s'agit d'un plugin premium, offre-t-il une assistance et comment sont les notes des autres clients? Choisissez uniquement des plugins qui impliquent des développeurs et qui sont très bien notés.
  • Existe-t-il un plugin qui peut combiner et consolider les fonctionnalités trouvées dans plusieurs plugins? L'exécution de moins de plugins aide à réduire les risques d'attaque.
  • N'installez jamais un plugin gratuit à partir d'une source inconnue… jamais.

4. Analysez régulièrement votre site

Il existe des outils assez astucieux qui peuvent analyser l'intégralité de votre site WordPress à la recherche de logiciels malveillants, de code ajouté et d'autres anomalies étranges qui pourraient avoir été injectées dans votre site Web.

Certains des plugins de scan WordPress les plus populaires incluent: Wordfence , Sucuri Site Check et Code Guard pour n'en nommer que quelques-uns. Beaucoup de ces plugins populaires fournissent également une version gratuite qui peut être téléchargée et utilisée.

Ces scanners sont une ressource extrêmement précieuse car ils peuvent vous aider à épinglernt fichiers sur votre site Web qui ont été modifiés sans votre autorisation afin de trouver le code nuisible qui doit être supprimé.

La plupart de ces plugins peuvent être configurés pour analyser automatiquement votre site en arrière-plan et vous envoyer une notification s'il trouve quelque chose hors de l'ordinaire.

5. Refuser plusieurs tentatives de connexion

Les pirates informatiques utilisent souvent ce que l'on appelle une attaque par «force brute, qui est un script qui utilise plusieurs noms d'utilisateur et mots de passe aléatoires pour tenter d'accéder à votre site Web.

L'un des meilleurs moyens de stopper ce type d'attaque est de bloquer les IP pour plusieurs tentatives de connexion. Essentiellement, cela fonctionne en empêchant un utilisateur de pouvoir accéder à votre site s'il essaie de se connecter à votre administrateur WordPress un certain nombre de fois.

Il s'agit presque toujours d'une fonctionnalité incluse avec les plugins d'analyse de site répertoriés ci-dessus dans la section 4.

10 conseils pour sécuriser votre site WordPress

Une fois qu'un utilisateur est verrouillé, son adresse IP sera enregistré dans un journal afin que vous puissiez prendre des mesures supplémentaires pour bloquer ces utilisateurs indéfiniment.

6. Sécurité de la base de données

Si vous ne le saviez pas, WordPress fonctionne à partir d'une base de données MySQL qui a été créée sur votre serveur d'hébergement Web. Cette base de données a un nom d'utilisateur et un mot de passe afin de définir les privilèges de lecture et d'écriture des données utilisés par votre build WordPress et certains plugins.

Ce nom d'utilisateur et ce mot de passe doivent être forts et uniques à cette base de données uniquement et ne doivent jamais être dupliqué parmi d'autres bases de données MySQL si vous exécutez plusieurs sites WordPress à partir du même serveur.

Si quelqu'un d'autre a configuré votre site Web, vérifiez que c'est le cas.

Mon erreur : depuis mes études à l'école de hAprès avoir compromis mes sites, j'ai réalisé que j'avais fait une erreur fatale en ce qui concerne les bases de données que j'avais créées. Étant donné que j'avais quelques sites WordPress que j'avais créés pour un usage personnel sur le même serveur, j'ai donné à toutes les bases de données le même nom d'utilisateur et le même mot de passe afin de ne pas les oublier. C'était incroyablement stupide car cela signifiait qu'une fois qu'un site était compromis, je facilitais la propagation de l'attaque sur mes autres sites Web.

7. N'utilisez jamais "Admin" comme nom d'utilisateur

En ce qui concerne mon point ci-dessus à propos des attaques par force brute, les pirates utilisent des scripts essayant de deviner le nom d'utilisateur et le mot de passe de votre site Web afin d'y accéder. Jusqu'à WordPress 3.0, l'installation de WordPress générait automatiquement le premier utilisateur avec le nom d'utilisateur «admin.

10 conseils pour sécuriser votre site WordPress

Étant donné que la plupart des sites Web WordPress ont cet utilisateur dans leur base de données, il s'agit du nom d'utilisateur le plus courant que ces scripts d'attaque par force brute utilisent pour essayer d'accéder à votre site. Il y a de fortes chances que votre site Web ait le nom d'utilisateur «admin avec un accès administratif, alors modifiez cela.

* Avant d'effectuer l'une de ces étapes, assurez-vous de sauvegarder votre site Web. Si vous n'êtes pas à l'aise pour effectuer des modifications administratives, veuillez consulter un professionnel.

  1. Dans le panneau des utilisateurs situé sur le tableau de bord principal, cliquez sur "Ajouter un nouvel utilisateur" dans le menu.
  2. Remplissez les informations utilisateur avec un nom d'utilisateur et un mot de passe forts et sélectionnez «Administrateur dans le menu déroulant «Rôle.
  3. Cliquez sur «Ajouter un nouvel utilisateur une fois lem pour créer le nouveau nom d'utilisateur.
  4. Déconnectez-vous complètement de WordPress et reconnectez-vous en utilisant les nouvelles informations d'identification de l'utilisateur.
  5. Revenez au panneau utilisateur à partir du tableau de bord principal et sélectionnez le ' nom d'utilisateur admin.
  6. Cliquez sur "supprimer" dans le menu déroulant.
  7. Attribuez toutes les publications de l'utilisateur "admin" au nouveau nom d'utilisateur que vous avez créé lorsque vous y êtes invité.

8. Choisissez une bonne société d'hébergement

Rien n'est plus frustrant que d'avoir une société d'hébergement qui ne fournit presque rien en matière de soutien lors d'une attaque de site Web - croyez-moi, ça craint! Il est encore pire de devoir faire face à une attaque causée par le manque de protection de la sécurité de votre hébergeur.

Puisque nous vivons dans un monde où les attaques sont endémiques, assurez-vous de choisir une solution d'hébergement pour votre Sites WordPress qui:

  • Prend en charge les dernières versions de PHP, MySQL, CPanel, Plesk, etc.
  • Prend en charge et optimise le fonctionnement de WordPress
  • Fournit une isolation de compte
  • A de vraies personnes à qui vous pouvez parler en cas de problème
  • A une solution de sauvegarde robuste

En suivant ces conseils , vous pourrez vous assurer d'avoir le bon support et les outils nécessaires pour éviter et récupérer d'une éventuelle attaque WordPress.

9. Isoler les propriétés Web importantes

Beaucoup d'entre nous exécutent plusieurs installations WordPress à partir d'un seul compte d'hébergement. Bien que cela ne soit pas intrinsèquement mauvais, cela peut créer des problèmes potentiels si l'un de vos sites est attaqué.

Par exemple, dans ma situation, j'avais un compte d'hébergement partagé avec plusieurs sites Web fonctionnant sur le compte. Cela a non seulement augmenté le risque que tous mes sites soient vulnérables une fois qu'un site a été compromis, mais cela a rendu la restauration des sauvegardes très difficile, car la plupart des services d'hébergement sauvegardent des comptes, pas des sites Web individuels. Cela signifie que pour restaurer mon site Web infecté dans une version fonctionnelle, j'ai essentiellement dû revenir en arrière sur mes autres sites non infectés.

Je sais maintenant qu'il existeautour de cela, mais la réalité est qu'il faut une tonne de temps pour télécharger manuellement tous vos autres sites via FTP et les déplacer dans un endroit sûr. Lorsqu'une attaque se produit, le temps est essentiel pour remettre les choses en ligne, et perdre du temps à déplacer des sites non infectés est un obstacle majeur.

Donc, si vous avez un site Web important qui reçoit des tonnes de trafic ou qui est directement lié à vos moyens de subsistance, isolez-le au moins avec son propre compte d'hébergement pour simplifier la sauvegarde et la restauration en cas de problème.

10. Avoir un plan de sauvegarde

En ce qui concerne WordPress, il y a deux choses à sauvegarder pour faire fonctionner votre site: les fichiers du site Web et la base de données à laquelle ils sont connectés.

Je ne saurais trop insister sur l'importance de sauvegarder régulièrement votre site Web dans son intégralité. En fonction de la gravité d'une attaque et de son handicap, une sauvegarde est parfois le seul moyen de ramener votre site Web à un état semi-fonctionnel afin de commencer à résoudre les problèmes après une attaque.

La plupart les comptes d'hébergement ont un moyen de sauvegarder à la fois vos bases de données et les fichiers de votre site Web. Il existe même des plugins WordPress qui peuvent sauvegarder la base de données et les fichiers de site Web d'un site WordPress individuel. Quelle que soit la façon dont vous le faites, le point est de sauvegarder régulièrement vos sites.

Les sauvegardes via votre hébergeur peuvent généralement être planifiées quotidiennement, hebdomadairement et mensuellement. Évidemment, mieux c'est, mais rappelez-vous que les sauvegardes prennent de la place, et selon la quantité d'espace que vous payez, vous pouvez être limité au nombre de sauvegardes que vous pouvez conserver sur votre compte d'hébergement.

Le Un autre facteur important à prendre en compte est qu'une sauvegarde sur votre serveur d'hébergement n'est pas garantie à 100%. Cela signifie que si le serveur qui contient vos sites Web devient kaput chez votre hébergeur, ces sauvegardes sont susceptibles d'être perdues. Pour cette raison, c'est une très bonne idée d'avoir une autre sauvegarde stockée ailleurs via FTP ou sur un lecteur local afin que vous soyez doublement protégéd de toute perte de données potentielle.

Conclusion

Bien qu'il soit impossible de se protéger à 100% contre une attaque, il y a certainement des choses que vous pouvez faire pour lutter de manière proactive contre la probabilité d'une prise placer sur votre site WordPress.

Le fait de devoir faire face à une attaque est stressant, coûteux et, dans certains cas, peut entraîner la perte d'entreprises et de moyens de subsistance.

La sécurité WordPress est sérieuse, et avec une moyenne de 82 000 nouvelles menaces de logiciels malveillants par jour , chaque fois qu'il faut pour exécuter certains de ces conseils en vaut la peine à long terme!

Y a-t-il d'autres gros conseils de sécurité WordPress qui vous passionnent et que vous souhaitez partager? Si c'est le cas, j'aimerais en entendre parler dans les commentaires ci-dessous.

Crédits d'image

Image vedette: Illustration de Greg Secrist
Photo publiée: Gajus / Shutterstock
Toutes les captures d'écran via Greg Secrist. Prise en mai 2015.