Conseils pour sécuriser votre site WordPress
Il existe des dizaines de conseils et de ressources disponibles qui peuvent vous aider à sécuriser votre site WordPress.
En novembre dernier, plus d’un million de clients WordPress gérés par GoDaddy faisaient partie d’une violation qui aurait pu exposer leurs adresses e-mail, leurs clés SSL privées et leurs mots de passe administrateur. L’attaquant a apparemment pu opérer sans être détecté à l’intérieur de leurs réseaux pendant deux mois entiers.
WordPress a la réputation d’être une cible très riche pour les exploits. Par exemple, un botnet a utilisé des serveurs WordPress compromis pour en attaquer d’autres en 2018. En effet, le logiciel est basé sur l’exécution d’une série de scripts PHP, qui sont souvent utilisés par les pirates. Le grand nombre de composants différents, y compris les plug-ins, les thèmes et d’autres scripts, rend difficile la prévention des infections ou des compromis potentiels. Ce site répertorie de nombreuses autres vulnérabilités qui ont été trouvées, principalement sur les anciennes versions de WordPress.
En plus de cela, il y a une erreur humaine à prendre en considération. De nombreux sites WordPress exécutent des versions plus anciennes qui pourraient être à l’origine de plusieurs vulnérabilités majeures. De plus, certains administrateurs sont inexpérimentés en matière de sécurité opérationnelle informatique ou simplement surchargés par d’autres responsabilités et ne peuvent pas consacrer suffisamment de temps à la mise en œuvre des mesures de sécurité nécessaires pour assurer la sécurité d’un site WordPress.
Explorons comment vous pouvez configurer et maintenir la sécurité de votre site Web sur WordPress.
Conseils pour sécuriser votre site WordPress
Tout d’abord, sécurisez votre nom d’utilisateur et vos mots de passe WordPress. La littérature en ligne est remplie de nombreux mauvais choix de mots de passe administrateur que les opérateurs de sites ont faits. N’utilisez pas le nom « admin » sur votre compte car de nombreuses attaques par force brute commencent par utiliser ce nom, car il est très courant. Au lieu de cela, choisissez un nom au hasard pour administrer votre compte. Utilisez également MFA pour protéger toutes vos connexions WordPress.
Mettez à jour votre WordPress et PHP vers les dernières versions. Réduisez le nombre de plug-ins installés, de thèmes et d’autres extras. En termes simples, ceux-ci peuvent augmenter votre surface d’attaque.
Activez l’accès SSL/HTTPS à votre site pour crypter les communications. Assurez-vous que votre fournisseur d’hébergement le prend également en charge.
Effectuez des sauvegardes régulières du contenu de votre site. WordPress a une fonction d’exportation simple qui créera un fichier XML que vous devriez stocker hors ligne.
Installez un plug-in de sécurité WordPress spécialisé, tel que Wordfence. Prenez le temps de comprendre les fonctions de sécurité ainsi que les rapports générés, et assurez-vous d’agir en fonction des informations et de leurs implications. Une plus grande liste de plug-ins de sécurité peut être trouvée sur le site Web de WordPress, où vous pouvez voir si l’outil a été testé avec la dernière version de WordPress, la dernière fois que le plug-in a été mis à jour et le nombre d’utilisateurs qui ont téléchargé le logiciel.
Restez au courant des dernières vulnérabilités de WordPress. Il peut parfois être difficile de les retrouver, mais voici quelques ressources. Tout d’abord, les vulnérabilités des plugins et le blog de Wordfence informent fréquemment sur les exploits et les attaques zero-day que leurs propres réseaux d’instrumentation ont découverts. De plus, un outil semi-automatisé récent développé par le chercheur Krzysztof Zajac peut analyser diverses zones faibles pour détecter des problèmes potentiels.
Comme vous pouvez le voir, il existe des dizaines de conseils et de ressources disponibles qui peuvent vous aider à sécuriser votre site WordPress. Dans tous les cas, vous ne devez pas utiliser WordPress sans suivre ces étapes, même si vous ajoutez progressivement des mesures de sécurité individuelles une par une.
Leave a Reply