WordPress alimente plus de 35 % de tous les sites web dans le monde. Pourtant, même avec une équipe de sécurité dédiée et une communauté mondiale dynamique et engagée, les sites web qui fonctionnent avec ce système de gestion de contenu de pointe sont souvent la cible de violations de la sécurité.
Cependant la vérité est que WordPress est sûr : seulement 14 % des vulnérabilités de sécurité de WordPress proviennent du noyau de WordPress, et l’organisation de WordPress suit des processus rigoureux pour corriger ces problèmes. Alors, comment les sites WordPress sont-ils exposés aux pirates informatiques ? Le plus souvent, les vulnérabilités de sécurité proviennent d’une maintenance insuffisante.
Il est important de mettre en œuvre quelques bonnes pratiques de base, mais souvent négligées, pour votre installation particulière de WordPress. Dans cet article, nous allons examiner plusieurs façons de garantir la sécurité de votre site web.
Renforcer la sécurité de votre serveur
Avant toute autre chose, assurez-vous que le serveur que vous utilisez pour exécuter WordPress est sécurisé. Ce processus est décrit comme un durcissement et permet de réduire le risque d’accès non autorisé à votre serveur par un tiers malveillant.
L’une des plus grandes précautions de sécurité que vous pouvez prendre avec votre serveur est de mettre à jour votre logiciel. Les mises à jour vont des correctifs de vulnérabilité critiques aux corrections de bogues mineurs et doivent être appliquées fréquemment et selon un cycle régulier.
L’exploitation de votre site Internet sur votre propre serveur présente de nombreux avantages. Un contrôle total vous permet de faire ce que vous voulez, mais la responsabilité de veiller à ce qu’il soit bien entretenu est à vous. Si vous désirez héberger votre site WordPress vous même, et que vous ne savez pas par où commencer pour sécuriser votre site Internet, cet article vous explique comment renforcer votre site WordPress contre les accès non autorisés.
Si ces étapes vous semblent trop onéreuses, envisagez alors d’utiliser un hébergeur WordPress géré comme Layer 7 qui se charge de toutes les mises à jour de sécurité au niveau du serveur (et de nombreuses autres au niveau de WordPress) en votre nom.
Garder WordPress à jour
Le moyen le plus simple de sécuriser votre site WordPress est peut-être de vous assurer que vous installez toutes les mises à jour WordPress disponibles. Avec un nombre important de contributeurs (environ 70 développeurs ont contribué à près de 5 000 engagements au noyau en 2019), il n’est pas surprenant que vous voyiez une mise à jour disponible la plupart des mois. Ces mises à jour sont disponibles en deux versions :
- Les mises à jour majeures où de nouvelles fonctionnalités sont publiées. Ces mises à jour sont publiées environ deux fois par an.
- Les mises à jour mineures qui traitent des bogues ou des risques de sécurité dans la version actuelle. Ces mises à jour peuvent être repoussées aussi souvent que toutes les quelques semaines.
Si vous utilisez un hébergeur WordPress géré, tel que Layer 7, ces mises à jour devraient être automatiquement prises en charge pour vous. Si vous utilisez votre propre serveur, vous devrez alors mettre à jour manuellement votre version de WordPress. Il vous suffit de vous connecter à wp-admin et, si une mise à jour est disponible, vous verrez une notification en haut de la page d’accueil vous invitant à la mettre à jour. Suivez les instructions et WordPress téléchargera et installera la mise à jour.
Bien que la plupart des mises à jour se déroulent sans problème (en particulier les mises à jour mineures), il est conseillé de sauvegarder votre site web avant de lancer le processus de mise à jour. Vous voudrez également tester soigneusement votre site après la mise à jour car certains thèmes et plugins peuvent ne pas être compatibles avec la dernière version de WordPress.
Garder votre thème et vos extensions à jour
En plus du noyau WordPress, vous remarquerez que les extensions et votre thème (si vous utilisez une extension tierce d’un fournisseur comme ThemeForest) ont besoin de mises à jour régulières. Voici deux raisons courantes pour lesquelles les extensions et les thèmes peuvent ne pas être mis à jour :
- Le propriétaire du site web oublie d’effectuer la mise à jour, surtout s’il n’a pas ouvert de session wp-admin depuis un certain temps.
- La mise à jour des extensions et/ou du thème WordPress peut casser le site, ce qui peut être décourageant.
Il est frustrant qu’une mise à jour d’une extension qui devrait prendre deux minutes se transforme en un travail plus important parce que votre site ne fonctionne plus. Lorsque vous êtes occupé à gérer un site web ou une entreprise, il n’est pas facile de trouver le temps de résoudre le problème. La tentation est donc grande de restaurer le site à partir d’une sauvegarde, ce qui laissera le(s) entensions(s) et/ou le thème obsolète en fonctionnement.
La même situation peut se produire avec les mises à jour du noyau de WordPress lorsque vous installez la dernière version et que vous constatez qu’une partie de votre site ne fonctionne plus. La solution la plus simple, mais potentiellement la moins sûre, est de revenir à une version précédente qui fonctionne et de ne pas revenir sur le problème.
Ce scénario est exactement celui sur lequel se basent les pirates informatiques. Une part importante des piratages de WordPress est réalisée en exploitant des vulnérabilités connues sur des sites web qui utilisent des thèmes, des extensions et des cœurs WordPress obsolètes. Le coût en termes de pertes de ventes ou d’atteinte à la réputation, dû à un site piraté, peut être important.
Les forfaits d’hébergement web WordPress gérés de Layer 7 inclus le service de mise à jour automatique vers la version la plus stable de WordPress et ses extensions. Ne vous inquiétez plus jamais des logiciels obsolètes ou vulnérables.
Corriger les vulnérabilités de votre poste de travail
La sécurité de votre serveur et de votre installation WordPress est importante, mais un poste de travail non sécurisé peut saper ces efforts. Par exemple, si un enregistreur de frappe malveillant a été installé sur votre ordinateur, un pirate peut recueillir vos informations de connexion à WordPress. Assurez-vous que tous les ordinateurs que vous utilisez pour accéder à WordPress sont exempts de logiciels malveillants, de logiciels espions et d’autres infections virales en utilisant un logiciel antivirus.
Et, tout comme votre serveur, assurez-vous de maintenir le système d’exploitation et le navigateur à jour en appliquant les correctifs qui s’imposent. Si vous naviguez sur des sites non fiables, il est également conseillé d’utiliser des outils comme NoScript pour empêcher tout contenu web exécutable de s’exécuter sur votre machine.
Renforcer les mots de passe et noms d'utilisateur
Sans authentification à deux facteurs, votre mot de passe est tout ce qui se trouve entre votre site web et une personne qui veut accéder à wp-admin. Il est donc de la plus haute importance de choisir un mot de passe complexe et unique.
Si vous avez besoin d’inspiration pour choisir un bon mot de passe, vous pouvez utiliser un outil tel que le générateur de mot de passe unique (1Password Generator). Utilisez toujours un mot de passe différent pour chaque site web. La meilleure façon de garder une trace des mots de passe forts est d’utiliser un gestionnaire de mots de passe comme celui que fournit 1Password ou LastPass.
Il est tout aussi important qu’un mot de passe sûr de ne pas utiliser le nom d’utilisateur « Admin » par défaut :
- Allez dans la section Utilisateurs et créez un nouvel utilisateur qui a un nom d’utilisateur unique.
- Attribuez des droits d’administrateur à cet utilisateur et définissez un mot de passe fort et unique pour lui.
- Déconnectez-vous de WordPress et reconnectez-vous en utilisant le nouveau nom d’utilisateur et le nouveau mot de passe.
- Retournez à la section Utilisateurs et supprimez l’utilisateur Admin par défaut.
Utiliser une authentification à deux facteurs
L’authentification à deux facteurs (2FA) est en train de devenir presque courante. L’authentification à deux facteurs confirme l’identité déclarée des utilisateurs en utilisant une combinaison de quelque chose qu’ils connaissent, de quelque chose qu’ils ont ou de quelque chose qu’ils sont.
WordPress est une plateforme parfaite pour l’utilisation de la 2FA, et cela peut être facilement activé en utilisant une extension. Les extensions 2FA les plus populaires sont Duo et Two-Factor, mais d’autres sont disponibles (il suffit de faire une recherche dans le dépôt d’extension de WordPress). Avec un système 2FA activé, vous pouvez être sûr que même si votre mot de passe devait être deviné ou obtenu par une tierce partie, votre site WordPress resterait sécurisé.
Installer une extension de sécurité
Il existe d’autres moyens de renforcer la sécurité de votre site web WordPress, par exemple en modifiant les noms des bases de données et en tirant parti des en-têtes de sécurité HTTP. Tous ces moyens exigent, pour la plupart, un niveau de savoir-faire technique et un temps raisonnablement élevés. Avec les services gérés de Layer 7, nous effectuons ces étapes pour vous.
Certains des meilleurs extensions de sécurité WordPress offrent une gamme importante de fonctionnalités, notamment la surveillance des listes noires, l’analyse des fichiers, la protection par force brute, les pare-feu, etc. Ils peuvent offrir des moyens simples de renforcer la sécurité de votre site web rapidement et avec une expérience technique limitée.
De nombreuses extensions sont disponibles mais, comme pour tous les extensions, il est important d’utiliser des extensions réputés et bien testés comme Securi Security et Wordfence. N’oubliez pas de faire une sauvegarde de votre site web avant d’installer une nouvelle extension ou d’apporter des modifications importantes aux paramètres de l’extension.
Savez-vous que les forfaits d’hébergement WordPress gérés de Layer 7 inclus des outils de sécurité côté serveurs pour protéger vos site WordPress. Nous nous assurons que vos sites sont intacts en les analysant constamment à la recherche de vulnérabilités et nous réagirons de manière proactive pour résoudre le problème dès que possible.
Effectuer des sauvegardes journalières
Les sauvegardes peuvent être un élément terriblement négligé de la maintenance de WordPress. Elles jouent cependant un rôle important dans la sécurité de votre site web.
Disposer d’une sauvegarde de haute qualité vous apporte la tranquillité d’esprit ultime : si le pire devait arriver et que votre site était piraté et gravement endommagé, vous pourrez alors le récupérer rapidement en restaurant une sauvegarde antérieure. Vous pouvez alors appliquer tous les niveaux de sécurité supplémentaires nécessaires pour éviter qu’un piratage ne se reproduise.
Il était autrefois difficile de faire de bonnes sauvegardes de WordPress, mais ces dernières années, le processus a été rendu très facile. Vous avez le choix entre de nombreuses options, notamment des extensions tels que UpdraftPlus et des systèmes de sauvegarde hors site comme VaultPress ou BlogVault.
Les forfaits d’hébergement WordPress gérés de Layer 7 inclus le service de sauvegarde. Le serveurs de Layer 7 sauvegarde vos sites tous les jours et conserve chaque sauvegarde pendant 30 jours. Si jamais vous avez besoin de restaurer à un point antérieur, Layer 7 peut effectuer la relève pour vous, sans frais.
