French

WordPress sécurité – Guide complet pour une sécurité solide comme le roc [Plugin gratuit inclus]

Updated on: February 6, 2021

WordPress sécurité – Guide complet pour une sécurité solide comme le roc [Plugin gratuit inclus]

Utilisé par un tiers des sites web, WordPress parvient toujours à attirer l’attention des pirates. Ces dernières années, l’ampleur des attaques contre WordPress est alarmante et appelle à l’action. Malgré les attaques, la sécurité de WordPress est encore un concept massivement incompris et sous-estimé. Et les propriétaires de sites web trouvent plus pratique de l’ignorer.

This Blog Includesshow

Cependant, à la suite de ces exploits, beaucoup de gens se rendent compte de la nécessité de mettre à niveau leurs normes de sécurité WordPress. Mais ils se retrouvent souvent en mer à décider quelles pratiques de sécurité sont légitimes et lesquelles ne le sont pas. Ne vous inquiétez pas ! Nous avons fait les recherches pour vous. Dans cet article, vous êtes sur le point de trouver la liste complète des mesures de sécurité WordPress essentielles et réalisables pour votre site. De plus, cette liste est indépendante de votre savoir-faire technique et peut être facilement appliquée par n’importe qui.

Consultez également les URL ci-dessous si vous cherchez

Sécurité de WordPress – Parlons chiffres

WordPress est maintenu par un groupe de développeurs compétents. Il n’en reste pas moins le CMS le plus violemment attaqué au monde. Selon une étude, plus de 70 % des sites web WordPress sont vulnérables aux attaques. De plus, les récents piratages de plugins WordPress comme GDPR, WP Live chat ont mis en danger des milliers de sites web. De plus, les détails de l’EVC révèlent que la plupart de ces attaques concernent des scripts intersites.

Comme vous pouvez le voir dans le graphique, la plupart des sites WordPress ont subi le XSS, suivi du Code Execution. En outre, une autre recherche révèle que 40 % de toutes les attaques visent des sites web de petite et moyenne taille. Ainsi, les personnes qui pensent que seuls les grands sites web sont piratés obtiennent la réponse.

De plus, la plupart de ces attaques sont le résultat direct d’une sécurité WordPress négligée. Selon Kinsta, 55% des sites web piratés avaient des versions obsolètes de plugins, de thèmes ou de CMS.

Nous savons déjà que les conséquences d’un piratage informatique peuvent être désastreuses pour une entreprise. Il y a beaucoup de choses qui peuvent mal tourner. Par exemple, l’attaquant peut se mêler de vos données confidentielles et de celles de vos clients. Il peut voler vos informations d’identification, mal configurer votre site web et ainsi de suite. Et s’il met la main sur vos données financières et de paiement, vous pouvez également faire faillite. Les autres conséquences cachées d’un piratage peuvent être la méfiance à l’égard de votre marque, la perte d’autorité, la perte de la valeur du domaine, etc. En outre, un piratage peut également entraîner la chute du classement de votre site dans les moteurs de recherche.

Guide connexeWordPress Questions de sécurité 2019

Comment renforcer la sécurité de WordPress

La création d’un site web digne de ce nom demande du temps, des efforts et de l’énergie. Mais, tous ces efforts tourneront au fiasco si la sécurité n’est pas assurée. Il est certain que le fait de ne pas accorder l’attention nécessaire à la sécurité de WordPress peut avoir des conséquences durables.

Pourtant, il est beaucoup plus facile que vous ne le pensez de protéger votre site web. Aussi, si vous avez suivi avec diligence cette liste de mesures de sécurité WordPress pour votre site web, je vous garantis que les risques seront réduits au strict minimum.

1. Sauvegardez régulièrement votre site WordPress

Soyons réalistes : personne n’est à l’abri du piratage sur Internet. La première chose à faire pour votre site WordPress est donc de bien gérer les risques. C’est-à-dire, prévoir à l’avance un scénario comme un piratage. Et, avec de bonnes sauvegardes en réserve, vous pouvez en toute confiance supprimer la version piratée et restaurer votre site web immédiatement. Il est évident que dans un cas comme un piratage soudain, les sauvegardes peuvent vous sauver d’une débâcle complète.

Le motif de la sauvegarde est de restaurer votre site web dans son meilleur état de fonctionnement en cas de piratage. De plus, les sauvegardes doivent être effectuées souvent et régulièrement. Or, la fréquence peut varier de quotidienne à hebdomadaire ou mensuelle selon la fréquence de mise à jour du contenu du site web.

De plus, veillez à effectuer plusieurs sauvegardes (avec mention de l’heure et de la date). Comme un piratage peut rester caché pendant plusieurs jours, dans ce cas, vous pourriez avoir besoin d’une sauvegarde datée à une date antérieure.

Par conséquent, pour rendre vos sauvegardes plus fonctionnelles, vous devez inclure les fichiers et dossiers suivants dans votre sauvegarde :

  1. Les fichiers WordPress
  • L’installation de base
  • Plugins WP
  • Thèmes WordPress
  • Images et fichiers
  • Scripts JavaScript et PHP, et autres fichiers de code
  • Dossiers supplémentaires et pages web statiques

2. La base de données WordPress

La base de données WordPress stocke des informations cruciales comme les détails des messages, les pages, les commentaires, les tags, les utilisateurs, les catégories, les champs personnalisés, etc. Il est donc extrêmement important d’inclure ces informations dans la sauvegarde.

Vérifier que la sauvegarde est fonctionnelle fait partie du processus. Au final, assurez-vous de tester si la sauvegarde complète son motif et permet une restauration rapide et complète de votre site web en état de marche.

Note – Conservez votre sauvegarde contre un tampon de date et d’heure.

a) Sauvegarde de la base de données WordPress

Pour la sauvegarde de la base de données WordPress, utilisez la ligne de commande MySQL. Sinon, des interfaces d’administration comme phpMyAdmin peuvent également être utilisées.

Vous pouvez effectuer des sauvegardes manuellement, via cPanel, cloud, etc. Nous avons abordé ici quelques méthodes :

a) Comment faire une sauvegarde manuelle de WordPress

Suivez ces étapes pour effectuer une sauvegarde manuelle –

  • Compressez les fichiers de votre site web
  • Téléchargez-le sur votre appareil local
  • Stockage à distance
  • Créer un gestionnaire de sauvegarde avec le nom des fichiers, la date et l’heure de la sauvegarde comme paramètres

Aujourd’hui, la sauvegarde manuelle peut s’avérer être une tâche fastidieuse et longue. Vous devez surveiller attentivement le téléchargement de chaque fichier. De plus, la gestion des sauvegardes représente à nouveau un travail considérable.

La seule alternative gratuite offrant des capacités de sauvegarde complètes qui se démarque de la liste est BackWPup. Vous pouvez sauter tout cela, et utiliser un plugin WordPress à la place. Les plugins comme Updraftplus, Backupbuddy, etc. automatisent tout le processus de sauvegarde et sont très faciles à utiliser.

b) Sauvegarde WordPress via cPanel

Une autre option consiste à faire des sauvegardes par le biais de Cpanel. Voici comment vous pouvez le faire :

  • Connectez-vous à votre panneau de contrôle cPanel.
  • Cliquez sur l’icône “Sauvegarde”.
  • Sélectionnez “Générer / Télécharger une sauvegarde complète”.
  • Sélectionnez “Home Directory” dans “Backup Destination” et entrez votre adresse électronique, avant de cliquer sur le bouton “Generate Backup”.
  • Vous recevrez un e-mail lorsque la sauvegarde sera prête.

c) Sauvegarde en nuage de votre WordPress

La sauvegarde sur le cloud est le moyen le plus pratique pour sauvegarder un site WordPress. Divers services en ligne comme Amazon S3, Dropbox, stash, etc. simplifient la procédure de sauvegarde.

2. Renforcer la sécurité en mettant à jour les CMS, les plugins et les thèmes avec les dernières versions

Après avoir obtenu un plan de sauvegarde, le moyen le plus simple de sécuriser votre site web est de le mettre à jour. Chaque mise à jour, qu’il s’agisse du CMS de base, de plugins ou de thèmes, est accompagnée de correctifs de vulnérabilité et de modifications de sécurité, ce qui permet de renforcer la sécurité. La rapidité de ces mises à jour peut réduire les risques de manière incroyable. Même les meilleurs experts en sécurité estiment que le fait de maintenir votre site web à jour élimine la plupart des risques. Actuellement, la dernière version de WordPress est la v5.4.2 (en date de décembre 2020).

Mais, une mise à jour majeure peut parfois casser certaines fonctionnalités d’un site web. Il est donc conseillé de faire une sauvegarde au préalable. Ensuite, mettez votre site web en mode de maintenance avant de lancer une mise à jour majeure.

De plus, le noyau de WordPress comporte trois types de mises à jour différentes :

  • Les mises à jour des développements de base, connues sous le nom de “bleeding edge” (bord saignant)
  • Mises à jour mineures du noyau, telles que les versions de maintenance et de sécurité
  • Principales mises à jour des versions de base

Les versions mineures sont automatiquement mises à jour par WordPress dans le backend. Ainsi, vous ne devez vous occuper que des versions majeures du noyau. De même, les mises à jour des thèmes sont également des plugins.

Pro-Tip – Vous pouvez utiliser notre plugin de durcissement WP pour corriger plus de 12 problèmes comme (Stop User Enumeration, Disable XMLRPC, Hide Version No. et bien d’autres)

Là encore, il y a deux façons de mettre à jour le noyau, les thèmes et les plugins – manuelle et automatique. Ces deux méthodes sont expliquées ci-dessous –

a) Manuel

Mise à jour de base – La mise à jour d’un site web WordPress est assez facile. Comme WordPress installe automatiquement tous les correctifs mineurs, vous ne devez pousser que les mises à jour des versions majeures. Pour ce faire, il faut

  • Connectez-vous à votre wp-admin
  • Allez à la section Mises à jour.
  • Voyez si des mises à jour sont disponibles. S’il y en a, mettez-les toutes à jour.

Mise à jour des thèmes et des plugins – Pour mettre à jour les thèmes et les plugins, suivez le processus suivant,

  • Connectez-vous à votre wp-admin
  • Allez à la section Mises à jour.
  • Voyez si des mises à jour sont disponibles. S’il y en a, mettez-les toutes à jour.

b) Automatisé

Mise à jour de base – Comme nous l’avons déjà mentionné, WordPress automatise par défaut les correctifs de sécurité mineurs. Cependant, vous pouvez passer outre ces changements en éditant le fichier wp-config.php en ajoutant ou en modifiant la déclaration suivante –

Pour les principales mises à jour, consultez la section des mises à jour dans votre backend WordPress et lancez les mises à jour si elles sont disponibles.

Mise à jour des thèmes et des plugins – Les thèmes et les plugins peuvent être mis à jour automatiquement à l’aide de filtres. Le meilleur endroit pour mettre un filtre est dans un plugin indispensable. De plus, WordPress ne recommande pas de mettre des filtres dans le fichier wp-config.php. En effet, l’insertion de filtres dans le fichier wp-config.php peut créer un conflit avec d’autres parties du code.

Pour permettre la mise à jour automatique des thèmes et des plugins, ajoutez le code suivant

3. Mettez à jour votre PHP, à la dernière version

En parlant de mises à jour, il y a une autre mise à jour dont vous devez vous occuper – la version PHP. PHP est le langage de programmation de base de WordPress. Il est certain que la mise à jour vers sa dernière version stable renforcera la sécurité de votre WordPress.

Remarque : les versions 7.0 et antérieures de PHP ne prennent pas en charge la sécurité et sont susceptibles de présenter des vulnérabilités connues et non corrigées. Par conséquent, vous devez effectuer une mise à jour vers la dernière version de PHP, à savoir 7.3.

Note : La version 7.2 du PHP ne sera plus prise en charge après le 30 novembre 2019.

Voici comment vous pouvez mettre à jour votre PHP :

  • Connectez-vous à votre cPanel
  • Accédez à la section Logiciels. Cliquez sur Configuration PHP
  • Ensuite, sélectionnez la dernière version stable du PHP et cliquez sur “Mise à jour”.
  • Consulter les changements dans phpmyinfo

4. Supprimer les anciens plugins/thèmes

Si vous n’avez pas utilisé un plugin depuis longtemps, vous devez vous en débarrasser pour sécuriser votre WordPress. En effet, même si le plugin n’est plus utilisé ou est désactivé, les fichiers existent toujours. De plus, ces fichiers peuvent contenir des vulnérabilités que vous ne connaissez pas. Par-dessus tout, les attaquants pourraient facilement exploiter ces vulnérabilités. Supprimez donc les plugins et les thèmes qui ne sont plus utilisés.

Voici comment vous pouvez faire cela :

  • Connectez-vous à votre tableau de bord WordPress
  • Aller à la section Plugins
  • Identifiez les plugins inactifs et supprimez-les.

5. Installer un plugin de pare-feu WordPress

Dois-je dire que surveiller votre site web sans cesse est humainement impossible ? Alors, le mieux est de mettre en place un pare-feu pour les applications web. Un pare-feu est un système de surveillance continue de votre site web. Plus important encore, il détecte et bloque le trafic malveillant sur votre site web.

Bien qu’il existe une multitude de pare-feux, vous ne devriez choisir que ceux qui ont été testés par les pirates. Le pare-feu d’Astra est une solution solide comme le roc. Il vous protégera en temps réel contre les cyberattaques. De plus, il fonctionne sur votre propre serveur et ne nécessite aucune modification du DNS.

Blog connexeComment un pare-feu peut vous aider à sécuriser votre site WordPress

Comment Astra Web Application Firewall protège votre site WordPress

Voici les caractéristiques distinctes du pare-feu Astra :

  • Filtrer le bon trafic du mauvais trafic et bloquer le trafic web indésirable.
  • Bloquer les menaces à venir telles que SQLi, les attaques par force brute, CSRF, les attaques DDoS, LFI, RFI, les scripts intersites, les mauvais robots, le spam et autres exploits de type “zero-day”.
  • En plus d’être intuitif, c’est aussi un pare-feu intelligent qui permet de détecter des modèles d’attaques et de se configurer pour la prochaine attaque.
  • Le pare-feu Astra est également un excellent moyen de bloquer/classer les adresses IP sur une liste blanche.
  • En outre, le WAF d’Astra améliore également la vitesse et les performances d’un site web.

La vitesse et la sécurité sont deux aspects souhaitables de la sécurité d’un site web et un pare-feu améliore les deux. De plus, en cette ère de menaces et d’attaques en ligne, un pare-feu est indispensable.

6. Hébergez votre site WordPress sur un serveur sécurisé

Le serveur d’hébergement joue un rôle important dans la sécurité de votre site WordPress. Le choix judicieux d’un hébergeur peut changer la donne en matière de sécurité WordPress. Lors de la sélection d’un serveur, vous devez tenir compte des éléments suivants :

  • Autorité
  • Examens et notations
  • Soutien
  • Personnalisation
  • Temps de chargement

7. Personnaliser la page de connexion pour renforcer la sécurité contre les attaques de la Brute-Force

La protection de vos pages de connexion et d’administration est un autre moyen de sécuriser votre WordPress. Les attaquants peuvent pénétrer par force brute sur votre site web si celui-ci n’est pas sécurisé. Aujourd’hui, les attaques par force brute utilisent la méthode du “hit and trial” pour deviner la combinaison du nom d’utilisateur et du mot de passe de votre site web à une vitesse effroyablement élevée.

Définissez des noms d’utilisateur et des mots de passe forts et uniques pour chacune de ces pages. Évitez d’utiliser un nom d’utilisateur évident comme “admin”, le nom de votre site web, votre propre nom, un mot approprié qui pourrait être trouvé dans le dictionnaire. De même pour les mots de passe, évitez d’utiliser “Mot de passe”, votre propre nom, le nom de votre site web, etc. comme mot de passe.

Guide connexe Comment modifier l’URL d’administration dans WordPress

8. Limiter les tentatives de connexion

Une autre façon de protéger votre zone d’administration WordPress contre la force brute est de limiter le nombre de tentatives de connexion. Des plugins comme Limit login attempts & Loginizer peuvent s’avérer utiles à cet effet.

9. Définir les rôles corrects des utilisateurs

Tous les utilisateurs n’ont pas besoin de disposer de tous les privilèges dans votre WordPress. Vous pouvez répartir les rôles requis pour chaque utilisateur en fonction de leurs responsabilités sur le site web. Grâce à ces rôles, vous pouvez mieux contrôler et surveiller qui fait quoi sur votre site web. Par défaut, WordPress définit six rôles, à savoir, dans l’ordre décroissant de leurs pouvoirs – super administrateur, administrateur, éditeur, auteur, contributeur et abonné.

Vous pouvez utiliser l’ensemble prédéfini de rôles d’utilisateur ou créer des rôles personnalisés en fonction de vos besoins. Les rôles prédéfinis peuvent être attribués à partir du tableau de bord lui-même, tandis que pour les rôles personnalisés, un plugin est nécessaire. Le plugin de l’éditeur de rôles utilisateur est le mieux adapté pour cela.

Voici comment vous pouvez définir des rôles d’utilisateur personnalisés avec ce plugin :

  • Installer un plugin “Éditeur de rôle d’utilisateur”.
  • Aller à “Utilisateurs”>Autres rôlesEtape
  • Définir/ajouter des rôles personnalisés pour un utilisateur particulier.

10. Protéger le fichier wp-config

wp-config.php contient les détails de la configuration de votre site WordPress. Toute compromission absurde dans ce fichier peut briser complètement votre site web. C’est pourquoi le fichier wp-config doit être manipulé avec un soin particulier et doit être sécurisé de toute urgence. En outre, il contient également des informations sensibles sur les références de la base de données WordPress.

Voici quelques moyens de sécuriser le fichier wp-config :

  • Déplacement hors du dossier racine
  • Blocage de l’accès interne et des modifications du code de votre wp-config.php
  • Modification du fichier wp-config.php par défaut
  • Paramétrage de la permission 400 dans le fichier wp-config.php. Cela signifie que l’utilisateur et les groupes ont la permission de lire uniquement et que les autres n’ont aucun accès.

11. Restreindre l’accès au wp-admin

Le wp-admin est la zone d’administration de votre site web. On peut dire qu’il s’agit du contrôleur de votre site web. Les pirates informatiques essaient constamment de le forcer à pirater l’ensemble du site. Il est donc essentiel de sécuriser la zone de l’administrateur Web pour renforcer la sécurité de votre site WordPress. Vous pouvez sécuriser votre zone wp-admin comme suit :

Restreindre l’accès et n’autoriser que certaines adresses IP à votre page d’administration est un moyen de la sécuriser. De cette façon, toute adresse IP inconnue est automatiquement bloquée. Dans votre dossier wp-admin, créez un fichier .htaccess et collez le code suivant à cet endroit :

Ordonner le refus, autoriser
Refuser de tous
Permettre à partir de xx.xx.xx.xx
Modifiez le xx.xx.xx.xx pour qu’il contienne votre adresse IP. Pour les listes blanches d’adresses IP multiples, répétez la commande “Allow from” à la ligne suivante, et ainsi de suite.

Habituellement, il y a un lien “Register” sur votre page de connexion WordPress. Désactivez ce formulaire d’inscription pour décourager l’accès à wp-admin.

12. Mise à jour des clés de sécurité de WordPress

Des clés de sécurité secrètes assurent la sécurité des cookies de votre site WordPress. Vous devez mettre en place des clés de sécurité pour décourager tout vol de cookies et toute usurpation d’identité des utilisateurs. Une fois que vous avez défini les clés de sécurité secrètes, toutes les sessions en cours seront annulées et l’utilisateur devra se ré-authentifier. Surtout, l’administrateur doit modifier les clés de sécurité en cas de compromission ou même de soupçon de compromission.

Vous pouvez générer des clés secrètes aussi bien manuellement qu’à l’aide d’un générateur de clés en ligne. WordPress dispose également de son générateur de clés secrètes officiel. Générez des clés à partir de là et collez ces clés dans le fichier wp-config et vous êtes prêt à partir.

13. Créer un préfixe unique pour la base de données

La base de données WordPress est la zone où se trouvent les informations/données importantes concernant le site web et les utilisateurs. Il est évident que cela en fait une cible privilégiée. Par défaut, le wpdb contient 11 tableaux qui comprennent des tableaux pour – les données des utilisateurs, les URL du site, les messages, les pages, les commentaires, etc.

En outre, tous ces tableaux sont précédés du préfixe par défaut universellement connu wp_. Les noms de ces tables sont également connus de tous. En cas de règles de validation et d’aseptisation incorrectes pour l’insertion de requêtes, un pirate peut exécuter des commandes SQL pour récupérer des données dans une table de base de données connue.

Afin de sécuriser la base de données, vous devez changer le préfixe de la base de données par un autre. De plus, changer le préfixe de la base de données au moment de l’installation est la solution idéale. Cependant, si vous ne l’avez pas encore changé, vous pouvez également le changer par commande SQL ou à l’aide d’un plugin. Ces deux méthodes sont décrites ci-dessous :

a) Manuel

Comme mentionné précédemment, le préfixe de la base de données peut être modifié à l’aide d’une commande SQL. En exécutant une série de commandes. Pour les instructions et la procédure détaillées, suivez ce lien.

b) Automatisé

Il existe plusieurs plugins sur WordPress qui aident à automatiser tout ce processus de changement de préfixe. L’un de ces plugins gratuits est le plugin de changement de préfixe de table.

14. Facteurs d’authentification supplémentaires pour la sécurité de l’administration de WordPress

Pour sécuriser encore plus votre site web, l’authentification à deux facteurs est un outil intelligent. Cet outil garantit la véritable identité d’un utilisateur sur votre site web en exigeant plus qu’un mot de passe pour se connecter. Ainsi, il interdit à tout faux utilisateur non authentifié d’y accéder, même s’il devine votre mot de passe. Le plugin d’authentification à deux facteurs est un excellent moyen d’appliquer cette sécurité sur votre site web.

15. Configurer le plugin de déconnexion automatique

Tous les utilisateurs de votre WordPress ne sont pas assez prudents et vigilants pour se déconnecter après chaque session. Le vol de cookies et le détournement de session constituent également des vecteurs d’attaque majeurs sur WordPress. Vous devez définir une déconnexion automatique afin que tous les clients inactifs soient déconnectés du site web.

16. Renforcez vos mots de passe pour renforcer la sécurité de WordPress

Cette mesure de sécurité peut sembler trop évidente, mais même dans ce cas, beaucoup la négligent. Optez toujours pour des mots de passe uniques et solides pour vos comptes WordPress. De même, évitez d’utiliser comme mots de passe les mots password, admin et les mots du dictionnaire. Assurez-vous que votre mot de passe est une combinaison de lettres (majuscules et minuscules), de chiffres et de caractères spéciaux.

17. SSL data encryption

Le fait de disposer d’un certificat SSL (Secure Socket Layer) pour le domaine de votre site web renforce son autorité et sa sécurité. Il permet de crypter le transfert de données entre l’utilisateur et le serveur. Depuis que les classements de Google ont commencé à être affectés par le HTTPS, de nombreuses sociétés d’autorisation ont vu le jour. Cependant, toutes ne sont pas considérées comme faisant autorité par Google. Vous devez donc obtenir le certificat SSL auprès d’une source vérifiée et fiable.

De plus, le fait de ne pas rediriger toutes vos pages web vers le HTTPS peut également avoir des effets négatifs sur votre site web. La présence de pages HTTP et HTTPS sur un site web est connue sous le nom de contenu MIxed. Aujourd’hui, Google signale régulièrement les sites web dont le contenu est mixte. Veillez donc à rediriger toutes vos pages vers le HTTPS.

18. Commentaires de contrôle

WordPress est tristement célèbre pour l’omniprésence des commentaires de spam. C’est pourquoi vous devez examiner attentivement les commentaires avant de les autoriser sur votre site web. De plus, vous pouvez soit le désactiver complètement, soit ajouter plusieurs conditions pour bloquer le spam. Cela nécessite un effort manuel. Vous pouvez également choisir un plugin comme Askimet pour faire le travail.

19. Définir des autorisations strictes pour les fichiers et les dossiers dans WordPress

Vous pouvez franchir une nouvelle étape dans la sécurité de WordPress en définissant des autorisations de fichiers et de dossiers plus strictes. Les autorisations de fichiers et de dossiers recommandées pour les différents fichiers et dossiers sont les suivantes:

  • Pour wp-config.php = 400
  • Pour le dossier “uploads” = 755
  • Pour les fichiers .htaccess = 400
  • Pour wp=contenu = 755
  • Pour les wp-includes = 755
  • Pour index.php = 444

20. Masquer le numéro de version de WordPress pour protéger WordPress des vulnérabilités connues

Les vulnérabilités connues dans les différentes versions de WordPress sont facilement disponibles sur Internet. Ces bases de données sont un véritable trésor pour les pirates informatiques. Ils utilisent des bots/botnets pour rechercher des sites web WordPress avec ces versions obsolètes. Lorsqu’un bot atteint votre site web, il cherche en premier lieu son numéro de version et la vulnérabilité qui y est répertoriée. Lorsqu’il trouve un site web de ce type, il exploite la vulnérabilité.

Vous pouvez protéger votre site web contre ces attaques en masquant simplement votre numéro de version WordPress.

Manuel

Cachez le numéro de version de WordPress de la balise meta Generator,

  • Accédez à votre répertoire racine
  • Allez dans le répertoire /wp-content/themes/
  • Dans le fichier functions.php, ajoutez la ligne de code suivante

remove_action(‘wp_head’, ‘wp_generator’) ;

Cachez le numéro de version de WordPress des flux RSS par défaut comme suit:

  • Accédez à votre répertoire racine
  • Allez dans le répertoire /wp-content/themes/
  • Dans le fichier functions.php, ajoutez les lignes de code suivantes en bas

Automatisé

Il existe des plugins qui masquent le numéro de version de WordPress, nous vous recommandons d’utiliser le plugin Meta Generator et Version Info Remover.

21. Désactiver l’exécution de PHP lorsque cela n’est pas nécessaire

Bien que WordPress exécute automatiquement l’exécution des fichiers PHP pour tous les répertoires du site, il est préférable de le désactiver pour les répertoires tels que /wp-content/uploads/. Vous pourrez le faire en utilisant un accès FTP. Voici comment faire :

  • Accédez à votre site web avec FTP
  • Naviguer vers le répertoire /wp-content/uploads
  • Collez le code suivant et enregistrez le document sous le format .htaccess.

22. Améliorer la protection du matériel

Il est tout à fait logique de protéger le matériel avec lequel vous accédez à votre site web. Un PC non sécurisé présentant des vulnérabilités de sécurité sert de moyen aux pirates d’accéder à votre site web. Assurez-vous que votre gadget est bien protégé par un pare-feu et un logiciel anti-virus installés. Cela permettra de bloquer non seulement les attaques de WordPress, mais aussi toute menace de sécurité en ligne.

Comme dans le cas d’un site web, les plugins obsolètes posent problème, de même que les applications obsolètes et défuntes sont une invitation à la menace. Par conséquent, supprimez toutes les applications inutiles/obsolètes de votre appareil.

La plupart des applications demandent des autorisations différentes juste après leur installation. En règle générale, essayez de leur accorder le moins de privilèges possible.

23. Désactiver les injections de script

Interdire les injections de script pour empêcher les pirates d’injecter du code malveillant dans les documents PHP existants. Vous pouvez désactiver les injections de script en ajoutant le code suivant :

24. Télécharger des plugins de sources réputées

Tous les plugins n’ont pas de développeurs dédiés derrière eux. Beaucoup de plugins sur WordPress ne sont même pas maintenus aussi souvent. Donc, avant d’opter pour un plugin aléatoire d’une tierce partie, vous devez considérer les points suivants :

  • Examens et évaluations
  • Dernière mise à jour et fréquence des mises à jour
  • Soutien

25. Recherchez régulièrement les logiciels malveillants et les portes dérobées dans WordPress

Il est tout aussi important de surveiller votre site web que de le sécuriser. Pour la sécurité de WordPress, il est essentiel de disposer d’un scanner de logiciels malveillants proactif qui analyse périodiquement votre site web. En analysant votre site de temps en temps pour détecter les virus et les logiciels malveillants, vous pourrez être mis à jour en fonction du bon fonctionnement de votre site web.

Le scanner de logiciels malveillants à apprentissage automatique d’Astra est parfaitement adapté à cette tâche. Parmi les autres scanners, citons:

En scannant le site web, vous serez en mesure de détecter les risques de violation de la sécurité au lieu d’avoir à faire face à de véritables attaques au fur et à mesure qu’elles se produisent.

26. Audit de sécurité de WordPress

Vous avez appliqué toutes les mesures de sécurité sur votre site, mais même dans ce cas, il doit être entretenu régulièrement. Un audit de sécurité de qualité supérieure peut vous aider grandement à cet égard. De temps en temps, votre site web doit être vérifié pour détecter de nouvelles vulnérabilités et des failles de sécurité.

Le programme de test d’évaluation de la vulnérabilité et de la pénétration d’Astra demande aux ingénieurs d’examiner votre site web pour détecter d’éventuelles vulnérabilités. Dans un audit de sécurité comme celui-ci, votre code source, vos plugins et vos thèmes sont vérifiés de manière approfondie. Il permet également de découvrir des failles et des portes dérobées dans votre site web.

Guide connexeComment effectuer un audit de sécurité WordPress et le pentesting

Conclusion

Les mesures de sécurité de WordPress énumérées dans ce guide sont des évangiles de sécurité. Vous devez persévérer pour les appliquer et les maintenir sur votre site WordPress afin de renforcer la sécurité. Ces conseils de sécurité WordPress vous permettront de vous assurer que votre site web reste protégé des menaces en ligne.

Was this post helpful?

Ananda Krishna

Ananda Krishna

Ananda Krishna is the co-founder & CTO of Astra Security, a SaaS suite that secures businesses from cyber threats. He has been acknowledged by the Indian Navy, Microsoft, United Airlines, etc. for finding critical security vulnerabilities in their systems. Winner of the Best Security Product at Global Conference on Cyberspace 2017 (awarded by Narendra Modi, Prime Minister of India) & French Tech Ticket, Paris (awarded by François Hollande, former President of France). At Astra he's building an intelligent security ecosystem - web application firewall (WAF), malware detection & analysis, large scale SaaS applications, APIs & more. He's actively involved in the cybersecurity community and shared his knowledge at various forums & invited talks.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earthspiderscardsbugsspiders

Made with ❤️ in USAFranceIndiaGermany