5 étapes simples pour obtenir une meilleure sécurité WordPress

Les pirates attaquent les sites Web toutes les 39 secondes en moyenne, selon une étude de la Clark School de l’Université du Maryland. Étant donné que plus de 40 % du Web utilise WordPress, il s’agit de l’une des cibles les plus menacées par les attaques de pirates. De plus, en tant que logiciel open source, auquel chaque développeur peut contribuer, il peut y avoir des vulnérabilités potentielles dans le code. Les cybercriminels profitent des vulnérabilités de sécurité de WordPress et d’autres problèmes qui peuvent être facilement évités, tels que les noms d’utilisateur courants, les mots de passe faibles, les plugins obsolètes, etc.

Heureusement, il y a au moins 5 choses faciles que vous pouvez faire – généralement sans l’aide d’un développeur – pour améliorer votre sécurité WordPress.

Problèmes de sécurité et vulnérabilités WordPress les plus courants

Mais d’abord, examinons certaines des vulnérabilités et des problèmes les plus courants de WordPress que les cybercriminels ont tendance à exploiter lorsqu’ils attaquent un site Web :

• Logiciel de base obsolète

Avoir un logiciel de base obsolète est l’une des choses que les pirates recherchent sur un site Web. C’est pourquoi vous devez être vigilant lorsqu’une mise à jour est publiée pour un programme ou une bibliothèque.

• Thèmes et plugins obsolètes

Assurez-vous que tous vos thèmes et plugins restent à jour, afin que tous les bogues existants soient corrigés avec la dernière version.

• Attaques par force brute

Vous pouvez arrêter les attaques par force brute de plusieurs manières, par exemple en utilisant un plugin de sécurité ou en ayant une atténuation de la force brute avec votre fournisseur d’hébergement Web.

• Logiciels malveillants

Empêchez l’injection de logiciels malveillants sur votre site Web par différents moyens, tels que des scanners de logiciels malveillants et des services de nettoyage réguliers.

• Attaques par déni de service (DoS) ou attaques par déni de service distribué (DDoS)

Une façon d’éviter ces types d’attaques est d’avoir un système de mise en cache ou un système d’atténuation DDoS intégré dans l’infrastructure de votre fournisseur d’hébergement Web.

• Mauvais environnement d’hébergement

Lorsque vous recherchez un partenaire d’hébergement, assurez-vous qu’il a une bonne réputation, une connaissance approfondie de WordPress et, surtout, qu’il est digne de confiance. Ceci n’en est qu’une petite partie. Regardez la vidéo complète ci-dessous pour obtenir des informations plus détaillées sur ces vulnérabilités et sur les mesures que vous pouvez prendre pour protéger votre site.

Améliorez votre sécurité WordPress en cinq étapes faciles

Êtes-vous prêt à résoudre ces vulnérabilités par vous-même ? Pour vous soulager de ce fardeau, je vous propose cinq étapes faciles à suivre afin de rendre votre site WordPress plus sécurisé en quelques clics :

1. Modifier le nom d’utilisateur de l’administrateur

Celui-ci est une évidence. Si vous utilisez toujours admin, administrateur ou quelque chose de vraiment facile à deviner comme nom d’utilisateur de votre administrateur, ARRÊTEZ ! Pour compromettre votre site, un attaquant a besoin de 2 choses : un nom d’utilisateur et un mot de passe. Si vous utilisez un nom d’utilisateur administrateur par défaut, vous leur avez donné la moitié de ce dont ils ont besoin. Rendons les choses un peu plus difficiles, d’accord ?

Pour modifier manuellement le nom de l’administrateur, vous devez :

• Connectez-vous en utilisant votre compte administrateur existant.
• Sous « Utilisateurs », cliquez sur « Ajouter un nouveau ».
• Créez un nouveau compte utilisateur et faites-en un administrateur. Définissez le nom d’utilisateur comme vous le souhaitez, à l’exception de Admin, Administrator ou de votre nom.
• Déconnectez-vous de WordPress et reconnectez-vous en utilisant votre nouveau compte administrateur.
• Cliquez sur Utilisateurs pour lister les utilisateurs, et sous votre compte administrateur d’origine, cliquez sur « Supprimer ». Assurez-vous de sélectionner « Attribuer le contenu à » et sélectionnez votre nouveau compte administrateur, afin de ne perdre aucun contenu.

2. Appliquer des mots de passe forts

Oui, la plupart des gens aiment utiliser leur anniversaire comme mot de passe. Vous savez qui l’aime le plus ? Attaquants. Vous voyez, les mots de passe faibles sont faciles à deviner. Si vous publiez sur les réseaux sociaux :

« ZOMG, My Little Pony II est mon FILM PRÉFÉRÉ ! Je vais le voir demain pour mon anniversaire !

Vous venez de donner à un attaquant une information critique. À ce stade, ils vont commencer à essayer des mots de passe et des noms d’utilisateur liés au film et/ou à votre date de naissance. Tout ce que vous avez publié sur les réseaux sociaux donne aux attaquants un peu plus d’informations avec lesquelles travailler. Ce n’est pas nécessairement un problème de sécurité WordPress, c’est un défaut humain.

ASTUCE : l33tsp34k « Leet Speak » ou le remplacement des lettres par des chiffres ne trompe pas non plus les attaquants. Ils l’ont compris avant toi.

Alors qu’est-ce qui marche ? Mots de passe forts. De longues chaînes aléatoires de lettres et de symboles sont excellentes. Le problème avec cela est que, comme ils sont difficiles à retenir, nous avons tendance à les écrire. Si vous perdez le livre dans lequel vous les avez écrits, alors un attaquant a les clés du royaume. (Le livre étant physique OU électronique). Si vous avez l’habitude de le faire, je vous conseille vivement de consulter cet article sur la sécurisation des mots de passe avec Have I Been Pwned.

WordPress a maintenant la fonctionnalité de générer des mots de passe forts, mais il n’en a pas besoin. Il existe cependant des plugins qui appliqueront cela pour vous. Si vous allez sur wordpress.org/plugins et entrez des « mots de passe forts », vous en trouverez plusieurs parmi lesquels choisir. Installez l’un de ces plugins.

Si vous avez des utilisateurs réguliers ainsi que des administrateurs, des auteurs, etc., vous souhaiterez peut-être appliquer uniquement des mots de passe forts sur vos comptes de niveau supérieur afin de réduire les frictions de vos utilisateurs lors de l’inscription et de la connexion à votre site.

Si vous vous demandez comment gérer des mots de passe forts sans les écrire, investissez dans un gestionnaire de mots de passe. La plupart des modèles modernes fonctionnent à la fois sur ordinateur et sur mobile et synchroniseront vos données sur tous vos appareils.

3. Mettre en œuvre l’authentification à deux facteurs

L’« authentification à deux facteurs », ou 2FA, n’est pas un nouveau concept de sécurité. Pendant des décennies, les institutions financières ont compté sur les « porte-clés » (petits appareils que vous pouvez attacher à votre trousseau de clés, qui ont un affichage et donnent un numéro en constante évolution) comme facteur supplémentaire de connexion.

Le concept de sécurité global est « quelque chose que vous savez, quelque chose que vous avez, quelque chose que vous êtes ». En 2FA, nous en choisissons deux. Lorsque vous vous connectez à un site Web sans 2FA, vous n’utilisez que « quelque chose que vous connaissez » – l’identifiant et le mot de passe. Quelle que soit la force que vous pensez de ceux-ci, il y a une chance qu’ils puissent être compromis. 2FA ajoute une couche en plus, le « quelque chose que vous avez ».

De nos jours, au lieu d’avoir à attribuer un porte-clés à chaque utilisateur administrateur, nous avons des smartphones et des logiciels qui peuvent remplacer les porte-clés. Si vous avez un smartphone moderne (un fabriqué au cours des 5 dernières années), il peut exécuter une application qui fonctionne comme « quelque chose que vous avez ».

L’application la plus couramment utilisée – bien que loin d’être la seule – pour 2FA est « Google Authenticator ». C’est le plus courant car il est gratuit. Avant de vous engager sur la voie de 2FA, assurez-vous que Google Authenticator est disponible pour votre téléphone.

Une fois le 2FA mis en œuvre et après que votre utilisateur ait cliqué sur le bouton de connexion, il sera redirigé vers un deuxième écran de connexion qui lui demandera son « jeton ». S’ils ont correctement configuré leur application, ils ouvriront l’application, y trouveront votre site Web et saisiront le numéro à l’écran. Ce nombre change toutes les 30 secondes. Le numéro s’appelle un « mot de passe à usage unique basé sur le temps » (TOTP). Votre téléphone et le plugin que vous utilisez savent tous les deux comment le calculer, mais personne d’autre ne le sait. Lorsqu’ils tapent le jeton et appuient sur le bouton, le plug-in calcule le TOTP approprié, puis vérifie qu’il correspond à ce que l’utilisateur a tapé. Sur cette base, il autorisera ou refusera la connexion.

Gardez à l’esprit que certains systèmes 2FA ne sont pas basés sur des applications mais sur des SMS envoyés à votre téléphone avec les jetons. Attention, ceux-ci ne sont pas sécurisés, vous devez donc les éviter.

4. Appliquer HTTPS

Celui-ci, vous devriez déjà le faire. Si vous vivez sous un rocher, il y a quelques années, Google est sorti et a déclaré que si votre site n’exécute pas HTTPS, il classera votre site plus bas que les autres sites exécutant HTTPS. Mis à part le référencement, HTTPS garde tout votre trafic crypté et à l’abri des regards indiscrets. Si vous n’utilisez pas HTTPS, tout utilisateur assis dans un café diffuse tout à quiconque souhaite regarder. (techniquement, « renifler le wifi »)

Si vous n’utilisez pas SiteGround, cela implique de travailler avec votre fournisseur d’hébergement pour acheter et installer un certificat sécurisé. Ensuite, vous devez dire à WordPress de changer son URL en HTTPS.

5. Gardez vos plugins à jour

Je ne parle pas seulement des principaux, je parle de chaque plugin que vous avez installé sur votre site, à chaque fois qu’il y a une mise à jour. Pourquoi est-il important de garder vos plugins à jour ?

La raison principale est bien sûr la sécurité de WordPress. Les bons auteurs de plugins traitent les problèmes de sécurité de WordPress lorsqu’ils sont signalés et publient des correctifs dès qu’ils le peuvent. Si la mise à jour automatique est activée, vous n’avez même rien à faire, vous obtiendrez le nouveau code. Si ce n’est pas le cas, dès que vous vous connectez et remarquez qu’il y a des mises à jour, allez dans Plugins, cliquez sur les boutons de mise à jour, regardez-les tous se mettre à jour, puis essayez de vous rappeler pourquoi vous vous êtes connecté en premier lieu . vous rappeler pourquoi vous vous êtes connecté en premier lieu .