Problèmes de sécurité communs à WordPress et comment sécuriser votre site • WPShout

By | avril 17, 2019

wordpress pour débutant

Hier soir, j'ai été invité à prendre la parole à la réunion WordPress de Boulder. Mon amie Angela a attiré une foule nombreuse et ils m'ont écouté avec beaucoup d'attention au sujet des vulnérabilités de sécurité de WordPress et de ce que vous pouvez faire pour protéger votre site WordPress. Ce discours, comme cet article, est axé sur la protection Utilisateurs WordPress et propriétaires de sites des problèmes de sécurité communs. J'ai un autre cours sur ce que les développeurs WordPress devraient faire pour protéger WordPress. Cet article simplifie intentionnellement des détails techniques complexes qui ne font souvent que brouiller l’histoire de la sécurité du point de vue des propriétaires de sites WordPress. Il existe beaucoup trop d’acronymes complexes pour que les conversations de sécurité WordPress soient compréhensibles par la plupart des non-développeurs.

Mais sans plus tarder, notre structure ici consistera tout d’abord à décrire les problèmes de sécurité courants de WordPress, puis à proposer les étapes les plus importantes et les plus faciles qui vous apporteront le plus grand avantage en matière de sécurité WordPress. Comme Sécurité WordPress en toute confiance explore longuement, il y a beaucoup d’autres choses plus difficiles et moins précieuses que vous pouvez faire. Mais pour la plupart des gens, les quatre problèmes de sécurité WordPress que nous décrivons et les cinq conseils de sécurité WordPress que nous couvrons seront plus que nécessaires. Allons-y!

La question primordiale: laisser votre site facile pour les attaques par botnet

Un des points essentiels où la clarté aide à la compréhension les problèmes de sécurité dans WordPress est ce que nous appelons la modèle de menace. Votre modèle de menace est ce que les facteurs dans le monde contribueront à la possible compromission future de votre site WordPress. Par exemple, un site WordPress dirigé pour le président des États-Unis a un modèle de menace très différent de celui de votre magasin de bougies ou de votre dentiste. Alors que le site WordPress du président ferait face à la même menace que le vôtre, il en aurait aussi beaucoup d’autres à prendre en compte. Plus important encore: des opposants politiques et financiers, étrangers et nationaux, qui aimeraient donner au président des États-Unis un blâme politique en leur montrant qu'il / elle est mauvais en matière de cybersécurité.

Parce que la plupart d’entre nous ne sommes président de aucun pays (bien que «bonjour» à M. / Mme la présidente), nous devrions concentrer nos préoccupations de sécurité WordPress sur une menace majeure: botnets. Plus Les problèmes de sécurité dans WordPress sont simplement des problèmes quand et s’il est possible pour un botnet de l’exploiter avec succès. Parce que, mis à part votre cousin vindicatif que vous avez battu au dodge-ball en 2001 (laissez tomber la rancune, Donny!), La plus grande menace pour vous est la horde en maraude de bots maniables exploitant la sécurité pour tenter de s'emparer de sites. Les botnets à eux seuls sont une source d’heures de spéculation et de complications intéressantes, mais comprenez-les simplement comme la marionnette d’un ou plusieurs mauvais acteurs qui veulent s'approprier autant de sites WordPress qu’ils le peuvent pour faire des bêtises amorphes.

Vulnérabilité liée à la sécurité dans WordPress préférée des robots: code obsolète

Votre site WordPress est-il obsolète?

Le code obsolète est de loin la cause de compromission la plus courante et la plus probable d’un site WordPress. Comme tous les logiciels en évolution, Les vulnérabilités de sécurité WordPress (et celles de ses plugins et thèmes) doivent être traitées comme des éléments concrets et cohérents de l'écosystème. Les humains écrivent des logiciels, les erreurs humaines, donc tous les logiciels contiendront des erreurs (de sécurité) de temps à autre. Combattre avec cette réalité est un excellent moyen de se conduire en banane, mais pas un excellent moyen de vivre. Au lieu de cela, vous devez simplement accepter et comprendre que les problèmes de sécurité les plus courants liés à WordPress sont toujours le fait qu’une ancienne version de WordPress, vos plugins ou vos thèmes comportaient une faille de sécurité.

Cela vaut la peine de dire que vous pouvez compter sur le fait que les vulnérabilités de WordPress seront corrigées une fois connues. Aaron Campbell, responsable de l’équipe de sécurité WordPress, a expliqué comment ce processus s’est déroulé dans l’entretien que j’ai fait avec lui pendant Sécurité WordPress en toute confiance. Mais si vous ne mettez pas à jour WordPress, vous ne profiterez pas de ce correctif. Au lieu de cela, vous êtes confronté au véritable inconvénient de WordPress en tant que logiciel open-source: le fait qu'un correctif pour un problème de sécurité soit immédiatement visible par les mauvais acteurs qui veulent attaquer votre site WordPress dès qu'il est corrigé. Par conséquent, s’ils parviennent à exploiter une faille de sécurité, ils disposeront du plan détaillé sur la manière dont cela fonctionne sur les versions obsolètes.

Problème de sécurité n ° 2 dans WP: sécurité de connexion WordPress médiocre

écran de connexion NopeLe prochain moyen le plus courant qu'un site WordPress soit compromis? Que vous avez utilisé un mauvais mot de passe. Il est difficile de quantifier très précisément le «mauvais mot de passe». Mais l’une des attaques les plus courantes et les plus faciles qui menacent la sécurité d’un site WordPress est ce que l’on appelle une attaque par «force brute» ou «tentative de mot de passe». C’est à cet endroit qu’un ordinateur est configuré pour essayer de se connecter à votre site WordPress en devinant les mots de passe jusqu’à ce qu’il trouve le vôtre. Il existe des moyens de ralentir de telles attaques, mais en général, celles-ci finiront par compromettre votre site, peu importe si votre mot de passe est "ilikebeer" ou "chatons".

Vous pouvez prendre différentes mesures, mais les attaques par force brute et autres attaques par mot de passe sont une cause fréquente de compromis. Comprendre que les mauvais mots de passe sont un problème de sécurité très grave pour WordPress est une première étape importante.

Problème de sécurité n ° 3: Insécurité de l'environnement d'hébergement

Ceci est une combinaison d'un couple de différents Problèmes de sécurité WordPress. Mais ils sont liés. Vous risqueriez de compromettre la sécurité de votre environnement d'hébergement WordPress en raison d'un oubli ou d'une négligence. Même le meilleur hébergement WordPress absolu ne peut rien faire si vous commettez des erreurs telles que:

  • Vous utilisez d’autres outils non sécurisés (ou [outdated] Installations WordPress) dans le même compte d'hébergement. Une version obsolète de WordPress est un sous-dossier ou un sous-domaine de votre site WordPress qui peut être utilisé pour les compromettre. Il en va de même pour un outil tel que Search Replace DB d’Interconnect IT, qui est très utile pour un développeur, mais qui peut être utilisé assez facilement à des fins néfastes s’il reste inactif.
  • Vous utilisez une version obsolète de PHP, MySQL ou un autre outil utilisé par WordPress, qui a été compromis. D'autant plus que WordPress continue de prendre en charge les versions de PHP sans correctifs de sécurité (jusqu'à PHP 5.2 aujourd'hui), cela pourrait être une source de compromis.

Ce sont les deux plus gros problèmes. Il peut également arriver (mais il est rare et surtout qu’il s’agisse d’une mémoire lointaine) que votre hôte ait configuré les choses de manière non sécurisée, et une compromission de votre compte peut venir de quelqu'un d'autre sur votre serveur Web partagé. Cela n’est pas arrivé sur un grand hôte depuis un certain nombre d’années. Mais si vous êtes sur «Joe’s Cheap Backyard Web Hosting», je suis peut-être un peu préoccupé par cette possibilité.

Problème de sécurité n ° 4: Autres moyens de votre site WordPress

Il existe de nombreuses manières intéressantes et intéressantes dans votre site WordPress qui ne sont pas spécifiquement le reste de cette liste. Ces méthodes de compromis (que j'ai en quelque sorte combinées) comprennent:

  • Un plugin, un thème ou une vulnérabilité WordPress pour laquelle aucun correctif n'a été publié peut détruire votre site.
  • Votre site est compromis parce que votre compte d'hébergement a été supprimé par un mot de passe FTP incorrect ou un compromis pour votre tableau de bord d'hébergement WP.
  • Votre sécurité WordPress est compromise par une personne qui travaille pour ou avec vous et qui souhaite supprimer votre site.
  • Un plugin WordPress précédemment fiable est compromis intentionnellement par un nouveau responsable. (Une attaque de «chaîne d'approvisionnement», qui constitue toujours une menace rare mais réelle.)

Chacune de ces menaces représente une menace réelle, mais celles qui sont beaucoup moins courantes en tant que causes de compromis que celles énumérées ci-dessus.

Conseils de sécurité WordPress: Comment sécuriser votre site WordPress

Sécurisez votre WP, étape n ° 1. Mise à jour, mise à jour, mise à jour

Tout comme notre principal problème de sécurité dans WordPress était que vous ne gardiez pas tout à jour, la meilleure chose à faire pour protéger votre site Web WordPress en tant que propriétaire de site est simplement de le garder à jour. Dans l’écosystème WordPress, la distinction entre «correctif de sécurité» et «nouvelle fonctionnalité» n’est pas toujours claire. Si c'était le cas, je pourrais le remplacer par «toujours obtenir les dernières mises à jour de sécurité». Les vulnérabilités de sécurité «fondamentales» de WordPress fonctionnent de cette façon. WordPress 4.9.x est donc le dernier correctif de sécurité qui n'apporte aucune nouvelle fonctionnalité. Il est moins courant que les plugins et les thèmes dans WordPress prennent en charge ce type d’historique de sécurité. Vous trouverez donc plus facile de «tout mettre à jour en permanence».

Il y a plusieurs façons de le faire. Le noyau WordPress est auto-mis à jour depuis au moins quelques années maintenant. Je vous recommande fortement de laisser cette fonctionnalité activée. Et si vous êtes à l'aise avec ça, j'aime aussi laisser les plugins se mettre à jour automatiquement. Voici un guide rapide sur la façon dont je le fais:

Activer les mises à jour automatiques des plugins dans WordPress sans code

Sécurisation de WP, étape 2: bonne sécurité de connexion

Encore une fois, notre problème de sécurité WordPress n ° 2 donne lieu à notre conseil de sécurité WordPress n ° 2: disposer d'un bon système de sécurité de connexion. Techniquement, vous pouvez renforcer la sécurité de votre connexion WordPress de plusieurs manières. Les plus importants sont les suivants:

  1. Ayez un bon mot de passe pour votre compte WordPress. Idéalement, le mot de passe de votre site WordPress est le suivant: long, unique et aléatoire. Utiliser “i AM in l0v3 with Kittehs !!!!! 1” est un très bon mot de passe, si vous ne l’utilisez pas aussi sur Twitter, Instagram, CandleStore et CoolPictures4Free. Les gestionnaires de mots de passe sont d'une grande aide ici.
  2. Envisagez une authentification à deux facteurs. 2FA n’élimine pas l’utilité d’un bon mot de passe. Mais utiliser un code temporel sur votre téléphone, voire un code envoyé par courrier électronique, peut rendre votre connexion WordPress beaucoup plus sécurisée. Si vous êtes déjà très à l'aise avec 2FA, l'ajout de votre site WordPress aux éléments auxquels vous accédez de cette manière constitue une victoire évidente.
  3. Envisagez d'autres problèmes de sécurité de connexion. Qu'il s'agisse d'un CAPTCHA que vous ajoutez à votre formulaire de connexion ou du verrouillage de votre administrateur pour qu'il ne fonctionne que depuis certaines adresses IP (un IMHO trop compliqué, mais une grande victoire pour la sécurité), il y a beaucoup d'autres choses. Je pense que tous sont bénéfiques, mais moins importants qu'un bon mot de passe et 2FA possible.

Sécurisation du WP, étape 3: principe de moindre accès

Ceci est lié au conseil n ° 2, mais ne partagez pas vos identifiants de connexion WordPress avec qui que ce soit. Qu'ils veuillent faire un post d'invité, faire du développement de plugins ou autre chose, c'est généralement mieux que de donner à Sarah ou à John leur propre nom d'utilisateur et mot de passe pour WordPress. Encore plus, si vous leur donnez ce compte, assurez-vous que leur compte a juste accès à WordPress.

Les vulnérabilités de WordPress sont beaucoup plus nombreuses lorsque vous avez un compte «administrateur» dont le mot de passe a été compromis, plutôt que lorsque ce compte était un «abonné». Ainsi, si John écrit juste une publication pour vous, faites de son compte un «contributeur». Bien sûr, si Sarah veut développer des plugins pour vous, elle aura probablement besoin d'un compte «Administrateur», mais vous ne devriez toujours pas donner ces droits à John.

Sécurisation de WP, étape 4: Sauvegarde pour «Time Security»

Capture d'écran de la solution de sauvegarde VaultPress WordPressJ'avais l'habitude de penser que les sauvegardes étaient un sujet tangentiel à la «sécurité WordPress» au sens large. Et en effet, aucune sauvegarde n’empêchera un botnet ou un autre attaquant d’exploiter les vulnérabilités de sécurité de votre site WordPress.

Mais ce que fait une sauvegarde (ou 300) pour vous, c’est ce que j’appellerais la sécurité de temps. Ce que je veux dire par là, c'est que si vous étiez compromis samedi et que vous le remarquiez mardi, votre sauvegarde de la semaine dernière peut toujours être utilisée pour redresser votre site. Sans sauvegarde, vous devez essayer de nettoyer ce qui peut être une infestation complexe et difficile que vous ne pourriez même pas comprendre. Alors gardez des sauvegardes!

Sécurisation de WP Étape # 5: Installer un plugin de sécurité WordPress

Les meilleurs plugins de sécurité WordPress sont un sujet beaucoup trop complexe pour ce court post. J'ai un site Web et un article qui devrait aider. (Je devrais absolument fusionner ces deux éléments, c’est une tâche qui doit durer un jour.) En résumé, si vous lisez cet article, vous aurez une meilleure idée du type de fonctionnalités et de la puissance des plugins de sécurité WordPress:

Comment comparer les fonctionnalités des plugins de sécurité WordPress (et des services)

Mon conseil général sur les plugins de sécurité: ils sont utiles, mais ne peuvent remplacer la vigilance à propos de la sécurité WordPress. C’est la raison pour laquelle ils ne figurent pas au premier rang de cette liste de conseils de sécurité, et ne devraient pas l'être non plus.

Aucun conseil de sécurité ne traitera TOUS les problèmes de sécurité de WordPress

En conclusion, une note de prudence. Voici une liste de mes meilleures opinions sur les menaces à la sécurité qui pèsent sur votre site WordPress et sur ce que vous pouvez faire à ce sujet. Mais la sécurité de WordPress est un sujet en évolution, et votre modèle de menace doit évoluer avec le temps. Si et quand les ordinateurs quantiques vont craquer la plupart des technologies de cryptage, nous aurons des menaces beaucoup plus graves que celles énumérées ci-dessus. Sur nos sites WordPress et partout sur Internet. Voici donc le dernier et le plus important conseil de sécurité WordPress: restez impliqué, restez informé et restez à la recherche de votre site WordPress. Bonne chance!