Protégez-vous des pirates et de la perte de données maintenant!

By | mai 11, 2019

WordPress pas cher

WordPress sécurisé

Mon site a été piraté deux fois parce que je ne sécurisais pas correctement WordPress.

Ce n'était pas non plus une expérience particulièrement amusante.

En bref, faire pirater votre site = passer toute la journée à essayer de corriger des problèmes que vous ne comprenez pas tout à fait, à condition que le piratage ne soit pas d'une grande variété.

Heureusement pour moi, corriger quelques points et changer d'hébergeur a tout arrangé, mais tout le monde ne s'en tire pas si facilement.

Par exemple, j'ai un ami qui non seulement a eu son site piraté mais a également perdu tout son domaine à la suite de cela.

Je suppose que la chose que j'essaie de dire est la suivante:

Vous devez sécuriser WordPress car le piratage de site est beaucoup plus courant que nous le souhaiterions.

Il y avait plus 81 000 sites piratés signalés en 2009, puis 98k, 144k et 170k les années suivantes.

Puis, en 2014, nous avons tous perdu le compte avec un rapport massif après un autre. Littéralement, des centaines de milliers de sites Web WordPress sont exploités chaque année et des millions de personnes risquent de rester vulnérables.

… Mais il y a un éléphant dans la pièce:

Pourquoi devrais-je sécuriser WordPress, à qui quelqu'un piraterait-il mon site?

Soyons clairs. Votre site n'est probablement pas spécial. À moins que le nom de votre entreprise soit CNN.

Le fait est que la plupart – de la grande majorité plutôt – des attaques sont automatisées. Cela signifie que divers bots (logiciels) développés par des pirates informatiques explorent le Web et recherchent des sites vulnérables.

Ensuite, s'ils réussissent, le site est ajouté au portefeuille du pirate informatique, pour ainsi dire, et peut être utilisé à diverses fins.

En d'autres termes, votre site par lui-même est rien de spécial, mais 10 000 sites, tout comme le vôtre, sont de l'or pur pour un pirate informatique. Un tel réseau de sites piratés peut être utilisé pour des tâches telles que le SEO Black Hat, l'envoi d'emails en masse, le grattage de bases de données (pour obtenir les informations personnelles de vos utilisateurs), etc.

Vous ne devriez vraiment pas vous sentir trop en sécurité juste parce que / si vous gérez un site Web relativement petit.

Les pirates ne font pas de discrimination.

Maintenant, la sécurité de WordPress ne se fait pas automatiquement. Même si WordPress est une plate-forme géniale et extrêmement populaire, il a ses problèmes. Plus encore, sa popularité contribue de manière significative aux problèmes!

Pensez-y, si vous êtes un pirate informatique, vous n'allez pas essayer de casser un système de SGC obscur. Au lieu de cela, vous recherchez le plus populaire des sites Web, simplement pour pouvoir accéder au plus grand nombre possible de sites Web.

Tout cela signifie qu'en tant qu'utilisateur de WordPress, vous devez respecter au moins les mesures de sécurité les plus élémentaires, uniquement pour vous assurer de pouvoir bien dormir et pour que votre site Web ne soit pas sous le contrôle de pirates informatiques le matin.

Ok, passons aux bonnes choses! Voici tout ce que vous devez savoir sur la sécurisation de votre blog WordPress:

Comment sécuriser des sites ou des blogs WordPress

Ce guide a été divisé en trois sections. Chaque section présente un ensemble de choses que vous pouvez faire pour sécuriser votre site WordPress. Choisissez ce qui vous convient le mieux:

  • Le niveau débutant – faire cela pour que la sécurité de base soit prise en charge; un must pour la plupart des blogs et sites WordPress.
  • Le niveau intermédiaire – faites ceci pour obtenir une sécurité supplémentaire; toujours pas particulièrement technique ou difficile à faire par vous-même, mais nécessitera un peu plus de temps libre.
  • Le niveau avancé – faites-le pour rester au fait de ce qui se passe et sécurisez votre site à tout moment.

Le niveau débutant de la sécurité WordPress

Voici votre liste de choses à faire absolument:

1. Sécurisez votre Administrateur Compte

Quoi que vous fassiez, veuillez ne pas utiliser un login / nom d'utilisateur évident pour votre principal Administrateur compte, comme "admin" par exemple.

C'est trop facile à deviner. Au lieu de cela, optez pour quelque chose d'amusant, comme «maître-commandant-45».

Les noms d'utilisateur dans WordPress ne peuvent pas être modifiés une fois définis lors de l'installation. Alors voici ce que vous faites:

  • Créer un nouveau compte d'utilisateur dans Utilisateurs> Ajouter un nouveau. Attribuer à la Administrateur rôle:

rôle d'administrateur dans WordPress

  • Supprimer votre original Administrateur compte (également en Utilisateurs).

supprimer l'utilisateur WordPress

2. Utilisez un Éditeur compte pour le travail de contenu

En utilisant votre main Administrateur compte pour le travail d'édition / publication (ou lorsque vous travaillez avec le contenu en général) peut être risqué. Surtout si vous utilisez le Wi-Fi dans un café ou quelque chose du genre.

Au lieu de cela, créez un Éditeur rendre compte de tout le travail que vous faites sur le contenu. Encore une fois, rendez le login non évident. Faire ceci dans Utilisateurs> Ajouter nouveau.

compte éditeur dans WordPress

3. Utilisez des mots de passe WordPress sécurisés

S'il vous plaît… je vous en prie… n'utilisez pas de mots de passe faciles à deviner. Comme les mots de passe les plus couramment utilisés, ou tout ce qui est une combinaison de mots courants (par exemple, JohnSmith1).

Au lieu de cela, suivez ce chemin:

  1. Créez un, un seul, mot de passe ultra-sécurisé pour vous-même. Suivez ce guide.
  2. Inscrivez-vous à LastPass (c'est gratuit) et définissez ce mot de passe ultra-sécurisé comme votre «mot de passe de coffre-fort».
  3. Ensuite, utilisez LastPass pour générer des mots de passe sûrs pour tout ce qui se passe sur votre site.

Dernier passage

De plus, forcez les personnes qui ont également accès à votre site à faire de même.

4. Limiter les tentatives de connexion

Deviner le mot de passe est une menace réelle. Fondamentalement, un bot, voire un humain, peut faire plusieurs tentatives pour deviner vos combinaisons identifiant / mot de passe jusqu'à ce que ils ont bien compris. Ils peuvent ne pas réussir dans 10-20 tentatives. Mais si vous utilisez un mot de passe complexe, la centième tentative peut réussir.

Solution? Limitez les tentatives de connexion possibles avec ce plugin.

verrouillage de connexion

5. Sécurisez votre propre machine

En plus de sécuriser votre site lui-même, vous devez également vous occuper des ordinateurs que vous utilisez pour accéder au site.

Il existe toutes sortes de virus. Commencez par de simples enregistreurs de frappe qui porteront une attention particulière à vos frappes au clavier, puis tenterez de recréer votre identifiant et votre mot de passe pour diriger les robots FTP qui recherchent des connexions FTP ouvertes, puis télécharger un fichier piraté directement sur votre serveur.

La solution est simple Prenez soin de votre ordinateur. Utilisez un bon logiciel anti-virus.

6. Mettre à jour WordPress régulièrement

La mise à jour de WordPress est l’une de ces choses dont tout le monde sait qu’elle a besoin, mais nous finissons toujours par l’oublier. Alors laissez-moi vous dire pourquoi c'est en effet crucial.

Un journal des modifications détaillé accompagne chaque nouvelle version de WordPress. Dans ce journal des modifications, chaque bogue corrigé est répertorié. En d'autres termes, il s'agit d'un manuel destiné aux pirates informatiques qui souhaitent cibler les anciennes versions de WordPress.

Comment grave cela peut être? L'année dernière, les gars de WordPress ont annoncé que toutes les versions antérieures à la 3.9.2 étaient vulnérables aux piratages de script intersites. Environ 86% de tous les sites WordPress étaient vulnérables à l'époque.

Et un peu plus récemment, les gars de Sucuri ont détecté une campagne de malware déjà en cours.

Heureusement pour nous, la solution est très simple la plupart du temps… activez simplement les mises à jour automatiques pour votre site WordPress, ou effectuez toujours une mise à jour manuellement dès que vous voyez une notification comme celle-ci:

Mise à jour WordPress

7. Mettre à jour les plugins régulièrement

En ce qui concerne les mises à jour, il n’ya pas que WordPress qui doit être tenu à jour. La même chose vaut pour les plugins que vous utilisez.

Et les conséquences peuvent être assez graves si vous négligez cela.

Par exemple, il y a quelque temps, il y avait le gros problème de MailPoet.

(MailPoet est un plug-in de marketing par courrier électronique populaire. Vous pouvez l'utiliser pour envoyer des newsletters par courrier électronique à votre liste de contacts directement via votre blog WordPress.)

Le problème était qu'un bogue dans MailPoet permettait aux pirates informatiques de télécharger des fichiers exécutables PHP sur votre serveur Web et de prendre le contrôle intégral du site. Même PCWorld a écrit à ce sujet! 50 000 sites ont été piratés.

Leçon? Toujours mettre à jour vos plugins dès qu'une notification apparaît. Vous ne savez tout simplement pas quand une nouvelle vulnérabilité est découverte, puis corrigée par une mise à jour ultérieure.

mise à jour du plugin

Si vous ratez la cible, vous pourriez laisser aux méchants suffisamment de temps pour réussir à attaquer votre site.

8. Sauvegardez votre site régulièrement

Certes, les sauvegardes ne permettront pas à votre site d’être piraté. Néanmoins, ils sont absolument indispensables au cas où les choses se déchaîneraient!

Les sauvegardes sont inestimables. Si vous avez une sauvegarde récente de votre site, vous pourrez le restaurer à nouveau, quelle que soit la situation.

Deux des meilleures méthodes pour que cela soit pris en charge:

  • via un plugin gratuit – WordPress Backup to Dropbox – il prend vos fichiers et le contenu de votre base de données et les stocke dans votre compte Dropbox. Tout est fait sur le pilote automatique une fois par jour; ou:

WordPress sauvegarde dans Dropbox

  • via VaultPress – une solution plus riche en fonctionnalités (payante; à partir de 99 $ / an).

presse voûtée

9. Choisissez le meilleur hébergeur que vous pouvez vous permettre

Dès le départ, je dois être honnête avec vous et admettre que les hébergeurs Web à 5 $ / mois ne sont pas très bons.

Par exemple, j’ai eu une fois mon serveur infecté par un code malveillant alors que je courais sur un plan d’hébergement bon marché à 5 $ par mois. Mon site, mon domaine et mon WordPress n'ont même pas été impliqués dans la violation. C'est le serveur lui-même qui a été piraté.

Leçon? Ne pas économiser de l'argent sur votre plan de service. Toujours aller pour le meilleur service d'hébergement Web que vous pouvez vous permettre.

Quelques recommandations de qualité:

10. Ne téléchargez que des plugins et des thèmes provenant de sources connues

Les vulnérabilités accidentelles, appelons-les ainsi, ne sont pas les seules choses qui peuvent vous mordre.

Il y a aussi intentionnel vulnérabilités.

Par exemple, si vous obtenez un plugin d'une source louche, il peut contenir un code source spécialement conçu pour pirater votre site. Dans ce cas, en obtenant le plugin, c'est vous qui piratez votre propre site.

La même chose vaut pour les thèmes.

Comment trouver des plugins et des thèmes de qualité?

Les premiers endroits à visiter sont les répertoires officiels de thèmes et de plugins sur WordPress.org. Les téléchargements ne contiennent pas de code délibérément dangereux.

En ce qui concerne les thèmes et les plug-ins premium, vous devez vous fier à la réputation du vendeur. ThemeForest est un exemple de site qui vend en masse des thèmes. Ce type de site est généralement sécurisé en raison du processus de révision long et approfondi de chaque nouveau thème et plug-in soumis, mais il existe également de petites entreprises qui créent des thèmes aussi étonnants que Astra. Ces sociétés sont encore plus sûres, leur activité repose entièrement sur leurs produits et aucun fournisseur externe n'a ajouté leur thème, mais uniquement l'entreprise.

Le niveau intermédiaire de la sécurité WordPress

Procédez comme suit pour plus de sécurité. toujours pas de tâches particulièrement techniques:

11. Supprimer les plugins que vous n'utilisez pas

Comme nous le montre l'exemple de MailPoet (décrit ci-dessus), vous ne savez jamais quelles surprises vous attendent dans vos plugins.

Parfois, vous rencontrez des vulnérabilités de sécurité de base, d'autres fois des problèmes plus graves.

Quoi qu'il en soit, pour vous protéger davantage, supprimez simplement tous les plugins que vous n'utilisez pas. Les garder inactifs ne suffira pas. Rappelez-vous que les fichiers source de ces plugins sont toujours sur votre serveur.

Donc, créez une nouvelle habitude, au lieu de simplement désactiver le plugin que vous n'utilisez pas pour le moment, supprimez-le complètement.

plugin supprimer

12. Réduisez votre nombre total de plugins

En plus d'obtenir vos plugins uniquement auprès de sources sûres et de développeurs connus et de supprimer les plugins que vous n'utilisez pas, vous pouvez également réduire le nombre total de plugins que vous avez installés.

Et je ne parle pas simplement de supprimer des éléments au hasard et de perdre de bonnes fonctionnalités.

Au lieu de cela, essayez d’utiliser des plugins qui remplacent les autres plugins par leurs fonctionnalités.

Voici un exemple. Jetpack – un plugin bien connu de l'équipe Automattic – peut remplacer avec succès une poignée d'autres plugins que vous êtes peut-être en train d'utiliser. Par exemple, certaines des choses que Jetpack peut vous donner:

  • formulaires de contact,
  • galeries d'images et carrousels,
  • boutons de médias sociaux,
  • thème mobile,
  • des liens vers des articles connexes,
  • Statistiques du site, et plus.

jetpack

13. Utiliser un plugin de sécurité

Les plugins de sécurité sont essentiellement ce que leur nom suggère. Par différentes méthodes, ils aident votre blog WordPress à rester en sécurité.

Cela se fait souvent par le biais d'analyses de base de données, de la protection par pare-feu, du contrôle des autorisations sur les fichiers et de nombreuses autres choses (n'entrons pas dans les détails techniques).

Voici les plugins de sécurité les plus populaires:

Wordfence

Le grand avantage d'eux est qu'ils travaillent très souvent en pilote automatique. Vous n'avez donc pas besoin de comprendre ce qui se passe sous le capot.

(Remarque. Il est préférable d'utiliser un seul de ces plugins pour éviter tout conflit logiciel.)

14. Protégez votre site contre les attaques par force brute

Les attaques par force brute sont un type d'animal différent.

En gros, si quelqu'un veut faire des bêtises sur votre site, il y a deux chemins possibles:

  • la attaque chirurgicale – où ils recherchent méticuleusement une vulnérabilité et l'explorent ensuite avec une précision laser,
  • la attaque de force brute – où ils essaient simplement de deviner votre mot de passe plusieurs fois jusqu'à ce qu'ils réussissent, ce qui signifie souvent des millions d'essais de suite.

Le meilleur moyen de se protéger de ce dernier était jadis un plugin appelé BruteProtect. Mais depuis août 2014, BruteProtect a été intégré à Jetpack (mentionné ci-dessus).

15. Utilisez CloudFlare

CloudFlare est une solution vraiment mystérieuse pour moi. Et ce qui est mystérieux, ce n’est pas le fait que c’est très efficace, mais que la plupart des friandises sont disponibles gratuitement.

nuage de nuages

En bref, CloudFlare achemine tout le trafic provenant de votre site via un réseau de serveurs. Ces serveurs ne laissent entrer que des personnes authentiques qui veulent lire votre contenu et rejeter toute personne suspecte.

16. Surveiller les logiciels malveillants

Les logiciels malveillants sont un terme générique (selon Wikipedia) qui fait référence à diverses formes de logiciels intrusifs, y compris les scripts Web malveillants, des éléments susceptibles d'attaquer votre blog WordPress.

… Je déteste les logiciels malveillants. J'ai eu des logiciels malveillants une fois sur mon site et ce n'était pas amusant.

Et ce qui est triste, c'est que vous ne découvriez pas que vous avez des logiciels malveillants avant qu'il ne soit fondamentalement trop tard et que le mal soit fait. Oh, et Google a déjà retiré mon site du classement à ce moment-là.

Le meilleur moyen de vous épargner des problèmes similaires consiste à utiliser une solution qui analyse votre site WordPress en permanence et vous permet de savoir à tout moment si un événement louche se produit.

Deux possibilités:

17. Effectuer une vérification de thème

Lorsque vous envisagez de changer de thème ou d'obtenir un thème pour un nouveau site, commencez par effectuer une vérification de thème avec ce plugin.

vérification du thème

Il vous indiquera si le thème respecte les dernières normes WordPress et les pratiques recommandées en matière de code. C'est un excellent moyen de savoir si les développeurs savaient vraiment ce qu'ils faisaient.

18. Bloquer les pingbacks et les rétroliens

En mettant de côté l'utilité (discutable de ces jours) des pingbacks, un autre clou à leur cercueil est que les pingbacks peuvent être utilisés pour les attaques DDoS. L’équipe Sucuri a apporté quelques éclaircissements à ce sujet il ya quelque temps.

Envisagez de désactiver les pingbacks sur votre site. Cela peut être fait dans Paramètres> Discussion. Il suffit de désélectionner cette case:

pingbacks désactiver

Le niveau avancé de la sécurité WordPress

Ce niveau avancé ne rentre pas dans les détails pour chaque mesure de sécurité répertoriée. Je pensais que puisque vous connaissez déjà WordPress, il vous suffira de faire les gros titres pour vous mettre dans la bonne direction.

19. Générer de nouvelles clés de sécurité WordPress

Les touches de sécurité WordPress gèrent le cryptage des informations stockées dans les cookies de l'utilisateur. Pour sécuriser les choses, les clés doivent être générées aléatoirement pour chaque installation WordPress. Trouvez-les dans le wp-config.php fichier.

Touches WordPress

20. Changer le préfixe de votre base de données

Le préfixe de base de données par défaut pour les sites WordPress est «wp_». Si vous le modifiez, vous ferez automatiquement toute tentative d'attaque d'injection SQL plus difficile. Trouvez ceci dans le wp-config.php fichier.

Préfixe de base de données WordPress

21. Utiliser la protection .htaccess

.htaccess est un fichier qui peut avoir un impact considérable sur la sécurité de votre site. Utilisez des plugins ou créez-le manuellement selon les meilleures pratiques.

22. Désactiver XML-RPC

XML-RPC est activé par défaut depuis WordPress version 3.5. Cependant, il y a parfois des problèmes avec cela.

Encore récemment, un nouveau bogue XML-RPC a été découvert. Celui-ci a permis à votre site d'être attaqué par la force brutale.

Pensez à désactiver complètement XML-RPC si vous ne l'utilisez pas pour quoi que ce soit. Par exemple, supprimez le xmlrpc.php fichier.

23. Désactiver le rapport d'erreur PHP

En soi, le rapport d’erreurs PHP est un bon outil de débogage lors de la création d’une nouvelle application / d’un nouveau site Web PHP. Mais si activé sur un site actif, en cas d'erreur, l'intégralité du chemin du serveur est affichée à l'écran. Il s’agit d’une information particulièrement intéressante pour les pirates.

Envisagez de désactiver le rapport d'erreur.

24. Suivre ce qui se passe dans votre tableau de bord

Ceci est vraiment utile si plusieurs utilisateurs travaillent dans votre tableau de bord (blogs à auteurs multiples).

Fondamentalement, avoir un journal pratique qui enregistre tout ce qui se passe dans le tableau de bord ne peut jamais vous nuire. Vous pouvez utiliser le plug-in WP Security Audit Log pour cela.

journal d'audit de sécurité wp

25. Faites attention à ce que vous dit Google Search Console (GSC)

(Remarque. Vous connaissez peut-être GSC sous son nom précédent, plus familier, Google Webmaster Tools.)

GSC est très utile pour vous informer de la malveillance de votre site.

Lorsque mon site a été piraté pour la première fois, c'est GSC qui m'a informé de ce qui se passait.

La leçon est simple. quel que soit le site que vous avez / gérez, connectez-le à GSC. Cela ne coûte rien et peut apporter d’énormes avantages.

26. Lire Sucuri

Vous avez peut-être remarqué que j'ai mentionné Sucuri et le blog Sucuri à quelques reprises dans ce billet. Ce n'est pas un accident

Les gars de Sucuri sont toujours à la recherche de nouvelles vulnérabilités, et très souvent ce sont eux qui signalent les nouveaux problèmes avant que quiconque ne les remarque.

Voulez-vous rester en sécurité? Abonnez-vous simplement à leur blog et lisez leurs rapports.

Sucuri blog

27. Supprimer les plugins signalés comme étant dangereux

Outre les plugins que vous n'utilisez pas (décrits plus haut), vous devez également agir rapidement lorsqu'un plugin que vous utilisez est signalé comme étant non sécurisé.

Bien sûr, vérifier le niveau de sécurité de chaque plug-in manuellement avant de l'installer va au-delà de ce qu'une personne sensée est prête à faire, mais il existe des raccourcis.

Par exemple, certains sites Web publient des rapports réguliers couvrant les dernières vulnérabilités de WordPress, y compris des problèmes rencontrés dans les plugins populaires. L'un de ces sites Web est le Sucuri susmentionné, l'autre est celui-ci.

(Juste pour vous motiver un peu plus à franchir cette étape; saviez-vous que les problèmes de plug-in représentent 54% de toutes les vulnérabilités détectées sur les blogs et sites WordPress?)

28. Utiliser SSL

SSL est une technologie permettant de chiffrer la connexion entre votre serveur Web et les navigateurs de vos visiteurs. Cela augmente la sécurité de toute l'expérience, simplement parce que toutes les données transférées ne peuvent pas être facilement lues par des tiers.

L'activation de SSL pour votre site ne prend toutefois pas cinq minutes. Tout d'abord, vous avez besoin du bon hébergeur. Ensuite, vous devez obtenir le certificat SSL lui-même. Et enfin, vous devez l’intégrer à votre site WordPress (plugins pour cela; par exemple, Verve SSL ou WP Force SSL).

Comment sécuriser WordPress: ma conclusion

Ouf! Nous avons couvert beaucoup de terrain ici. J'espère que vous utiliserez ces astuces pour sécuriser davantage votre blog WordPress… fermant efficacement la porte aux pirates informatiques et aux scripts malicieux des programmes malveillants.

Mais peut-être qu'il y a quelque chose que j'ai manqué ici? Connaissez-vous d'autres moyens de sécuriser les sites et les blogs WordPress?