L’ultime Guide pour la sécurité de WordPress-Système

Vous voulez empêcher le piratage de votre site WordPress? Comment protéger le système de gestion de contenu le plus populaire au monde et comment rendre votre site Web sûr pour vous et vos visiteurs, je vais vous le dire dans ce post.

WordPress est-il un système sécurisé?

Fondamentalement, WordPress est un système de gestion de contenu sécurisé. Malgré cela, des milliers de sites WordPress sont piratés chaque année. Mais pourquoi est-ce ainsi? Grâce à la large gamme D’applications de WordPress, il est le système de gestion de contenu le plus utilisé au monde avec plus de 65% de part de marché (source: w3techs / État: 02/2022). C’est précisément pour cela que c’est une cible D’attaque « convoitée » pour les pirates. La cause la plus fréquente d’attaques réussies contre des sites WordPress est des systèmes obsolètes ou des extensions obsolètes (Plugins), ainsi qu’une injection SQL (attaque de votre base de données).

C’est pourquoi vous devez sécuriser votre site WordPress

Simple: un piratage de votre site entraîne un temps très long (mise hors ligne de la page, vérification de L’ordinateur et du serveur, réinstallation, etc.) et une perte de chiffre d’affaires (flux de visiteurs/trafic est interrompu, aucune demande/prospects n’arrive). Dans le pire des cas, vous perdrez même la confiance de vos clients et endommagerez la réputation de votre marque.

Quick-Fact: Un en 2020 Rapport publié par IBM a révélé qu’il faut en moyenne 280 jours pour qu’un propriétaire de site web remarque un Hack du tout. On peut imaginer quel dommage peut être fait en 280 jours. Vous inquiétez donc!

Conseils Généraux De Sécurité

Utiliser un certificat SSL valide

« SSL » signifie Secure Sockets Layer – cela signifie que les données de votre site Web sont transmises de manière cryptée. Mais pourquoi avez-Vous besoin d’un Certificat SSL pour Votre Site WordPress?

1. Sécurité et confiance: un certificat SSL crypte toutes les données lors de la transmission (p. ex. données de formulaire saisies ou données personnelles lors de la finalisation de la commande). Les navigateurs Web indiquent aux visiteurs que votre site web est digne de confiance – ainsi, en plus de la sécurité, vous augmentez également la confiance de vos utilisateurs.
   
2. Classement: déjà en 2014, Google a annoncé que leurs algorithmes tiennent compte de L’utilisation de connexions sécurisées et cryptées.

La plupart des hébergeurs offrent gratuitement une protection SSL au moyen de « Let’s encrypt certificat« à.

Faits Rapides: Contrairement aux certificats SSL payants, un certificat Let’s encrypt n’est valable que 90 jours, mais il est généralement renouvelé automatiquement par L’hébergeur après expiration.

Pour garantir la redirection de http vers https, vous devriez certainement aller dans le .fichier htaccess de votre serveur enregistrer le Code suivant:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond % {HTTPS} != on
RewriteRule ^ https: / / %{HTTP_HOST}%{REQUEST_URI} [L, R=301]
< / IfModule>

Installation sécurisée de WordPress

Choisissez un préfixe de table de base de données personnalisé

Lors de l’Installation de WordPress, on vous demandera un préfixe de table de base de données souhaité. WordPress est un système basé sur des bases de données et c’est pourquoi la base de données est une cible populaire pour les pirates informatiques. Par défaut, le préfixe « wp_ » est déposé lors de l’Installation. Pourquoi devriez-vous utiliser ce préfixe par défaut Non utiliser? Avec le préfixe WordPress par défaut, vous le rendez facile pour le Hacker, car il n’y a pas besoin de chercher longtemps votre préfixe de table.

Si vous avez déjà effectué L’Installation avec le préfixe par défaut, je peux vous recommander le Plugin WordPress suivant pour une modification ultérieure: Brozzme DB Prefix & Outils Addons.

Nettoyer le répertoire racine après L’Installation

Normalement, les fichiers suivants doivent être automatiquement supprimés du répertoire racine: installation.php et mise à jour.php. Il est préférable de vérifier cela encore une fois. De nombreux hébergeurs proposent des procédures d’installation automatisées et j’ai souvent constaté que, selon l’hébergeur, ces fichiers sont toujours présents après L’Installation. Supprimez également le fichier readme.fichier html et (le cas échéant) aussi le lire.html. Grâce à ces fichiers, les pirates peuvent découvrir la Version WordPress de votre site et sont donc déjà un peu plus loin. Vous voyez déjà que même de petites mesures rendent votre site Web plus difficile pour les pirates informatiques.

Gardez WordPress et votre système toujours à jour

Travailler avec la version actuelle de WordPress

A chaque mise à jour du noyau WordPress, des failles de sécurité connues sont également fermées. Selon les statistiques actuelles de wordpress.org cependant, seuls 40% des utilisateurs de WordPress utilisent la Version actuelle (au 03/2022).

Donc, si possible, utilisez toujours la dernière version de WordPress. Bien sûr, vous devez faire attention à la compatibilité de vos Plugins utilisés. Mais en cas de doute, je recommande toujours de préférer une version WordPress actuelle à un Plugin incompatible.

Mettez à jour votre version de PHP

La mise à jour de votre version PHP présente plusieurs avantages: bien sûr, la sécurité est primordiale, mais les nouvelles versions de PHP sont souvent plus rapides, nécessitent moins de mémoire et contiennent également de nouvelles fonctionnalités et améliorations. Selon wordpress.org seulement 4% de tous les utilisateurs de WordPress utilisent L’une des dernières versions de PHP 8.X. WordPress recommande d’utiliser PHP à partir de la version 7.4, mais WordPress va (devra) faire le saut vers la Version 8.x dans un avenir proche.

Avant de mettre à jour votre version de PHP, assurez-vous de sauvegarder votre site web pour pouvoir rétrograder en cas de doute. Ensuite, vous mettez à jour le noyau WordPress, votre thème et vos Plugins. Alors seulement, vous devriez mettre à jour votre version de PHP. Si vous ne pouvez pas mettre à jour votre version de PHP vous-même, demandez à votre hébergeur. Celui-ci est sûr de vous aider.

Utilisez des thèmes et des Plugins actuels

Comme pour la mise à jour à partir du noyau WordPress, les nouvelles versions de Plugins et de thèmes comblent des failles de sécurité connues. Ici aussi: assurez-vous de créer une sauvegarde avant chaque mise à jour. Je recommande également de désactiver la mise à jour automatique des Plugins pour éviter les mises à jour indésirables. Mieux vaut vérifier les mises à jour une fois par semaine et vérifier ensuite la page que de faire confiance au système et d’avoir soudainement un site qui ne fonctionne pas.

Comment sécuriser votre Backend WordPress

Utilisez des noms d’utilisateur et des mots de passe sécurisés

Le nom D’utilisateur Word-Press le plus utilisé est « admin ». Auparavant, cet utilisateur était automatiquement créé par WordPress lors de l’Installation. Mais même aujourd’hui, il existe d’innombrables Sites WordPress avec cet Utilisateur. Utilisez un nom d’utilisateur personnalisé à partir de N’importe quelle combinaison de lettres – appuyez simplement sur votre clavier. 😉 Votre pseudo et votre nom Public ne doivent en aucun cas être inclus dans le nom D’utilisateur, car ils apparaissent dans les archives des auteurs:

Votre nom public est visible dans L’URL du Frontend:

Même avec les mots de passe, vous devez absolument miser sur des mots de passe sécurisés. Selon un aperçu de nordpass, le mot de passe le plus utilisé est toujours 123456. pas vraiment difficile à deviner, n’est-ce pas? 😉

Vous trouverez ici la Liste complète des 200 mots de passe les plus utilisés: nordpass.com

Mais qu’est-ce qu’un Mot de passe sécurisé?

• Au Moins 12 Caractères
• Lettres majuscules et minuscules
• Chiffres
• Caractères spéciaux tels que: ?!_

Mon conseil pour vous: utilisez simplement un générateur de mot de passe, comme https://www.passwort-generator.at/

Ou encore plus simplement, construisez des ponts D’ânes à partir d’Acronymes. C’est toujours la première lettre en un mot: « à L’été 2020, il faisait plus de 40 degrés à l’ombre chaque jour!“ pour le Mot de passe: IS2020hejTma40GiS!

Utilisez L’authentification à deux facteurs

Grâce à l’authentification à deux facteurs lors de la connexion au Backend WordPress, vous pouvez franchir une étape supplémentaire pour rendre votre site plus sécurisé. Une fois connecté, vous devrez également entrer un Code que vous recevrez par e-mail ou directement dans une application D’authentification. Conseil: Utilisez le Plugin Two-Factor – disponible gratuitement ici. En outre, je vous recommande L’application Authenticator de Google – disponible pour Android et iOS. Ainsi, vous avez toujours les Codes limités dans le temps avec vous.

Limiter les tentatives de connexion

En plus des mesures ci-dessus, vous devez limiter les tentatives de connexion de vos utilisateurs. Ainsi, une Adresse IP de votre site web sera bloquée si quelqu’un tente de se connecter plusieurs fois avec un nom d’utilisateur ou un mot de passe incorrect. Pour cela, j’utilise le Plugin Limit Login Attempts Reloaded. Vous pouvez également vous faire notifier par e-mail si quelqu’un a été bloqué. De même, vous pouvez bloquer ou libérer manuellement des adresses IP.

Observez les connexions

Pour garder une trace de toutes les connexions, je vous recommande le Plugin suivant: Moniteur De Connexion Des Utilisateurs. Ce Plugin est bien et simplement codé et vous donne un aperçu des utilisateurs connectés directement dans le tableau de bord.

Sécurisez votre page de connexion .htaccess

Souvent, les hébergeurs offrent déjà ce Service directement. Demandez simplement à votre hébergeur s’il peut le prendre pour vous. Surtout avec les serveurs nginx, cette étape est un peu plus compliquée et vous devez savoir exactement ce que vous faites. Si vous utilisez un serveur apache et que vous avez un accès FTP à vos données, vous pouvez le faire vous-même facilement:

1. Sur votre serveur, placez un fichier nommé dans le répertoire « wp-admin ».htpasswd et un fichier nommé .htaccess.
2. Créer avec un .générateur htpasswd (par exemple https://htpasswdgenerator.de/ le Contenu de la .fichier htpasswd avec L’utilisateur et le mot de passe auto-sélectionnés (mot de passe sécurisé avec des caractères spéciaux et des chiffres).
   Le Code généré ressemble alors à ceci:

   Nom d'utilisateur: $apr1$78nz1roc$DjjXdT1S2SskJhrNdjgph1

3. Copiez Votre Code généré dans la .fichier htpasswd et sécuriser ce.
4. Ajouter à celui créé précédemment .htaccess code suivant un:

   AuthName "Zone Protégée"
   AuthType De Base
   AuthUserFile /wp-admin/.htpasswd
   require valid-user

5. Et déjà, la zone Backend de votre site WordPress est protégée D’un cran.

Utilise des Plugins et des Thèmes uniquement à partir de Sources sûres

Assurez-vous d’installer des Plugins et des thèmes uniquement à partir de sources sécurisées. De plus, ceux-ci devraient toujours avoir été mis à jour récemment et être compatibles avec la dernière version de WordPress. Les sources fiables sont, entre autres,:

Supprimer Les Thèmes Par Défaut

Si vous utilisez un thème WordPress par défaut, jetez-le. Vous n’en avez pas besoin de toute façon, et pour les pirates informatiques, le contenu Standard et les configurations Standard sont toujours une cible facile.

Créer une sauvegarde régulière

Il n’y a rien de pire que de se tenir les mains vides après une attaque de Hacker. Par conséquent, sécurisez régulièrement votre site afin que vous puissiez restaurer rapidement votre site après les cyberattaques. Une sauvegarde est également utile si les mises à jour échouent et que vous souhaitez retrouver rapidement un site web fonctionnel.

Je vous recommande le Plugin UpdraftPlus WordPress Backup Plugin. Déjà dans la Version gratuite, vous pouvez enregistrer les sauvegardes dans différents endroits (comme Google Drive, Dropbox, etc.). Selon la capacité de stockage disponible, vous pouvez créer et stocker des sauvegardes autant de fois que vous le souhaitez. Assurez-vous de sauvegarder la base de données et les fichiers afin de vous préparer à toutes les éventualités. Personnellement, en raison de la faible demande de stockage, je sécurise la base de données 2 fois par jour et les fichiers 1 fois par jour et garde toutes les sauvegardes pendant au moins une semaine. Conseil: Ne sauvegardez pas vos sauvegardes sur le même serveur que votre site Web – vous êtes donc en sécurité, même si le pirate a accès aux données de votre serveur.

Protégez Vos Formulaires

Dans mon exemple, je vais vous montrer comment vous pouvez facilement protéger vos formulaires de contact grâce à Google reCAPTCHA dans le Plugin « Contact Form 7 ». Même avec d’autres Plugins de formulaire, L’intégration fonctionne de la même manière.

Avec Contact Form 7, cela fonctionne très simplement: le reCAPTCHA V3 de Google peut être directement intégré dans le menu forms >> Integration. Le grand avantage de la Version v3 est qu’il n’est pas nécessaire d’utiliser des cases à cocher Captcha classiques pour confirmer.

La première chose que vous devez faire est de https://www.google.com/recaptcha/admin/create créer un reCAPTCHA. Pour cela, vous avez besoin d’un compte Google. Sous « Label », saisissez un nom pour reconnaître votre reCAPTCHA ultérieurement (par exemple, v3 pour deinewebsite.at), puis sélectionnez la Version 3 sous type reCAPTCHA. Dans « Domaines », vous entrez votre domaine de site web (p. ex. deinewebsite.at) et confirmez avec Enter. Maintenant, vous pouvez ajouter D’autres propriétaires de sites Web, comme votre développeur web. Vous devez toujours accepter les conditions D’utilisation et vous pouvez éventuellement vous faire envoyer des notifications en cas de problème avec le reCAPTCHA.

Cliquez sur « Envoyer » pour créer la clé du site et la clé secrète. Il vous suffit de placer ces clés dans le Plugin et vos formulaires sont déjà protégés.

Utiliser Des Plugins De Sécurité

Le marché WordPress est inondé de Plugins gratuits et payants pour sécuriser votre site. Recommandé et un tout-puissant absolu est ici Wordfence Security-Pare-Feu Et Analyse Des Logiciels Malveillants. Le Plugin dispose d’un pare-feu intégré et analyse régulièrement votre page pour détecter les logiciels malveillants. Une authentification à deux facteurs pour votre connexion est déjà intégrée.

De ma propre expérience, je ne peux pas recommander le plugin BBQ Firewall. Sur certains sites où j’ai utilisé le Plugin, il a le Bot Google ainsi que le Bot de certains outils, tels que
par exemple, ahrefs bloqué.

Verrouiller la fonction de commentaire

Si vous n’utilisez pas WordPress comme Blog, mais simplement comme site Web, vous devez bloquer la fonction de commentaire. Cela se fait facilement dans les paramètres WordPress. Sous L’élément de menu Paramètres > > discussion-décochez simplement L’élément « autoriser les visiteurs à commenter de nouveaux articles ».

Conseils Professionnels

Si vous possédez (peu) de connaissances en programmation et avez accès aux fichiers dont vous avez besoin, j’ai quelques conseils très spéciaux. Les fonctions sont particulièrement importantes ici.php de votre thème enfant et les .fichier htaccess de votre serveur. Si vous n’êtes pas sûr, il vaut mieux laisser vos doigts sur ces fichiers. 😊

Cachez Votre Version WordPress

Pour cacher votre version WordPress, Un petit code suffit. Copiez le Code suivant dans les fonctions.php de votre thème enfant et plus personne ne peut voir votre version WordPress:

remove_action ('wp_head', 'wp_generator');

Lorsqu’un utilisateur visite votre site Web, votre serveur renvoie – en d’autres termes – une réponse D’en-tête HTTP. Dans cette réponse, votre serveur informe le navigateur de votre visiteur des codes D’erreur (comme une page D’erreur 404 ou une erreur de serveur 500), des informations de Cache et d’autres États. Les en-têtes de sécurité HTTP font partie de cette réponse et sont utilisés pour protéger les sites Web contre les menaces. Quels en-têtes de sécurité HTTP existent et comment ils fonctionnent en détail, Je ne vais pas vous expliquer ici-cela dépasserait clairement le cadre de ce post. 😉

Il existe de nombreux Plugins qui vous permettent D’intégrer cet en-tête HTTP Security dans WordPress
(par Exemple, En-têtes HTTP). Mais le plus simple est de le faire directement via le .fichier htaccess. Il suffit de coller le Code suivant et vous êtes du bon côté:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age = 31536000" env=HTTPS
Header set X-XSS-Protection "1; mode = block"
Header set X-Content-Type-Options nosniff
En-tête set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header set Strict-Transport-Security "max-age = 31536000; includeSubDomains; preload"
Header set Permissions-Policy "accelerometer=Origin(), autoplay=(), camera=(), gyroscope=(), magnétomètre=(), microphone=(), payment=(), publickey-credentials-get=(), usb=()"
< / ifModule>

Cela définit les en-têtes de sécurité HTTP les plus importants.

Sous https://securityheaders.com/ vous pouvez analyser votre site web et vérifier si L’en-tête HTTP Security est correctement implémenté.

Empêcher L’Injection SQL

Une Injection SQL est une Attaque sur Votre Base de données. Cela peut permettre aux pirates D’accéder aux données sensibles de vos utilisateurs ou de manipuler votre site web. En gros, une injection SQL fonctionne comme ceci: en théorie, chaque visiteur peut créer des entrées dans votre base de données, que ce soit via la fonction de commentaire ou via un formulaire de contact. Les données saisies sont transférées par WordPress directement dans les tables de base de données. Les hackers aiment utiliser cette fonctionnalité et tentent d’accéder à votre base de données en transmettant des Codes et des fonctions dans la base de données. Cela semble terriblement simple, n’est-ce pas?

Malheureusement, vous ne pouvez jamais contourner complètement une injection SQL, mais le Code suivant vous protège dans 99% des cas. L’étape suivante (protection 7G) permet d’éviter une telle injection SQL.

Utiliser la protection 7G

La protection dite 7G est puissante .protection htaccess qui vérifie en arrière-plan une série de commandes de serveur et analyse chaque requête HTTP vers votre site web. De nombreux hébergeurs fournissent déjà la couverture 7G par défaut et la plupart du temps elle est déjà dans le .Fichier htaccess intégré.

Quelques Avantages de 7G:

• Facile à mettre en œuvre (Plug & Play)
• L’Injection SQL est empêchée
• Aucune configuration requise
• Protection Par Pare-Feu Étendue
• La faible Quantité de données (environ 12KB)
• Réduit la Charge du serveur
• 100% compatible WordPress
• Totalement gratuit
• Logging intégré pour le montage ultérieur

Mais il y a aussi un inconvénient au pare-feu 7G: pour l’installer vous-même, vous devez savoir quel type de serveur est utilisé (apache ou Nginx), car il existe deux pare-feu différents pour chaque type de serveur. Pour apache Server, le Code est simple dans le .htaccess à déposer. Une seule version bêta est actuellement disponible pour les serveurs Nginx. Si vous avez un serveur Nginx, vous devez Instructions de Jeff Star suivre et aussi avoir d’excellentes compétences en programmation.

Si vous utilisez le Plugin WordPress « Jetpack », il y a un autre inconvénient du pare-feu 7G: en raison des nombreuses demandes de serveur de Jetpack sur votre site, les demandes seront bloquées après un certain temps et Jetpack vous avertira que votre site est hors ligne (bien que ce ne soit pas le cas, bien sûr).

Jeff Star est un développeur web américain spécialisé dans la sécurité Web et un pro absolu de WordPress. Il a développé le Code suivant et l’a libéré pour une utilisation gratuite sur les serveurs apache (vous trouverez tout le Code ici en téléchargement ou dans notre Exemple .fichier htaccess).

Verrouillez votre wp-config.php et xmlrpc.php

Les fichiers wp-config.php et xmlrpc.php représente un risque accru pour votre site WordPress. Puisque les pirates informatiques ont un accès direct à votre système WordPress avec ces fichiers, ils sont bien sûr une cible populaire. Il est préférable de stocker ces fichiers dans le .htaccess pour verrouiller l’accès externe:

<Fichiers wp-config.php>
order allow, deny
deny from all
< / Files> <Fichiers xmlrpc.php>
order allow, deny
deny from all
< / Files>

Conclusion

Un système WordPress sécurisé n’est absolument pas sorcier. Être prêt pour d’éventuelles attaques de hackers est aujourd’hui un must absolu. Voici à nouveau les points clés pour un système WordPress sécurisé:

• Sécurisé l’Accès à Votre Zone d’administration
• Créez régulièrement des sauvegardes pour pouvoir utiliser une ancienne Version en cas d’attaque
• Gardez votre système WordPress et toutes les extensions à jour
• Verrouiller certains fichiers contre les accès indésirables

Un point de plus pour conclure: le conseil si souvent entendu de déplacer le chemin de connexion / wp-admin, je pense personnellement que cela n’a pas beaucoup de sens. Pour les pirates, il est facile de trouver le nouveau chemin et d’attaquer votre site.

Télécharger .htaccess

Ici, nous avons pour vous un exemple.htaccess que vous pouvez télécharger et échanger sur votre serveur contre votre configuration par défaut. S’il vous plaît noter que les offres.fichier htaccess fonctionne uniquement sur les serveurs apache et nous ne pouvons pas garantir. Cependant, lors de nos Tests, ce fichier a bien fonctionné. Dans tous les cas, assurez-vous votre ancien avant de jouer .fichier htaccess. Si quelque chose ne fonctionne pas, vous pouvez revenir à votre ancienne configuration à tout moment.

» .télécharger le fichier htaccess maintenant

Crédits photo: photo de couverture: Chris Ryan / KOTO-Adobe Stock; Photo 1: graphique de Seokratie.at, image 2: capture D’écran seokratie.at, image 3: capture D’écran Brozzme DB Prefix & Tools Addons, image 4 & 5: wordpress.org, photo 6 & 7: capture D’écran WordPress Seokratie.at, figure 8: nordpass.com, image 9: screenshot Limit Login Attempts Reloaded, image 10: Screenshot users login Monitor, Image 11: Contact Form 7 Screenshot, image 12 & 13: Google reCaptcha, image 14: seokratie.at WordPress, image 15: SQL Injection by seokratie.at, créer des sauvegardes: leszekglasner-Adobe Stock