WordPress: 10 bonnes pratiques en termes de sécurité pour les sites Web

Linux Post Install

Minutes 10

WordPress: 10 bonnes pratiques en matière de sécurité

WordPress: 10 bonnes pratiques en matière de sécurité

WordPress (WP) est connu sous le nom de CMS le plus populaire, entre autres, ayant été conçu en mettant l'accent sur l'accessibilité, la performance et la facilité d'utilisation, étant en développement continu (version actuelle 5.2), ont une énorme communauté d'utilisateurs dans de nombreuses langues et ont une énorme capacité de personnalisation grâce à l'utilisation de thèmes et d'add-ons propres ou tiers.

Aussi pour être très sûr, mais pour cela, comme dans toute application ou système, les bonnes pratiques doivent être suivies pour parvenir à une mise en œuvre sécurisée à long terme. Et dans cet article, nous voulons fournir quelques recommandations de base à cet égard.

Introduction

WP étant le CMS le plus populaire pour la création de sites Web, est également généralement une cible fréquente d'attaques informatiques, donc en dehors de sa mise à jour constante, nécessite des procédures d'entretien, de mise à jour et de sécurité fréquentes pour évitez ainsi les faiblesses dues aux vulnérabilités dans les modules complémentaires, les mots de passe faibles, les logiciels obsolètes, entre autres raisons, c'est-à-dire atteindre réduisez considérablement votre vulnérabilité à toute attaque intentionnelle ou imprévue.

De plus, WP comme tout autre système de gestion de contenu (CMS) vous permet de créer rapidement et efficacement un site Web, puis de le mettre en ligne. Sa grande capacité de travail et d'évolution, via des modules, des thèmes complémentaires, rend plus facile que jamais la réalisation de cette tâche mais sans avoir besoin des longues années d'apprentissage qui sont habituellement nécessaires pour cela.

Toutefois, un effet secondaire rien d'agréable qui puisse en découler, il se peut que certains gestionnaires dudit outil, généralement contournement, les mesures nécessaires pour garantir la sécurité du site Web créé ou maintenu. Pour cette raison, il est important de garder à l'esprit certaines mesures générales et spécifiques (bonnes pratiques), concernant WP ou tout autre CMS et site Web pour assurer sa sécurité.

Les bonnes pratiques

1.- Renforcez votre sécurité en général

WP dépasse sûrement facilement 30% de la base de sites Web actifs sur Internet aujourd'hui, ce qui en fait une cible préférée des envahisseurs et / ou des attaquants (hackers / crackers) avec de bonnes ou de mauvaises intentions. Par conséquent, une vulnérabilité connue et déjà exploitée avec succès sur un site similaire avec WP sera tentée sur d'autres sites similaires avec WP.

WordPress: 1ère bonne pratique

Donc, si vous gérez et / ou utilisez un ou plusieurs sites Web avec WP, assurez-vous d'être plus prudent, approfondi et conscient de leur sécurité en ligne. Gardez à l'esprit que la plupart des violations de sécurité analysées et signalées sur les sites Web avec WP n'avaient que peu ou rien à voir avec le cœur de l'application elle-même, mais beaucoup à voir avec tout ce qui concernait sa mise en œuvre, sa configuration et sa maintenance générale, effectuée de manière incorrecte par les développeurs ou les administrateurs. »

WordPress: 2e bonne pratique

2.- Connaissez vos vulnérabilités

WordPress a environ 4.000 vulnérabilités de sécurité connues, réparties comme suit: WP Core (37%), Plugins (52%) et Thèmes (11%), selon un rapport récent du site Web WPScans, qui s'appelle désormais WPSec (depuis le 01-05-2019). Examinez les vulnérabilités de sécurité de votre site Web et trouvez une solution pour résoudre ces problèmes. Évitez d'exécuter des versions non sécurisées de WP Core, ou de ses plugins et thèmes.

Concentrez-vous sur les sujets de sécurité suivants sur votre WP ou votre site Web, c'est-à-dire sur Les différents types de Attaques de:

  • Force brute: Renforcer la sécurité sur votre page de connexion.
  • Inclusion de fichier: Renforcer la sécurité de votre fichier de configuration wp-config.php.
  • Injection SQL: Renforcer la sécurité de votre base de données MySQL associée à WP.
  • Scripts intersites: Renforcer la sécurité des plugins WP utilisés.
  • Infection par logiciel malveillant: Renforcer la sécurité générale de votre site Web pour empêcher tout accès non autorisé, l'insertion de logiciels malveillants et la collecte ultérieure de données confidentielles par ces codes malveillants. Les malwares ou attaques les plus fréquents sont généralement du type: Backdoor, SEO Spam, HackTool, Mailer, Defacement et Phishing. Cherchez à protéger votre site contre chacun de ces types de logiciels malveillants ou d'attaques.

N'oubliez pas qu'une fois qu'un site Web est compromis, son classement SEO peut en souffrir. Parce que les moteurs de recherche ont tendance à enregistrer rapidement les sites Web compromis, de sorte que les navigateurs donnent aux visiteurs des signes d'avertissement ou bloquent complètement la possibilité de naviguer sur ces sites.

WordPress: 3e bonne pratique

3.- Connaître l'infrastructure de votre hébergeur

Si votre site Web utilise un hébergement externe, c'est-à-dire loué en dehors de votre infrastructure, ne lésinez pas sur les coûts pour garantir la qualité du service de votre hébergeur. Surtout s'il héberge son site dans le cadre du schéma «mutualisé».

Car Un `` hébergement partagé '' de mauvaise qualité peut rendre votre site plus vulnérable lorsqu'un de plusieurs sites Web stockés sur le même serveur est compromis. Autrement dit, si un site Web est piraté sur un serveur avec "hébergement partagé", les attaquants peuvent également accéder à d'autres sites Web et à leurs données.

WordPress: 4e bonne pratique

4.- Connaître le espécifications techniques web de votre hébergeur

Lorsqu'il s'agit d'évaluer un fournisseur d'hébergement, son infrastructure n'est pas tout. Les spécifications techniques Web utilisées par votre fournisseur d'hébergement pour obtenir une meilleure sécurité des sites Web hébergés sont également importantes. Assurez-vous qu'il respecte les consignes de sécurité recommandées suivantes pour l'hébergement de votre site Web:

  • Installation facile des certificats SSL
  • Gestion active des versions logicielles du serveur Web.
  • Protection pare-feu
  • Registre des accès au site Web
  • Audits de sécurité de routine
  • Détection d'activités malveillantes
  • Prise en charge de SFTP (pas seulement FTP), TLS 1.2 et 1.3, et pour PHP 5.6, au minimum, bien que la version 7.0 et suivantes soit recommandée.

Tout cela est nécessaire, au minimum, pour augmenter la sécurité de votre site Web avec ou sans WP en tant que CMS utilisé.

WordPress - Thèmes et plugins: plugins

5.- Méfiez-vous des thèmes et compléments utilisés

Les plugins et les thèmes installés importent beaucoup au niveau de la sécurité. Essayez de n'utiliser que des thèmes et plugins officiels WP ou Community certifiés, des référentiels commerciaux bien connus ou directement de développeurs réputés. Étant donné que beaucoup d'entre eux (non certifiés) peuvent contenir du code malveillant.

Peu importe à quel point vous protégez votre site Web de WP si vous installez le logiciel malveillant. Faites vos recherches avant de télécharger et d'installer des thèmes et des plugins, ou leur site Web de développeur ou de promoteur, et faites vos réservations avec les gratuits ou à prix réduit.

WordPress: 5e bonne pratique

6.- Essayez de mettre à jour votre CMS fréquemment

Les mises à jour de votre plate-forme Web sont très importantes pour votre sécurité. Soit WP votre CMS ou non, les versions obsolètes de votre Core, Thème ou plugins peuvent vous conduire à héberger des vulnérabilités connues sur votre site Web. Dans le cas de WP, qui est open source, il existe une équipe spécifiquement dédiée à ce problème au sein du Core de l'application.

Chaque vulnérabilité de sécurité découverte dans WP est corrigée et éliminée immédiatement afin de résoudre chaque nouveau problème de sécurité découvert dans WP. À cause de cette mise à jour WP et tous ses thèmes et plugins vers la dernière version est un élément essentiel d'une stratégie de sécurité réussie.

WordPress: 6e bonne pratique

7.- J'ai trouvé un mot de passe approprié

La qualité ou la force de nos mots de passe sur les sites Web est très importante. La connexion à nos sites Web est une cible privilégiée pour exploiter les vulnérabilités, car elle offre l'accès le plus simple à la page d'administration de votre site Web.

Les attaques par force brute sont la méthode la plus courante pour exploiter votre connexion, découvrir les combinaisons de nom d'utilisateur et de mot de passe pour accéder au site Web. Dans le cas spécifique de WP, cela ne limite pas par défaut le nombre de tentatives de connexion infructueuses que quelqu'un peut faire, par conséquent, le plus recommandé est l'utilisation d'un mot de passe complexe pour la connexion de votre administrateur WP.

Lors du choix d'un mot de passe, tenez compte de ces 3 exigences fondamentales basées sur le format CLU (Complexe, Long, Unique):

  • COMPLEXE: Les mots de passe doivent être aussi aléatoires que possible et moins liés à l'administrateur Web ou au site Web.
  • LONG: Les mots de passe doivent comporter 12 caractères ou plus. Et renforcé avec des restrictions ou des limitations sur le nombre de tentatives de connexion infructueuses.
  • SEULEMENT: Ne réutilisez pas les mots de passe. Chaque mot de passe doit être unique dans le temps. Cette règle simple limite considérablement l'impact de tout mot de passe compromis.

recommandation: Utilisez un gestionnaire de mots de passe comme «LastPass» (en ligne) et «KeePass 2» (hors ligne) pour générer et stocker tous vos mots de passe dans un format crypté.

WordPress: 7e bonne pratique

8.- Préparez toujours votre plan anti-catastrophe

Si vous utilisez WP, rappelez-vous qu'il ne dispose pas d'un système de sauvegarde intégré. Incluez-en un en priorité, de sorte que vous ayez toujours une sauvegarde à jour de votre site Web. Les sauvegardes sont essentielles et une stratégie de sécurité générale à mettre en œuvre.

N'oubliez pas que vous ne devez pas seulement sauvegarder vos sites Web et bases de données utilisésmais tout les paramètres de tout le serveur grâce à des tâches automatisées avec des scripts ou des systèmes d'images clonées, pour faciliter les restaurations et réinstallations nécessaires dans les plus brefs délais.

WordPress: 8e bonne pratique

9.- Augmentez votre sécurité en utilisant 2FA

Renforcez votre connexion d'administrateur WP ou votre site Web à l'aide du mécanisme d'authentification à deux facteurs (2FA), qui est l'un des meilleurs moyens de sécuriser votre site Web aujourd'hui. L'authentification à deux facteurs ajoute une couche supplémentaire de protection à la connexion de votre site Web, en exigeant que l'utilisation de votre mot de passe nécessite un code temporel supplémentaire d'un autre appareil, tel que votre smartphone, pour vous connecter avec succès. .

Dans le cas de WP qui n'offre pas cette fonctionnalité par défaut incorporer le même en utilisant un plugincomme iThemes Security pour ajouter le même.

WordPress: 9e bonne pratique

10.- Utilisez tous les accessoires de sécurité nécessaires

La plupart des CMS comme WP utilisent des plugins pour augmenter leur potentiel de sécurité. Dans le cas spécifique de WP, l'utilisation du plugin de sécurité nommé iThemes Security est recommandée. pour ajouter encore plus de protection à votre site Web. Ce plugin bloque WP, corrige les trous connus, arrête les attaques automatisées et renforce les informations d'identification des utilisateurs.

Il a une version gratuite (iThemes Security) et une version payante (iThemes Security Pro) qui fournit évidemment plus de fonctionnalités de sécurité telles que 2FA, des analyses programmées de logiciels malveillants, l'enregistrement des utilisateurs, entre autres.

Conclusion

Que ce soit via WP ou un autre CMS, vous pouvez éviter la plupart des problèmes de sécurité de votre site Web simplement en suivant ces meilleures ou bonnes pratiques de sécurité. Votre site Web mérite et doit avoir mis en place les mesures de sécurité nécessaires pour garantir ou minimiser son inviolabilité en ces temps si troublés par l'activité des pirates et des crackers.

Enfin et en complément, nous vous recommandons de lire cet autre article sur notre blog sur le sujet pour renforcer la sécurité de votre site internet, appelé: Autorisations Linux pour les administrateurs système et les développeurs.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.