Sécurité : Dix Bonnes pratiques pour WordPress 0

Article écrit et publié par : Éric St-Gelais

Sources : https://www.aurone.com,  https://sucuri.net/website-security/Reports,  Worpress .org WordPress.fr, Éric St-Gelais Web Design & Intégration Multimédia

Image à la Une : courtoisie de WordPress.org


1) Garder votre plateforme WordPress à jour

La sécurité sur WordPress : Un rapport de sécurité, publié par Sucuri, affirme que 50% des sites WordPress piratés n’avaient pas été mis à jour. WordPress permet régulièrement des mises à jour, plusieurs sont mineures, mais en grande partie elles sont  très importantes pour la sécurité du CMS. Bien qu’elles sont majeures, elles comportent des nouveaux aspects et/ou des nouvelles fonctionnalités, les mises à jour mineures visent aussi à

joomla-wordpress-drupal-prestashop-virtuemart-magento

corriger les problèmes et à gérer les failles de sécurité. Par conséquent, il est important d’appliquer ces mises à jour mineures à votre site web. Vous pouvez également activer les mises à jour automatiquement. La mise à jour de WordPress est la plus facile parmi toutes les plateformes CMS connus, il n’y a pas d’argument de ne pas l’appliquer  et les mettre en place régulièrement.


2)Trouvez des noms d’usager et des mots de passe élaborés

Dès l’installation de WordPress, votre compte administrateur est créé et configuré par défaut avec l’identifiant “Admin”. La plupart des utilisateurs de WordPress ne modifient pas cet identifiant ou le compte créé par défaut, ce qui rend votre site facilement accessible par les pirate. Afin de vous assurer que les hackers ne peuvent pas deviner votre identifiant, n’utilisez pas « Admin » ou tout autre  nom d’utilisateur simple. Créez-vous facilement un nouveau compte avec un nom d’utilisateur plus élaboré et même personnalisé et supprimez le compte créé par défaut. Cela rend non seulement votre nom d’usager complexe à pirater, mais aussi modifie celui créé  par défaut par WordPress.

Sécurité

Le mot de passe  aussi devrait également être amélioré  afin que les hackers ne puissent pas le deviner. La pires choses est d’utiliser des mots de passes faciles comme « 123456 » (oui oui plusieurs  l’utilisent encore fréquemment  !! ), « abcdef », « mot de passe » ou le mot de passe admin . Pour dire vrai, le nombre de personnes qui utilisent de tels mots de passe est terriblement surprenant. Afin de créer un mot de passe élaboré, mélangez les lettres majuscules et minuscules avec des chiffres ainsi que les caractères spéciaux qui ne sont pas souvent utilisés et difficile à trouver. Hé oui!  Plus le mot de passe contient des caractères, plus il est difficile de le deviner..


3) Vérifiez régulièrement les tentatives de connexion sur la plateforme

sécurité, piratage

Plusieurs hackers les CMS par la “brute force”, c’est-à-dire en essayant de se connecter avec le nom d’utilisateur et le mot de passe de l’admin à plusieurs reprises à la suite l’une de l’autre, et très facilement et souvent très rapidement, jusqu’à ce que la connexion  corresponde à l’utilisation du CMS. En premier lieu, vous pouvez sécuriser votre site Web en limitant les  tentatives de connexion à 2-3 et si une 4 ième tentative échoue, le système d’identification et de connexion est  finalement bloqué. Il existe plusieurs extensions (plugins) qui vous aident à le faire. Ces extensions (plugins) placent sur une sorte de liste noire les adresses IP tentant la connexion durant un lapse de temps (que vous pouvez toujours préciser) et vous pouvez recevoir aussi un courriel à  chaque fois que quelqu’un est banni ou tente avec échecs de se connecter.


4) Sélectionnez avec prudence vos extensions (plugins) et votre concepteur de thème (template).

Vous  vous devrez d’être plus prudent dès que vous activez des extensions (plugins) sur votre site car plus que la moitié des piratages WordPress sont dus à des failles de sécurité dans les extensions (plugins). Optez pour les extensions (plugins) qui font des mis à jour régulièrement et si vous avez installé une  extension (plugin) particulière que vous n’activez pas, supprimez-la, c’est un risque de moins. Aussi, n’oubliez pas qu’une  extension (plugin) mal codée peut rendre tout votre plateforme plus vulnérable aux hackers. Vos thèmes (templates) devraient également être  mis à jour et sélectionnés avec  grande prudence. Évitez d’utiliser des extensions (plugins) qui ne sont pas mis à jour dans l’année. Utilisez uniquement des extensions (plugins) que vous devez  avoir besoin et téléchargez les extensions (plugins) les plus populaires  auprès de la communauté afin de mieux répondre à un besoin particulier. Les extensions (plugins) populaires sont plus sécurisées car ils sont bien testées et mis à jour plus fréquemment.


5) Sélectionnez un bon hébergeur

Un certain nombre de piratages  sur WordPress sont également dû à des failles de sécurité liés a votre hébergeur qui ne suit peut-être pas les meilleures pratiques de sécurité pour ses serveurs. En choisissant votre hébergeur de sites Internet, assurez-vous qu’il ne néglige la sécurité. Parmi les autres services offerts par votre hébergeur, vous devez vous assurer qu’il prend les plus récentes versions de PHP et MySQL sur ses serveurs et qu’ils soient optimisés pour l’exécution des scripts WordPress. Votre hébergeur devrait aussi avoir une application Firewall et un système de détection d’intrusions de bas niveau sur ses plateformes.


6) Mise à jour antivirus pour votre ordinateur personnel ou portable

Mise à jour

Les failles de sécurité ne concernent pas seulement le système de gestion de votre plateforme WordPress et de l’hébergeur, l’équipement que vous-même utilisez pour y accéder devraient également être net et sans logiciels malveillants (malwares). Si votre poste de travail est infecté par des virus, votre nom d’utilisateur, votre mot de passe et des informations cruciales courent aussi un grand risque.
Il y a des virus qui exploitent les logiciels de connexion FTP installé sur votre ordinateur pour se connecter sur tous vos comptes FTP et y placer des fichiers malveillants… Assurez-vous que tous les équipements utilisés pour gérer votre site Internet disposent d’un Antivirus récent et mis à jour.


7) Utilisez l’authentification de connexion en 2 étapes

sécurité, piratage

Utiliser un processus d’authentification de connexion en 2 phases. Cela évite la probabilité que votre plateforme Internet soit piraté par des tentatives d’attaques de « brute force ». Cette façon de faire demande un code d’authentification à toutes les fois qu’il y a un tentative de connexion à votre site Web. Ce code  vous est envoyé sur votre téléphone autorisé ou vous pouvez définir ce code secret par défaut. Cette façon de faire peut vous paraître encombrante, mais elle protégera votre site Internet contre les attaques dangereuses.


8) Changez l’emplacement  URL de votre page de connexion

L’adresse URL de connexion par défaut de votre compte admin sur WordPress est : www.yourwebsite.com/wp-admin/  ou  www.yourwebsite.com/wp-login.php.

Lorsqu’un pirate connaît votre URL de connexion, il peut facilement tenter de déchiffrer votre mot de passe par une attaque de force brute. Afin de protéger votre page de connexion et toute la partie admin contre les hackers, vous pouvez  facilement modifier l’emplacement (URL) de ce répertoire en installant la bonne extention (plugin) ou en modifiant le code source si vous connaissez le codage PHP.


9)  Effectuez des sauvegardes de vos données régulièrement

Même si vous êtes très prudent, le risque zéro n’existe pas. En revanche, toutes les préventions que vous effectuez afin de sécuriser votre site Web, il est  cependant toujours possible d’être piraté. Ainsi, vous devez toujours être prêt pour le pire. Faite régulièrement des sauvegardes de votre base de données SQL, vos fichiers thème et vos fichiers multimédias. Vous pouvez utiliser des extensions (plugins) qui sauvegardent automatiquement votre base de données régulièrement.
Certains hébergeurs proposent souvent ce service en  vous assurant des sauvegardes automatiques pour quelques dollars de plus par mois.


10) Utilisez une bonne extension (plugin) de sécurité

Afin de mettre en œuvre certaines astuces mentionnées ci-haut,  et, si vous n’êtes pas un développeur, vous devrez utiliser une extension (plugin) de sécurité. Alors, au lieu d’ajouter différentes extensions (plugins) pour de multiples besoins de sécurité, vous devriez choisir une bonne extension (plugin) qui se chargera de la plupart des points mentionnés ci-haut et aussi des mesures de sécurité avancées, telle la personnalisation des préfixes de base de données et la modification .htaccess. Utilisez l’une des  extension (plugin) de sécurité WordPress populaires tels que Wordfence , iThemes ou Sucuri. L’utilisation de l’un de ces éléments garantira que toutes les préoccupations de sécurité sont prises en charge. Si vous êtes plus sérieux au sujet de la sécurité de votre site web, achetez les versions premium. Le fait de payer un peu d’argent vous garantit un site complètement sécurisé, sans soucis.

Avec la venue de l’Intelligence Artificielle(I.A.), il y a  maintenant des outils de protection intelligents disponibles qui sont proposés comme WR Protect et, qui proposent des solutions intéressante à peu de frais.


Enfin Bref

Le rapport de sécurité Sucuri a aussi affirmé que sur 11 000 sites Web hackés, 75% d’entre eux étaient sur WordPress. Mais cela ne signifie pas que selon les rumeurs des plus en vogue, ce CMS présente  certainement des lacunes en soi. Mais souvent cela est souvent dû aux mauvaises configurations, une mauvaise maintenance ou à l’utilisation d’extensions (plugins) vulnérables. Être vigilant et suivre les meilleures pratiques est tout ce que vous avez besoin pour garder votre site sécurisé.

Les astuces cités ci-haut sont de bonnes pratiques  simples à suivre, vous pouvez également me demander de l’aide pour sécuriser votre site.


Eric St-Gelais logo

Éric St-Gelais Web Design & Intégration Multimédia