Les 11 meilleurs conseils de sécurité pour garder votre site WordPress en bonne santé

Comme on dit : "Mieux vaut prévenir que guérir".

Maintenir une solide hygiène de cybersécurité pour prévenir les piratages vous évite des coûts de remédiation onéreux, des données compromises et un système immunitaire WordPress affaibli. Saviez-vous que les sites ayant subi une brèche sont plus susceptibles d'être victimes d'autres attaques ?

Suivez ces 11 conseils de sécurité WordPress pour éviter que votre site ne tombe malade à cause des logiciels malveillants.

1 - Utilisez le MFA
Disposer d'une ou deux informations supplémentaires pour authentifier une identité ne prend qu'une minute supplémentaire à l'utilisateur et fait une énorme différence dans la prévention des piratages. Alex Weinert, directeur de la division Identity Security de Microsoft, affirme que ses recherches ont montré que l'authentification multifactorielle réduit de 99,9 % les risques de compromission d'un compte. L'authentification multifactorielle exigerait que les attaquants aient un accès physique à votre appareil mobile pour s'authentifier, ce qui en fait l'un des dispositifs de sécurité les plus robustes qui puissent être employés.

2 - Maintenez WordPress et ses composants à jour
Étant donné qu'environ 40 % des sites Web dans le monde fonctionnent avec WordPress, il est financièrement intéressant pour les pirates de le cibler. L'avantage d'avoir une communauté open source aussi importante est que les vulnérabilités ou les régressions identifiées dans WordPress Core et les plugins WordPress populaires sont rapidement repérées, mais cela ne profite qu'à ceux qui maintiennent leurs sites à jour ou ceux qui s'abonnent à une sorte de service qui les alerte de toute vulnérabilité ou les met à jour pour eux.

Consultez le journal des modifications pour savoir exactement ce qui est inclus dans chaque mise à jour, afin de ne pas passer à côté de correctifs de sécurité importants. Les pirates savent comment exploiter les vulnérabilités des thèmes et des plugins et s'introduire par le biais de ces composants obsolètes. En maintenant votre site à jour, vous restez plus longtemps hors du radar des pirates.

3 - Utilisez un plugin de sécurité WordPress
Même si votre site et ses plugins sont à jour, la sécurité de WordPress est réactive par nature. Il y a une fenêtre de temps critique entre le moment où une vulnérabilité est découverte et celui où la mise à jour est publiée, pendant laquelle votre site est en danger. Les plugins de sécurité sont souvent dotés de scanners, d'un contrôle de l'intégrité des fichiers côté serveur (SSS), d'une détection des intrusions et d'autres fonctions qui vous protègent à l'heure où vous êtes le plus vulnérable.

4 - Utilisez un pare-feu
Un pare-feu empêche le trafic malveillant d'accéder à votre site WordPress en surveillant le trafic entrant et en bloquant les menaces connues. Les pare-feu peuvent protéger de tout, d'une attaque par force brute à une attaque DDoS.

Le pare-feu agit essentiellement comme un "homme du milieu", empêchant toute requête malveillante d'atteindre le serveur d'origine.

5 - Installez une solution de sauvegarde
Quelque chose, à un moment ou à un autre, va se produire et lorsque cela se produira, vous serez à genoux pour remercier votre solution de sauvegarde. Vous pouvez faire un changement ou supprimer un morceau de code qui casse votre site et vous devez le restaurer à son état antérieur. Vous pouvez vous faire pirater et avoir besoin des fichiers originaux pour les comparer afin d'isoler les logiciels malveillants. Il existe de nombreuses situations dans lesquelles une solution de sauvegarde peut vous faire gagner ou perdre. Sauvez la journée et gardez toujours une copie de votre site à portée de main. WordPress propose de nombreuses solutions de sauvegarde gratuites et "freemium" de bonne réputation pour votre site. Jetez un œil à Website Backup de Sucuri, UpdraftPlus ou Duplicator ou faites vos propres recherches et voyez ce qui vous convient.

6 - Choisissez judicieusement votre hébergeur
Toutes les sociétés d'hébergement ne sont pas égales et un choix judicieux peut vous aider à sécuriser votre première ligne de défense contre les attaquants. Trouvez une société d'hébergement qui propose des serveurs dédiés ou des serveurs privés virtuels (VPS). Bien qu'un VPS soit toujours sur un serveur partagé, il utilise la virtualisation pour vous donner des ressources dédiées au sein de ce serveur partagé. Si elle est correctement entretenue, mise à jour et corrigée, cette configuration est plus sûre qu'un serveur partagé général où votre stabilité peut dépendre des choix et de l'activité des autres locataires.

Vérifiez si votre société d'hébergement propose le protocole SFTP (SSH File Transfer Protocol). Microsoft définit le SFTP comme "un protocole réseau qui permet l'accès aux fichiers, le transfert de fichiers et la gestion de fichiers sur tout flux de données fiable". Il s'agit d'une version infiniment plus sécurisée de la connexion FTP.

Il peut également être pratique de trouver une société d'hébergement web qui propose également des solutions d'hébergement géré. On parle d'hébergement géré lorsque le fournisseur de services d'hébergement configure, surveille et entretient le serveur pour le compte du client.

7 - Verrouillez tout
Limitez autant que possible les utilisateurs ADMIN et n'accordez aux utilisateurs que le nombre d'accès dont ils ont besoin pour faire leur travail. Cette recommandation est basée sur le principe du moindre privilège (PoLP). Assurez-vous que vos utilisateurs ne disposent pas de privilèges "Grant". Il s'agit de privilèges qui permettent à l'utilisateur d'accorder des accès et des privilèges à d'autres utilisateurs et d'ajouter de nouveaux utilisateurs dans le système. Conservez une feuille de calcul indiquant quand les autorisations sont demandées et pour combien de temps elles le sont. Si un développeur a besoin d'un accès ADMIN pendant une certaine période, notez-le afin que son niveau d'accès ne subsiste pas après la fin du projet.

8 - Fixez des limites aux tentatives de connexion
Sans limites de tentatives de connexion, les attaques par force brute sont faciles, et même avec l'implémentation du 2FA, les attaques par force brute sont toujours possibles si un courriel a été compromis et qu'il n'y a pas de limites de connexion. Vous pouvez définir la période pendant laquelle un utilisateur est verrouillé à partir du panneau d'administration de WordPress. Cela réduit les chances illimitées de saisir mot de passe après mot de passe et peut inciter les pirates à passer à leur prochain exploit. En outre, vous pouvez voir quelles sont les IP qui essaient à plusieurs reprises d'accéder à votre site et bannir les IP qui semblent suspectes.

9 - Déconnectez les utilisateurs inactifs
L'époque où les pirates s'approchaient de quelqu'un dans un cybercafé ou un hôtel pour chercher des pages laissées ouvertes est révolue. Cependant, il suffit d'une connexion internet non sécurisée (pensez au wifi public) et de pages laissées ouvertes sur lesquelles vous ne travaillez pas activement pour que les pirates profitent de la situation. Ils peuvent intercepter et détourner votre session à distance, ce qui leur donne les mêmes accès et capacités que vous, tant que vous êtes connecté. Même si vous vous déconnectez, le pirate peut échanger les sels dans le fichier wp-config.php afin de réinitialiser la session active. Le vol de cookies permet au pirate d'accéder au compte sans avoir besoin des informations de connexion tant que le cookie n'a pas expiré. La définition d'un paramètre pour la déconnexion des utilisateurs inactifs protège votre site de tout risque inutile.

10 - Purgez les composants inactifs
Bien qu'inactifs, les plugins sont toujours techniquement des fichiers exécutables. Cela signifie qu'ils peuvent être infectés et utilisés pour installer des logiciels malveillants sur l'ensemble de votre site WordPress. C'est une bonne précaution de sécurité que de supprimer les plugins inactifs que vous ne prévoyez pas d'utiliser. Ils ne font qu'accroître le nombre d'opportunités possibles pour les attaquants et augmenter la taille de la botte de foin au cas où quelque chose se produirait.

11 - Obtenez un certificat SSL
Bien qu'un certificat SSL n'offre à votre site Web aucune sécurité contre le piratage, il protège les données sensibles des clients en transit sur votre site. Ils sont souvent inclus sans frais supplémentaires dans les packs de sécurité ou par les fournisseurs d'hébergement. Ils sont également disponibles gratuitement en ligne par des sociétés telles que Let'sEncrypt, il n'y a donc aucune excuse pour ne pas en avoir un. Un certificat SSL fournit une connexion cryptée pour les informations sensibles du client, comme les transactions par carte de crédit, les informations médicales, les logins, les adresses, etc. Ce certificat authentifie la transaction sécurisée des données sur votre site, ajoute le s au https dans votre url, et aide les consommateurs à avoir confiance dans la transmission sécurisée de leurs informations.

Conclusion
Les infections que vous pouvez attraper à la suite d'un piratage ont des conséquences telles que des pertes financières, une atteinte à la réputation, des interruptions d'activité, des pertes de données et des poursuites judiciaires. Renforcez votre système immunitaire de sécurité WordPress grâce à ces 11 conseils.