Comment sécuriser un site ? Guide de sécurité du site Web
· Время на чтение: 24мин · par · Publié · Mis à jourSécurité du site Web ou comment protéger un site Web? Certains piratages se produisent pour des raisons complètement ridicules : mises à jour intempestives, mots de passe faibles, etc. Dans ce guide essentiel de la sécurité des sites Web, je vais vous montrer comment sécuriser un site Web :
- Même si… vous êtes nouveau dans le domaine de la sécurité des sites Web et que vous ne comprenez pas très bien ce que cela signifie ;
- Même si… vous avez déjà essayé de sécuriser votre site sans succès ;
- Même si… vous êtes débordé par le travail principal et ne savez pas par où commencer ;
- Même si... vous pensez : "Je ne suis pas à la hauteur des hackers - alors pourquoi essayer de faire quoi que ce soit ?"
Mais plus important encore, je vais parler de la façon dont nous commençons à penser à la sécurité de nos sites Web en premier lieu. De cette façon, vous disposez de tous les outils dont vous avez besoin pour prendre les bonnes décisions (de sécurité) pour votre site. Il y aura autant d'informations que possible, versez-vous une tasse de thé ou de café et préparez-vous.
Le contenu de l'article :
- Qu'est-ce que la sécurité du site ?
- Pourquoi la sécurité du site Web est-elle importante ?
- Comment protéger votre site des pirates ? (Étapes efficaces)
- Bonnes pratiques de sécurité du site Web
- Que devez-vous éviter lorsque vous protégez votre site Web ?
- Que faire si votre site est piraté ?
- Tout en un WP Security & Firewall - Sécurité du site WordPress
- Production
Qu'est-ce que la sécurité du site ?
Bien que ce soit formidable que vous preniez certaines mesures pour protéger votre site Web. Vous devez comprendre que la sécurité du site est un processus continu qui nécessite une attention périodique de votre part. Les pirates sont des gens créatifs, les menaces évoluent donc constamment.
La sécurité du site est le plan pour protéger votre site Web et les utilisateurs contre les pirates et leurs logiciels malveillants. Cela inclut la compréhension des composants de votre site Web, de leur interaction et des vulnérabilités dont ils disposent.
Une fois cette base en place, vous devez formuler un plan de sécurité complet pour vous protéger contre les vulnérabilités. Cela comprend une série d'étapes de configuration, la mise en œuvre de stratégies et la mise à jour des informations sur les menaces.
La clé pour sécuriser un site Web est de comprendre que ce n'est pas une chose ponctuelle. La sécurité évolue parce que les menaces évoluent.
Vous verrez dans l'article ci-dessous qu'un bon plugin de sécurité fera le gros du travail en termes de logiciels malveillants, mais être prudent et vigilant est ce qui maintient un site Web sécurisé en premier lieu.
Pourquoi la sécurité du site Web est-elle importante ?
WordPress est utilisé par des millions de personnes, il est donc probablement sûr, n'est-ce pas ? Oui et non.
— Oui, car les fichiers principaux de WordPress sont protégés, et même si une vulnérabilité est découverte, elle est corrigée très rapidement.
- Non, car votre site n'est pas seulement le cœur de WordPress. Il s'agit d'une combinaison de plugins et de thèmes qui contribuent à rendre votre site plus fonctionnel, interactif et attrayant. Ces plugins et thèmes améliorent les fonctionnalités de WordPress, mais augmentent également le potentiel de vulnérabilités. Les bons développeurs de plugins corrigeront rapidement les vulnérabilités. Mais le danger à cet égard est beaucoup plus élevé.
Comment protéger votre site des pirates ? Des mesures d'action
Pour avoir un plan efficace de protection de votre site Web, la première étape consiste à comprendre comment les sites Web sont piratés. Selon l'étude suivante, les sites Web sont principalement piratés de trois manières :
- 90+% - Vulnérabilité dans un plugin ou un thème WordPress.
- 5+% - Nom d'utilisateur et/ou mot de passe compromis.
- <1% - Services d'hébergement Web médiocres.
Cette allocation doit constituer la base de la manière dont vous envisagez de sécuriser votre site et où vous devez allouer plus de temps et de ressources.
1. Protégez votre site des vulnérabilités
Les pirates sont constamment à la recherche de sites Web vulnérables. Peu importe si le site est grand ou petit. Ils ont de nombreux avantages à pirater presque tous les sites Web. D'après notre expérience, plus de 90% de toutes les violations sont dues à des pirates qui découvrent et exploitent une vulnérabilité.
Examinons de plus près ce que sont les vulnérabilités. Ceci est très important à comprendre afin que vous puissiez consciemment façonner votre stratégie de sécurité de site Web à l'avenir.
Qu'est-ce qu'une vulnérabilité ?
Votre site web est composé de 3 composants principaux : WordPress, des plugins et des thèmes. Il s'agit essentiellement de logiciels et, comme tout logiciel, il contient des bogues qui le font parfois planter.
Les erreurs peuvent avoir diverses conséquences : certaines d'entre elles ralentissent votre site Web ou provoquent une erreur lorsque quelqu'un le visite. C'est ennuyeux et problématique, mais les plus graves permettent à des utilisateurs non autorisés (tels que des pirates) d'accéder à votre site Web. Un tel bogue est connu sous le nom de vulnérabilité.
Types de vulnérabilités
Les vulnérabilités peuvent être caractérisées, comme nous l'avons fait dans le paragraphe précédent, comme des bogues dans le code. Cependant, il existe quelques types spécifiques qui se produisent plus fréquemment que d'autres :
- Logiciels obsolètes : il est important de maintenir à jour le noyau, les plugins et les thèmes ;
- Mauvaise gestion des rôles d'utilisateur : ne donnez pas à chaque utilisateur un accès administrateur complet ;
- Entrées non nettoyées : les champs d'entrée doivent valider l'entrée avant d'enregistrer et/ou d'exécuter.
Piratage possible sur un site Web non sécurisé
Les vulnérabilités sont étroitement liées aux types d'attaques qu'elles permettent et sont souvent désignées de manière interchangeable. Les attaques les plus courantes auxquelles WordPress est confronté sont :
- Injection de code: lorsqu'un code malveillant est inséré via des champs de saisie et exécuté par le code du site Web ou la base de données. Une variante d'injection SQL courante de l'injection de code qui est particulièrement flagrante pour les applications basées sur des bases de données comme WordPress.
- Attaques de script intersite: Ce type de vulnérabilité vole les cookies des utilisateurs pour se faire passer pour eux, voire détourner la session. L'accès de l'utilisateur cible est ensuite utilisé pour attaquer votre site.
- Attaques par force brute: Comme son nom l'indique, il n'y a pas d'astuce pour ce type d'attaque. Le pirate bombarde votre page de connexion avec des combinaisons nom d'utilisateur/mot de passe pour tenter de trouver la bonne.
- Spam de référencementR : Tout spam est sérieux, mais cette attaque touche ce qui nuit le plus à un site Web : le référencement. Les propriétaires de sites Web gaspillent des ressources en travaillant sur leur référencement, seulement pour qu'un pirate informatique en profite indûment en insérant des pop-ups et des liens vers des produits illégaux ou gris. Les attaques de spam SEO sont également difficiles à détecter, et souvent les sites Web subissent les effets néfastes du spam avant de se rendre compte qu'ils sont infectés.
- Attaques de phishing: Dans ces attaques, un pirate tente de se faire passer pour une personne légitime afin d'inciter l'utilisateur à transmettre volontairement ses informations. Le phishing fonctionne en tandem avec le courrier électronique et un site Web piraté pour obtenir ces informations d'identification.
Quel est l'effet de la vulnérabilité ?
Des plugins et des thèmes sont installés sur plusieurs milliers de sites, de sorte que l'effet de ce seul défaut est multiplié plusieurs fois. Les développeurs responsables de plugins et de thèmes s'efforcent de combler les failles de sécurité dans leurs produits en publiant des mises à jour.
En fait, c'est la principale raison pour laquelle il est recommandé de choisir des plugins premium dans la mesure du possible. La maintenance régulière des logiciels doit faire l'objet d'une attention maximale dans une stratégie de sécurité de site Web. Super, cela signifie que le bug a été corrigé. Nous sommes en sécurité maintenant, n'est-ce pas ? Eh bien, pas tout à fait. La découverte de vulnérabilités est une période dangereuse pour les propriétaires de sites.
Que se passe-t-il lorsqu'une vulnérabilité est découverte ?
Les vulnérabilités sont souvent découvertes par des chercheurs en sécurité de sites Web. Ils rapportent leurs découvertes au développeur du plugin ou du thème. Comme nous l'avons dit dans la section précédente, les développeurs responsables chercheront à résoudre le problème et à publier une mise à jour.
Une fois la vulnérabilité corrigée, le chercheur en sécurité du site publiera ses conclusions. Le développeur a publié un correctif pour assurer la sécurité des sites Web, n'est-ce pas ? Pas vraiment.
Les pirates lisent également la vulnérabilité et recherchent des sites Web qui n'ont pas mis à jour leurs versions. Les vulnérabilités publiques ont tendance à attirer les hackers en herbe (également connus sous le nom de script kids) car ils peuvent désormais utiliser les sites Web sans effort. Ils savent exactement où se trouve leur cible.
Que faut-il faire pour protéger le site des vulnérabilités ?
Je vais maintenant parler des mesures spécifiques que vous pouvez prendre pour garder votre site Web sécurisé et à l'abri des pirates. Ces étapes peuvent sembler simples, mais ce sont des moyens efficaces de sécuriser votre site.
1. Faites des sauvegardes
Les sauvegardes sont la partie la plus sous-estimée de la stratégie de sécurité d'un site. Je ne saurais trop insister sur l'importance des sauvegardes régulières. Ils sont votre filet de sécurité, la seule chose sur laquelle vous pouvez compter lorsque les choses tournent mal. Les sauvegardes vous aideront à restaurer rapidement le site dans un état sain.
2. Mettre à jour les plugins et les thèmes
Cela peut sembler très évident, surtout si vous avez lu la section précédente sur l'importance des mises à jour. Cependant, il est très facile d'ignorer la notification rouge sur le tableau de bord et de passer à quelque chose de plus urgent.
Par conséquent, je vais répéter. Les développeurs de plugins publient des mises à jour avec des correctifs de sécurité pour cela. Même si vous décidez de retarder l'installation des mises à jour, mettez à jour le plugin à une date ultérieure, au moins après avoir lu les notes de version.
3. Choisissez des plugins et des thèmes de bonne qualité
Il est peu probable qu'il y ait jamais un logiciel complètement fiable, il y a des facteurs clés à prendre en compte lors du choix des bons plugins et thèmes pour votre site Web :
- Le plugin est régulièrement mis à jourR : Un plugin ou un thème qui est constamment maintenu par son développeur est plus susceptible de recevoir un correctif de sécurité si une vulnérabilité est découverte.
- Le plugin est-il populaire ?? C'est une épée à double tranchant. Un plugin populaire avec des millions d'installations sera ciblé par les pirates. Mais les plugins comme celui-ci ont également tendance à être plus sécurisés car ils sont contrôlés par de nombreux autres développeurs.
- Est-ce un plugin premiumR : Les plugins payants soutiennent le travail des développeurs et sont donc beaucoup moins susceptibles d'être abandonnés que les plugins gratuits. Cela ne signifie pas que les logiciels open source ne sont jamais sûrs, cependant, avec un produit haut de gamme, vous payez pour le support client et la qualité du produit.
- N'installez jamais de plugins et de thèmes annulésR : Le logiciel gratuit premium disponible est problématique à plusieurs niveaux. Les logiciels mis à zéro contiennent souvent des logiciels malveillants ou des portes dérobées qui, une fois installés, permettent aux pirates d'accéder à votre site Web.
4. Utilisez un pare-feu
Il n'existe aucun moyen fiable d'empêcher les pirates ou leurs robots d'attaquer des sites Web comme le vôtre. Cependant, vous pouvez réduire considérablement le risque en installant un pare-feu.
2. Protégez votre nom d'utilisateur et votre mot de passe
Environ 6% des sites Web piratés étaient vulnérables aux attaques en raison de mots de passe faibles. Cela peut sembler un petit nombre par rapport à une activité malveillante directe, mais c'est quand même assez important pour attirer votre attention.
Perdre votre mot de passe d'administrateur de site, c'est comme perdre les clés de votre appartement ou de votre voiture. Avec la clé, le voleur a un contrôle total sur vos biens de valeur. De même, avec un mot de passe, les pirates ont un accès complet à votre site et à ses informations. Pour le moment, même un pare-feu ou un plug-in de sécurité ne peut empêcher les pirates d'endommager votre site.
Le besoin de mots de passe forts est toujours activement promu, mais en raison des difficultés rencontrées, les utilisateurs de sites Web l'ignorent souvent. Avant d'aborder les mécanismes d'obtention d'une bonne réputation, répondons à quelques questions courantes que les gens se posent à leur sujet.
Comment un mot de passe peut-il être volé ?
La réponse peut surprendre : le pirate essaie de deviner le mot de passe. J'entends par là qu'ils essaient manuellement différents mots de passe, mais c'est à cela que servent les bots. Ceci est également connu sous le nom d'attaque par force brute ou, si le bot devine les mots, une attaque par dictionnaire.
Ces attaques fonctionnent très bien pour plusieurs raisons.:
- Mots de passe faciles à deviner: mots courants, mots courts, le mot "mot de passe" lui-même dans diverses combinaisons.
- Données des hacks précédents: Il y a une raison pour laquelle les gens recommandent d'utiliser différents mots de passe pour différents services et sites.
Comment se protéger du vol de mot de passe
1. Utilisez un mot de passe fort - Les mots de passe forts utilisent une combinaison aléatoire de lettres, de chiffres et de symboles car ils sont difficiles à déchiffrer. Cela peut prendre des années aux robots pirates pour trouver le bon mot de passe. Vous pouvez essayer de créer vous-même un mot de passe fort ou utiliser un générateur de mot de passe.
2. Limitez le nombre de tentatives de connexion - Un bon moyen d'empêcher une attaque par force brute est de bloquer les intrus après plusieurs tentatives de connexion infructueuses. Il s'agit d'un mécanisme efficace, car ce type d'attaque consiste en des robots pirates essayant à plusieurs reprises différents mots de passe.
3. Implémenter l'authentification à deux facteurs - Certains services utilisent une authentification à deux facteurs lors du processus de connexion, ce qui signifie essentiellement que vous devez disposer de deux jetons (idéalement) distincts pour accéder à votre compte. Il s'agit le plus souvent d'une combinaison de mots de passe et d'un jeton d'expiration, tel qu'un code PIN ou QR, envoyé à votre adresse e-mail ou à votre appareil.
4. Implémentez la protection CAPTCHA - Les CAPTCHA ne peuvent être résolus que par des humains. Ils sont conçus pour empêcher les robots pirates d'accéder à un compte. Vous pouvez l'utiliser pour sécuriser votre site.
5. Utilisez un pare-feu - Certains pare-feu de sécurité de sites Web surveillent également les adresses IP malveillantes à l'échelle mondiale. Le pare-feu apprend sur tous les sites avec le plugin installé. Il bloque ensuite automatiquement les mauvaises adresses IP avant qu'elles n'essaient de déchiffrer votre mot de passe. Ceci, combiné à la possibilité de restreindre les connexions, peut protéger votre site contre les pirates essayant de s'introduire dans la zone d'administration de votre site.
3. Choisissez un bon hébergeur
Il y a une tendance à blâmer l'hébergeur pour tout ce qui ne va pas avec un site Web. Alors que les hébergeurs sont généralement responsables de nombreux aspects d'un site Web, ils sont rarement fautifs lorsqu'un site Web est piraté. En fait, c'est généralement le contraire qui est vrai : les hébergeurs améliorent la sécurité des sites Web.
Bien sûr, certains hébergeurs Web jouent un rôle dans la compromission des sites Web hébergés sur leur serveur. Cela se produit rarement, mais lorsque cela se produit, il s'agit d'un incident majeur qui met en danger des milliers de sites Web.
4. Installez un certificat SSL
Secure Sockets Layer, mieux connu sous le nom de SSL, est un protocole de sécurité qui crypte toutes les connexions à un site Web. Une fois installé, il apparaît sous la forme d'un cadenas au début de l'URL de votre site.
Les avantages de l'utilisation d'un certificat SSL sont les suivants:
- Toutes les données transmises vers et depuis votre site Web sont cryptées.
- C'est un signe de confiance dans votre site. En fait, la plupart des navigateurs marqueront les sites non SSL comme "non sécurisés" dans la barre d'adresse.
- Google aime les sites Web avec un certificat SSL et les récompense même avec des classements plus élevés.
Bonnes pratiques de sécurité du site Web
Comme je l'ai dit au début, la sécurité des sites Web est une pratique continue. Dans cette section, je vais énumérer les techniques qu'il est utile d'intégrer à votre stratégie globale de sécurité de site Web. Une fois que vous avez pris l'habitude de le faire, le petit investissement de votre temps et de vos efforts sera rentable plusieurs fois avec un site Web sécurisé.
1. Changez souvent votre mot de passe — Je comprends que la définition de mots de passe difficiles à deviner est délicate, d'autant plus qu'ils sont souvent synonymes de mots de passe difficiles à mémoriser. On peut aussi imaginer l'angoisse causée par le fait d'être invité à changer régulièrement notre excellent mot de passe.
La raison en est que les mots de passe sont le maillon le plus faible de la sécurité, surtout si vous utilisez les mêmes mots de passe pour plusieurs comptes. Même si un site est piraté, vous pouvez supposer en toute sécurité que tous vos comptes sont potentiellement compromis. Régulier peut aussi signifier différentes choses pour différentes personnes. Certaines institutions financières, telles que les banques, exigent que les mots de passe soient changés tous les 90 jours.
2. Vérifier les utilisateurs du site Web, suivre les nouveaux utilisateurs administrateurs — les pirates quittent souvent les utilisateurs administrateurs afin qu'ils puissent retrouver l'accès au site. Par conséquent, la vérification régulière des utilisateurs administrateurs peut augmenter la sécurité d'un site Web.
Deuxièmement, les co-auteurs du site peuvent changer. Si un utilisateur n'a plus besoin d'y accéder, il est préférable de supprimer son accès au site. La raison est double :
- vous ne souhaitez pas que l'utilisateur apporte des modifications à votre site ;
- leurs comptes inactifs peuvent être compromis par des pirates.
Au fil du temps, à mesure que nous construisons notre site avec de nouveaux contenus et designs, nous continuons à ajouter de nouveaux utilisateurs à notre site. Vous devriez vérifier ces utilisateurs périodiquement. Vous pouvez suivre les règles de sécurité vous-même, mais un autre utilisateur compromis affectera votre site. Lorsque vous ajoutez des utilisateurs, dans la mesure du possible, donnez-leur uniquement les niveaux d'accès requis. Par exemple, si quelqu'un ne fait que rédiger des articles, ne lui donnez pas les droits d'administrateur.
3. Configurer un journal d'activité sur votre site Les pirates n'utilisent pas les principales API WordPress pour modifier le site Web, de sorte que bon nombre des modifications qu'ils apportent ne seront pas reflétées dans le journal d'activité. Cependant, ils peuvent laisser des traces, comme la création de comptes d'administrateur pour eux-mêmes pour accéder au site. Ces activités inattendues peuvent aider à détecter une violation. Inversement, si des modifications sont apportées par un collaborateur, les journaux d'activité peuvent aider à éviter une panique inutile lorsque vous voyez des modifications apportées à votre site.
4. Bloquer PHP dans votre dossier Téléchargements - Toute une classe de vulnérabilités (pour être précis, l'exécution de code à distance) permet aux pirates de télécharger des fichiers PHP malveillants dans le dossier Uploads. Le pirate peut alors l'utiliser pour exécuter n'importe quel code sur votre site. En d'autres termes, ils ont un contrôle total sur votre site.
L'attaque peut être efficacement atténuée si vous bloquez l'exécution des fichiers PHP dans le dossier Uploads. Ne vous inquiétez pas. Le blocage des fichiers PHP dans le dossier Téléchargements est sûr car ils ne devraient pas s'y trouver du tout. Le dossier Uploads est l'endroit où vous stockez vos fichiers multimédias, pas les scripts.
Que devez-vous éviter lorsque vous protégez votre site Web ?
Une recherche rapide sur Google vous donnera de nombreux conseils et stratégies pour sécuriser votre site. Plusieurs plugins de sécurité fourniront également plusieurs options pour protéger votre site contre les pirates de mot de passe. Protéger votre site Web est quelque chose que vous devriez faire, mais il y a certaines choses que vous devriez éviter.
Les raisons varient pour chacun des points que j'aborde ci-dessous, mais à la base, vos mesures doivent fournir des avantages de sécurité mesurables, en particulier si vous demandez à vos utilisateurs de surmonter des barrières de sécurité supplémentaires. Par exemple, si vous utilisez à la fois le captcha et l'authentification à deux facteurs, l'accès à votre site devient difficile, avec peu d'avantages supplémentaires.
Vous pouvez obtenir un sentiment de sécurité supplémentaire en appliquant toutes les options disponibles, mais en termes d'analyse coûts-avantages, elles ne coupent pas la ligne.
1. Masquer la page de connexion wp - Vous verrez cela dans de nombreux forums : remplacez la page wp-login par la propre URL de votre site. La logique est que si les pirates ne trouvent pas la page de connexion, ils ne peuvent pas utiliser d'attaques par force brute pour accéder à votre site. Cela a plusieurs inconvénients :
- WordPress vous permet également de vous connecter en utilisant XML-RPC.
- Cela rendra votre site difficile à utiliser. Si vous oubliez l'URL spéciale que vous avez créée pour vous-même à la place de wp-login, la récupération peut être difficile.
- Si vous utilisez l'URL générique ou l'URL par défaut fournie avec le plug-in de sécurité, il est toujours facile pour les pirates de deviner ce qui va complètement à l'encontre de votre objectif.
- Le masquage de cette page nécessite l'application de paramètres complexes à votre site, ce qui peut avoir d'autres effets secondaires inattendus.
2. Géoblocage Une autre mesure de sécurité couramment recommandée est le blocage géographique. Vous n'avez peut-être pas besoin ou n'attendez pas de trafic légitime de certains pays et choisissez donc de restreindre l'accès.
- Les adresses IP des régions ne sont pas idéales et peuvent contenir des erreurs.
- Si vous vous bloquez par erreur, il sera difficile de le défaire.
- Vous pouvez finir par bloquer de bons bots comme Google qui ne peuvent pas nuire à votre site.
Un bon pare-feu peut et protégera votre site contre les robots malveillants et le trafic indésirable. J'ai couvert les avantages des pare-feu dans la section précédente.
3. Mot de passe protéger le répertoire wp-admin - Le dossier wp-admin est l'un des dossiers les plus importants de votre site. Naturellement, il attire beaucoup l'attention des pirates. Par conséquent, le protéger avec un mot de passe peut sembler une décision brillante, mais contre-productive.
Le mot de passe protégeant votre répertoire wp-admin casse la fonctionnalité AJAX sur votre site WordPress. AJAX est une technique d'encodage qui télécharge des parties de votre site Web à partir du serveur sans modifier la page actuellement affichée.
Si cela ressemble à du charabia, cela signifie essentiellement que cela rend votre site dynamique sans recharger constamment les utilisateurs à chaque fois que quelque chose change.
Pensez à faire défiler votre flux de médias sociaux. De nouvelles histoires ou tweets se chargent pendant que vous lisez encore ceux qui sont déjà sur votre écran, et vous pouvez actualiser votre fil d'actualités chaque fois que vous souhaitez charger un nouveau contenu.
4. Masquer la version WordPress - La logique derrière le masquage de la version de votre site WordPress est due aux mises à jour de sécurité. Si votre site Web n'exécute pas la dernière version de WordPress, un pirate pourrait exploiter une vulnérabilité qui existe dans une version plus ancienne. Cependant, cacher votre version de WordPress ne sert à rien. Il existe plusieurs façons de déterminer la version WordPress d'un site Web : vérifier le code externe du site, vérifier le flux RSS, etc. Toutes sont légales, soit dit en passant.
La façon de gérer les vulnérabilités de WordPress dans les anciennes versions est de mettre à jour votre version vers la dernière. De nombreux administrateurs de sites Web craignent que la mise à jour d'un site en ligne puisse le casser. Il est donc préférable de le faire d'abord sur un site de test.
Que faire si votre site est piraté ?
Si votre site a récemment été piraté, il est d'autant plus important que vous soyez extrêmement attentif à la sécurité de votre site. Si ce n'est pas fait correctement, cela peut conduire à des piratages répétés du site, et toute la situation se transforme en un cauchemar complet.
- Nettoyez d'abord les logiciels malveillantsR : Utilisez un bon plug-in de sécurité pour supprimer automatiquement les logiciels malveillants sans laisser de trace.
- Tout mettre à jourR : Comme je l'ai dit, les mises à jour logicielles sont vitales. Assurez-vous que les dernières versions de WordPress, des thèmes et des plugins sont installés. Si vous ne le faites pas, il y a de fortes chances que ce soit la raison pour laquelle votre site a été piraté en premier lieu.
- Afficher chaque utilisateur administrateur: Examinez de près chaque compte administrateur. Nous en avons déjà parlé dans cet article, mais les pirates créent des comptes d'administrateur pour retrouver l'accès à un site Web piraté si un logiciel malveillant est trouvé.
- Changer tous les mots de passe. Supposons que vos informations d'identification aient été compromises, changez vos mots de passe. J'espère que vous n'utilisez pas le même mot de passe pour différents produits et services, sinon vous devriez également changer le reste des mots de passe.
- Modifier les informations d'identification de la base de données (si possible): Le fichier wp-config.php contient les informations d'identification que le site WordPress utilise pour se connecter à la base de données du site. Dans de nombreux cas, l'accès à la base de données est restreint même si les informations d'identification de la base de données sont compromises. Cependant, sur certains hébergeurs, les pirates peuvent utiliser ces informations pour modifier directement la base de données. Cela peut entraîner une réinfection du site.
- Changer les clés de sécuritéR : WordPress utilise des clés de sécurité pour gérer les sessions des utilisateurs enregistrés.
- Configurez votre pare-feu WordPress: J'ai déjà couvert cela en détail dans cet article. Le pare-feu WordPress est votre meilleure défense contre les robots malveillants et le mauvais trafic.
Tout en un WP Security & Firewall - Sécurité du site WordPress
En bref : Le moyen le plus simple de protéger votre site est d'installer un plugin de sécurité de site tel que : All In One WP Security & Firewall est un plugin de sécurité WordPress complet, facile à utiliser, stable et bien entretenu.
All In One WP Security & Firewall a les fonctionnalités suivantes :
1. Sécurité du compte utilisateur
- Déterminez si un compte utilisateur existe avec le nom d'utilisateur par défaut "admin" et changez facilement le nom d'utilisateur en une valeur de votre choix.
- Le plugin détectera également si vous avez des comptes d'utilisateurs WordPress avec les mêmes identifiants et noms d'affichage. Avoir un compte qui a le même nom d'affichage que la connexion est une mauvaise pratique de sécurité car vous créez une connexion pour les pirates qui est déjà prête sur le 50% car ils connaissent déjà la connexion.
- Un outil de force de mot de passe qui vous permet de créer des mots de passe très forts.
- Arrêtez de lister les utilisateurs. Ainsi, les utilisateurs/bots ne peuvent pas découvrir les informations des utilisateurs via le lien permanent de l'auteur.
2. Sécurité de connexion pour l'utilisateur
- Défendez-vous contre "Brute Force Login Attack" avec la fonction de blocage de connexion. Les utilisateurs avec une adresse ou une plage IP spécifique seront bannis du système pendant une période de temps prédéterminée en fonction des paramètres de configuration, et vous pouvez également recevoir des notifications.
par e-mail chaque fois que quelqu'un est bloqué en raison d'un trop grand nombre de tentatives de connexion. - En tant qu'administrateur, vous pouvez afficher une liste de tous les utilisateurs bloqués, qui s'affiche dans un tableau facile à lire et à naviguer qui vous permet également de débloquer des adresses IP individuelles ou de groupe en un clic.
- Forcer la déconnexion de tous les utilisateurs après une période de temps configurable.
- Suivre/afficher les tentatives de connexion infructueuses, qui affiche l'adresse IP de l'utilisateur, l'ID/nom d'utilisateur et la date/heure de la tentative de connexion infructueuse.
- Suivre/afficher l'activité de tous les comptes d'utilisateurs sur votre système en suivant le nom d'utilisateur, l'adresse IP, la date/heure de connexion et la date/heure de déconnexion.
- Possibilité de bloquer automatiquement les plages d'adresses IP qui tentent de se connecter avec un nom d'utilisateur invalide.
- Possibilité de voir une liste de tous les utilisateurs qui sont actuellement connectés à votre site.
- Vous permet de spécifier une ou plusieurs adresses IP dans une liste blanche spéciale. Les adresses IP de la liste blanche auront accès à votre page de connexion WP.
- Ajoutez Google reCaptcha ou un simple captcha mathématique à votre formulaire de connexion WordPress.
- Ajoutez Google reCaptcha ou un simple captcha mathématique au formulaire de mot de passe oublié de votre système de connexion WP.
3. Sécurité d'enregistrement des utilisateurs
- Activez la vérification manuelle des comptes d'utilisateurs WordPress. Si votre site permet aux gens de créer leurs propres comptes via le formulaire d'inscription WordPress, vous pouvez minimiser le SPAM ou les fausses inscriptions en confirmant manuellement chaque inscription.
- Possibilité d'ajouter Google reCaptcha ou un captcha mathématique simple à votre page d'enregistrement d'utilisateur WordPress pour vous protéger contre l'enregistrement d'utilisateur de spam.
- La possibilité d'ajouter un Honeypot au formulaire d'inscription de l'utilisateur WordPress pour réduire le nombre de tentatives d'inscription des bots.
4. Protéger la base de données WordPress
- Définissez facilement le préfixe WP par défaut sur une valeur de votre choix en un clic.
- Planifiez des sauvegardes automatiques et des notifications par e-mail, ou effectuez des sauvegardes instantanées de la base de données à tout moment en un seul clic.
5. Sécurité du système de fichiers d'un site WordPress
- Identifiez les fichiers ou les dossiers avec des paramètres d'autorisation non sécurisés et définissez les autorisations sur les valeurs sûres recommandées en un clic.
- Protégez votre code PHP en désactivant l'édition de fichiers dans la zone d'administration de WordPress.
- Affichez et surveillez facilement tous les journaux du système hôte à partir d'une seule page de menu et restez à jour sur tous les problèmes ou problèmes qui surviennent sur votre serveur afin de pouvoir les résoudre rapidement.
- Empêchez les personnes d'accéder aux fichiers readme.html, license.txt et wp-config-sample.php de votre site WordPress.
6. Sauvegardez et restaurez les fichiers htaccess et wp-config.php
- Sauvegardez facilement vos fichiers .htaccess et wp-config.php d'origine au cas où vous en auriez besoin pour restaurer des fonctionnalités cassées.
- Modifiez le contenu des fichiers .htaccess ou wp-config.php actuellement actifs depuis le panneau d'administration en quelques clics.
7. Fonctionnalité de liste noire
- Bloquez les utilisateurs en spécifiant des adresses IP ou utilisez un caractère générique pour spécifier des plages d'adresses IP.
- Refuser des utilisateurs en spécifiant des agents utilisateurs.
8. Fonctionnalité de pare-feu
Ce plugin vous permet d'ajouter facilement de nombreux éléments de protection par pare-feu à votre site Web via un fichier htaccess. Le fichier htaccess est traité par votre serveur web avant tout autre code sur votre site.
Ainsi, ces règles de pare-feu arrêteront le ou les scripts malveillants avant qu'ils n'aient la possibilité d'accéder au code WordPress sur votre site.
- Objet de contrôle d'accès.
- Activez instantanément un ensemble de paramètres de pare-feu allant de basique, intermédiaire et avancé.
- Activez les fameuses règles de pare-feu "6G Blacklist" avec l'aimable autorisation de Perishable Press.
- Désactivez la publication de commentaires via un proxy.
- Bloquez l'accès au fichier journal de débogage.
- Désactivez le traçage et le suivi.
- Refuser les chaînes de requête non valides ou malveillantes.
- Protégez-vous du cross-site scripting (XSS) en activant un filtre de chaîne de caractères avancé complet.
ou des robots malveillants qui n'ont pas de cookie spécial dans leur navigateur. Vous (l'administrateur du site) saurez comment configurer ce cookie spécial et pourrez vous connecter à votre site. - Fonctionnalité de protection contre les vulnérabilités WordPress PingBack. Cette fonction de pare-feu permet à l'utilisateur de refuser l'accès au fichier xmlrpc.php pour se protéger contre certaines vulnérabilités de la fonction ping. Ceci est également utile pour empêcher les bots d'accéder constamment au fichier xmlrpc.php et de gaspiller les ressources de votre serveur.
- La possibilité d'empêcher les faux Googlebots d'explorer votre site.
- Possibilité d'empêcher le hotlinking d'image. Utilisez ceci pour empêcher les autres de créer des liens vers vos images.
- Possibilité d'enregistrer tous les événements 404 sur votre site. Vous pouvez également bloquer automatiquement les adresses IP qui reçoivent trop d'erreurs 404.
- La possibilité d'ajouter vos propres règles pour bloquer l'accès à diverses ressources sur votre site.
9. Empêcher l'attaque par force brute de connexion
- Bloquez instantanément les attaques par force brute grâce à notre fonction personnalisée de prévention de la force brute de connexion basée sur les cookies. Cette fonctionnalité de pare-feu bloque toutes les tentatives de connexion des humains et des robots.
- Possibilité d'ajouter un captcha mathématique simple au formulaire de connexion WordPress pour se protéger contre les attaques par force brute.
- Possibilité de masquer la page de connexion de l'administrateur. Renommez l'URL de votre page de connexion WordPress pour empêcher les robots et les pirates d'accéder à votre véritable URL de connexion WordPress. Cette fonctionnalité vous permet de changer la page de connexion par défaut (wp-login.php) en quelque chose que vous personnalisez.
- La possibilité d'utiliser le Login Honeypot, qui aidera à réduire le nombre de tentatives de connexion par la force brute des robots.
10. Scanner de sécurité des fichiers de site Web
- Le scanner de détection de changement de fichier peut vous alerter si des fichiers ont été modifiés sur votre système WordPress. Vous pouvez ensuite enquêter et voir s'il s'agissait d'un changement légitime ou si un mauvais code a été introduit.
11. Protection anti-spam des commentaires
- Suivez les adresses IP les plus actives qui produisent systématiquement le plus de commentaires de spam et bloquez-les instantanément en un clic.
- Empêchez l'envoi de commentaires s'ils ne proviennent pas de votre domaine (cela devrait réduire le nombre de commentaires postés par les spambots sur votre site).
- Ajoutez un captcha à votre formulaire de commentaire WordPress pour améliorer votre protection contre le spam de commentaires.
- Bloquez automatiquement et définitivement les adresses IP qui dépassent un certain nombre de commentaires marqués comme SPAM.
12. Texte de protection contre la copie avant
- Possibilité de désactiver le clic droit, la sélection de texte et l'option de copie pour votre interface.
13. Fonctionnalités supplémentaires du plugin
- Possibilité de supprimer les méta-informations du générateur WordPress du code source HTML de votre site.
- Possibilité de supprimer les informations de version de WordPress des fichiers JS et CSS de votre site.
- Possibilité d'empêcher les gens d'accéder aux fichiers readme.html, license.txt et wp-config-sample.php.
- La possibilité de bloquer temporairement l'avant de votre site aux visiteurs réguliers pendant que vous effectuez diverses tâches internes (enquête sur les attaques de sécurité du site, mise à jour du site, maintenance, etc.)
- Possibilité d'exporter / importer des paramètres de sécurité.
- Empêchez d'autres sites d'afficher votre contenu via un cadre ou un iframe.
Il est idéal pour ceux qui n'ont tout simplement pas le temps de s'occuper de la sécurité du site Web. Installez simplement et oubliez le plugin. Mais si vous pouvez vous permettre le temps supplémentaire pour renforcer votre sécurité, je vous recommande fortement de mettre en œuvre toutes les mesures ci-dessus.
Production
J'ai commencé cet article sur la façon de sécuriser un site Web avec un pointeur clair : la première étape consiste à assurer la sécurité de votre site. Ceci est un processus continu. C'est une bonne pratique standard dans toute organisation d'effectuer des audits périodiques pour permettre un contrôle maximal sur la sécurité du site. Le paysage des menaces évolue constamment et les pirates trouveront des moyens plus créatifs de briser la sécurité. Les experts en sécurité restent constamment vigilants, et c'est la principale conclusion de tout : ne vous relâchez pas.
Lire cet article :
- Quelle est la différence entre malware et virus ? (explication)
- 10 étapes essentielles pour améliorer la sécurité de votre site Web
Merci d'avoir lu : SEO HELPER | NICOLA.TOP
C'est la première fois que je vois un article aussi long. Respect à l'auteur du site, combien de temps avez-vous passé dessus ? Un merveilleux guide qui décrit presque tous les aspects de la protection et du maintien de la sécurité du site. Je lis votre blog depuis quelques temps déjà. Merci, matériel très utile.
Pas un peu)) merci d'avoir lu mon blog)