Cet article a été écrit à l'origine en février 2014 et reçoit des mises à jour régulières à mesure que les tactiques changent.
Conseil :Si votre site Web est actuellement piraté, ce n'est pas le guide que vous souhaitez. Consultez notre guide pour nettoyer un site WordPress piraté. Revenez ensuite ici pour le durcir après le site Web a été nettoyé.
Comment et pourquoi les sites Web sont-ils dégradés, piratés ou corrompus ?
La plupart des sites sont compromis par des vulnérabilités connues dans des scripts et des applications Web obsolètes . En termes simples, cela signifie que si vous exécutez des versions obsolètes de logiciels populaires tels que des babillards électroniques, des logiciels de blogs ou des systèmes de gestion de contenu, votre site Web pourrait être en danger. D'autres façons dont un site Web est généralement compromis sont dues à des mots de passe non sécurisés ou volés et à des autorisations de fichiers incorrectes.
Pourquoi quelqu'un voudrait-il pirater mon site Web ? Je ne stocke aucune information personnelle ou financière sur mon site, je ne devrais donc pas m'en soucier, n'est-ce pas ? Beaucoup de gens pensent que parce qu'ils pensent que personne ne veut compromettre leur site Web, ils n'ont pas à se soucier de sa sécurité. Arrêtez .
Bien qu'ils ne veuillent peut-être aucune des informations sur votre site, la plupart du temps, votre site sera utilisé pour propager des virus, des logiciels espions ou tromper vos visiteurs pour qu'ils se rendent sur des sites avec eux. La plupart des sites compromis que nous voyons ont injecté du code malveillant dans les fichiers afin de faire exactement cela.
Plug-ins et outils de sécurité
Méfiez-vous des plugins et des outils de sécurité WordPress. La plupart d'entre eux ont tendance à se concentrer sur la prévention de dommages supplémentaires après quelqu'un a déjà piraté votre site, ou caché des choses comme votre page de connexion WordPress (ce qui revient à jeter une feuille sur votre porte et espérer que personne ne le remarque), plutôt que d'empêcher réellement les intrusions.
Une fois que quelqu'un a obtenu l'accès, il est exceptionnellement difficile de vérifier ce qu'il a fait, il est donc considérablement plus important de le bloquer en premier lieu. Par conséquent, nos conseils se concentrent sur les types de modifications que vous pouvez apporter à votre site pour empêcher les intrusions .
Vous pensez peut-être "mais ne manquez-vous pas des dizaines d'autres pratiques de sécurité ?" Vous en avez peut-être entendu parler sur d'autres blogs ou auprès d'autres hébergeurs ou d'experts WordPress. Il y a un tas d'articles avec plus de 50 améliorations de sécurité que vous pouvez apporter à WordPress… à notre avis, tout ce que vous voyez ci-dessous est exagéré. La majorité de ces 50 ajustements sont conçus pour empêcher les outils automatisés d'infliger des dommages après ils ont déjà obtenu un accès administrateur à votre site Web. Suivre chaque étape de ce guide vous ouvrira plutôt la voie pour empêcher l'accès à votre site Web WordPress en premier lieu.
10 façons de renforcer votre site Web
Astuce #1 :Effectuez des sauvegardes régulières ! (Si vous hébergez chez nous, voici comment automatiser les sauvegardes) Si vous avez une sauvegarde, la restauration d'une sauvegarde est beaucoup plus rapide et plus simple que le nettoyage d'un site WordPress piraté.
1. Installer un plug-in Limiter les tentatives de connexion
Remarque :ceci est facultatif si vous hébergez avec nous. La raison peut être trouvée dans l'encadré ci-dessous.
Ce plugin vous permettra de limiter le nombre de tentatives de connexion infructueuses pour votre tableau de bord WordPress. Cela protégera contre les personnes essayant de se connecter à votre site Web avec des mots de passe aléatoires encore et encore dans une tentative de "force brute" le système. Vous pouvez télécharger le plugin ici, qui fixera la limite à 3 tentatives.
Si vous avez utilisé notre programme d'installation d'applications Web en un clic, ce plugin doit être installé par défaut. Si ce n'est pas le cas, vous pouvez l'installer en utilisant le lien ci-dessus.
Saviez-vous que notre hébergement WordPress est livré avec des outils au niveau du serveur pour détecter automatiquement plusieurs tentatives de connexion à partir de la même adresse IP et interdire les adresses IP malveillantes ? Installer un plugin ne fait pas de mal, mais avec notre hébergement, ce n'est plus indispensable !
2. Utilisateurs administrateurs :utilisez des mots de passe sécurisés et vérifiez-les
N'utilisez jamais un mot de passe "temporaire" que vous prévoyez de modifier plus tard - il est trop facile d'oublier de l'ajuster. Lorsque vous allez changer votre mot de passe dans WordPress sous Utilisateurs, il fournit par défaut un mot de passe sécurisé généré automatiquement. Veuillez utiliser ce qu'il fournit et n'essayez pas d'utiliser l'un des vôtres, qui sera probablement plus faible.
Si vous avez du mal à garder/mémoriser les mots de passe longs, nous ne vous en voulons pas :utilisez un gestionnaire de mots de passe comme LastPass ou 1Password qui gardera une trace de tous vos mots de passe générés aléatoirement pour vous et les verrouillera tous avec un mot de passe principal fort.
Il est également recommandé d'auditer vos utilisateurs administrateurs tous les quelques mois en supprimant les utilisateurs administrateurs dont vous n'avez pas besoin. Définissez une tâche dans votre logiciel de liste de tâches de choix pour le faire tous les trimestres.
3. Mettez toujours à jour votre logiciel
Remarque :les mises à jour sont 100 % automatisées si vous hébergez votre site wordpress chez nous, assurez-vous que les plugins ou thèmes premium ont leurs licences activées et que les mises à jour automatiques sont activées dans les applications Web en 1 clic.
Cela inclut le logiciel WordPress de base, tous les plugins et tous les thèmes que vous avez installés. Cette étape, combinée à des mots de passe sécurisés, sont les deux étapes les plus importantes . WordPress et les développeurs de plugins et de thèmes publient des mises à jour pour ajouter des fonctionnalités et réparer les failles de sécurité. Il est crucial que vous mettiez à jour votre logiciel chaque fois qu'une nouvelle version est disponible.
Si vous utilisez des plugins ou thèmes commerciaux, assurez-vous de suivre leurs instructions pour enregistrer une clé de licence aux paramètres du plugin pour activer la mise à jour automatique. Il s'agit d'une option pour la plupart des plugins commerciaux tels que BeaverBuilder, Gravity Forms et les extensions WooCommerce.
Si votre thème ou plugin commercial ne prend pas en charge la mise à jour automatique, vous devrez ajouter une tâche récurrente à votre logiciel de liste de tâches de choix pour vérifier régulièrement les mises à jour et les installer manuellement. Lorsque nous rencontrons de tels plugins, nous, les développeurs, ajoutons la mise à jour automatique et, s'ils n'en ont pas l'intention, nous trouverons une alternative. En effet, cela ne vaut pas le temps nécessaire pour rester au courant des mises à jour manuelles des plugins ou des thèmes.
4. Supprimer l'ancien logiciel
Si vous avez plusieurs versions de WordPress installées sur votre site Web (ou tout autre logiciel d'ailleurs) et que vous n'en utilisez plus une, vous devrez toujours vous assurer qu'elle est à jour ou la supprimer entièrement. Les installations de logiciels obsolètes et oubliées sont une méthode très courante par laquelle les outils de piratage automatisés accèdent à votre site Web.
Il en va de même pour les plugins et les thèmes installés. Si vous ne les utilisez pas, supprimez-les !
5. Activer et forcer HTTPS
Utiliser HTTPS au lieu du HTTP non sécurisé est facile de nos jours !
- Cliquez ici pour savoir comment installer un certificat Let's Encrypt sur votre domaine
- Suivez notre guide pour savoir comment forcer le HTTPS sur l'ensemble de votre site Web.
Désormais, toutes les connexions à WordPress seront entièrement sécurisées de bout en bout. Aucun mot de passe ne peut être reniflé sur le fil !
6. Utilisez un plugin de sécurité comme WordFence ou Sucuri
Il y a quelques points à noter à ce sujet :
- Si vous êtes hébergé chez nous, ce n'est pas un outil essentiel. Nous utilisons une combinaison de pare-feu qui bloquent à peu près tous les mêmes types de tentatives d'intrusion que WordFence, des attaques par force brute aux tests de vulnérabilité.
- De nombreux plugins de sécurité sont une imposture qui ne fait que des recommandations et ne protège pas activement votre site Web. Nous trouvons que WordFence est le meilleur du groupe, suivi de près par Sucuri.
- WordFence est également pratique pour nettoyer un site Web piraté, car il a tendance à trouver le plus fichiers infectés et les nettoyer automatiquement.
- Si vous êtes sur un VPS, cela ne fait pas de mal d'activer les analyses WordFence hebdomadaires. Si vous êtes sur un hébergement partagé, l'activation de ces analyses peut consommer inutilement des ressources, en particulier si vous implémentez tout le reste de cette liste et si vous hébergez avec nous.
Remarque :nous en avons testé beaucoup de ces outils pour arriver à ces conclusions. Nous avons même vu certains soi-disant plugins de sécurité précédemment installés sur des sites qui ont été piratés - ils ont fait beaucoup de bien !
7. Refuser l'accès à la connexion à quiconque sauf à vous-même
Cette étape n'est pas essentielle si vous avez déjà des mots de passe très sécurisés pour tous vos utilisateurs de niveau administrateur, mais il n'y a aucun mal à l'appliquer si vous aimez porter un chapeau en papier d'aluminium.
Lisez notre guide pour savoir comment protéger par mot de passe votre dossier wp-admin avec l'authentification HTTP. En suivant le guide, le dossier à saisir sera le dossier wp-admin.
Une fois terminé, vous aurez deux niveaux de saisie de mot de passe avant d'atteindre l'administrateur, HTTP Auth et votre connexion d'administrateur WordPress standard. Assurez-vous de différencier les mots de passe ; s'ils sont identiques, un bot essayant de les deviner n'aura aucun problème après avoir traversé la première couche.
8. Exécutez le dernier PHP en mode Fast-CGI ou FPM chaque fois que possible.
Si vous utilisez un panneau de contrôle actuel, vous pourrez choisir entre exécuter PHP par FastCGI ou Apache PHP. Choisissez la méthode FastCGI ou FPM lorsque cela est possible.
Dans WordPress, de nombreux thèmes et plugins pensent qu'ils ont besoin d'un ensemble d'autorisations d'accès global 777 pour pouvoir écrire correctement dans les dossiers et télécharger du contenu. Ils ont tort dans la plupart des cas. "777" signifie que toute personne hébergée sur ce serveur peut lire, écrire et exécuter n'importe lequel des fichiers disposant de ces autorisations.
Il s'agit d'un gros risque de sécurité et d'un problème majeur si vous êtes sur un environnement d'hébergement Web partagé. Si un autre site Web est compromis sur le même serveur, il pourra accéder à tous vos fichiers et dossiers disposant de l'autorisation 777.
L'utilisation du mode FastCGI ou FPM force PHP à s'exécuter sous votre nom d'utilisateur et évitera complètement ces problèmes et fonctionnera parfaitement avec les autorisations de fichiers et de dossiers par défaut. Si vous hébergez chez nous, le mode FPM ou FastCGI est le mode par défaut pour votre site Web.
Assurez-vous que vous utilisez la dernière version de PHP. Seules les dernières versions majeures sont régulièrement prises en charge par les développeurs PHP, donc l'exécution d'anciennes versions comme 7.0 ou antérieures (à partir de décembre 2019) pourrait créer des risques de sécurité pour votre site.
9. Ne stockez jamais vos mots de passe sur votre ordinateur à moins qu'ils ne soient cryptés
De nombreux programmes sur votre ordinateur stockent en fait vos mots de passe en texte brut. Cela signifie que si vous avez un virus ou un logiciel espion particulier sur votre ordinateur, il peut être en mesure d'accéder aux informations d'identification FTP ou Web pour votre installation WordPress ou site Web.
Si vous souhaitez enregistrer vos mots de passe dans vos applications, assurez-vous de vérifier s'ils sont cryptés ou stockés en texte brut. Par exemple, toute application qui stocke les mots de passe à l'aide du système Keychain d'Apple dispose d'un stockage de mot de passe entièrement sécurisé. Malheureusement, FileZilla n'est pas l'une de ces applications, donc enregistrer votre mot de passe dans l'outil de gestion de site de FileZilla pourrait être problématique si votre ordinateur est infecté par un virus qui sait rechercher les fichiers de données FileZilla.
10. Assurez-vous que vous exécutez toujours un logiciel anti-malware sur votre ordinateur
Bien que celui-ci devrait aller de soi, il est très courant que les gens ne dirigent ni l'un ni l'autre. Peu importe la sécurité de votre site Web ou du serveur si les gens peuvent obtenir vos mots de passe à partir de votre ordinateur personnel .
Si vous suivez ces conseils, il ne reste plus que deux méthodes qui pourraient être utilisées pour pirater votre site :
- Les vulnérabilités du jour zéro, qui sont impossibles à prévoir et à protéger, bien que la meilleure réponse soit rapide mises à jour, que notre utilitaire d'applications Web en un clic gère pour vous.
- Ingénierie sociale, où quelqu'un vous pousse à donner votre mot de passe. Pour éviter cela, soyez simplement vigilant et ne communiquez pas votre mot de passe.