Sécurité WordPress: Comment protéger un site web
contre le piratage

Pour commencer, la sécurité WordPress est un facteur primordiale. En fait, WordPress est une cible fréquente du piratage. Les pirates ciblent le thème, les fichiers WordPress de base, les plugins et même la page de connexion. On vous présente les étapes à suivre pour réduire les risques de piratage. On vous montre également, comment peut-on récupérer plus facilement si cela devait encore arriver.

Comment les hackers attaquent la sécurité WordPress

Tous les sites sur le Web sont constamment attaqués, que ce soit un forum phpBB ou un site WordPress donc les pirates sondent tous les sites. Il n’est pas rare qu’un pirate informatique scanne des milliers de pages ou tente de se connecter des centaines de fois par jour. En fait ce n’est qu’un pirate informatique. Plusieurs pirates attaquent les sites en même temps . 

En général, ce n’est pas une personne qui essaie de vous pirater. Les pirates utilisent un logiciel automatisé pour explorer le Web. Ils veulent détecter des faiblesses et des vulnérabilités spécifiques sur le site Web.

On appelle ces programmes logiciels automatisés qui explorent le Web par le nom « bots ». Parfois, On les appelle aussi « hacker bots » afin de les distinguer des « scraper bots » (logiciels qui essaient de copier du contenu).

Protégez votre site WordPress avec un pare-feu

Le logiciel  Pare-feu bloque un intrus. À mon avis, le meilleur pare-feu pour renforser la sécurité WordPress est le plugin Wordfence.

Ce que fait Wordfence est de vérifier si le comportement d’un visiteur du site Web correspond à celui d’un bot abusif. Si le bot enfreint certaines règles, comme demander trop de pages Web dans un court laps de temps, Wordfence bloquera alors automatiquement le bot.

Wordfence est également programmé pour autoriser des robots légitimes comme Google et Bing sur le site.

Il existe des fonctionnalités avancées qui permettent à un éditeur de voir quels bots attaquent un site et de voir d’où vient le bot. Comme s’il s’agit d’un mauvais bot provenant d’Amazon Web Services ou de Bluehost par exemple. Wordfence offre à l’éditeur la possibilité de bloquer le bot par son adresse IP, la totalité de la plage d’adresses IP ou même par un faux agent utilisateur de navigateur que le bot utilise.

À propos des agents utilisateurs (UA)

Un agent utilisateur identifie les informations qui indiquent à un site Web de quel navigateur il s’agit (Chrome, Firefox, Vivaldi) et sur quel système d’exploitation il fonctionne (Windows 10, Mac OS X).

Par exemple, il s’agit d’une chaîne d’agent utilisateur pour un navigateur Safari 11 sur un ordinateur Mac OS X:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15

Les bots utilisent de nombreux agents utilisateurs différents pour tromper les sites Web et se faufiler. Par exemple, certains bots prétendent être un navigateur sous Windows XP.

Le nombre réel d’utilisateurs réels sur Win XP est proche de zéro, on peux créer une règle avec Wordfence pour bloquer tous les agents utilisateurs avec Windows XP comme système d’exploitation et avec cette règle, on peux bloquer des milliers de mauvais bots, quel que soit le pays ils proviennent de ou de l’adresse IP.

Les mauvais bots répondront parfois en passant à un autre agent utilisateur, donc en combinant ces règles, un éditeur a une chance de bloquer un large éventail de bots malveillants.

Et c’est avec la version gratuite de Wordfence.

La version payante peut bloquer des pays entiers. Ainsi, si vous n’avez pas de visiteurs légitimes sur votre site de certains pays, vous pouvez bloquer tous les visiteurs venant de ces pays.

Défense WordPress contre les exploits

De plus, la version payante de Wordfence vous protégera à l’avance de nombreux thèmes et plugins compromis avant que ces plugins ne soient corrigés.

Une fois que les chercheurs de Wordfence sont au courant d’un exploit, ils mettront à jour la version premium du pare-feu pour fournir aux abonnés une protection contre ces exploits, parfois des semaines avant la correction de l’exploit par le développeur du thème ou du plugin compromis.

Renforcement de la sécurité WordPress

Un autre plugin gratuit qui fournit une couche de protection supplémentaire s’appelle Sucuri Security. Sucuri (appartenant à GoDaddy) aide à renforcer la sécurité de WordPress pour empêcher les mauvais bots de profiter de certains types d’attaques. En outre, Il dispose d’une fonction d’analyse des logiciels malveillants qui vérifie tous les fichiers pour voir s’ils ont été modifiés.

D’autant plus, Sucuri vous alertera chaque fois que quelqu’un se connectera à votre site, aidant les éditeurs à identifier si un pirate se connecte. Sucuri peut également alerter un éditeur si un fichier a été modifié, ce que font les pirates.

Voici les fonctionnalités de la version gratuite de Sucuri:

  • Audit des activités de sécurité
  • Surveillance de l’intégrité des fichiers
  • Analyse à distance des logiciels malveillants
  • Surveillance de la liste noire
  • Renforcement efficace de la sécurité
  • Actions de sécurité post-piratage
  • Notifications de sécurité

En ce qui concerne la version payante de Sucuri, elle comprend un pare-feu de site Web.

Limitez les connexions à votre site web

Il est évident que Wordfence est capable de bloquer les bots qui remplissent à plusieurs reprises des noms d’utilisateur et des mots de passe dans la page de connexion WordPress.

Mais si vous souhaitez vous concentrer sur la limitation de ces connexions, il existe un plugin appelé Limit Login Attempts Reloaded qui permet aux éditeurs de bloquer automatiquement tous les pirates qui saisissent un nombre défini de combinaisons de noms et de mots de passe ayant échoué. Par exemple, vous pouvez le configurer pour bloquer les pirates après trois tentatives de deviner le mot de passe.

Voici les fonctionnalités du bloqueur de connexion:

  • Limitation du nombre de tentatives lors de la connexion (pour chaque adresse IP). Ceci est entièrement personnalisable.
  • Informer l’utilisateur des tentatives restantes ou du temps de verrouillage sur la page de connexion.
  • Journalisation facultative et notification par e-mail facultative.
  • Il est possible de mettre sur liste blanche / noire les adresses IP et les noms d’utilisateur.
  • Compatibilité avec le pare-feu du site Web Sucuri.
  • Protection de la passerelle XMLRPC.
  • Protection de la page de connexion Woocommerce.
  • Compatibilité multi-sites avec des paramètres MU supplémentaires.
  • Conforme au RGPD. Lorsque cette fonction est activée, toutes les adresses IP enregistrées sont masquées (hachage md5).
  • Prise en charge des origines IP personnalisées (Cloudflare, Sucuri, etc.)

Bref, le plugin Limit Login Reloaded fournit un moyen rapide d’arrêter les hack bots qui essaient de deviner un mot de passe.

Sauvegardez votre site WordPress (Backup)

Étant donné l’important de créer automatiquement une sauvegarde quotidienne de votre site Web pour améliorer la sécurité WordPress. En fait, tout événement catastrophique qui détruit le site peut être récupéré avec une sauvegarde.

En réalité, il existe de nombreuses solutions de sauvegarde, mais celle que Alphait a trouvé extrêmement utile s’appelle UpdraftPlus WordPress Backup Plugin. UpdraftPlus bénéficie de la confiance de plus de deux millions d’utilisateurs, c’est un choix bien considéré.

En plus, il peut être configuré pour envoyer les sauvegardes par courrier électronique tous les jours ou les envoyer vers un emplacement de stockage dans le cloud comme Dropbox.

Mettez à jour tous les thèmes et plugins

Notez bien qu’il est important de mettre à jour tous les thèmes et plugins régulièrement. C’est la raison pour laquelle WordPress offre un moyen de mettre à jour automatiquement tous les plugins, ce qui est pratique pour les éditeurs ou les entreprises qui ne se connectent pas et effectuent souvent des mises à jour.

En activant la fonction de mise à jour automatique, un éditeur peut être assuré de disposer du logiciel le plus à jour. Avoir un plugin obsolète est l’une des principales causes de piratage.

Parfois il est déconseillé d’activer les mises à jours automatiques. Par exemple, un plugin mis à jour peut être incompatible avec d’autres plugins, mais ça se produire rarement. Du coup, pour les sites qui ne changent pas fréquemment, la fonctionnalité de mise à jour automatique est probablement une bon choix à faire.

Méfiez-vous des plugins abandonnés qui diminuent le niveau de la sécurité WordPress

Un dernier avertissement concernant les plugins abandonnés. Certains plugins peuvent continuer à fonctionner des années après avoir été abandonnés par leur développeur. Ce qui peut arriver, c’est que ces anciens plugins peuvent contenir des vulnérabilités. Mais comme ils sont abandonnés, cela ne sera jamais réparé.

Un autre problème est que les pirates achètent parfois les anciens plugins et les mises à jour avec des logiciels malveillants et des virus.

Pour cela, n’hésitez jamais à vérifier tous vos plugins WordPress pour vous assurer qu’ils n’ont pas été abandonnés et semblent être mis à jour assez fréquemment.

Protégez votre site web contre les pirates

Pour de nombreux sites, il suffit de prendre ces petites mesures pour sécuriser un site Web pour empêcher le piratage. Cependant  les versions gratuites de ces plugins offrent une protection extraordinaire et les versions premium offrent encore plus de protection.

Pour conclure, il existe de nombreux plugins de type sécurité WordPress et certains d’entre eux contiennent eux-mêmes des vulnérabilités. Wordfence et Sucuri sont à notre avis les meilleurs choix pour la sécurité WordPress.

Citations

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.