Comment renforcer WordPress : un guide en 18 étapes avec des outils essentiels
Publié: 2024-08-01Les sites WordPress peuvent devenir vulnérables s’ils ne sont pas bien entretenus. Quelques mises à jour ignorées ou un mauvais plugin et votre site est en danger. Les attaquants peuvent également accéder via la page de connexion si elle n'est pas correctement sécurisée ou arrêter votre site avec des attaques par déni de service distribué (DDoS).
Trop de tristesse et de malheur ?
Heureusement, ces attaques peuvent être facilement évitées si vous prenez les mesures nécessaires pour renforcer WordPress. Le système de gestion de contenu (CMS) vous donne un contrôle total sur les paramètres de votre site, ce qui signifie que vous pouvez mettre en œuvre des stratégies pour le protéger contre différents types d'attaques.
Dans cet article, nous vous donnerons un cours complet sur la sécurité WordPress. Nous discuterons des outils que vous devez utiliser, passerons en revue 18 étapes pour renforcer WordPress et vous montrerons comment Jetpack Security peut vous aider à assurer la sécurité de votre site avec un seul plugin. Allons-y !
L’importance de renforcer votre site WordPress
Les cyberattaquants ont tendance à parcourir le Web à la recherche de sites présentant des vulnérabilités qu’ils peuvent exploiter. Même si votre site est relativement nouveau, les attaquants peuvent toujours le cibler pour diffuser des logiciels malveillants ou voler des données.
Cela rend la sécurité de WordPress cruciale pour tous les sites Web. Au moment d’écrire ces lignes, il existe plus de 50 000 vulnérabilités WordPress documentées. Cela comprend plus de 7 800 plugins vulnérables connus et environ 670 thèmes.
Les vulnérabilités continuent d'augmenter d'année en année, en raison de la popularité croissante de WordPress et du grand nombre de nouveaux plugins et thèmes sur le marché.
Si votre site est ciblé, vous risquez d’en perdre l’accès et vos données peuvent être compromises. Selon la gravité de la violation, la réparation de votre site Web peut prendre un certain temps, ce qui peut entraîner de nombreuses pertes de conversions. De plus, si vous dirigez une grande entreprise en ligne, être victime d’un cybercrime peut entraîner de graves pertes financières.
La bonne nouvelle est que vous pouvez faire de nombreuses choses pour protéger votre site Web WordPress. Mais pour assurer sa sécurité, vous devrez être proactif.
Outils essentiels pour renforcer votre site WordPress
Tout au long de ce guide, nous ferons référence à plusieurs outils de sécurité que vous pouvez utiliser. Ceux-ci vous aideront à mettre en œuvre des mesures pour renforcer votre site WordPress. Jetons un coup d'œil à ce qu'ils sont.
1. Un scanner de vulnérabilités
Un scanner de vulnérabilités est un logiciel qui recherche sur votre site Web les problèmes de sécurité. Dans le cas de WordPress, un scanner parcourra les fichiers, plugins et thèmes de votre site pour rechercher des failles potentielles de protection que les attaquants pourraient exploiter.
Le scanner compare les données trouvées à une base de données de vulnérabilités, comme WPScan. Il s’agit de la plus grande base de données de vulnérabilités de sécurité WordPress connues, mise à jour en permanence.
Jetpack Protect est une excellente option lorsqu'il s'agit d'analyser les vulnérabilités de votre site Web. Le plugin vous permet d'exploiter la base de données WPScan en exécutant des analyses automatiques sur votre site Web.
Si Jetpack détecte une vulnérabilité, il vous en informera et vous montrera comment résoudre le problème. Dans la plupart des cas, cela impliquera la suppression ou la mise à jour des plugins ou thèmes vulnérables.
2. Un scanner de malware
Un scanner de logiciels malveillants fonctionne de la même manière qu'un scanner de vulnérabilités. Dans ce cas, le logiciel se concentre sur la recherche des fichiers infectés et vous aide à les mettre en quarantaine ou à les supprimer afin que vous puissiez débarrasser votre site Web des logiciels malveillants.
Dans la plupart des cas, les scanners de vulnérabilités et de logiciels malveillants fonctionnent de pair. WPScan, par exemple, peut vous aider à identifier à la fois les vulnérabilités et les logiciels malveillants sur votre site WordPress.
Si vous utilisez Jetpack et que vous avez accès au plan de sécurité (ou mettez à niveau Protect vers premium), le plugin analysera votre site Web à la recherche de logiciels malveillants et de vulnérabilités. S'il détecte un problème avec votre site Web, le plugin vous proposera des options pour résoudre ces problèmes, souvent en un ou deux clics.
3. Un pare-feu d'applications Web (WAF)
Vous connaissez probablement le concept de pare-feu. Il s'agit d'un programme qui bloque le trafic entrant ou sortant d'un serveur ou d'un ordinateur.
Un pare-feu d'application Web (WAF) fonctionne de la même manière. Il est conçu pour vous aider à bloquer le trafic malveillant entrant ou à empêcher les logiciels malveillants présents sur votre site d'envoyer des informations.
La plupart des WAF sont préconfigurés avec des règles sur le type de connexions à bloquer. Ils peuvent même identifier les adresses IP malveillantes connues en fonction de leurs paramètres.
Jetpack Protect comprend un WAF avec des paramètres de configuration simples. Vous pouvez configurer le WAF pour qu'il utilise des règles automatiques, qui sont fournies et mises à jour régulièrement par les experts en sécurité de Jetpack. Ces règles automatiques sont conçues pour bloquer les exploits de grande gravité afin que même si vous avez une vulnérabilité dans une extension, la règle WAF puisse protéger votre site.
Le plugin vous permet également de mettre des adresses IP spécifiques sur une liste autorisée ou une liste de blocage. Cela peut être utile si vous souhaitez limiter le nombre de personnes pouvant accéder au tableau de bord.
4. Une solution de sauvegarde hors site
Les outils de sauvegarde font des copies de votre site Web et les restaurent si nécessaire. L'idée derrière les sauvegardes est que vous aurez toujours une copie récente de votre site en cas de dysfonctionnement ou si vous êtes confronté à un problème de sécurité que vous ne pouvez pas résoudre facilement.
Pour plus de sécurité, il est recommandé de stocker les sauvegardes sur et hors de votre site, au cas où l'une d'elles échouerait. De cette façon, les données de votre site Web ne sont jamais vraiment perdues.
Bien que vous puissiez sauvegarder votre site manuellement, l'utilisation d'un plugin dédié comme Jetpack VaultPress Backup peut vous apporter une tranquillité d'esprit et automatiser l'ensemble du processus.
Ce plugin crée des sauvegardes en temps réel de votre site Web et les stocke hors site jusqu'à 30 jours. Tout cela se produit automatiquement, même si vous pouvez également créer vos propres sauvegardes manuelles si vous le souhaitez.
Jetpack enregistre toutes les modifications que vous apportez à votre site au fur et à mesure qu'elles se produisent. Cela élimine le risque de perte partielle de données lorsque vous devez restaurer une sauvegarde récente. Accédez simplement au journal d'activité et choisissez la date et l'heure auxquelles vous souhaitez restaurer, et Jetpack commencera immédiatement à restaurer votre site (même s'il est totalement hors ligne).
En parlant du journal d’activité…
5. Un journal d'activité pour suivre les modifications du site
Un journal d'activité est un outil qui vous donne une analyse de ce qui se passe sur votre site Web. Vous pouvez utiliser ces journaux pour surveiller différents types d'activités, notamment les connexions, les installations de plugins, les téléchargements de publications et même les modifications de la configuration de votre site.
L'importance d'un journal d'activité ne peut être surestimée. Si vous collaborez avec d’autres pour gérer un site Web, cet outil vous donnera un aperçu de ce que font les autres.
Vous pouvez également utiliser un journal d'activité pour résoudre les problèmes. Par exemple, si votre scanner de vulnérabilités détecte soudainement un problème avec un plugin, vous pouvez consulter les journaux pour voir quand le plugin a été installé et par qui.
Jetpack comprend un journal d'activité avec un compte WordPress.com gratuit, où vous pouvez voir les 20 derniers événements sur votre site. Avec une licence premium, vous aurez accès aux événements des 30 derniers jours au moins
Comment renforcer votre site WordPress en 18 étapes
Outre les outils abordés dans la section précédente, vous devrez également prendre des mesures pour renforcer WordPress. Voici les mesures de sécurité les plus importantes pour votre site.
1. Sauvegardez votre site
Les sauvegardes constituent peut-être la partie la plus importante d’une stratégie de sécurité globale. Avoir des sauvegardes récentes à tout moment signifie que si votre site Web est attaqué ou infecté par un logiciel malveillant, vous pouvez toujours restaurer votre contenu.
Idéalement, vous utiliserez un plugin qui automatise les sauvegardes. Cela élimine le risque d’oublier d’effectuer une sauvegarde après avoir apporté des modifications importantes à votre site Web.
Comme nous l'avons mentionné, Jetpack VaultPress Backup est une solution de sauvegarde puissante incluse seule ou avec un plan éligible comme Jetpack Security. Il utilise un système de sauvegarde en temps réel. Cela signifie qu'il enregistre chaque fois que vous apportez une modification à votre site, de sorte que chaque nouvelle modification est immédiatement protégée.
Ce système est préférable aux sauvegardes planifiées. Avec ce dernier, vous courez le risque de perdre des données si le dernier point de restauration est trop éloigné. Ce n'est pas un problème si vous utilisez VaultPress Backup.
2. Installez un plugin de sécurité tout-en-un
Il existe de nombreux plugins de sécurité WordPress parmi lesquels choisir. Certains outils sont conçus à des fins spécifiques, comme activer un WAF ou une authentification à deux facteurs (2FA). D'autres adoptent une approche plus globale et combinent plusieurs fonctionnalités pour protéger votre site.
L'idée derrière les plugins de sécurité tout-en-un est de minimiser le nombre d'outils tiers que vous devez configurer sur votre site Web, tout en ayant accès à autant de fonctionnalités que possible.
Jetpack offre une large gamme de fonctionnalités de sécurité. Si vous optez pour le plugin gratuit, vous avez accès à un journal d'activité, à la fonctionnalité WAF, à une option d'authentification sécurisée, et bien plus encore.
Vous pouvez étendre la gamme de fonctionnalités de sécurité offertes par le plugin en vous inscrivant au plan Jetpack Security. Ce plan vous donne accès à une solution de sauvegarde, à une analyse automatisée des logiciels malveillants avec des correctifs disponibles en un clic, à une protection anti-spam, et bien plus encore.
En termes de valeur, Jetpack Security offre l'une des solutions de sécurité les plus complètes pour les utilisateurs de WordPress. Et si vous le souhaitez, vous pouvez toujours commencer à utiliser le plugin gratuit et mettre à jour vers la version premium une fois que vous êtes à l'aise.
3. Mettre à jour le noyau de WordPress
La mise à jour de WordPress vers sa dernière version est l’une des choses les plus importantes que vous puissiez faire pour améliorer la sécurité de votre site Web. En effet, les versions les plus récentes ont tendance à inclure des correctifs et des améliorations de sécurité. De plus, les développeurs de logiciels publient souvent des correctifs pour corriger les vulnérabilités urgentes.
L’utilisation de versions obsolètes de WordPress peut également entraîner des problèmes de compatibilité avec les plugins et les thèmes. Cela peut empêcher des éléments clés de votre site Web de fonctionner.
Garder WordPress à jour est simple. Lorsque vous accédez au tableau de bord, WordPress vous indiquera si des mises à jour sont disponibles. Vous pouvez mettre à jour WordPress en cliquant sur Tableau de bord → Mises à jour .
Notez que la mise à jour de WordPress peut entraîner des problèmes de compatibilité si vos plugins ou thèmes ne prennent pas en charge la version la plus récente. Pour récupérer de cela, vous souhaiterez créer une sauvegarde de votre site avant les mises à jour majeures.
Si vous utilisez VaultPress Backup, cela ne sera pas nécessaire. Le plugin sauvegardera votre site en temps réel afin que vous disposiez d'un point de restauration disponible avant la mise à jour, au cas où vous auriez besoin de restaurer votre site.
4. Supprimez les plugins et les thèmes inutilisés
Au fur et à mesure que votre site se développe, vous aurez peut-être besoin de nouveaux plugins et pourrez même passer à un thème différent. Cela pourrait introduire davantage de vulnérabilités sur votre site. En règle générale, il est judicieux de supprimer tous les plugins ou thèmes dont vous n’avez plus besoin.
Le processus est simple.
Accédez à la page de vos plugins ou thèmes dans le tableau de bord. Ensuite, désactivez et supprimez ceux que vous n’utilisez plus.
Si vous décidez de réinstaller certains de ces plugins ultérieurement, ce n'est pas un problème. Leur installation et leur activation ne prendront que quelques minutes, mais vous devrez peut-être reconfigurer leurs paramètres.
5. Mettez à jour tous les plugins et thèmes restants
Après avoir nettoyé votre liste de plugins et de thèmes, vous souhaiterez vérifier si l'un des éléments restants de votre site nécessite des mises à jour. Les mises à jour de plugins et de thèmes peuvent être tout aussi importantes que les mises à jour principales de WordPress en termes de sécurité, car elles font partie des vecteurs d'attaques les plus courants.
WordPress vous informera de toutes les mises à jour de plugins et de thèmes disponibles lorsque vous accéderez au tableau de bord. Idéalement, vous mettrez à jour les composants de votre site dès que de nouvelles versions seront disponibles.
Vous pouvez le faire à partir des pages de plugin et de thème du tableau de bord.
Si vous êtes trop occupé pour consulter votre site tous les jours, vous pouvez activer les mises à jour automatiques pour chaque plugin. Il s'agit d'une mesure simple, mais elle peut considérablement minimiser le risque de vulnérabilités sur votre site Web.
6. Appliquez une politique de mot de passe forte
Très souvent, les violations de sites Web ne sont pas causées par des vulnérabilités WordPress mais par une erreur humaine. De nombreuses personnes utilisent des informations d’identification faibles pour se connecter à leurs sites Web, ce qui permet aux pirates d’accéder plus facilement au tableau de bord.
La meilleure façon d’éviter cela est d’appliquer une politique de mot de passe stricte. Lorsque vous créez un compte sur votre site WordPress, un mot de passe sécurisé est généré pour vous.
Si vous utilisez Jetpack, vous aurez également accès à la fonctionnalité d'authentification à deux facteurs (2FA), que vous pourrez utiliser pour protéger davantage la page de connexion.
Cela peut être très utile si vous avez plusieurs utilisateurs sur votre site (comme des auteurs et des gérants de boutique). Même si vos utilisateurs s'en tiennent à des mots de passe faibles, vous disposerez du recours au 2FA pour protéger votre site Web contre les attaquants ayant accès à ces informations d'identification (nous y reviendrons plus tard).
7. Limiter les tentatives de connexion
De manière générale, si quelqu'un ne se souvient plus de ses informations de connexion, il essaiera généralement quelques informations d'identification différentes, puis demandera une réinitialisation du mot de passe.
Si vous remarquez (via les journaux d'activité) qu'une personne essaie un grand nombre de combinaisons de nom d'utilisateur et de mot de passe, vous êtes probablement confronté à une attaque. C'est pourquoi il est judicieux de limiter le nombre de tentatives de connexion qu'un utilisateur peut effectuer au cours d'une période de temps spécifique.
Il s'agit d'une fonctionnalité disponible dans Jetpack. Le plugin offre une protection par force brute qui peut reconnaître les adresses IP malveillantes connues et les empêcher de tenter de se connecter.
La protection contre la force brute est active par défaut avec Jetpack. Vous pouvez revoir sa configuration en allant dans Jetpack → Paramètres. Ici, vous pouvez également ajouter des adresses IP autorisées, afin que Jetpack ne vous empêche pas par erreur d'accéder à la page de connexion.
8. Renforcez la sécurité de connexion avec 2FA
Une enquête récente indique que plus de 40 % des développeurs considèrent la mise en œuvre de 2FA comme leur priorité absolue. Cette mesure minimise le risque que des attaquants accèdent à votre site Web avec des informations d'identification volées.
L'authentification à deux facteurs est une fonctionnalité de sécurité essentielle, car de nombreux utilisateurs ont des mots de passe faibles ou réutilisent leurs informations d'identification sur divers sites. Avec 2FA, vous demandez à ces utilisateurs de fournir une autre forme d’authentification.
Comme nous en avons discuté, Jetpack vous permet d'utiliser 2FA pour votre site Web WordPress. Cela nécessite que les utilisateurs créent un compte WordPress.com. Ils peuvent ensuite utiliser ce compte pour se connecter à d’autres sites WordPress, même ceux qui utilisent la version open source de WordPress.
2FA est disponible avec la version gratuite de Jetpack. La fonctionnalité peut être activée ou désactivée, et vous n'avez pas besoin de modifier les paramètres avancés pour la configurer, car elle repose sur WordPress.com.
9. Supprimer les comptes d'utilisateurs inutilisés
Les comptes d'utilisateurs inactifs peuvent présenter un risque de sécurité pour votre site Web, en particulier s'ils disposent d'autorisations de haut niveau (nous en parlerons davantage dans la section suivante). Ces comptes offrent des opportunités supplémentaires de failles de sécurité, car leurs informations d'identification peuvent être compromises et partagées sur le Web.
C'est pourquoi de nombreux sites Web suppriment automatiquement votre compte s'il reste inactif pendant une longue période (après vous avoir averti, bien sûr). WordPress vous donne un contrôle total sur votre liste d'utilisateurs, ce qui signifie que vous pouvez ajouter ou supprimer des utilisateurs à volonté.
La suppression d'utilisateurs est un processus simple. Allez dans Utilisateurs → Tous les utilisateurs , recherchez le compte et sélectionnez l’option Supprimer . WordPress vous demandera une confirmation, mais l'utilisateur lui-même n'a pas besoin d'approuver la suppression du compte.
Vous souhaiterez peut-être contacter les utilisateurs avant de supprimer leurs comptes. Mais si un compte est inactif depuis des années, il devrait probablement être supprimé.
10. Attribuez le bon rôle aux utilisateurs restants
Après avoir nettoyé la liste des utilisateurs, votre prochaine étape devrait consister à vérifier les autorisations des utilisateurs restants. WordPress utilise un système de rôles simple, chaque rôle disposant d'un ensemble d'autorisations prédéterminé.
Le seul rôle utilisateur ayant un accès complet à tous les paramètres WordPress est l’administrateur. Pour des raisons de sécurité, il ne devrait y avoir qu'un seul administrateur. Les autres rôles WordPress incluent les auteurs, les éditeurs, les contributeurs et les abonnés.
Certains plugins ajoutent également de nouveaux rôles d'utilisateur avec des autorisations mises à jour.
Chaque rôle est doté d'autorisations qui permettent aux utilisateurs d'effectuer certaines tâches. Les auteurs, par exemple, peuvent publier et modifier leurs propres publications, mais pas celles créées par d'autres utilisateurs.
Idéalement, aucun utilisateur ne devrait avoir un rôle qui lui accorde plus d’autorisations que ce dont il a besoin. L'attribution de mauvais rôles peut entraîner des problèmes de sécurité, car les utilisateurs peuvent modifier les paramètres WordPress auxquels ils ne devraient pas toucher.
Il est important de revoir périodiquement la liste des utilisateurs pour garantir que chacun se voit attribuer les rôles appropriés. Cette pratique simple vous aidera à minimiser les problèmes de sécurité causés par des membres de l’équipe disposant d’autorisations incorrectes.
11. Renommez le compte « admin » par défaut
Le compte administrateur WordPress est le joyau de la couronne pour les attaquants. S'ils y accèdent, ils pourront faire tout ce qu'ils veulent sur votre site Web, y compris voler des données et implanter des logiciels malveillants.
Par défaut, WordPress utilise le nom d'utilisateur administrateur pour le compte administrateur. Vous pouvez modifier cela lors de la création du compte, mais pas après.
Si vous utilisez le nom d'utilisateur administrateur , la plupart des attaquants peuvent facilement le deviner, ce qui signifie qu'ils n'ont besoin que d'obtenir votre mot de passe. WordPress ne vous permet pas de modifier les noms d'utilisateur existants, même en tant qu'administrateur.
Pour contourner cela, vous pouvez créer un nouveau compte administrateur, avec un nom d'utilisateur plus fort, puis supprimer le premier. Notez que vous ne pouvez le faire que si vous êtes l'administrateur.
12. Changer le préfixe de base de données par défaut
Par défaut, WordPress utilise le préfixe wp_ pour les bases de données de sites. Cela permet de deviner relativement facilement le nom de la base de données, ce qui peut aider les attaquants à s'y connecter.
Vous pouvez réduire le risque que des outils d'injection SQL automatisés identifient la base de données en modifiant ce préfixe. Idéalement, vous ferez cela pendant le processus de configuration. L'assistant de configuration de WordPress vous demandera quel préfixe de base de données utiliser avant de configurer votre site Web.
Si votre site est déjà en ligne, vous devrez modifier le fichier wp-config.php pour changer le préfixe de la base de données. Connectez-vous au site Web à l'aide du protocole de transfert de fichiers (FTP) et recherchez le fichier wp-config.php dans le répertoire racine de WordPress.
Modifiez le fichier et recherchez la ligne indiquant $table_prefix = 'wp_';. Allez-y et remplacez la valeur wp_ par le préfixe que vous souhaitez utiliser. Votre client FTP doit télécharger les modifications lorsque vous enregistrez et fermez le fichier.
Maintenant, accédez à la base de données en utilisant phpMyAdmin. Sélectionnez votre base de données et utilisez le SQL en haut de l'écran pour exécuter la requête suivante pour chaque table de la base de données :
RENOMMER la table wp_xxxx TO otherprefix_xxxx ;
Voici à quoi devrait ressembler cette requête dans la vraie vie :
Il s'agit d'un processus très sensible, vous devez donc vous assurer d'avoir une sauvegarde complète du site (y compris la base de données) avant de tenter de modifier les préfixes.
Une fois le processus terminé, assurez-vous que votre site Web fonctionne correctement. Si vous rencontrez des erreurs, vous avez peut-être oublié de renommer l'une des tables de la base de données ou exécuté la mauvaise requête.
Nous gardons votre site. Vous dirigez votre entreprise.
Jetpack Security offre une sécurité complète et facile à utiliser pour les sites WordPress, comprenant des sauvegardes en temps réel, un pare-feu pour les applications Web, une analyse des logiciels malveillants et une protection anti-spam.
Sécurisez votre site13. Masquer /wp-admin et /wp-login.php
Vous reconnaissez probablement ces deux suffixes d’URL. Ils sont utilisés pour se connecter à WordPress et accéder au tableau de bord. Ils sont faciles à mémoriser, mais cela peut faciliter l'accès à votre site Web pour les pirates.
Du point de vue de la sécurité, il est plus logique d'utiliser un suffixe différent pour les deux URL. Pour commencer, vous pouvez consulter ce tutoriel sur la façon de modifier l'URL de connexion WordPress. Cela inclut des instructions pour modifier wp-login et wp-admin.php manuellement et à l'aide de plugins.
14. Installez un certificat SSL pour le cryptage des données
De nos jours, il n’y a aucune raison pour que les sites Web n’utilisent pas de certificats SSL (Secure Sockets Layer). Ces certificats valident la légitimité de votre site et vous permettent d'utiliser le protocole HTTPS pour envoyer et recevoir des données cryptées.
Certains navigateurs avertiront les utilisateurs si leur connexion à un site n'est pas sécurisée ou s'il possède un certificat SSL invalide ou expiré.
Vous pouvez suivre ce guide pour obtenir un certificat SSL gratuit pour votre site Web et l'installer. Vous pouvez également utiliser l'un des hébergeurs Web recommandés par Jetpack, qui proposent tous des certificats SSL gratuits avec configuration automatique.
15. Restreindre l'accès FTP par adresse IP
Par défaut, toute personne ayant accès aux informations d'identification FTP de votre site Web peut s'y connecter en utilisant ce protocole. Cela signifie que si des attaquants mettent la main sur vos informations d’identification, ils peuvent modifier presque tous les aspects de votre site.
Certains hébergeurs Web vous proposent des mesures de sécurité FTP avancées, comme limiter l'accès par adresse IP. Cela vous permet de choisir quelles adresses peuvent se connecter à votre site Web via FTP.
Seuls l'administrateur et les autres membres de l'équipe qui ont besoin d'un accès via FTP doivent disposer des autorisations nécessaires. Cela peut aider à minimiser les incidents de sécurité et à identifier qui a apporté des modifications aux fichiers clés si vous rencontrez des problèmes avec WordPress.
Idéalement, vous n’utiliserez pas du tout FTP et choisirez plutôt SFTP ou SSH pour accéder à votre serveur.
Ce processus varie en fonction de votre hébergeur. Si vous n'êtes pas sûr que votre fournisseur d'hébergement vous permette de restreindre l'accès FTP par adresse IP, vous pouvez consulter sa documentation.
16. Autorisations sécurisées sur les fichiers et les répertoires
Les systèmes basés sur UNIX utilisent des règles d'autorisation basées sur des ensembles de numéros. Les fichiers et répertoires individuels peuvent avoir différents ensembles d'autorisations, qui déterminent qui peut y accéder, les modifier et les exécuter.
Vous pouvez en savoir plus sur le fonctionnement des autorisations UNIX dans le manuel du développeur WordPress.
Pour l’instant, il est important de noter qu’il existe des niveaux d’autorisation idéaux pour les sites Web WordPress et leurs systèmes de fichiers.
Ceux-ci sont:
- 644 ou 640 pour les fichiers. Le premier ensemble de chiffres donne au propriétaire un accès complet en lecture et en écriture au fichier, et les autres utilisateurs du groupe n'auront qu'un accès en lecture. Le deuxième ensemble d'autorisations n'offre pas d'accès en lecture aux utilisateurs.
- 755 ou 750 pour les annuaires. Cet ensemble d'autorisations fonctionne de la même manière que le dernier exemple, mais avec des répertoires. 755 donne au propriétaire un accès complet en lecture et en écriture, les autres membres du groupe ayant un accès en lecture.
Vous pouvez modifier les autorisations de fichiers pour votre système de fichiers WordPress à l'aide de FTP. Pour ce faire, cliquez avec le bouton droit sur un fichier ou un répertoire et sélectionnez l'option d'autorisations de fichier (cela peut varier en fonction du client FTP que vous utilisez).
Certains clients FTP vous permettront de définir les autorisations de fichiers en cochant des cases spécifiques ainsi qu'en utilisant le système numérique. Vous êtes libre de choisir l'option que vous préférez.
17. Interdire l'édition de fichiers
WordPress inclut des éditeurs de fichiers de thèmes et de plugins prêts à l'emploi, bien que certains hébergeurs Web les désactivent par défaut. Il s'agit de simples éditeurs de texte que vous pouvez utiliser à partir du tableau de bord pour apporter des modifications au code des plugins et des thèmes de votre site Web.
L'activation de la modification des fichiers à partir du tableau de bord présente un risque de sécurité. Cela signifie que si les attaquants accèdent au tableau de bord, ils peuvent directement modifier le code du site sans avoir besoin d'informations d'identification FTP ni d'accès au panneau d'hébergement.
Si votre hébergeur vous permet d'utiliser l'édition de fichiers dans WordPress, vous pouvez désactiver cette option manuellement en modifiant le fichier wp-config.php . Ouvrez le fichier et ajoutez la ligne de code suivante à la fin avant la ligne qui lit /* C'est tout, arrêtez d'éditer ! Bon blog. */ :
define('DISALLOW_FILE_EDIT', true);
Assurez-vous que la valeur est définie sur « true », puis enregistrez les modifications dans wp-config.php et fermez-le. Si vous consultez le tableau de bord maintenant, les éditeurs de thèmes et de plugins ne devraient plus y apparaître.
18. Sécurisez votre fichier wp-config.php
Comme vous l'avez vu dans ce guide de renforcement de WordPress, le fichier wp-config.php est critique du point de vue de la sécurité. Vous pouvez modifier le code du fichier pour renforcer la protection de votre site Web, il est donc essentiel que personne d'autre n'y ait accès.
Nous avons déjà examiné un moyen de protéger votre fichier wp-config.php contre tout accès non autorisé. Cela implique principalement de limiter qui peut se connecter à votre site Web via FTP. Idéalement, vous ne disposerez que d'une ou d'un nombre limité d'adresses IP autorisées à vous connecter via FTP pour réduire les risques.
La deuxième mesure de sécurité que vous pouvez prendre consiste à vous assurer que les autorisations de fichiers appropriées sont en place. Alors que les niveaux d'autorisation recommandés pour les autres fichiers sont 644 ou 640, le fichier wp-config.php doit être défini sur 440 ou 400. Ces niveaux d'autorisation signifient que les autres utilisateurs que l'administrateur ne pourront même pas obtenir un accès en lecture. au fichier.
L’importance des sauvegardes pour la reprise après sinistre
L'automatisation des sauvegardes est probablement la mesure de sécurité la plus importante. Avec une sauvegarde récente hors site à portée de main, vous pouvez toujours restaurer votre site Web en cas de problème.
Si vous utilisez VaultPress Backup, vous n'avez pas à vous soucier de créer des sauvegardes manuellement. Vous pouvez vérifier les sauvegardes disponibles en accédant à Jetpack → VaultPress Backup et en cliquant sur le bouton Consultez vos sauvegardes dans le bouton cloud .
Cela vous montrera toutes les sauvegardes disponibles et vous offrira la possibilité de restaurer n'importe laquelle d'entre elles en un seul clic. VaultPress Backup crée des copies en temps réel de votre site chaque fois que vous y apportez des modifications, de sorte que vous disposerez toujours de sauvegardes récentes.
Comment Jetpack Security gère les sauvegardes pour une tranquillité d'esprit
Examinons de plus près la façon dont Jetpack Security gère les sauvegardes. Notez que les fonctionnalités suivantes ne sont disponibles qu'avec les forfaits premium tels que Jetpack Security, Jetpack Complete ou VaultPress Backup.
1. Sauvegardes en temps réel
La plupart des solutions de sauvegarde vous obligent soit à créer des sauvegardes manuellement, soit à les générer pour vous selon un planning. Par exemple, vous pourriez avoir la possibilité d'effectuer des sauvegardes quotidiennes, hebdomadaires ou mensuelles.
Les sauvegardes quotidiennes sont un bon début, mais même dans ce cas, vous courez le risque de perdre des données critiques lorsque vous devez restaurer votre site Web. Si vous avez apporté des modifications au site après cette sauvegarde quotidienne et avant la suivante, vous devrez les réimplémenter.
VaultPress Backup résout ce problème en créant des copies de votre site en temps réel. Chaque fois que vous apportez des modifications, le plugin sauvegardera les choses et vous disposerez d'un nouveau point de restauration. Cela signifie que vous ne courez aucun risque de perdre des données.
2. Stockage hors site ultra-sécurisé
Le stockage peut être un problème avec la plupart des solutions de sauvegarde. Vous pouvez stocker des copies de votre site sur son serveur, localement ou même en utilisant le stockage cloud. Les solutions hors site sont meilleures du point de vue de la sécurité, car si le serveur tombe en panne, vous y avez toujours accès.
VaultPress Backup propose sa propre solution de stockage hors site. Vous n'avez pas besoin de configurer le plugin pour qu'il fonctionne avec les fournisseurs de stockage cloud car vous avez accès au stockage Jetpack.
Le plugin stockera automatiquement les 30 derniers jours de sauvegardes hors site. À tout moment, vous pouvez sélectionner l'une de ces sauvegardes et la restaurer.
3. Restaurations en un clic
VaultPress Backup facilite la restauration de votre site Web. Tout ce que vous avez à faire est de sélectionner la sauvegarde que vous souhaitez restaurer et de confirmer votre choix, et le plugin s'occupera du reste.
Lorsque vous accéderez à nouveau à votre site Web, vous verrez la version que vous avez restaurée à l'aide de VaultPress Backup. À partir de ce moment, vous pouvez continuer à apporter des modifications au site.
Questions fréquemment posées
Si vous avez encore des questions sur la façon de protéger votre site Web WordPress ou VaultPress Backup, cette section y répondra.
Qu’est-ce que le renforcement de WordPress et pourquoi est-ce important ?
Le renforcement de WordPress fait référence au processus d'augmentation de la sécurité de votre site. Cela rend plus difficile l’accès au site Web pour les attaquants.
Quelles sont les menaces les plus courantes qui pèsent sur les sites WordPress ?
La plupart des vulnérabilités WordPress proviennent de plugins, de thèmes et du noyau WordPress obsolètes. Les logiciels obsolètes sont plus susceptibles de présenter des vulnérabilités que les attaquants peuvent exploiter pour accéder à votre site Web ou en prendre le contrôle.
Comment puis-je surveiller mon site WordPress pour détecter les failles de sécurité ?
Le moyen le plus simple de surveiller les vulnérabilités de votre site consiste à utiliser un scanner de sécurité. Jetpack Security exploite WPScan pour examiner votre site Web à la recherche de vulnérabilités WordPress connues.
De plus, Jetpack peut vous aider à résoudre tous les problèmes de sécurité détectés par le plugin lors des analyses.
Que dois-je rechercher dans un plugin de sécurité WordPress ?
Les meilleurs plugins de sécurité WordPress offrent un ensemble de fonctionnalités qui aideront à protéger votre site Web tout en minimisant le besoin d'autres outils tiers. Vous pouvez utiliser Jetpack avec le plan Jetpack Security pour accéder à des fonctionnalités telles que les sauvegardes en temps réel, un WAF, la protection anti-spam, la mise en œuvre de 2FA, etc.
Combien de sites font confiance à Jetpack pour la sécurité de leur site Web ?
Jetpack est l'un des plugins WordPress les plus populaires du marché en raison de sa richesse en fonctionnalités de sécurité et d'optimisation des performances. Plus de cinq millions de sites Web utilisent Jetpack, c'est donc un excellent choix pour les utilisateurs WordPress nouveaux et expérimentés.
Jetpack Security peut-il également vous aider avec les commentaires indésirables et les soumissions de formulaires ?
Jetpack Security comprend des fonctionnalités de protection anti-spam qui bloquent ou filtrent automatiquement les commentaires spammés en fonction d'algorithmes et de données avancés. Vous pouvez également examiner les commentaires signalés pour vous assurer qu’il n’y a pas de faux positifs.
Où puis-je en savoir plus sur la sécurité Jetpack ?
Si vous souhaitez en savoir plus sur Jetpack Security, vous pouvez visiter la page d'accueil du plan. Vous pouvez y trouver des informations supplémentaires sur ses fonctionnalités et vous inscrire à un plan.
Protégez votre site Web avec Jetpack Security
Il existe de nombreuses façons de renforcer votre site WordPress. Certaines d'entre elles impliquent la mise en œuvre de mesures de sécurité telles que la modification des URL de connexion et du tableau de bord par défaut, la sécurisation de votre fichier wp-config.php , etc. Dans la majorité des cas, cependant, la chose la plus efficace que vous puissiez faire pour protéger votre site est d’utiliser un plugin de sécurité tout-en-un.
Jetpack Security est une solution puissante. Il vous permet de protéger votre page de connexion et de défendre votre site contre les attaques DDOS. Il fournit également des sauvegardes en temps réel, une protection des spams et bien plus encore.
Si vous ne savez pas par où commencer en ce qui concerne le durcissement WordPress, consultez la sécurité de Jetpack. Vous pouvez vous inscrire à un plan et commencer à protéger votre site Web immédiatement!