Effectuer un guide d'audit de sécurité WordPress

Publié: 2020-08-25

Commençons par dire que WordPress est assez sécurisé. Cependant, si vous pensez qu'il y a quelque chose de suspect avec votre site Web, vous voudrez effectuer un audit de sécurité WordPress . La vérité est que, malheureusement, la plupart des sites Web rencontrent tôt ou tard une sorte de problème de sécurité. Et cela met non seulement votre site Web en danger, mais également les informations potentiellement sensibles des utilisateurs. Afin de les prévenir, passons en revue les principales étapes de réalisation d'un audit de sécurité WordPress de votre site web.

Pourquoi il est important d'effectuer régulièrement un audit de sécurité WordPress sur votre site Web

De nombreux propriétaires de sites Web ne pensent pas vraiment à la sécurité du site Web tant qu'il n'est pas déjà compromis. Vous voulez vous assurer de faire ce qui est en votre pouvoir pour prévenir une éventuelle faille de sécurité. Lorsque vous effectuez des audits de sécurité WordPress, vous révisez vos politiques et les renforcez. Il serait bon d'effectuer des audits de sécurité au moins une fois par an, ou plus régulièrement, en fonction de la taille de votre site Web et du type d'informations utilisateur. Cependant, même dans le cas où vous avez effectué l'audit récemment, vous voudrez le répéter dans ces situations :

  • Vous trouvez des comptes suspects sur votre site Web ou des tentatives de connexion suspectes
  • Si vous subissez une baisse soudaine du trafic
  • Votre site Web est devenu lent tout d'un coup
  • Vous pouvez voir des liens suspects

Comment mener un audit de sécurité de site Web

Si vous souhaitez aller plus loin, les audits de sécurité peuvent inclure de nombreuses autres étapes. Cependant, un audit de sécurité complet doit inclure ces principales étapes :

  • Assurez-vous que WordPress, les plugins et les thèmes sont à jour
  • Supprimez les fichiers, les thèmes et les plugins dont vous n'avez pas besoin
  • Assurez-vous que votre solution de sauvegarde fonctionne
  • Analyser les comptes utilisateurs
  • Renforcez la sécurité de votre mot de passe
Sécurité.
Effectuez un audit WordPress correctement et régulièrement

Les mises à jour sont cruciales

Il est très important de s'assurer que votre logiciel de base WordPress est à jour, tout comme de vous assurer de mettre à jour régulièrement les plugins et les thèmes. Et ce n'est pas seulement une question de stabilité de votre site Web, mais aussi de sécurité . Dans n'importe quel logiciel, des vulnérabilités peuvent apparaître et les développeurs les corrigent en publiant une mise à jour contenant un correctif de sécurité. Le processus est simple, vous devez visiter le tableau de bord et choisir la page Mises à jour.

Supprimez les thèmes et les plugins que vous n'utilisez plus

Nous aimons tous les thèmes et les plugins. Mais combien de plugins est un de trop ? Et qu'en est-il des plugins que nous avons installés, pour constater que nous ne les aimons pas vraiment ? Parfois, nous les désactiverons simplement et les laisserons rester sur le serveur. Mais, ce que vous voulez vraiment, vous devriez les désinstaller . Les anciens fichiers de thème et plugins peuvent entraîner des problèmes de sécurité sur votre site Web, et il n'y a aucune raison pour que vous ne l'empêchiez pas. La solution est assez simple - allez dans les onglets Thèmes et Plugins et décidez lequel d'entre eux vous avez besoin. Si certains d'entre eux n'ont pas été actifs depuis un certain temps, il y a de fortes chances que vous n'en ayez pas vraiment besoin. De plus, une fois que vous les avez désinstallés, assurez-vous qu'il ne reste aucun fichier.

plugins WordPress.
Avant d'installer d'autres plugins, supprimez ceux que vous n'utilisez pas

Configurez et testez votre sauvegarde WordPress

La partie importante de l'audit de sécurité WordPress est de s'assurer que vous disposez de la sauvegarde de votre site Web, au cas où quelque chose tournerait mal. Cependant, beaucoup de débutants oublient la prise de secours après l'avoir configurée. La première sauvegarde peut prendre un certain temps car l'intégralité de votre site Web est en cours de copie. Les prochaines sauvegardes seront beaucoup plus rapides puisque seules les modifications seront copiées. Mais, après un certain temps, les plugins de sauvegarde peuvent cesser de fonctionner, vous devez donc vous assurer que votre plugin enregistre toujours vos sauvegardes . Testez votre sauvegarde de temps en temps, pour vous assurer que tout est en ordre. De cette façon, si quelque chose se produit, vous pourrez restaurer votre sauvegarde et votre site reviendra à la normale.

Deux types de sites Web

En cliquant sur la page Utilisateurs et Tous les utilisateurs, vous pouvez voir tous les comptes d'utilisateurs. Dans le premier cas, si votre site nécessite une inscription, vous pourrez voir de nombreux comptes d'utilisateurs ici. Si vous gagnez un site Web d'entreprise ou un blog et que votre site Web ne nécessite pas d'inscription, vous ne trouverez peut-être qu'un ou quelques comptes d'utilisateurs sur cette page. Avec ces sites Web, vous voulez aller dans Paramètres et vous assurer que sur la page Général, l'option "Tout le monde peut s'inscrire" est décochée. Dans ces deux cas, si vous trouvez un compte d'utilisateur suspect ou inactif, vous voudrez peut-être le supprimer.

Analyser les comptes utilisateurs

Vous devez également savoir que WordPress autorise six rôles différents que vous pouvez attribuer à vos utilisateurs : abonné, contributeur, auteur, éditeur, administrateur et super administrateur. Assurez-vous d'attribuer ces rôles correctement, car tous les utilisateurs n'ont pas besoin d'avoir le même niveau d'autorisation. Analysez les comptes utilisateurs en :

  • Vérification du nombre d'utilisateurs disposant d'un accès administrateur
  • Lorsque vous effectuez un audit de sécurité WordPress, assurez-vous que les rôles appropriés sont attribués aux utilisateurs
  • S'assurer que vous reconnaissez les utilisateurs sur la page et supprimez les utilisateurs qui semblent suspects
  • S'assurer que les administrateurs n'utilisent pas le nom d'utilisateur "admin" car les pirates pourraient exploiter cela
Un rédacteur WordPress, un rôle qui n'effectuera pas d'audit de sécurité WordPress.
Les écrivains et autres rôles n'ont pas besoin d'avoir un privilège complet

Vous pouvez remarquer que le nom d'utilisateur évident n'est pas la meilleure idée. Pour le changer, vous devrez supprimer le compte et créer un nouveau compte avec les mêmes privilèges accordés. Comme il s'agit d'un long processus, vérifiez si un plugin peut vous aider à changer votre nom d'utilisateur sans lui. En ce qui concerne votre mot de passe, un mot de passe complexe est toujours préféré, et gardez à l'esprit que l'autorisation à deux facteurs rendra votre mot de passe plus fort. Si vous ne savez pas comment changer votre nom d'utilisateur et votre mot de passe WordPress, cet article vous sera utile.

Il y a plus d'étapes à suivre si vous souhaitez effectuer un audit de sécurité WordPress encore plus approfondi. Cependant, ce sont les principales étapes que vous devez toujours inclure dans les pratiques de sécurité de votre site Web. Si vous consacrez quelques heures à chaque vérification, vous protégerez votre site Web plus efficacement et éviterez certains problèmes de sécurité.