Sécurisation de votre site Web WordPress – Un aperçu

Publié: 2020-08-25
Securing Your WordPress Website

Introduction

WordPress est un outil de création de site Web, connu sous le nom de système de gestion de contenu ( CMS ), qui facilite la création de sites Web beaux et puissants sans avoir besoin de connaître quoi que ce soit sur HTML, PHP ou toute autre technologie Web. Cette flexibilité et cette puissance ont rendu WordPress incroyablement populaire. C'est maintenant le CMS numéro un alimentant plus de 455 000 000 sites Web ou 35 % de l'ensemble d'Internet ! Si vous voulez que votre site Web soit élégant, qu'il dispose de toutes les fonctionnalités dont vous pourriez avoir besoin et qu'il utilise les outils de référencement les plus puissants disponibles, WordPress vous le propose.

La popularité de WordPress a créé un écosystème incroyablement riche de thèmes, plugins et outils qui étendent et améliorent tous les aspects de votre site WordPress avec facilité. Malheureusement, cette popularité fait également de WordPress une cible attrayante pour les pirates. Cela se produit pour plusieurs raisons connexes. Premièrement, avec 455 millions de sites exécutant WordPress, si un pirate peut découvrir un exploit, il peut potentiellement pénétrer dans près d'un demi-milliard de sites Web et prendre ce qu'il veut.

Deuxièmement, parmi le grand nombre d'addons et de plugins, certains ne sont pas très bien écrits, mal entretenus, voire abandonnés par leurs auteurs. Cela offre aux pirates un point d'entrée beaucoup plus facile vers un site Web WordPress que le noyau WordPress renforcé. Le nombre massif de sites WordPress signifie que même un plugin relativement impopulaire peut encore être utilisé sur de très nombreux sites Web WordPress.

Dans cet article, nous examinerons les bases de la sécurisation d'un site Web WordPress afin que vous puissiez profiter de la puissance de WordPress sans en subir les inconvénients.

Rester à jour

Le monde de la technologie progresse incroyablement rapidement et cela inclut WordPress et la technologie qui le prend en charge. Lorsque vous visitez un site WordPress, il existe un grand nombre de logiciels qui fonctionnent tous de concert pour activer le site Web que vous consultez. Ces progiciels peuvent être regroupés grossièrement dans les couches suivantes :

  1. Système opérateur
  2. Noyau WordPress
  3. Plugins et thèmes WordPress

Chacune de ces couches dépend de la couche numérotée inférieure pour fonctionner correctement et en toute sécurité. Aucun logiciel n'est parfaitement écrit, ce qui signifie que des bogues sont constamment découverts dans les packages déployés. De plus, des versions nouvelles et améliorées de progiciels sont créées par leurs auteurs pour ajouter des fonctionnalités et des fonctionnalités.

Tout cela signifie que les administrateurs WordPress doivent rester au courant de chaque mise à jour disponible pour leur système d'exploitation et leur installation WordPress. Comme vous pouvez l'imaginer, cela prend beaucoup de temps et, malheureusement, des connaissances parfois très techniques lorsque les choses tournent mal. Il existe des outils qui facilitent certaines parties de cela, mais qui ne sont pas infaillibles.

Jetez un œil à notre article Restez en sécurité et gardez votre WordPress à jour pour de nombreuses informations sur la façon de maintenir votre site Web WordPress à jour.

Bloquer les pirates et les bots

Un site Web, presque par définition, doit « parler » à Internet. Cela signifie que, dans un monde idéal, n'importe qui peut faire une demande polie et bien formée pour une page Web et votre site Web WordPress répondra en renvoyant la page. Vous avez peut-être remarqué que nous ne vivons pas dans un monde idéal et, par conséquent, les pirates, les criminels et les script kiddies essaieront toutes les techniques auxquelles ils peuvent penser pour abuser de votre site Web WordPress pour le pénétrer ou le défigurer.

De la même manière que vous avez une porte d'entrée solide et verrouillée sur votre maison pour empêcher les cambrioleurs d'entrer par effraction, vous pouvez créer une barrière de réseau solide devant votre site Web WordPress qui empêchera les pirates de détruire votre site.

L'avantage que vous avez en tant qu'administrateur est que les attaquants peuvent contrôler exactement quel trafic réseau peut accéder à votre site WordPress. Vous pouvez déployer des outils efficaces pour filtrer le trafic qui arrive sur votre serveur et filtrer et éliminer tout trafic malveillant et ainsi protéger votre site Web WordPress.

Les trois outils de filtrage de trafic suivants surveilleront différentes propriétés du trafic réseau arrivant sur votre site Web WordPress :

  1. Pare-feu de filtrage de paquets.
  2. Firewall d'applications Web.
  3. Bruteforce et surveillance des bots.

Le premier outil, un filtre de paquets, est ce à quoi la plupart des gens pensent lorsqu'ils entendent le mot « pare-feu ». Cet outil de sécurité examine les propriétés du trafic réseau à un niveau très basique. Ces propriétés sont des choses comme le port auquel le paquet est destiné, son origine, le protocole du paquet, et bien d'autres. Le pare-feu conserve une liste des propriétés autorisées et bloquées et rejettera tous les paquets qui enfreignent ces règles. Vous pouvez affiner ces règles pour répondre à toutes les menaces visant à sécuriser votre serveur.

Le deuxième outil, un pare-feu d'application Web (WAF), fonctionne en examinant les requêtes Web entrantes et en s'assurant qu'aucune requête malformée de manière malveillante n'est autorisée à être traitée par WordPress. De nombreuses attaques reposent sur la création délibérée de requêtes non standard ou de requêtes pour des fichiers WordPress sensibles. Un WAF rejettera ces demandes et n'autorisera que les demandes authentiques et correctement formatées.

Les derniers outils, un détecteur de force brute et de bot, arrêteront les attaques par force brute contre votre site WordPress. Une attaque par force brute se produit lorsqu'un attaquant tente de se connecter à votre site Web WordPress en soumettant des milliers de combinaisons de noms d'utilisateur et de mots de passe dans l'espoir de deviner une paire de travail. La protection Bruteforce remarquera ces nombreuses tentatives de connexion infructueuses et bannira automatiquement la personne ou le bot qui fera plus de tentatives.

Si vous avez un site Web WordPress, vous devez absolument installer, configurer et maintenir ces trois outils de sécurité réseau. Tirer le meilleur parti de ces outils et atteindre le plus haut niveau de sécurité pour votre site est un défi.

Analyse des logiciels malveillants

Malware est un nom fourre-tout pour tout logiciel ayant une intention malveillante ou criminelle. Les logiciels malveillants se présentent sous de nombreuses formes et tailles et peuvent facilement se retrouver sur votre site Web WordPress. La complexité de WordPress signifie qu'il existe une variété de façons dont vous pouvez vous retrouver avec des logiciels malveillants sur votre site. Cependant, le plus populaire parmi les pirates consiste à utiliser un plugin ou un thème. Cela peut être dû à l'inclusion délibérée d'un code malveillant par un pirate informatique, mais il s'agit plus probablement d'une simple erreur de codage. Une petite erreur de codage difficile à trouver peut permettre à des attaquants d'exploiter un script PHP pour placer un code malveillant sur votre site.

De toute évidence, il est essentiel de maintenir à jour tout le code de votre site Web WordPress pour bloquer ces attaques, car les bogues seront corrigés et le code malveillant supprimé s'il est trouvé. Cependant, les mises à jour ne peuvent résoudre que les problèmes qui ont été identifiés. Cela laisse encore de nombreux problèmes activement exploités par des criminels qui n'ont pas encore été corrigés ou vous n'avez pas encore appliqué la mise à jour.

C'est pourquoi une analyse efficace des logiciels malveillants est essentielle. Une bonne analyse des logiciels malveillants fonctionnera comme un scanner antivirus sur votre ordinateur portable. Il doit analyser en permanence votre site Web WordPress et examiner chaque fichier qu'il trouve par rapport à une liste de logiciels malveillants à jour et mettre en quarantaine tous les logiciels malveillants qu'il trouve.

L'installation, la configuration et la maintenance d'un scanner de logiciels malveillants efficace n'est pas une mince affaire. Il n'est efficace que s'il est tenu à jour et exécuté fréquemment. S'il est autorisé à devenir obsolète, votre site Web WordPress risque d'être compromis.

Jetez un œil à notre article sur l'analyse des logiciels malveillants Logiciels malveillants et WordPress - Keep It Clean pour un aperçu complet de la façon dont les logiciels malveillants infectent WordPress et ce que vous pouvez faire à ce sujet.

Comment suis-je censé faire tout cela ?

Si vous utilisez votre site Web WordPress comme passe-temps, l'installation, la configuration, la maintenance et la réparation des outils qui résolvent ces problèmes de sécurité peuvent être une excellente expérience d'apprentissage. Après tout, vous n'avez pas vraiment grand-chose à perdre si vous vous trompez.

Cependant, si votre site Web WordPress est essentiel à la mission et que vous n'avez pas l'expérience et les connaissances spécifiques au domaine pour tout sécuriser, vous devriez rechercher une solution d'hébergement WordPress experte et gérée comme Rocket. Rocket déploie automatiquement et en continu des outils de sécurité de pointe et prend en charge la sécurité de votre site WordPress pour vous pour chaque niveau de leurs instances WordPress.

Inscrivez-vous simplement, lancez un site Web WordPress et plongez directement dans la création d'un magnifique site WordPress.