10 Hacks de sécurité WordPress innovants pour protéger votre site Web
Que vous possédiez un blog personnel ou un site Web critique pour l’entreprise contenant des données sensibles, vous devez mettre l’accent sur sa sécurisation dans toute la mesure du possible. Pour empêcher un visiteur malveillant d’accéder à votre site Web, il est essentiel de préparer une liste de contrôle de sécurité et d’effectuer des audits de sécurité périodiques.
Cela dit, un système sécurisé à cent pour cent est pratiquement impossible à configurer car il y a toujours la probabilité que de nouvelles «menaces» émergent à l’improviste. Bien qu’il ne soit pas possible d’éliminer complètement le risque de failles de sécurité, suivre un ensemble de bonnes pratiques peut vous aider à minimiser les vulnérabilités potentielles.
Lorsqu’il s’agit de sécuriser un site Web WordPress, vous n’aurez que l’embarras du choix en ce qui concerne la disponibilité des ressources. Il existe de nombreux conseils, ajustements et tutoriels publiés sur une multitude de sites Web et de blogs. Cependant, en y regardant de plus près, vous pourriez être déçu par le manque de substance. Les mesures de sécurité WordPress répertoriées sur la plupart de ces sites Web sont de nature très basique. Qu’il s’agisse de la mise à niveau vers la version la plus récente de WordPress, de la planification de sauvegardes périodiques ou de l’utilisation d’un mot de passe administrateur très complexe, vous avez peut-être déjà mis en œuvre toutes ces mesures fondamentales. De toute évidence, la question qui vous vient à l’esprit est «Quelle est la prochaine étape ?
Ce tutoriel est destiné à donner une réponse définitive à votre question. Voici dix mesures de sécurité innovantes qui peuvent vous aider à garder le contrôle d’un site Web WordPress sous votre garde. Passons maintenant aux détails.
1 Utilisez l’authentification à deux facteurs :
Lorsque vous implémentez l’authentification à deux facteurs, une personne essayant de se connecter à votre tableau de bord WordPress devra saisir un OTP (mot de passe à usage unique) généré aléatoirement, en plus du nom d’utilisateur et du mot de passe standard. Les fonctions cryptographiques sont utilisées pour générer l’OTP en temps réel et il est envoyé uniquement au destinataire prévu sur un appareil de communication via une passerelle sécurisée. Le téléphone portable est le dispositif de communication le plus largement utilisé à cette fin.
Ainsi, même si un pirate parvient à voler votre nom d’utilisateur et votre mot de passe, il ne pourra toujours pas accéder à votre panneau d’administration WordPress sans le mot de passe à usage unique.
Comment implémenter l’authentification à deux facteurs ?
Vous pouvez utiliser n’importe quel plug-in de génération OTP pour implémenter une authentification à deux facteurs sur votre site Web WordPress. Des plugins commerciaux et gratuits sont disponibles sur le marché. Deux plugins recommandés qui sont librement disponibles sur le référentiel WordPress sont :
Les deux plugins sont très faciles à configurer, même pour un webmaster débutant. Une documentation détaillée sur l’installation et la configuration peut être trouvée sur les pages de plugin respectives.
2 Désactiver l’édition du fichier de modèle via le tableau de bord WP
Un utilisateur WordPress disposant d’un accès administratif peut modifier les fichiers de modèle de votre site Web en accédant à Apparence > Éditeur. Dans le cas où un visiteur avec une intention malveillante parvient à pirater vos informations d’identification d’utilisateur administrateur, il peut également apporter les modifications souhaitées à ces fichiers directement depuis votre tableau de bord WordPress. Pour éviter une telle occurrence, vous pouvez désactiver l’édition de fichiers à partir du tableau de bord WordPress.
Comment désactiver l’édition du fichier de modèle ?
Afin de désactiver l’édition de fichiers via l’éditeur de tableau de bord, vous devez ajouter une ligne de code au fichier de configuration de votre site Web WordPress. Accédez au programme de gestion de fichiers disponible sur le panneau de contrôle de votre hébergement et accédez au répertoire racine. Ouvrez le fichier wp-config.php dans un éditeur de texte et ajoutez la ligne de code suivante au bas du fichier.
define( 'DISALLOW_FILE_EDIT', true );3 Masquer les commentaires d’erreur de connexion des visiteurs
À quoi sert-il d’afficher les journaux d’erreurs à vos visiteurs ? Absolument rien. Lorsque quelque chose ne va pas, vous seul, l’utilisateur administrateur, devez le savoir. Pour aggraver les choses, en rendant public le retour d’erreur, vous donnez en fait juste assez d’indices à un visiteur techniquement expert pour essayer de pirater votre site Web.
Comment arrêter d’afficher les commentaires d’erreur ?
Il existe une méthode simple pour empêcher les commentaires d’erreur de connexion WordPress d’être affichés publiquement. Après vous être connecté à votre panneau d’administration WordPress, accédez à Apparence > Éditeur. Ouvrez le fichier functions.php du thème actif et placez l’extrait de code suivant n’importe où dans le fichier.
add_filter('login_errors',create_function('$a', "return null;"));4 Supprimer l’utilisateur ‘admin’
Le compte d’utilisateur administratif par défaut qui est créé automatiquement au moment de l’installation de WordPress est «admin ». C’est aussi la zone la plus vulnérable en ce qui concerne la sécurité de WordPress, qui est le plus souvent exploitée par les pirates. Donc, supprimer ce compte "administrateur" par défaut et gérer votre site Web à partir d’un autre compte "pseudo" administrateur est une très bonne idée pour tenir les pirates à distance. À tout le moins, cela rendra la vie un peu plus difficile pour tout pirate informatique potentiel.
Comment supprimer l’utilisateur ‘admin’ par défaut ?
Cette activité peut être réalisée à deux étapes différentes comme décrit ci-dessous :
- Lors de l’installation de WordPress: S’il s’agit d’un nouveau compte d’hébergement sur lequel vous souhaitez créer votre site Web WordPress, vous pouvez vous débarrasser de l’utilisateur «admin» lors de l’installation de WordPress. Sur le premier écran d’installation, vous obtenez des options configurables par l’utilisateur. Le nom d’utilisateur est l’un de ces éléments que vous êtes autorisé à modifier. Avant de cliquer sur le bouton "Installer" situé en bas de votre écran, remplacez simplement le nom d’utilisateur par défaut "admin" par le nom que vous préférez. Procédez ensuite au processus d’installation comme vous le feriez normalement.
- Pour une installation WordPress existante: Lorsque vous avez déjà un site WordPress existant, vous devez d’abord vous connecter avec votre compte ‘admin’ et créer un nouveau compte utilisateur. Assurez-vous que vous fournissez au nouvel utilisateur des privilèges administratifs complets. Déconnectez-vous ensuite du compte ‘admin et reconnectez-vous à l’aide du compte utilisateur nouvellement créé. Accédez à l’onglet "Utilisateurs" de votre tableau de bord WordPress et supprimez le compte d’utilisateur "admin". Vous pouvez maintenant gérer votre tableau de bord avec l’utilisateur administratif nouvellement créé.
5 Masquer le numéro de version de WordPress
Chaque version de WordPress présente quelques vulnérabilités qui sont généralement corrigées lors de la sortie de la version suivante. Si un pirate parvient à identifier la version de WordPress que vous utilisez, il peut facilement l’associer à une faiblesse connue et l’exploiter pour prendre le contrôle de votre site Web. Pour éviter un tel scénario, vous pouvez demander au fichier de fonctions WordPress de ne pas divulguer le numéro de version.
Comment masquer le numéro de version WP ?
Habituellement, le numéro de version de WordPress est inséré dans le fichier d’en-tête de votre thème via la fonction ‘wp-head()’. Cependant, supprimer la fonction n’est pas une solution, car la même fonction peut également être utilisée par certains des plugins que vous avez installés. Au lieu de cela, une meilleure alternative consiste à ajouter l’extrait de code ci-dessous à votre fichier functions.php.
remove_action('ks29so_head','ks29so_generator');6 Bloquer l’accès aux robots
Les robots sont des outils automatisés programmés par ordinateur utilisés par les pirates pour prendre le contrôle de votre site Web. Ces programmes automatisés peuvent également utiliser vos ressources d’hébergement Web pour effectuer d’autres activités au nom du pirate. En empêchant les robots d’accéder à vos pages Web et à vos répertoires, vous pouvez renforcer votre emprise sur l’administration du site Web.
Comment empêcher les bots d’accéder à votre site Web ?
La réécriture de mod est un remède efficace pour bloquer l’accès des bots. À l’aide de n’importe quel programme d’édition de texte, ouvrez le .htaccessfichier ‘ ‘ présent dans votre répertoire racine WordPress. Faites défiler vers le bas du fichier, insérez l’extrait de code mentionné ci-dessous, puis enregistrez le fichier au même emplacement. Assurez-vous que vous ne modifiez pas le nom du fichier.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out7 Utiliser les autorisations de fichier/dossier appropriées
Les autorisations de fichiers ne sont rien d’autre qu’une méthode de restriction d’accès. En utilisant des paramètres d’autorisation de fichier appropriés, vous pouvez empêcher les visiteurs d’accéder aux fichiers de configuration importants résidant dans votre répertoire d’installation WordPress.
Comment implémenter la restriction d’accès ?
Vous trouverez ci-dessous les paramètres d’autorisation de fichiers et de dossiers recommandés pour votre site Web WordPress :
La valeur CHMOD pour tous les fichiers de données doit être définie sur 644.
La valeur CHMOD pour tous les dossiers et sous-dossiers doit être définie sur 755.
La valeur CHMOD pour le fichier de configuration WordPress (wp-config.php) doit être définie sur 640.
8 Limiter les tentatives de connexion des utilisateurs :
Selon toute probabilité, un pirate devrait utiliser différentes combinaisons de nom d’utilisateur et de mot de passe pour pénétrer dans votre panneau d’administration WordPress. À moins qu’il n’y ait une limite au nombre de tentatives de connexion infructueuses, un pirate peut continuer aussi longtemps qu’il le faudra pour trouver la bonne combinaison nom d’utilisateur-mot de passe.
Comment limiter les tentatives de connexion ?
Le moyen le plus simple de limiter les tentatives de connexion des utilisateurs consiste à utiliser un plugin open source, Limit Login Attempts. Il peut être téléchargé gratuitement à partir du référentiel WordPress Plugins. Après avoir installé et activé le plug-in, vous pouvez spécifier le nombre d’échecs de connexion qu’un utilisateur est autorisé à tenter pendant une certaine période.
9 Utiliser le mode SSL pour les sessions de connexion
Forcer votre site Web WordPress en mode SSL pour la connexion garantit un transfert de données sécurisé entre le navigateur Web de l’utilisateur et votre serveur. Le navigateur Web crypte le nom d’utilisateur et le mot de passe avant de les envoyer à votre système serveur via un canal sécurisé lorsque SSL est utilisé.
Comment utiliser le mode SSL pour toutes les connexions ?
Tout d’abord, vous devez avoir un certificat SSL valide installé sur votre serveur Web. Afin de forcer le mode SSL pour toutes les connexions utilisateur, vous devez définir les préférences de connexion SSL sur votre fichier de configuration WordPress (wp-config.php). Vous pouvez soit forcer le mode SSL uniquement pour l’utilisateur administrateur, soit activer cette fonctionnalité pour toutes les connexions. Accédez à votre répertoire racine et ouvrez le fichier wp-config.php. Ajoutez ensuite l’un des extraits de code ci-dessous en fonction de vos besoins.
Uniquement pour les sessions de connexion administrateur :
define('FORCE_SSL_ADMIN', true);Pour toutes les sessions de connexion utilisateur :
define('FORCE_SSL_LOGIN', true);10 Désactiver l’accès au dossier ‘wp-content’
Toutes les images et tous les fichiers multimédias que vous téléchargez sur votre site Web WordPress sont stockés dans le dossier ‘wp-content’. Il contient également tous les fichiers du plugin. Les pirates peuvent l’utiliser comme point d’entrée pour injecter des éléments nuisibles sur votre site Web. Une autre activité contraire à l’éthique qui peut être effectuée via le même canal est le vol de bande passante. Il est donc fortement recommandé de bloquer l’accès public à ce répertoire.
Comment désactiver l’accès aux fichiers multimédias et aux plugins ?
Vous pouvez ajouter une règle à votre .htaccessfichier pour empêcher l’accès à tous les types de fichiers disponibles dans le dossier ‘wp-content’. Gardez à l’esprit que les fichiers CSS et JavaScript, ainsi que les images (jpg, png, gif), sont les plus susceptibles d’être exploités par les pirates.
Order Allow,Deny
Deny from all
<files ?.(jpg|gif|png|js|css)$? ~>
Allow from allConclusion:
Chaque jour qui passe, les pirates inventent de nouvelles techniques pour prendre le contrôle de votre site Web et de votre entreprise. Cela ne sert à rien de s’en tenir à ce que les «autres» font depuis des lustres. Pour éliminer la possibilité de faire pirater votre site Web WordPress, vous devez rester un cran au-dessus et être plus intelligent que votre ennemi juré.