\n Cette citation est assez bonne pour vous donner une id\u00e9e des probl\u00e8mes de s\u00e9curit\u00e9 qui se produisent partout dans le monde. En fait, la s\u00e9curit\u00e9 des sites Web est un sujet qui donne des nuits blanches aux propri\u00e9taires de sites depuis longtemps. Personne n’a \u00e9t\u00e9 en mesure d’atteindre une s\u00e9curit\u00e9 \u00e0 100 % pour son site d’entreprise.\n<\/p>\n
\n Selon une enqu\u00eate men\u00e9e par Juniper Research, la cybercriminalit\u00e9 co\u00fbtera aux entreprises plus de 2 000 milliards de dollars d’ici 2019. Il s’agit d’une statistique alarmante qui montre que la s\u00e9curisation quotidienne d’un site Web devient tr\u00e8s difficile. En m\u00eame temps, vous devez trouver les moyens de s\u00e9curiser votre site, car il contient vos donn\u00e9es les plus importantes ainsi que les informations sensibles.\n<\/p>\n
\n Comme vous le savez tous, WordPress alimente 31 % d’Internet et, par cons\u00e9quent, il est tr\u00e8s clair que la plate-forme WordPress sera confront\u00e9e au plus grand nombre de probl\u00e8mes de s\u00e9curit\u00e9 Web. La plupart des utilisateurs font confiance \u00e0 cette merveilleuse plate-forme et c’est pourquoi ils ont construit leurs sites commerciaux sur celle-ci.\n<\/p>\n
\n Cependant, selon une \u00e9tude men\u00e9e par Sucuri, WordPress est la plateforme de site Web la plus infect\u00e9e pour l’ann\u00e9e 2018.\n<\/p>\n
\n Par cons\u00e9quent, il devient important pour vous tous d’\u00eatre conscients des diverses vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de WordPress et des moyens de les corriger. Alors, commen\u00e7ons et analysons chaque vuln\u00e9rabilit\u00e9 une par une.\n<\/p>\n
\n\n Il existe deux types d’entreprises: celles qui ont \u00e9t\u00e9 pirat\u00e9es et celles qui ne savent pas encore qu’elles ont \u00e9t\u00e9 pirat\u00e9es.\n <\/p>\n
\n \u2013 John Chambers\n <\/p>\n<\/blockquote>\n
\n Top 10 des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de WordPress\n<\/p>\n
\n
- H\u00e9bergement Web non s\u00e9curis\u00e9\n <\/li>\n
- Utilisation d’un mot de passe faible\n <\/li>\n
- Ne pas mettre \u00e0 jour WordPress\n <\/li>\n
- Injection SQL\n <\/li>\n
- Oublier de s\u00e9curiser le fichier de configuration de WordPress\n <\/li>\n
- Ne pas mettre \u00e0 jour les plugins ou les th\u00e8mes\n <\/li>\n
- Utilisation du FTP simple\n <\/li>\n
- Ne pas changer le pr\u00e9fixe de table WordPress\n <\/li>\n
- Logiciels malveillants\n <\/li>\n
- Autorisations de fichier incorrectes\n <\/li>\n<\/ol>\n
\n 1 H\u00e9bergement Web non s\u00e9curis\u00e9
\n<\/h4>\n\n C’est peut-\u00eatre l’une des principales raisons pour lesquelles les sites Web WordPress sont facilement infect\u00e9s. Comme tous les autres sites Web, le site Web WordPress est \u00e9galement h\u00e9berg\u00e9 sur le serveur. Parfois, ce qui se passe, c’est que les soci\u00e9t\u00e9s d’h\u00e9bergement ne s\u00e9curisent pas leur plate-forme. Dans ce genre de sc\u00e9nario, il y a toutes les chances que votre site Web WordPress soit attaqu\u00e9 par un \u00e9tranger.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n Le meilleur moyen de r\u00e9soudre ce probl\u00e8me consiste \u00e0 h\u00e9berger votre site Web WordPress sur certaines des meilleures plates-formes d’h\u00e9bergement. Voici une liste des meilleurs fournisseurs d’h\u00e9bergement WordPress que vous pouvez utiliser pour le site Web de votre entreprise.\n<\/p>\n
\n Meilleurs fournisseurs d’h\u00e9bergement WordPress\n<\/p>\n
\n
- Bluehost\n <\/li>\n
- HostGator\n <\/li>\n
- SiteGround\n <\/li>\n
- DreamHost\n <\/li>\n
- H\u00e9bergement InMotion\n <\/li>\n<\/ul>\n
\n 2 Utiliser un mot de passe faible
\n<\/h4>\n\n Les mots de passe sont un \u00e9l\u00e9ment cl\u00e9 de la s\u00e9curit\u00e9 de votre site Web WordPress. Vous devez toujours vous assurer que vous utilisez un mot de passe fort pour votre compte WordPress. Selon une \u00e9tude men\u00e9e par WPTemplate, 8 % des sites Web WordPress dans le monde sont pirat\u00e9s en raison d’un mot de passe hebdomadaire. Un mot de passe hebdomadaire peut fournir un acc\u00e8s facile aux \u00e9l\u00e9ments suivants :\n<\/p>\n
\n
- Compte administrateur WP\n <\/li>\n
- Compte C-Panel\n <\/li>\n
- Compte FTP\n <\/li>\n
- Votre base de donn\u00e9es WordPress\n <\/li>\n<\/ul>\n
\n C’est pourquoi il devient extr\u00eamement vital d’avoir un mot de passe fort pour votre site WordPress.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n
- \n
\n Former un mot de passe complexe<\/strong>\n <\/p>\n
\n L’une des fa\u00e7ons de r\u00e9soudre ce probl\u00e8me consiste \u00e0 cr\u00e9er un mot de passe complexe pour votre site. Essayez toujours d’utiliser la combinaison de l’alphabet, des chiffres, des caract\u00e8res sp\u00e9ciaux, etc. pour cr\u00e9er un mot de passe. Cela vous aidera \u00e0 cr\u00e9er un mot de passe fort qui ne peut pas \u00eatre devin\u00e9 facilement.\n <\/p>\n<\/li>\n
- \n
\n Utiliser un gestionnaire de mots de passe<\/strong>\n <\/p>\n
\n L’autre fa\u00e7on de r\u00e9soudre ce probl\u00e8me consiste \u00e0 utiliser les gestionnaires de mots de passe. Un gestionnaire de mots de passe est une application qui vous permet de stocker tous vos mots de passe en un seul endroit, puis de les g\u00e9rer via un mot de passe principal. L’USP de tout gestionnaire de mots de passe est qu’ils ont une fonctionnalit\u00e9 de remplissage automatique.\n <\/p>\n
\n Voici une liste des meilleurs gestionnaires de mots de passe :\n <\/p>\n
\n
- Dernier passage\n <\/li>\n
- 1Mot de passe\n <\/li>\n
- Dashlane\n <\/li>\n<\/ul>\n<\/li>\n
- \n
\n Authentification \u00e0 deux facteurs<\/strong>\n <\/p>\n
\n C’est l’un des meilleurs moyens de prot\u00e9ger votre site Web WordPress contre le vol de mot de passe. Dans un sc\u00e9nario d’authentification \u00e0 deux facteurs, si un attaquant est capable de deviner le mot de passe de votre site Web WordPress, il ne pourra pas se connecter \u00e0 votre site. Il\/elle aura besoin d’un code de s\u00e9curit\u00e9 qui est envoy\u00e9 sur votre mobile. De cette mani\u00e8re, vous serez en mesure de prot\u00e9ger votre site Web.\n <\/p>\n
\n Il existe plusieurs fa\u00e7ons de configurer l’authentification \u00e0 deux facteurs dans WordPress :\n <\/p>\n
\n
- V\u00e9rification SMS\n <\/li>\n
- Application d’authentification Google\n <\/li>\n<\/ol>\n<\/li>\n<\/ul>\n
\n 3 Ne pas mettre \u00e0 jour WordPress
\n<\/h4>\n\n De nombreux utilisateurs se sentent \u00e0 l’aise avec l’une des versions de WordPress et ne mettent donc pas \u00e0 jour leur version de WordPress \u00e0 intervalles r\u00e9guliers. La principale raison derri\u00e8re cela est qu’ils craignent que cela ne casse leur site Web. Cependant, chaque nouvelle version de WordPress est accompagn\u00e9e de correctifs pour les bogues de s\u00e9curit\u00e9 et c’est pourquoi il devient important pour vous de mettre \u00e0 jour votre site Web.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n V\u00e9rifiez toujours la derni\u00e8re version de WordPress et essayez de maintenir votre site Web \u00e0 jour. Cela minimisera les risques de probl\u00e8mes de s\u00e9curit\u00e9. Pour ceux qui craignent que la mise \u00e0 jour de WordPress ne cr\u00e9e une panne de site, vous pouvez prendre la sauvegarde de leur site Web. Ainsi, si la nouvelle version ne fonctionne pas selon vos besoins, vous pouvez toujours revenir en arri\u00e8re.\n<\/p>\n
\n 4 Injection SQL
\n<\/h4>\n\n L’injection SQL est l’une des plus anciennes m\u00e9thodes d’acc\u00e8s au site Web. Comme vous le savez tous, SQL est un langage utilis\u00e9 pour travailler avec la base de donn\u00e9es WordPress et c’est pourquoi dans ce type d’attaque, les pirates injectent des commandes SQL dans votre site pour r\u00e9cup\u00e9rer les informations. Les pirates deviennent intelligents de jour en jour et ils proposent une nouvelle injection SQL chaque jour ou l’autre. Ainsi, en tant que propri\u00e9taire de site Web, vous devez conna\u00eetre les moyens de vous d\u00e9barrasser de ce probl\u00e8me.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n
- \n
\n Analyser la vuln\u00e9rabilit\u00e9 d’injection SQL<\/strong>\n <\/p>\n
\n Vous devez v\u00e9rifier r\u00e9guli\u00e8rement les probl\u00e8mes d’injection SQL sur votre site Web WordPress. Cependant, cela peut \u00eatre une t\u00e2che tr\u00e8s difficile \u00e0 effectuer manuellement et c’est pourquoi vous devez utiliser certains outils d’analyse de s\u00e9curit\u00e9 \u00e0 cette fin. Voici une liste des meilleurs outils d’analyse de s\u00e9curit\u00e9 :\n <\/p>\n
\n
- Analyse de s\u00e9curit\u00e9 WordPress\n <\/li>\n
- Jus SiteCheck\n <\/li>\n
- WPScan\n <\/li>\n<\/ul>\n<\/li>\n
- \n
\n Ajouter un code \u00e0 votre fichier .htaccess<\/strong>\n <\/p>\n
\n Une autre fa\u00e7on d'emp\u00eacher l’injection SQL consiste \u00e0 ajouter un code particulier dans votre fichier .htaccess. .htaccess est un fichier de configuration qui est utilis\u00e9 sur les serveurs Web et donc, en changeant cette partie, vous pourrez restreindre l’acc\u00e8s des \u00e9trangers \u00e0 votre base de donn\u00e9es WordPress.\n <\/p>\n
\n Ajoutez le code suivant dans votre fichier .htaccess :\n <\/p>\n
RewriteEngine On\nRewriteBase \/\nRewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]\nRewriteRule ^(.*)$ - [F,L]\nRewriteCond %{QUERY_STRING} ..\/ [NC,OR]\nRewriteCond %{QUERY_STRING} boot.ini [NC,OR]\nRewriteCond %{QUERY_STRING} tag= [NC,OR]\nRewriteCond %{QUERY_STRING} ftp: [NC,OR]\nRewriteCond %{QUERY_STRING} http: [NC,OR]\nRewriteCond %{QUERY_STRING} https: [NC,OR]\nRewriteCond %{QUERY_STRING} (|%3E) [NC,OR]\nRewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]\nRewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*([|]|(|)||\u00ea|\"|;|?|*|=$).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(\"|'|||{||).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]\nRewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$\nRewriteRule ^(.*)$ - [F,L]<\/code><\/pre>\n<\/li>\n<\/ul>\n\n 5 Oublier de s\u00e9curiser le fichier de configuration de WordPress
\n<\/h4>\n\n Le fichier de configuration WordPress (wp-config.php) comprend les identifiants de connexion \u00e0 la base de donn\u00e9es WordPress. Par cons\u00e9quent, si des personnes ext\u00e9rieures ont acc\u00e8s \u00e0 ce fichier, elles peuvent voler vos informations et endommager votre site Web. Par cons\u00e9quent, il devient n\u00e9cessaire que vous fassiez tout votre possible pour prot\u00e9ger ce fichier.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n L’un des moyens les plus simples de prot\u00e9ger le fichier wp-config.php consiste \u00e0 modifier le .htaccess et \u00e0 restreindre l’acc\u00e8s. Pour cela, ajoutez simplement l’extrait de code suivant \u00e0 votre fichier .htaccess :\n<\/p>\n
\norder allow,deny\ndeny from all\n<\/code><\/pre>\n\n 6 Ne pas mettre \u00e0 jour les plugins ou les th\u00e8mes
\n<\/h4>\n\n Tout comme le noyau WordPress, il est important d’utiliser la derni\u00e8re version des plugins ou des th\u00e8mes du site Web WordPress. L’utilisation d’une version obsol\u00e8te de n’importe quel plugin ou th\u00e8me peut rendre votre site vuln\u00e9rable aux menaces de s\u00e9curit\u00e9. Selon une enqu\u00eate men\u00e9e par WPWhiteSecurity, 54% des vuln\u00e9rabilit\u00e9s mondiales de WordPress sont dues aux plugins.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n V\u00e9rifiez toujours la mise \u00e0 jour dans l’un de vos plugins et th\u00e8mes. Assurez-vous que vous utilisez la derni\u00e8re version disponible sur WordPress. En suivant cette m\u00e9thodologie, vous minimiserez les risques de menaces de s\u00e9curit\u00e9 sur votre site Web WordPress.\n<\/p>\n
\n 7 Utilisation du FTP simple
\n<\/h4>\n\n Pour ceux qui ne le savent pas, les comptes FTP sont utilis\u00e9s pour t\u00e9l\u00e9charger un fichier sur le serveur de votre site Web \u00e0 l’aide d’un client FTP. La plupart des h\u00e9bergeurs prennent en charge la connexion FTP en utilisant diff\u00e9rents types de protocoles : FTP simple, SFTP ou SSH.\n<\/p>\n
\n La plupart des propri\u00e9taires de sites Web WordPress commettent l’erreur d’utiliser un FTP simple. Maintenant, ce qui se passe dans un FTP simple, c’est que votre mot de passe est envoy\u00e9 au serveur sous une forme non crypt\u00e9e. Ainsi, quiconque peut pirater le serveur peut acc\u00e9der facilement \u00e0 votre site Web WordPress.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n Au lieu d’utiliser FTP, vous pouvez opter pour l’option SFTP ou SSH. Vous n’avez pas besoin de modifier le client FTP \u00e0 cette fin. Changez simplement le protocole en \u00ab SFTP-SSH \u00bb lors de la connexion \u00e0 votre site Web. En utilisant ce protocole, vous pourrez envoyer le mot de passe au serveur sous une forme crypt\u00e9e qui minimise le risque de probl\u00e8mes de s\u00e9curit\u00e9.\n<\/p>\n
\n 8 Ne pas changer le pr\u00e9fixe de table WordPress
\n<\/h4>\n\n Comme vous le savez tous, par d\u00e9faut, toutes les tables WordPress cr\u00e9\u00e9es dans votre base de donn\u00e9es commencent par un pr\u00e9fixe nomm\u00e9 ks29so_. La plupart des d\u00e9veloppeurs WordPress ne se soucient pas de changer ce pr\u00e9fixe, car ils estiment que cela n’affectera pas les performances du site.\n<\/p>\n
\n En cons\u00e9quence, ce pr\u00e9fixe rend votre site Web WordPress vuln\u00e9rable aux probl\u00e8mes de s\u00e9curit\u00e9. La raison derri\u00e8re cela est qu’un attaquant peut facilement deviner le nom de vos tables de base de donn\u00e9es WordPress. Par cons\u00e9quent, vous devriez essayer de ressusciter ce probl\u00e8me d\u00e8s que possible.\n<\/p>\n
\n Fa\u00e7on de r\u00e9soudre ce probl\u00e8me
\n<\/h5>\n\n Au lieu d’utiliser le pr\u00e9fixe par d\u00e9faut pour les tables de base de donn\u00e9es WordPress, vous devez d\u00e9finir votre propre pr\u00e9fixe qui est de nature compliqu\u00e9e afin que personne ne puisse le deviner. Vous pouvez modifier le pr\u00e9fixe de vos tables de base de donn\u00e9es WordPress au moment de l’installation. Alors, souvenez-vous toujours de ce point. Apr\u00e8s cela, vous n’aurez plus la possibilit\u00e9 de changer le pr\u00e9fixe.\n<\/p>\n
\n Voici comment vous pouvez modifier le pr\u00e9fixe de la base de donn\u00e9es WordPress pour am\u00e9liorer la s\u00e9curit\u00e9 :\n<\/p>\n