Le populaire système de gestion de contenu WordPress est maintenant très répandu. Dans cet article, nous aimerions vous donner quelques conseils pour sécuriser votre installation de WordPress.
En raison de la forte diffusion de WordPress, il est malheureusement aussi une cible populaire pour les pirates et il y a malheureusement aussi des attaques automatisées sur les installations WordPress où il est vérifié si elles contiennent des failles de sécurité connues.
Il est donc très important que vous gardiez toujours votre WordPress à jour. Pour l'usage professionnel, il est également raisonnable d'engager une agence pour tenir WordPress à jour et de choisir un hébergeur qui utilise également un pare-feu pour protéger le système contre les attaques connues.
Nous avons énuméré les points les plus importants sur la manière de protéger votre installation WordPress.
[tie_list type="checklist"]- Maintenir WordPress toujours à jour
WordPress n'est pas seulement un logiciel pour les blogs, mais peut également être équipé de diverses fonctions grâce à ce que l'on appelle des "plug-ins", c'est-à-dire des extensions. De nombreux utilisateurs utilisent des plugins et des designs (thèmes) spéciaux pour les sites web individuels. Le principal problème des attaques est le manque de mise à jour des installations.
Conseil : pour l'installation de WordPress, choisissez un hébergeur web avec une interface d'administration qui vous aide à mettre à jour WordPress et les plugins. Notre recommandation est l'utilisation de Plesk comme logiciel de gestion.
Activer la mise à jour automatique de WordPress.
Le logiciel est alors toujours maintenu à jour. Cela est également possible pour de nombreux Plusin.
Il est conseillé de se connecter régulièrement à l'interface d'administration de wordpress et de vérifier l'état actuel du logiciel. WordPress indique directement si des mises à jour sont disponibles.
Les thèmes sont plus problématiques, c'est-à-dire les dessins finis qui contiennent généralement des plus-ins payés. Ces thèmes ne sont généralement pas installés automatiquement, mais doivent être mis à jour manuellement. Pour ce faire, vous devez télécharger la version actuelle du thème auprès du fabricant et la copier dans le répertoire des thèmes. Après la mise à jour, il suffit généralement de procéder à quelques réglages dans les administrations thématiques.
[tie_list type="checklist"]- Utilisez des connexions cryptées.
Les données de connexion à WordPress sont très demandées et peuvent facilement être espionnées dans un réseau non sécurisé, par exemple si vous vous connectez à un WLan ouvert dans un restaurant ou un hôtel.
Vous devez donc toujours utiliser un certificat pour une page d'accueil. Il est préférable de choisir un hébergeur qui peut établir un certificat pour vous. Cela ne coûte que quelques euros par an pour une protection professionnelle de votre installation.
Veuillez toujours vous assurer que vous disposez d'un accès crypté à votre installation WordPress via https://, ainsi que d'une récupération sécurisée des e-mails et, si nécessaire, d'une connexion FTP sécurisée. Une fois que vous avez utilisé une connexion non cryptée, nous vous recommandons de changer tous les mots de passe immédiatement.
[tie_list type="checklist"]- Enregistrez le fichier wp-login.php
Il est également possible de renommer le répertoire wp-admin, mais cela peut entraîner des problèmes avec la fonctionnalité de WordPress. Le moyen le plus simple de se protéger contre la plupart des attaques brutales où les mots de passe sont simplement devinés est d'inclure un code dans le fichier .htaccess. Cela se combine bien avec la protection par mot de passe.
[tie_list type="checklist"]- Sécurisez votre répertoire d'administration avec un mot de passe.
En outre, vous devez protéger ce répertoire par un mot de passe. Votre fournisseur offre la possibilité de mettre en place une protection des annuaires pour certains annuaires. Protégez votre répertoire d'administration avec un nom d'utilisateur et un mot de passe compliqué d'au moins 12 caractères et contenant des caractères spéciaux. Ne choisissez jamais des mots de passe qui ne comportent que 8 caractères. Ceux-ci sont maintenant généralement considérés comme peu sûrs et peuvent généralement être craqués rapidement, car ils ont été précalculés en fonction du type de cryptage.
Après la protection par mot de passe, ouvrez le fichier .htaccess et insérez le code suivant
ErrorDocument 401 "Verrouillé
ErrorDocument 403 "Verrouillé
# Permet aux plugins d'accéder à admin-ajax.php malgré la protection par mot de passe
Ordonner, autoriser, refuser
Permettre de tous
Satisfaire toute
Cela garantit que les plugins WordPress peuvent toujours appeler les fichiers.
[tie_list type="checklist"]- Utiliser des plugins et des thèmes qui sont aussi largement utilisés que possible
Les plugins sont généralement responsables des failles de sécurité dans votre WordPress. Les plugins et les thèmes sont de petits progiciels fournis par des fournisseurs tiers. En principe, l'idée est bonne, mais il y a maintenant de nombreux fournisseurs douteux et aussi des fournisseurs qui n'ont tout simplement aucune connaissance et qui créent donc des logiciels qui contiennent des failles de sécurité. Il n'y a pratiquement aucune protection contre cela pour le profane. Nous recommandons donc de n'utiliser que des plugins qui ont été installés très souvent et qui ont une bonne notation.
N'utilisez pas de thèmes gratuits que vous pouvez télécharger à partir de n'importe quel site web. Achetez un thème, par exemple à Themeforest ou Templatemonster, auprès d'un fournisseur dit d'élite, c'est-à-dire des équipes de programmation professionnelles qui ont généré un chiffre d'affaires élevé.
Faites également attention à la date de la dernière installation. Les fournisseurs qui ne mettent pas à jour leurs plugins et leurs thèmes ou qui ont déjà arrêté le développement ne sont pas recommandés.
[tie_list type="checklist"]- Supprimer les thèmes et plugins non utilisés
Si votre site web est prêt et que vous souhaitez démarrer, nous vous recommandons toujours de supprimer tous les plugins et thèmes inutilisés. Cela s'applique également aux thèmes propres à WordPress qui ne peuvent pas être supprimés facilement. Les éventuels attaquants aiment cacher leurs fichiers dans ces répertoires standard, il est donc conseillé de supprimer complètement les fichiers inutilisés. Vous pouvez le faire via l'interface d'administration et, si nécessaire, également via FTP. Il suffit de supprimer les répertoires du répertoire des thèmes que vous n'utilisez pas.
[tie_list type="checklist"]Utiliser un pare-feu d'application
[/tie_list]Si possible, vous devez utiliser un pare-feu d'application. Il s'agit d'un logiciel qui vérifie chaque connexion et offre de nombreuses possibilités pour prévenir les attaques potentielles.
Chez de nombreux fournisseurs, il existe des options gratuites comme fail2ban (recommandé), mod_security WAF pour bloquer les attaques connues ou les adresses IP connues douteuses. Avec les environnements d'hébergement partagé, c'est-à-dire les petits comptes d'hébergement, cela n'est généralement pas possible parce qu'il y a trop de caractéristiques spéciales qui ne peuvent être définies globalement. Pour un usage professionnel, nous recommandons en tout cas d'utiliser un V-server géré, donc un environnement séparé uniquement pour votre site web.
Avec certains fournisseurs de services haut de gamme, vous pouvez également utiliser une solution de pare-feu externe pour votre site web. Dans ce cas, des systèmes tels que Barracuda, Sonicwall ou Imperva sont appropriés. Ces systèmes filtrent le trafic avant qu'il n'atteigne le serveur web et bloquent ainsi la plupart des attaques. Une telle solution est relativement coûteuse avec 50-250 euros par mois et n'est adaptée qu'à un usage professionnel.
Conclusion : créer un site web soi-même est très facile avec WordPress. La mise à jour automatique proposée par de nombreux hébergeurs est également utile par rapport à d'autres systèmes de gestion de contenu. Si vous veillez toujours à ce que les prolongations soient à jour (au moins une fois par semaine), il ne peut pas vous arriver grand chose.
Ce qui ne coûte rien n'est pas non plus bon. Malheureusement, cela est vrai pour de nombreux plugins et thèmes. Veuillez noter que de nombreux arnaqueurs infectent les thèmes avec du code malveillant et les distribuent ensuite gratuitement comme leur propre thème. Dès que vous aurez installé quelque chose comme cela, votre site web sera utilisé en un rien de temps pour envoyer Spam ou des attaques abusives sur les autres.
