Je suis sûr que vous avez connu par vous-même un moment où votre site WordPress a été attaqué par des hackers qui ont essayé d’accéder au backend de votre site web et voler des informations, ou bien y implémenter un malware. Ces attaques sont très fréquentes sur internet. Si vous êtes nouveau sur WordPress, vous devez comprendre que le code WordPress est complètement open source et peut être modifié. Etant donné qu’il y a des milliers d’utilisateurs qui créent leurs propres thèmes et plugins, on peut imaginer que certains d’entre eux n’ont pas forcémenent implanté les meilleurs pratiques en terme de sécurité, ce qui rend ces thèmes et plugins très vulnérables. Continuez la lecture si vous souhaitez savoir comment protéger votre site web.
1. Utilisez des mots de passe solides
Vous devriez obtenir un outil de suivi des mots de passe comme LastPass pour suivre tous vos mots de passe. La période ou vous pouvez utiliser le même mot de passe sur chaque compte Internet est finie. Vous ne pouvez pas utiliser le nom de votre chien ou le nom de la boisson gazeuse ou du groupe préféré. Vous avez besoin de mots de passe puissants, longs et difficiles à deviner.
Au cours des deux dernières semaines, deux clients m’ont appelé parce que leur Gmail, Instagram ou AppleID a été piraté en raison de l’utilisation d’un mot de passe faible. Il est très facile d’utiliser un programme de piratage de mot de passe pour découvrir quel est votre mot de passe. Dans les deux cas, mes clients ont utilisé des mots de passe qui pouvaient être devinés par un outil de détection de mot de passe en moins d’une seconde!
Testez la force de vos mots de passe existants ici . puis réfléchissez sérieusement à l’utilisation de LastPass et à la création de mots de passe longs, complexes et changez les fréquemment. Avec LastPass par exemple, vous n’avez qu’à vous souvenir du mot de passe principal d’accès au compte, le reste est géré automatiquement.
2. Mettez à jour les thèmes, plugins et core WordPress
Il ne suffit pas de se connecter une fois par mois ou moins pour effectuer des mises à jour. Les exploits se produiront en quelques jours sur un grand nombre de sites dès leur publication. Mon site oublié que je n’ai pas mis à jour a été exploité quelques semaines après l’ annonce de la vulnérabilité de Gravity Forms. Vous devez mettre à jour immédiatement en cas de mise à jour.
Pour les plugins qui n’ont pas de fonctionnalité frontale, vous pouvez utiliser le Shield WordPress Security Plugin pour effectuer des mises à jour automatiques pour vous. Si vous gérez plus d’un site, vous pouvez utiliser ManageWP.
3. Gardez votre serveur propre
Supprimez les versions inutilisées de WordPress sur le serveur. Il est facile d’oublier qu’ils existent. Les fichiers WordPress, plugins et thèmes, même s’ils ne sont pas utilisés, non actifs, ou même pas associés à votre installation actuelle, peuvent être exploités. SUPPRIMEZ SUPPRIMEZ SUPPRIMEZ.
4. Mettez vos thèmes et plugins à jour
N’utilisez pas des plugins ou des thèmes qui ne sont plus à jour. Si votre plugin ou thème n’a pas été mis à jour depuis un an ou plus, remplacez-le. Cela peut être un énorme problème avec les thèmes. De nombreux développeurs ne restent pas plus de deux ans pour soutenir leur thème.
Lorsque vous recherchez un thème ou un plugin, recherchez-en un avec une bonne note, des mises à jour fréquentes et récentes et un support actif. Les thèmes les plus vendus ne sont pas toujours les meilleurs. Cependant, ils sont plus susceptibles d’avoir un support et des mises à jour continus. Lisez les commentaires pour la qualité de la réponse. Recherchez l’utilité, l’enthousiasme, la rigueur, et les réponses rapides.
Les thèmes WordPress premium peuvent être fournis avec des plugins tiers. Le développeur du thème peut ou pas fournir une mise à jour rapide pour ces plugins groupés. Par exemple, Revolution Slider, un slider animé très populaire, est livré avec des centaines de thèmes sur ThemeForest. Revolution Slider avait une vulnérabilité de sécurité majeure en 2014. Cependant, les développeurs des thèmes qui ont regroupé ce plugin avec leurs thèmes n’ont pas nécessairement fait les mis à jour nécessaires. En conséquence, de nombreux thèmes sur ThemeForest ont distribué un plugin hautement non sécurisé pendant des mois après la découverte de la vulnérabilité. Cette vulnérabilité a entraîné le piratage de dizaines de milliers de sites Web et la redirection du trafic vers des sites malveillants.
Le résultat de tout cela est que si vous achetez un thème premium fourni avec des plugins premium, tels que Visual Composer, Layer Slider, Revolution Slider, ou autres, achetez ces derniers SÉPARÉMENT, afin que vous puissiez être informé des mises à jour de ces plugins spécifiquement et ne comptez pas sur le développeur du thème pour vous protéger.
5. Protégez votre ordinateur et votre réseau
Exécutez des analyses antivirus tout le temps, surtout si vous utilisez Windows. Faites attention aux sites que vous visitez. Vous pouvez donner votre connexion WordPress par inadvertance par le biais d’un cheval de Troie de suivi de frappe qui volera vos mots de passe. La protection de votre ordinateur consiste souvent à ne pas visiter les sites Web qui distribuent des logiciels malveillants.
Pour Mac OS:
- Un antivirus n’est généralement pas nécessaire, mais j’aime Avira car il reconnaît les modèles de logiciels malveillants ainsi que les signatures de logiciels malveillants et les chevaux de Troie.
- Activez le pare-feu dans vos paramètres système (sécurité et confidentialité). Dans les options du pare-feu, cochez la case pour activer le mode furtif. Cela permettra à votre ordinateur de ne pas être visible sur les réseaux.
Pour PC:
- Avira et Avast! sont deux bons antivirus.
- Assurez-vous que le pare – feu Windows est activé.
Pour votre réseau:
- Consultez ces excellents conseils pour sécuriser votre réseau domestique.
6. Exécutez un plugin de sécurité WordPress
Je préfère Shield WordPress Security par iControlWP. J’ai utilisé Wordfence dans le passé et il a continuellement créé des erreurs dans les fichiers log d’erreurs sur plusieurs sites. J’apprécie ce qui suit à propos de Shield:
- Plugin totalement gratuit, aucune restriction «Premium» sur les fonctions de sécurité
- Endommagera pas votre site Web
- Bloque les URL et les demandes malveillantes
- Bloque TOUS les commentaires des robots spammeurs automatisés
- Masque votre page d’administration et de connexion WordPress
- Empêche les attaques du type brute force
- Vérifie l’identité de l’utilisateur avec l’authentification à deux facteurs basée sur la messagerie
- Surveille l’activité de connexion et limite le partage de nom d’utilisateur avec la gestion des sessions utilisateur
- Examine l’activité d’administration avec un journal d’audit détaillé
- Active et désactive les mises à jour automatiques WordPress séparément pour les plugins, les thèmes et Core
7. Ne vous connectez pas sur les réseaux WiFi publics
Si vous vous connectez à votre site WordPress sur un réseau public, vous donnez essentiellement vos informations de connexion à toute autre personne du réseau qui pourrait exécuter un logiciel de reniflage de paquets. Si vous n’avez pas de certificat SSL installé sur votre site (qui crypte votre nom d’utilisateur et votre mot de passe sur le réseau), utilisez un service de réseau privé virtuel (VPN) pour crypter votre trafic sur le réseau. Utilisez-le même si vous avez un certificat SSL sur votre site car il est bon de rester dans un réseau privé virtuel sur tous les réseaux publics.
8. Installez un certificat SSL sur votre site
Cela crypte les données que vous et les utilisateurs transférez sur votre site via le site , par exemple lorsque vous soumettez des formulaires de contact ou utilisez des pages de connexion. Sinon, les données sont transférées comme une carte postale dans le courrier, ce qui signifie que n’importe qui peut les lire. L’installation de SSL sur votre site vous permet de vous connecter en toute sécurité (via https). De nombreux hébérgeurs proposent cela gratuitement, et vous pouvez utiliser le plug-in Really Simple SSL pour forcer votre contenu à utiliser https.
9. Envisagez un meilleur hébergeur Web
Votre site sera moins vulnérable lorsque vous utilisez un service d’hébergement WordPress sécurisé. De nombreux propriétaires de sites Web n’ont pas la moindre idée combien il est important d’utiliser un serveur sécurisé. Privilégiez les serveurs dédiés plutôt que les serveurs partagés. Certes, ils sont plus coûteux, mais ils vous offrent plus de sécurité. Voici la raison: lorsqu’un site web hebergé sur un serveur partagé se fait attaquer, il y a de fortes chances que les autres sites web hebergés sur le même serveur soient aussi affectés, car ils sont sur le même serveur (machine).
Des sociétés d’hébergement comme WP Engine, SiteGround et Flywheel sont là pour vous aider en matière de sécurité. Ils effectuent régulièrement des analyses de sécurité et nettoient gratuitement votre site piraté. Cependant, vous pouvez toujours embaucher un professionnel.
10. Sauvegardez votre site
Bien que les sauvegardes ne vous aideront pas nécessairement à nettoyer votre site web suite à une attaque WordPress, mais elles restent essentielles pour la récupération de données après l’incident, en particulier si votre base de données ou vos fichiers sont compromis.
Conclusion
Pour résumer, rappelez vous que WordPress est Open Source et il est utilisé par des millions de personnes. La sécurité WordPress n’est pas difficile. Mais le nettoyage suite à une attaque l’est. Prenez le temps de surveiller et analyser votre site, faites une checklist et cochez au fur et à mesure. Commencez par tout mettre à jour et installez une solution de sauvegarde. Mettez à jour vos thèmes et plugins. Réinitialisez vos mots de passe.
