Selon WordFence, il y a 90 000 attaques par minute sur des sites Web WordPress. Bien que la plateforme soit dotée de nombreuses mesures visant à atténuer les risques potentiels, la complexité des menaces modernes nécessite une implication active et régulière de votre part afin de sécuriser votre site WordPress contre les pirates qui scrutent constamment le web. Voici six mesures faciles que vous pouvez mettre en place dès aujourd’hui pour mieux sécuriser votre site WordPress :
- Maintenir tous les logiciels à jour
- Passer à HTTPS
- Imposez un mot de passe fort à vos utilisateurs
- Mettre en place des autorisations strictes pour les utilisateurs
- Configurer l’authentification à deux facteurs
- Sauvegarde régulière de votre site
Maintenir tous les logiciels à jour
Les logiciels obsolètes sont souvent l’un des principaux points d’entrée des pirates qui tentent de pénétrer sur votre site web, car les mises à jour sont souvent publiées pour corriger une attaque spécifique découverte par les pirates et partagée sur Internet. Les attaquants utilisent des scans automatisés qui recherchent tous les sites Web susceptibles d’avoir des plugins obsolètes, de sorte qu’il faut toujours se demander «quand cela va-t-il arriver ?
Le logiciel WordPress est le cœur de votre site et doit toujours être mis à jour. Si vous ne le mettez pas à jour, votre site risque d’être vulnérable à des attaques qui sont de notoriété publique et qui sont tentées en permanence. WordPress doit également fonctionner avec la dernière version de PHP. Les anciennes versions du langage présentent des vulnérabilités qui pourraient conduire à une prise de contrôle totale de votre site.
En outre, non seulement vous devez maintenir vos plugins et vos thèmes à jour de manière très rigoureuse, mais vous devez également faire preuve de diligence raisonnable avant d’installer un plugin, afin de vous assurer qu’il a été soutenu par la communauté et qu’il a été jugé fiable. Cela contribuera grandement à sécuriser votre site WordPress, mais votre parcours ne s’arrête pas là.
Passer à HTTPS
HTTPS, également appelé SSL ou TLS, est un protocole de cryptage qui sécurise les informations qui transitent entre votre site et ses visiteurs. Sécuriser votre site Web WordPress avec le cryptage HTTPS est une nécessité absolue aujourd’hui, surtout si vous traitez des données sensibles des utilisateurs. Lorsqu’un site web n’utilise pas le protocole HTTPS, les pirates peuvent intercepter et modifier les données partagées entre les utilisateurs et le serveur.
Un certificat numérique TLS peut facilement être obtenu gratuitement. Toute société d’hébergement digne de ce nom propose un hébergement sécurisé. Cela devrait être l’une de vos principales priorités pour sécuriser votre site WordPress.
Appliquer des mots de passe forts
Les utilisateurs ayant des privilèges administratifs, quels qu’ils soient, doivent créer des mots de passe forts, composés de caractères spéciaux, de chiffres et de lettres majuscules. Plus important encore, ils doivent générer des mots de passe uniques qui ne sont utilisés par aucun de leurs comptes personnels ou professionnels. Cette mesure doit être strictement appliquée et la raison en est simple. Des millions de mots de passe, de noms d’utilisateur et d’adresses électroniques peuvent facilement être achetés sur le dark web pour un prix modique. Les pirates intègrent ces grandes bases de données dans des outils de piratage, ce qui leur permet de tenter de trouver des millions de mots de passe qui pourraient potentiellement leur donner accès à l’un de vos comptes avec un accès administratif, si le mot de passe de cet utilisateur était divulgué sur le dark web à la suite de la fuite de données d’un site web compromis. Ces attaques, connues sous le nom d’attaques par force brute, peuvent également être atténuées en installant un plugin qui limite le nombre de tentatives de connexion consécutives. Cela dit, une autre couche de protection peut également être ajoutée pour sécuriser votre site Web WordPress si un attaquant parvient à se connecter à un compte.
Mettre en place des autorisations d’utilisation strictes
Les gens sont trop souvent négligents lorsqu’il s’agit de protéger leurs comptes. Ils n’adhèrent pas à une politique de mots de passe forts ou se laissent piéger par un message électronique malveillant qui leur fait révéler leurs informations d’identification. Si un compte est compromis, l’impact de la violation est nettement moins important lorsqu’il ne peut accéder à aucun élément sensible.
C’est là que le principe du moindre privilège intervient pour sauver la situation. Elle peut se résumer à donner à chaque compte les autorisations strictement nécessaires à son rôle.
WordPress définit six rôles : Super Administrateur, Administrateur, Editeur, Auteur, Contributeur et Abonné. Un site Web ne devrait avoir qu’un seul compte d’administrateur (Super administrateur est réservé aux installations multisites). Les personnes qui ne font que créer du contenu devraient avoir le rôle d’auteur ou de contributeur. Seules les personnes de confiance devraient être des éditeurs.
Pendant que vous y êtes, changez le nom du compte «admin» en quelque chose d’autre. Cela le rend un peu plus difficile à identifier et à cibler par les attaquants. Il pourrait également être important d’envisager l’ajout d’un plugin pour contrôler l’accès aux rôles de vos utilisateurs de manière granulaire, ce qui vous permettrait de créer de nouveaux rôles d’utilisateur et de leur donner le moins d’accès possible.
Configurer l’authentification à deux facteurs
Dans le même ordre d’idées que la précédente, cette mesure devrait ajouter une couche supplémentaire de sécurité pour les utilisateurs qui utilisent un mot de passe compromis. L’authentification multifactorielle exige une confirmation supplémentaire de l’utilisateur pour valider son identité. Lorsque l’utilisateur se connecte, le serveur vérifie l’accès en envoyant un message texte, en passant un appel vocal ou en utilisant une application mobile. Bien que ce système ne soit pas entièrement à l’épreuve des balles, les risques sont très limités et il s’agit simplement d’une étape supplémentaire pour décourager les pirates de cibler votre site Web.
Les utilisateurs doivent démontrer qu’ils possèdent quelque chose (un numéro de téléphone ou une instance d’une application) en plus de ce qu’ils savent (le nom d’utilisateur et le mot de passe). Les connexions supplémentaires sur une courte période de temps à partir de la même adresse IP ne nécessitent généralement pas de répéter la confirmation.
Les comptes ayant les plus hauts niveaux de responsabilité – administrateurs et rédacteurs – devraient toujours utiliser l’authentification à deux facteurs. Les auteurs et les contributeurs peuvent également en disposer, mais c’est moins important. Plusieurs plug-ins sont disponibles pour l’authentification multi-facteurs.
Sauvegarde régulière de votre site
Une sécurité absolue est impossible, à moins de se déconnecter entièrement d’Internet. Si votre site est compromis par un attaquant motivé, vous avez besoin d’outils pour éliminer la cause et revenir rapidement à un état de fonctionnement. Cela peut être facilement réalisé si vous effectuez des sauvegardes régulières, automatisées et hors site. Une sauvegarde sur site peut être détruite au moment même où un attaquant compromet les fichiers du serveur. Une sauvegarde à distance, hors site, est plus sûre.
Les sauvegardes hors site ne mettent normalement à jour que ce qui a été modifié depuis votre dernière session utilisateur, de sorte que le volume réel de données à restaurer depuis l’attaque n’est pas très important. Surtout quand il est possible de sauvegarder son site web toutes les heures.
Vous voulez savoir si votre site web pourrait être piraté ?
Nos services de test d’intrusion ont été conçus pour aider les organisations comme la vôtre à améliorer leur cybersécurité face aux menaces les plus récentes. Contactez nos spécialistes pour commencer.
