Comment effectuer un audit de sécurité WordPress

par | Nov 10, 2021 | News, Sécurité, Tous les articles RSS | 0 commentaires

WordPress est le CMS le plus utilisé dans le monde et donc convoité par les pirates.
Sécuriser votre site WordPress n’est pas une affaire unique. Peu importe à quel point vous faites confiance à votre plug-in de sécurité ou à quel point vous avez renforcé le renforcement des sites Web, un site Web sûr aujourd’hui ne sera pas un site Web sûr demain. Pour tenir les pirates à distance, vous devez effectuer régulièrement des audits de sécurité WordPress et combler les failles de sécurité que vous trouvez.

Les tactiques de piratage de sites Web progressent constamment, et avec elles, les mesures préventives pour assurer la sécurité de votre site. Considérez-le comme un cycle. Plus un site Web est sûr, plus les pirates informatiques doivent être créatifs pour y accéder, ce qui signifie que votre site Web doit devenir encore plus sûr, etc.

Essayez de mener un audit de sécurité WordPress tous les trois mois au moins. Chaque mois est meilleur, et chaque semaine (ou même tous les jours, selon la sensibilité de votre site) est la meilleure. Et bien sûr, si vous pensez qu’il y a quelque chose qui ne va pas avec votre site, effectuez immédiatement un audit de sécurité. L’un des éléments suivants devrait déclencher un drapeau rouge :

  • Votre site Web est lent et lent tout d’un coup.
  • Il y a une forte baisse du trafic sur le site Web sans raison apparente.
  • Il y a de nouveaux comptes, des tentatives de connexion ou des demandes de « mot de passe oublié ».
  • Les nouveaux liens que vous n’avez pas ajoutés sont sur votre site.

Les étapes suivantes sont incontournables pour garder votre site en parfait état, en termes de sécurité. Avec une liste de contrôle à portée de main, vous simplifierez vos audits au lieu de les submerger.

Un aperçu de l’audit de sécurité WordPress

À un moment ou à un autre, à peu près tous les sites Web WordPress vont rencontrer un type de problème de sécurité. Un élément commun est un plugin ou un thème qui devient en proie à une vulnérabilité, permettant aux pirates informatiques d’accéder directement à votre site. Une fois votre site piraté, plusieurs choses peuvent arriver :

  • Données personnelles des clients volées
  • Annonces et contenus illégaux affichés
  • Trafic détourné ailleurs
  • Données WordPress cryptées, supprimées ou vendues

C’est bien plus qu’un mal de tête ou un site en panne pendant quelques heures. Les pirates peuvent conserver vos données contre une rançon. Les informations de votre site peuvent être vendues sur le Dark Web. Google peut mettre votre site sur liste noire pour l’affichage de spam sur les pages Web. Les clients peuvent vous poursuivre si leurs informations de carte de crédit sont volées. D’autres sites Web peuvent être infectés une fois que les pirates ont eu accès au vôtre.

Les audits de sécurité WordPress identifient ces vulnérabilités afin que vous puissiez les corriger immédiatement – avant qu’un pirate informatique ne s’y introduise. Vous vous assurerez que les mesures de sécurité que vous prenez actuellement fonctionnent toujours, et vous découvrirez également où vous besoin de plus de protection.

Évaluez le plugin de sécurité que vous utilisez

Votre plugin de sécurité WordPress est l’un des outils les plus importants pour protéger votre site. Assurez-vous que votre plug-in de sécurité fonctionne toujours des manières suivantes :

  • Journal d’activité : il suit les utilisateurs de votre site, y compris qui s’est connecté et quand, les tentatives de connexion infructueuses et les modifications apportées au site.
  • Pare-feu : cela bloquera les robots, les pirates et les adresses IP qui tentent d’accéder à votre site.
  • Tentatives de connexion : les plugins de sécurité de qualité appliqueront des mots de passe forts, nécessiteront une authentification à deux facteurs et limiteront les tentatives de connexion.
  • Protection de connexion : cela bloque les attaques par force brute, c’est-à-dire lorsque les pirates tentent différentes combinaisons de nom d’utilisateur et de mot de passe pour se connecter.
  • Analyses et nettoyages de logiciels malveillants : cela devrait s’exécuter quotidiennement, analyser en profondeur la base de données, les fichiers et les dossiers de votre site à la recherche de logiciels malveillants et effacer tout ce qu’il trouve.
  • Alertes en temps réel : le plugin doit vous avertir immédiatement s’il y a quelque chose de suspect sur votre site Web.

Vous n’avez pas encore de plugin de sécurité ? Envisagez d’en obtenir un comme étape préliminaire de votre audit de sécurité WordPress. Nous avons rassemblé pour vous les meilleurs plugins de sécurité WordPress parmi lesquels choisir.

Testez votre solution de sauvegarde de site Web

Si quelque chose ne va pas sur votre site qui est impossible ou trop complexe à réparer, avoir une sauvegarde WordPress signifie que vous pouvez restaurer votre site à son état antérieur avant que le problème ne se produise. Cependant, si votre sauvegarde échoue, vous n’avez rien à restaurer, ce qui signifie que vous pourriez être bloqué avec un site infecté ou défectueux. Idéalement, vous utiliserez une solution de sauvegarde (qu’elle soit fournie par votre hébergeur ou un plugin que vous utilisez) qui vous permet de tester vos sauvegardes, comme BlogVault. 

Passez en revue votre administrateur WordPress et votre configuration FTP

Avec WordPress, plusieurs personnes peuvent se connecter pour travailler sur divers projets, mais cela ne signifie pas que chaque personne disposant d’une connexion doit avoir un accès complet à votre site Web. Et lorsqu’il s’agit de votre client FTP, autoriser l’accès à plusieurs personnes signifie qu’elles peuvent apporter des modifications à… eh bien, tout.

Lorsque vous ajoutez un nouvel utilisateur dans WordPress, vous lui attribuez un rôle (et vous pouvez également modifier son profil pour changer son rôle).

Des rôles différents ont des capacités différentes. Par exemple, un administrateur peut accéder à tous les outils d’administration du site (comme changer le thème ou installer un plugin), mais un contributeur ne peut écrire et gérer que ses propres publications. Voici une ventilation complète des différents rôles et de leurs capacités.

Pour votre audit de sécurité WordPress, procédez comme suit :

  • Découvrez quels utilisateurs WordPress ont un accès de niveau administrateur.
  • Décidez si tous ces utilisateurs ont besoin de ce niveau d’accès (et si d’autres qui ont un accès limité doivent être des administrateurs).
  • Réduisez les autorisations et restreignez l’accès en mettant à jour les rôles d’utilisateur pour ces personnes.
  • Si vous ne reconnaissez pas les utilisateurs dans le tableau de bord, supprimez-les. Il peut s’agir de comptes créés par un pirate informatique.
  • Certains noms d’utilisateur sont-ils simplement « admin » ? Il s’agit d’un nom d’utilisateur trop courant et que les pirates tentent souvent d’utiliser pour accéder à votre site. Créez un nouveau compte utilisateur pour la personne et supprimez l’ancien compte.
  • Supprimez les comptes FTP pour les utilisateurs qui n’ont pas besoin d’un niveau d’accès aussi élevé.

Enfin, si votre site autorise les membres, vous voulez vous assurer qu’ils doivent réellement créer un compte lors de l’inscription et que leur rôle par défaut ne permet pas l’accès administrateur. Allez dans Paramètres > Général. Décochez la case à côté de Tout le monde peut s’inscrire. Ensuite, sélectionnez l’option appropriée sous Nouveau rôle par défaut de l’utilisateur.

Assurez-vous que WordPress est à jour

Vous pouvez exécuter cette opération automatiquement, mais il est toujours utile de vérifier que WordPress est mis à jour vers sa version la plus récente. Les mises à jour ne corrigent pas seulement les failles de sécurité, elles améliorent également les performances et ajoutent des fonctionnalités. Allez dans Tableau de bord > Mises à jour pour voir si l’un est prêt.

Nettoyez vos plugins et thèmes

Les plugins peuvent étendre les capacités de votre site Web, mais ils sont également vulnérables aux attaques, surtout s’ils ne sont pas mis à jour trop longtemps. Les développeurs fiables resteront au courant des vulnérabilités de leur plugin et publieront des mises à jour avec des correctifs. Pendant votre mise à jour de sécurité WordPress, dirigez-vous vers votre liste de plugins et procédez comme suit :

Désactivez et désinstallez tous les plugins que vous n’utilisez plus ou que vous ne reconnaissez pas.
Mettez à jour tous les plugins restants qui ont des mises à jour prêtes.
Si vous utilisez un plugin qui n’a pas reçu de mises à jour du développeur, envisagez d’en utiliser un autre qui a la même fonctionnalité – un plugin obsolète est trop vulnérable aux problèmes de sécurité.
Même si vous effectuez votre audit de sécurité WordPress une fois par mois environ, c’est une bonne idée de vérifier vos plugins plus régulièrement pour les mettre à jour si nécessaire. Supprimez également tous les thèmes que vous n’utilisez pas actuellement ou dont vous ne pensez pas avoir besoin. Tout comme avec les plugins, les thèmes présentent un risque de failles de sécurité, il est donc préférable de garder votre site Web aussi peu encombré que possible.

Restez en sécurité !

Vous n’arrêtez pas de travailler sur d’autres parties de votre entreprise – proposer de nouveaux produits ou services, les commercialiser, vendre, etc. La sécurité de votre site Web ne devrait pas être différente. Un petit problème peut rapidement conduire à un piratage menaçant l’entreprise si vous ne l’attrapez pas à temps, mais sans savoir où se trouvent les problèmes, vous ne saurez pas quels correctifs mettre en œuvre.

Assurer la sécurité de votre site Web est un processus continu, et disposer d’une liste de contrôle d’audit de sécurité WordPress vous évite d’avoir à essayer de vous rappeler quoi faire chaque mois. De plus, plus vous pouvez automatiser avec un plugin de sécurité, mieux c’est. Votre liste de contrôle d’audit de sécurité WordPress peut être beaucoup plus petite si la majorité de ce que vous devez faire est de vérifier que le plugin fonctionne toujours correctement. Nous avons des aperçus détaillés des critiques de deux principaux plugins de sécurité, Sucuri et Wordfence.