Serveur d'impression

Audit de sécurité WordPress: 8 étapes pour sécuriser un site Web WordPress – Serveur d’impression

Par Titanfall , le 5 mai 2020 - 16 minutes de lecture

Imaginez ceci, vous vous êtes assis un jour et avez exécuté une configuration de sécurité complète sur votre site. Vous avez installé un plugin de sécurité WordPress sur votre site, vous avez mis à jour tous vos plugins et thèmes, vous avez mis en place des mesures de durcissement du site. Vous êtes sûr que votre site est protégé contre les pirates.

Quelques mois plus tard, vous vous réveillez pour constater que votre site Web a été piraté. Lorsque vous essayez d'accéder à votre site, vous êtes redirigé vers un autre. Ou vous pouvez voir des fenêtres publicitaires et des publicités malveillantes sur votre site. Vous vous rendez compte que vos mesures de sécurité ont échoué!

C'est un scénario rencontré par de nombreux propriétaires de sites WordPress.

Beaucoup considèrent la sécurité comme une tâche ponctuelle. Ils ont tout mis en place puis l'oublient. Mais la vérité est que la sécurité de votre site Web doit être constamment surveillée et mise à jour.

Les outils et mesures de sécurité évoluent constamment, mais les pirates informatiques ne sont pas loin derrière pour les briser avec succès. Cela met en évidence la nécessité d'audits de sécurité où vous évaluez vos mesures de sécurité existantes et vérifiez si elles sont toujours efficaces.

Sans audits de sécurité en place, les chances que des pirates informatiques s'introduisent sur votre site sont beaucoup plus élevées. Une fois qu'ils ont accès à votre site, ils peuvent détourner votre trafic, afficher du contenu et des annonces illégaux, frauder vos clients et voler des données personnelles, parmi une longue liste d'actes malveillants.

Mais ne vous inquiétez pas, tout cela peut être évité en vous assurant que vos mesures de sécurité sont à jour. Aujourd'hui, nous allons vous montrer les étapes à suivre pour exécuter un audit de sécurité réussi sur votre site WordPress.

TL; DR

Pour sécuriser complètement votre site WordPress, nous vous recommandons d'utiliser un plugin de sécurité. Installez MalCare pour analyser et surveiller votre site régulièrement. Il bloquera également les tentatives de piratage sur votre site.

Qu'est-ce qu'un audit de sécurité WordPress?

Tôt ou tard, la plupart des sites Web WordPress rencontrent des problèmes de sécurité. Par exemple, les plugins et les thèmes peuvent développer des vulnérabilités WordPress qui pourraient être exploitées par des pirates pour s'introduire dans votre site Web.

Un audit de sécurité WordPress peut aider à identifier rapidement ces problèmes afin que vous puissiez prendre des mesures pour combler les failles de sécurité sur votre site. Lorsque vous exécutez un audit de sécurité, vous vérifierez les mesures de sécurité existantes sur votre site Web. Ensuite, identifiez les mesures de sécurité supplémentaires que vous pouvez mettre en œuvre sur votre site Web pour vous assurer qu'il est protégé.

Un audit de sécurité complet peut comprendre plusieurs étapes et peut devenir un gâchis si vous n'avez pas de processus et de liste de contrôle en place.

Aujourd'hui, nous allons vous présenter notre guide d'audit de sécurité WordPress étape par étape. Cette piste d'audit vous permettra de réaliser un audit complet et complet de votre site Internet.

Comment exécuter un audit de sécurité réussi?

Dans cet audit, nous examinerons en détail la sécurité de votre site Web. Commençons.

    1. Évaluez votre plugin de sécurité
    2. Testez votre solution de sauvegarde WordPress
    3. Examiner votre configuration d'administration actuelle
    4. Supprimer les plugins inutilisés installés et actifs
    5. Supprimer les thèmes WordPress supplémentaires installés
    6. Évaluez votre fournisseur d'hébergement actuel et planifiez
    7. Vérifier les utilisateurs disposant d'un accès FTP
    8. Vérifiez vos mesures de renforcement de WordPress

1. Évaluez votre plugin de sécurité

Le plug-in de sécurité de votre site Web est votre premier point de contrôle. Si vous n'utilisez pas déjà un plug-in de sécurité, pensez à en activer un immédiatement sur votre site. Un plugin de sécurité protège les sites Web WordPress contre les pirates et les bots. Il y a beaucoup d'options à choisir. Mais tous ne sont pas efficaces, vous devez donc choisir le bon plugin de sécurité. Voici une liste des fonctionnalités que votre plugin de sécurité DOIT offrir:

je. Analyse des logiciels malveillants

Les pirates sont toujours à la recherche de plugins vulnérables. Nous vous recommandons fortement d'utiliser un plugin de scan WordPress Malware qui exécutera un scan quotidien de votre site Web. Il doit effectuer une analyse approfondie qui vérifie chaque fichier et dossier de votre site Web, y compris votre base de données.

ii. Journal d'activité

Un journal d'audit de sécurité WP suit l'activité des utilisateurs sur votre site, tels que les personnes qui se sont connectées, les détails des tentatives de connexion qui ont échoué, ce que les utilisateurs de WordPress ont fait sur le site Web. Un journal d'activité est utile lorsque vous souhaitez comprendre comment votre site a été piraté ou quelles modifications ont été apportées pour provoquer un dysfonctionnement.

iii. Nettoyages de logiciels malveillants

Un bon plugin de sécurité vous permettra de nettoyer votre site rapidement. Il devrait être en mesure de nettoyer complètement votre site Web.

iv. Alertes en temps réel

S'il y a une activité suspecte sur votre site, le plugin devrait la détecter et vous alerter immédiatement. Cela vous permet de prendre des mesures rapides.

v. Protection de la connexion

Les pirates attaquent souvent votre page de connexion et essaient différentes combinaisons de noms d'utilisateur et de mots de passe pour pénétrer dans votre site Web (connu sous le nom d'attaque par force brute). Le plugin de sécurité devrait pouvoir bloquer de telles attaques. Vous pouvez lire notre guide sur la sécurité de connexion WordPress.

vi. Pare-feu

Vous avez besoin d'un pare-feu WordPress sur votre site Web qui bloquera de manière proactive les pirates et les robots malveillants et les adresses IP qui tentent de s'introduire dans votre site. Pour configurer un pare-feu, vous avez besoin d'une expertise technique. Cependant, vous pouvez trouver des plugins de sécurité qui l'installent et l'activent pour vous.

vii. Analyse hors site

Le processus d'analyse nécessite de nombreuses ressources serveur pour s'exécuter. Si le plugin utilise votre propre serveur, l'analyse peut surcharger votre site et le ralentir. Recherchez un plugin qui utilise ses propres serveurs pour analyser votre site.

Si vous pensez que votre solution de sécurité n'est pas efficace, vous pouvez choisir parmi les meilleurs plugins de sécurité disponibles.

Nous vous recommandons d'utiliser MalCare car il couvre toutes ces fonctionnalités. Il possède l'un des meilleurs analyseurs de logiciels malveillants qui peut détecter tout type de logiciel malveillant. Et en plus, vous pouvez nettoyer toute infection de malware en moins de quelques minutes!

2. Testez votre solution de sauvegarde WordPress

Avoir une sauvegarde de votre site WordPress peut être utile en cas de problème. Vous pouvez facilement restaurer votre sauvegarde et ramener votre site à la normale.

Mais que se passe-t-il si votre sauvegarde échoue? Que se passe-t-il si vous ne pouvez pas le restaurer?

C'est pourquoi vous devez tester votre sauvegarde. Si vous utilisez une sauvegarde d'hôte, certains d'entre eux n'offrent pas d'options de test. Voici ce que nous recommandons pour tester votre sauvegarde:

Installez le plugin de sauvegarde BlogVault sur votre site WordPress. Il prendra automatiquement une sauvegarde complète de votre site.

Notez que la première sauvegarde peut prendre un certain temps car elle copiera l'intégralité du site Web sur ses propres serveurs. Les sauvegardes suivantes sont beaucoup plus rapides car il utilise une technologie incrémentielle où il sauvegarde uniquement les modifications apportées.

Une fois la sauvegarde terminée, à partir du tableau de bord BlogVault, accédez à l'option «Tester la restauration».

tester restaurer blogvault

Une fois cela fait, il vous avertira que votre restauration a réussi.

3. Examinez votre configuration d'administration actuelle

WordPress permet à plusieurs personnes de collaborer et de contribuer au développement et à la maintenance de WordPress. Mais tous les utilisateurs de WordPress n'ont pas besoin d'un accès complet au site. Par exemple, un écrivain n'aurait besoin que d'un accès pour écrire et publier du contenu. Ils n'ont pas besoin d'avoir accès à d'autres modifications comme l'installation de plugins ou le changement de thème.

Pour éviter de donner à chaque utilisateur de votre site un accès complet, WordPress dispose de six rôles d'utilisateur différents que vous pouvez attribuer – Super administrateur, administrateur, éditeur, auteur, contributeur et abonné. Chaque rôle a différents niveaux d'autorisations.

Lors de votre audit de sécurité WordPress, la première chose que vous devez analyser est les utilisateurs que vous avez ajoutés à votre site WordPress.

    • Vérifiez combien de ces utilisateurs ont un accès administrateur.
    • Déterminez combien de personnes ont réellement besoin d'un accès administrateur.
    • Limitez l'accès et accordez des autorisations inférieures en modifiant les rôles d'utilisateur pour ceux qui n'ont pas besoin d'être administrateurs.
    • Assurez-vous que vous pouvez reconnaître tous les utilisateurs de votre tableau de bord. Supprimez tous les utilisateurs que vous ne reconnaissez pas, car il pourrait s'agir de comptes d'utilisateurs malveillants créés par des pirates.

Ensuite, assurez-vous que toute personne qui est administrateur de votre site Web n'utilise pas le nom d'utilisateur «admin». Il s'agit du nom d'utilisateur le plus utilisé par les administrateurs WordPress pour leurs comptes. Les pirates en sont bien conscients et essaient d'utiliser le nom pour accéder à votre site

Pour changer le nom de «admin» en quelque chose de plus unique, vous devez d'abord créer un nouveau compte d'utilisateur pour cette personne. Vous pouvez attribuer tout le contenu au nouvel utilisateur WordPress que vous avez créé. Ensuite, vous pouvez supprimer l'ancien compte "admin". Consultez notre guide sur la façon de changer le nom d'utilisateur WordPress par défaut.

4. Supprimez les plugins inutilisés installés et actifs

En travaillant avec WordPress depuis plus d'une décennie, nous avons vu de nombreux cas de sites Web WordPress piratés en raison de plugins vulnérables.

Les plugins pour WordPress sont créés par des développeurs tiers qui les maintiennent et les mettent à jour. Cependant, comme tout logiciel, au fil du temps, des vulnérabilités apparaissent. Les développeurs sont généralement rapides pour les corriger et publier une mise à jour. Cette mise à jour contiendra un correctif de sécurité qui supprimera la vulnérabilité de votre site.

Si vous retardez la mise à jour, votre site reste vulnérable.

    • Lors de votre audit, consultez la liste des plugins que vous avez installés. Beaucoup d'entre nous propriétaires de sites Web ont tendance à essayer de nouveaux thèmes et plugins. Nous n'utilisons pas la plupart d'entre eux mais oublions qu'ils sont toujours installés sur notre site. Supprimez les plugins que vous n'utilisez pas. Cela supprimera les éléments inutiles de votre site et réduira les chances des pirates informatiques de pénétrer dans votre site.
    • Assurez-vous de reconnaître tous les plugins installés. Si vous ou votre équipe ne reconnaissez aucun plug-in, nous vous conseillons de le supprimer. En effet, lorsque des pirates s'introduisent sur votre site, ils installent parfois leurs propres plugins. Ces plugins contiennent des backdoors qui leur donnent un accès secret à votre site.
    • Si vous avez installé toute version piratée ou annulée des plugins, supprimez-les immédiatement. Ces logiciels contiennent souvent des logiciels malveillants qui infectent votre site lorsque vous l'installez. Les pirates utilisent des logiciels piratés pour distribuer leurs logiciels malveillants.

Maintenant que vous n'avez que les plugins que vous utilisez, assurez-vous de les mettre à jour au fur et à mesure que les développeurs publient des mises à jour.

5. Supprimer les thèmes WordPress supplémentaires installés

En tant que propriétaires de sites Web, nous avons tendance à installer différents thèmes pour en trouver un que nous aimons. Cependant, plusieurs fois, nous oublions de supprimer ceux dont nous n'avons pas besoin. Tout comme les plugins, les thèmes peuvent également développer des vulnérabilités.

Nous vous conseillons de supprimer tous les autres thèmes et de ne conserver que le thème que vous utilisez. Assurez-vous d'utiliser la dernière version disponible de votre thème actif.

6. Évaluez votre fournisseur d'hébergement actuel et planifiez

Grâce à l'hébergement mutualisé, plus de personnes peuvent créer des sites Web sans gros investissement. Les plans d'hébergement partagé sont moins chers et adaptés aux petits sites WordPress.

Vous avez peut-être opté pour un plan d'hébergement partagé lorsque vous avez commencé, mais à mesure que vous grandissez, vous devez évaluer si vous devez mettre à niveau.

Les plans d'hébergement partagé signifient que vous partagez un serveur avec d'autres sites Web. Vous n'avez aucun contrôle sur ce que font les autres sites Web partageant votre serveur. Si leur site WordPress est piraté, il peut consommer trop de ressources du serveur. Cela ralentira votre site Web et réduira ses performances. Il existe également une légère chance que toute infection par un logiciel malveillant se propage aux sites partageant le même serveur. Donc, si vous pouvez vous permettre une mise à niveau, nous vous conseillons de passer à un serveur dédié. Vous pouvez vérifier ici si votre site est piraté.

Si vous n'êtes pas satisfait du service de votre hôte actuel, vous pouvez comparer différents hôtes et voir si vous souhaitez migrer votre site Web vers un meilleur.

7. Vérifiez les utilisateurs qui ont un accès FTP

Un FTP est un protocole de transfert de fichiers qui vous permet de connecter votre ordinateur local à votre serveur de site Web. Vous pouvez accéder aux fichiers et dossiers de votre site Web et apporter des modifications.

Étant donné que vous pouvez ajouter, modifier et supprimer des fichiers de votre site WordPress, l'accès au FTP ne doit être accordé qu'à ceux en qui vous avez confiance et dont vous avez absolument besoin.

Nous vous recommandons de vérifier la liste des utilisateurs FTP et de réinitialiser vos mots de passe FTP, si nécessaire. Pour ce faire, vous devez accéder à votre compte d'hébergement WordPress> cPanel> comptes FTP.

compte ftp cpanel

Ici, vous verrez une liste de tous les comptes FTP créés pour votre site Web. Vous pouvez supprimer ceux qui n’ont pas besoin d’accès.

8. Vérifiez vos mesures de renforcement de WordPress

WordPress recommande certaines mesures de renforcement qui rendent votre site Web plus sûr. Ceux-ci inclus:

    1. Désactiver l'éditeur de fichiers dans les plugins et les thèmes
    2. Désactiver l'installation du plugin
    3. Réinitialisation des clés et des sels WordPress
    4. Application de mots de passe forts
    5. Limiter les tentatives de connexion WordPress
    6. Implémentation de l'authentification à deux facteurs

Lors de votre audit de sécurité WP, nous vous recommandons de vérifier que ces mesures sont en place. Par exemple, si vous utilisez un plug-in pour limiter les tentatives de connexion ou l'authentification à 2 facteurs, assurez-vous que le plug-in fonctionne toujours et est à jour. Vérifiez s'il existe de meilleures options disponibles.

De nombreuses mesures de durcissement nécessitent une expertise technique pour être mises en œuvre. Cependant, si vous utilisez le plugin de sécurité MalCare, vous pouvez implémenter des mesures de renforcement de WordPress en quelques clics.

durcissement du site de malcare pour l'audit de sécurité wordpress

Ce sont huit tâches très importantes à réaliser régulièrement. Nous vous recommandons d'effectuer un audit tous les deux ans ou au moins une fois par an. Pour résumer ce que nous avons couvert, voici une liste de contrôle que vous pouvez suivre:

Liste de contrôle pour l'audit de sécurité WordPress

  1. Plugin de sécurité – Évaluez votre plugin de sécurité. Nous vous recommandons d'utiliser MalCare.
  2. Sauvegarde WordPress – Testez la sauvegarde de votre site Web pour vous assurer qu'elle peut être restaurée. Nous vous recommandons d'utiliser l'option de restauration de test de BlogVault.
  3. Utilisateurs Admin – Examinez votre configuration d'administration actuelle. Assurez-vous que vous avez accordé des privilèges d'administrateur uniquement à ceux qui en ont besoin. Supprimez tous les utilisateurs inactifs.
  4. Plugins – Supprimez les plugins inutilisés installés et actifs. Conservez uniquement les plugins que vous utilisez réellement et assurez-vous qu'ils sont mis à jour régulièrement.
  5. Thèmes – Supprimer les thèmes WordPress supplémentaires installés. Conservez uniquement le thème actif sur votre site et assurez-vous d'utiliser la dernière version disponible.
  6. Hébergeur Web – Évaluez votre fournisseur d'hébergement actuel et votre plan. Nous vous recommandons d'utiliser des hôtes Web de confiance et un plan de serveur dédié.
  7. FTP – Vérifiez les utilisateurs disposant d'un accès FTP. Accordez l'accès uniquement à ceux qui en ont besoin.
  8. Durcissement – Assurez-vous que vos mesures de renforcement de WordPress sont intactes et à jour.

Dernières pensées

Avec cela, nous arrivons à la fin de votre audit de sécurité WordPress. En prenant ces mesures pour revérifier régulièrement votre sécurité, vous pouvez empêcher les pirates de s'introduire dans votre site. Cela peut impliquer plusieurs tâches, mais cela vaut bien le temps passé.

Si vous trouvez les audits de sécurité WP trop fastidieux, vous pouvez réduire la charge en installant le plugin de sécurité MalCare sur votre site. Il s'occupera de nombreuses tâches pour vous grâce à l'automatisation, telles que les analyses et les nettoyages de logiciels malveillants, les sauvegardes, le pare-feu et le renforcement de WordPress.

La sécurité de votre site WordPress sera plus robuste et en même temps plus facile pour vous!

Sécurisez votre site WordPress avec MalCare!

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.