WordPress est un logiciel très populaire et entièrement open source. La grande chose à propos de cela en termes de sécurité, c’est qu’il existe une énorme communauté qui travaille avec, qui est capable de découvrir les bogues ainsi que les risques de sécurité plus rapidement qu’avec une solution CMS interne. (Il est difficile de découvrir les faiblesses lorsqu’un moyen de le savoir est en fait d’exploiter la faiblesse, et le fait d’avoir une énorme base d’utilisateurs rend la découverte beaucoup plus probable.)
L’inconvénient est que les pirates mal intentionnés savent exactement comment votre site Web est construit. Ils ont déjà le « plan » de votre site. Et s’il y a des faiblesses dans le noyau, les thèmes ou les plugins que vous utilisez, c’est quelque chose qu’ils pourront savoir sans jamais accéder au backend de votre site.
Donc, dans cet article, je vais vous montrer comment corriger 5 menaces de sécurité présentes dans toute installation complètement par défaut de WordPress. (Si vous avez déjà pris quelques précautions, vous constaterez peut-être que vous en avez déjà corrigé une ou deux, mais il est important de corriger les cinq pour minimiser le risque d’être piraté.)
Votre site montre que vous utilisez WordPress, plus la version
La version par défaut de WordPress aura des lignes de code qui indiqueront que votre site est construit à l’aide de WordPress, même jusqu’à la version pour les personnes qui savent où chercher. Selon le thème, il peut même être affiché visuellement sur chaque page de votre site Web.
La raison pour laquelle cela pourrait être un risque pour la sécurité, c’est que les gens pourraient cibler votre site sans autre raison que le fait qu’il est construit sur WordPress. Si quelqu’un découvre une faille de sécurité dans le noyau de WordPress, un thème ou un plugin, il peut trouver le chemin de votre site pour l’exploiter. Alors que si vous aviez réussi à cacher que votre site a été construit avec WordPress, les personnes qui recherchent des sites WordPress à l’aide de robots ou de robots seraient amenées à penser que votre site n’est pas une cible viable.
Comment le réparer:
Pour résoudre ce problème, vous pouvez utiliser le plugin Hide My WP. Avec ce petit plugin utile, vous pouvez éviter le trafic inutile sur votre serveur, et en même temps, rester à l’abri des attaques qui ciblent spécifiquement les sites WordPress.
Tout le monde sait où se trouve votre page de connexion/zone d’administration
Si vous montrez toujours que vous utilisez WordPress (c’est-à-dire que vous ne le cachez pas activement en utilisant par exemple un plugin comme Hide My WP), les personnes mal intentionnées sauront déjà où tenter une attaque par force brute sur votre site.
Comment le réparer:
Pour corriger cette menace, réduire considérablement les risques de piratage et réduire le stress du serveur, nous devons empêcher les personnes malveillantes et les robots d’accéder à notre page de connexion.
Il existe deux manières principales de procéder. Vous pouvez soit changer l’emplacement physique de votre page de connexion en quelque chose d’autre en utilisant un plugin (ou quelques lignes de code), ou vous pouvez limiter l’accès à votre page de connexion et à votre zone d’administration par des adresses IP. Vous pouvez le faire avec un plugin dédié à cette chose en particulier, ou avec un plugin de sécurité comme Sucuri, Wordfence, iThemes Security Pro ou Sécurité et pare-feu WP tout en un.
WordPress a un préfixe de table par défaut que tout le monde utilise
Un préfixe de table est ce qui précède les noms de tables dans votre base de données. Au lieu d’utilisateurs, avec le préfixe WordPress standard, ce serait wp_users. Si vous utilisez le préfixe de table par défaut, cela permet aux personnes d’accéder plus facilement à votre site en exploitant les éventuelles faiblesses de l’injection SQL. Parce qu’ils savent exactement où injecter des informations dans votre base de données pour ensuite accéder à votre site.
En fait, un de mes sites Web a été piraté à cause de l’injection de SQL, il s’agit donc d’une menace très réelle contre laquelle vous devez prendre des contre-mesures.
Comment le réparer:
Heureusement, il est très facile de supprimer cette menace. Si vous avez déjà installé WordPress en utilisant le préfixe wp_ par défaut, vous pouvez facilement le modifier à l’aide d’un plugin comme Sucuri. Tout d’abord, vous devez sauvegarder votre base de données avant d’utiliser cette option, car il y a un risque mineur que quelque chose se passe mal. Vous pouvez le faire en cliquant sur un bouton. Ensuite, vous pouvez choisir un nouveau préfixe ou simplement laisser Sucuri générer au hasard le nouveau préfixe pour vous.
Remarque : si vous installez WordPress pour la première fois, vous pouvez le modifier dans l’interface d’installation.
Les fichiers de thème et de plugin WordPress sont modifiables via le tableau de bord
Le problème avec cela, c’est que si un pirate informatique accède à votre site Web, il peut faire beaucoup de dégâts. Ils peuvent faire en sorte que votre site Web infeste d’autres personnes avec des logiciels malveillants (ce qui pourrait entraîner l’inscription de votre site sur la liste noire de Google et sa désindexation des moteurs de recherche), dégrader votre site Web ou ouvrir facilement des portes dérobées.
Comment le réparer:
Vous pouvez soit ajouter cette ligne de code à votre fichier wp-config.php :
define( 'DISALLOW_FILE_EDIT', true );
Ou utilisez un plugin de sécurité pour le faire pour vous (qui insérera essentiellement cette ligne de code pour vous). Le seul problème est qu’il existe des plugins qui permettent aux gens d’activer et de désactiver cette capacité, donc un pirate informatique très dévoué pourrait être en mesure d’installer un plugin, d’activer le plugin, puis d’accéder au code d’édition sans accès FTP.
Si vous voulez être extrêmement minutieux et vous protéger contre cela, vous pouvez désactiver toutes les mises à jour/installations de plugins et de thèmes en ajoutant cette ligne de code à wp-config.php :
define( 'DISALLOW_FILE_MODS', true );
Mais évidemment, cela signifierait que vous devriez changer sa valeur sur false à chaque fois que vous voudriez mettre à jour ou installer un plugin ou un thème (nous ne recommandons pas vraiment cette option, car garder les thèmes et les plugins à jour est l’un des meilleurs moyens pour vous assurer que votre site est moins vulnérable).
WordPress a des paramètres de pare-feu très ouverts qui peuvent permettre même aux robots malveillants connus de tenter des attaques
Les paramètres de pare-feu par défaut de WordPress sont en fait du côté libéral. Cela signifie que certains robots indésirables et autres visiteurs indésirables obtiennent un feu vert.
Comment le réparer:
Vous pouvez améliorer cela en installant les règles de base du pare-feu de la liste noire 5G, en les copiant manuellement dans votre fichier .htaccess (vous pouvez le trouver ici) ou en installant ce plugin, ou utilisez un plugin de sécurité pour mieux optimiser les règles dans votre .htaccess.
Tentatives de connexion WordPress illimitées
Bien que le paramètre par défaut soit effectivement un nombre illimité de tentatives de connexion, vous avez peut-être choisi de limiter les tentatives de connexion lorsque vous avez installé WordPress sur votre site. Si vous ne l’avez pas fait, cependant, c’est une solution incroyablement facile.
Comment le réparer:
Installez simplement le Plugin Limiter les tentatives de connexion. Ou, si vous utilisez l’hébergement WPEngine, il s’agit d’une fonctionnalité qu’ils ont déjà intégrée pour vous – aucun plugin requis ! Si vous protégez déjà votre zone de connexion en autorisant uniquement vos propres adresses IP à accéder au tableau de bord, vous n’aurez pas besoin de le faire. Mais si vous venez de cacher l’adresse de votre page de connexion, c’est une belle double protection contre les attaques potentielles par force brute.
Conclusion
La cybercriminalité se développe rapidement et Internet est en passe de devenir le foyer de plus de criminels que « le monde réel ». Dans certains pays, cela s’est déjà produit. Et bien qu’il s’agisse en grande partie de fraudes par carte de crédit et bancaire, il existe un nombre croissant de pirates informatiques et, en tant que propriétaires de sites Web, nous devons nous protéger et protéger nos sites du mieux que nous pouvons.
Bien qu’une installation par défaut de WordPress présente certaines faiblesses, la beauté de WordPress réside vraiment dans la facilité avec laquelle vous pouvez résoudre à peu près tous vos problèmes avec votre site, y compris les menaces de sécurité mentionnées dans cet article. Au-delà d’un nom d’utilisateur unique et d’un mot de passe fort, en installant un plugin de sécurité, en modifiant certains paramètres et peut-être en insérant une ou deux lignes de code, vous pouvez déjà réduire considérablement le risque que votre site soit piraté ou infesté de logiciels malveillants.
Avez-vous pris des mesures pour améliorer la sécurité de votre site WordPress ? Quel genre? Nous serions ravis d’entendre certains de vos trucs et astuces! S’il vous plaît laissez-nous savoir dans les commentaires.