Quelle est la première chose que vous feriez lorsque vous voudriez sécuriser votre site WordPress ? Découvrez les cinq meilleurs plugins de sécurité, considérez leur prix abordable, puis installez-en un. Cela fait, vous pouvez maintenant vous asseoir et vous détendre, n’est-ce pas ? Tort!
L’utilisation d’un plugin de sécurité ne garantit pas la sécurité. La sécurité n’est pas une chose absolue et personne ne peut garantir une sécurité totale. Le mieux que nous puissions faire est de réduire le risque de piratage. Et contrairement à la croyance populaire, le propriétaire du site doit être impliqué dans la sécurité du site Web. Savoir ce que vous devez faire et ne pas faire est important.
Bien qu’il existe plusieurs guides sur ce que vous devez faire pour assurer la sécurité de votre site WordPress, nous vous proposons un guide sur ce que vous devriez ÉVITER de faire à la place. Vous remarquerez que les conseils ici sont en conflit avec la croyance générale. Mais d’après notre expérience, de nombreux conseils sont obsolètes et offrent un faux sentiment de sécurité.
Si la question de la sécurité de WordPress vous préoccupe autant que nous, jetez un œil à ce qui suit.
1. N’utilisez pas trop de plugins de sécurité
Compte tenu de la large gamme de plugins disponibles, avec divers ensembles de fonctionnalités, il est tentant d’utiliser plus d’un plugin de sécurité WordPress. Pour être honnête, c’est exagéré. Être inquiet pour la sécurité de votre site est normal mais vous devez vous demander si vous avez vraiment besoin de plus d’un plugin de sécurité ? Quelles sont les fonctionnalités essentielles aux besoins de votre site ? Les fonctionnalités vont-elles se marcher sur les pieds ?
Par exemple, un conflit peut survenir lorsque les plugins commencent à modifier des fichiers tels que wp-config.php ou htaccess. Les plugins peuvent facilement manipuler ces fichiers mais ils ne les modifient pas d’une seule manière unanime. Cela pourrait créer des conflits et ralentir votre site Web.
Avec les sites WordPress, les choses peuvent mal tourner de temps en temps. Tout le monde déteste le redoutable écran blanc de la mort. Avoir plusieurs plugins qui affectent profondément votre site Web peut rendre les problèmes de débogage difficiles. Maintenant, s’il n’y avait eu qu’un seul plugin, trouver et corriger la cause de l’erreur aurait été plus facile et moins compliqué.
2. Ne pas modifier le préfixe de la base de données
Un site WordPress peut être compromis de plusieurs manières. Un pirate peut accéder à la base de données d’un site via une attaque par injection SQL. Une vulnérabilité dans un plugin ou un thème peut être utilisée pour pénétrer dans la base de données du site (c’est pourquoi nous vous suggérons plutôt d’utiliser un Plugin de sauvegarde de base de données WordPress pour éviter un écueil similaire). Une méthode populaire pour empêcher les pirates de pénétrer plus profondément dans votre site consiste à modifier le préfixe de table par défaut. Comme vous pouvez le voir dans l’image ci-dessous, dans WordPress, le préfixe de table par défaut est « wp_. » WordPress vous permet de changer le préfixe de table (par exemple, ‘xzy_’) afin de masquer certaines tables.
À première vue, cela ressemble à une bonne idée. Si les pirates ne connaissent pas le nom de la table, ils ne peuvent pas en récupérer les données. C’est pourtant un faux raisonnement. Une fois que quelqu’un a piraté votre base de données, il existe toujours des moyens de découvrir les tables. Par conséquent, changer les noms du préfixe ne sert à rien. De plus, la modification du préfixe par défaut peut entraîner un mauvais comportement de plusieurs plugins.
De plus, changer le préfixe de la base de données en cours de vol est difficile à mettre en œuvre et peut provoquer le plantage de votre site Web. En effet, de nombreux changements doivent être apportés à tous les niveaux. Toute erreur dans le processus s’avérera catastrophique pour votre site.
3. Évitez de masquer votre page de connexion
Il y a toujours quelqu’un qui essaie de s’introduire dans votre site en déchiffrant votre mot de passe. Lors d’attaques par force brute, les pirates tentent de se connecter à votre site Web en utilisant une combinaison de noms d’utilisateur et de mots de passe populaires. Et si on masquait la page de connexion ? Cela fera d’une pierre deux coups, non ? Le pirate informatique ne pourra pas trouver la page de connexion et la charge sur votre serveur sera réduite.
WordPress a une page de connexion par défaut. L’URL de la page ressemble généralement à ceci example.com/wp-login.php. Un moyen bien connu de protéger votre site Web contre les attaques par force brute consiste à masquer ou à modifier la page de connexion par défaut en quelque chose d’autre comme example.com/mylogin.php. Bien que cela ressemble à un plan infaillible, découvrons à quel point la méthode est efficace pour sécuriser votre site WordPress.
Réduction de la charge du serveur
Après avoir masqué ou modifié l’emplacement de votre page de connexion, chaque fois que quelqu’un essaie de l’ouvrir, il est confronté à une erreur 404. Cependant, les tentatives de connexion sont un processus lourd. Chaque fois que la page d’erreur 404 se charge, elle consomme une grande partie des ressources de votre serveur. Et finit par ralentir votre site Web. Par conséquent, la croyance commune selon laquelle masquer votre page de connexion réduira la charge sur le serveur est incorrecte.
URL alternative pas difficile à deviner
Une partie du succès de WordPress en tant que CMS est due aux plugins qui facilitent les modifications d’un site Web. Il n’est pas surprenant qu’un moyen populaire de masquer une page de connexion d’un site soit d’utiliser un plugin. Ces plugins sont livrés avec un ensemble d’URL de connexion alternatives par défaut comme xzy.com/wplogin.php, etc. Nous avons été formés pour utiliser uniquement les paramètres par défaut. Une fois que nous avons installé le plugin et modifié notre URL, nous n’y pensons pas beaucoup. Mais il n’y a qu’un nombre limité d’URL qu’un plugin peut offrir. Il n’est pas trop difficile de trouver ces URL de connexion prédéfinies. Par conséquent, l’utilisation d’une URL alternative peut être inefficace dans la plupart des cas.
Problèmes d’utilisabilité
La beauté de WordPress est qu’il est facile à utiliser. C’est une plate-forme familière. Pour un site avec une multitude d’utilisateurs, changer ou masquer la page de connexion peut poser certains problèmes. Plusieurs fois, nous avons rencontré des messages sur des forums WordPress où les utilisateurs sont exclus d’un site en raison d’un changement dans l’URL de connexion. Dans la plupart des cas, les modifications ont été apportées à l’aide d’un plugin et les utilisateurs n’ont pas été informés de la situation provoquant le chaos.
4. Ne bloquez pas les adresses IP manuellement
Si vous avez un plugin de sécurité installé sur votre site, vous serez averti chaque fois que quelqu’un essaiera de se connecter à votre site Web. Vous pouvez facilement obtenir l’adresse IP envoyant ces requêtes malveillantes et les bloquer à l’aide du fichier .htaccess. C’est un travail manuel intensif et pas une pratique très pratique.
Pas convivial
Une personne non technique essayant de modifier les fichiers .htaccess est une recette pour un désastre. Un système de gestion de contenu comme WordPress a un formatage très strict. Même l’utilisation des outils les plus populaires comme FTP/SFTP est très risquée. Une erreur mineure ou un placement incorrect de la commande peut provoquer le plantage du site.
Trop d’adresses IP à bloquer
Pour éviter d’être mis sur liste noire, les pirates utilisent des adresses IP du monde entier. Auparavant, nous avons discuté du blocage manuel des adresses IP qui tentent constamment de s’introduire sur votre site. Le travail (comme nous l’avons mentionné précédemment) nécessite beaucoup de temps et d’efforts, mais n’est pas exactement une utilisation très efficace du temps. Mais si vous utilisez l’un des meilleurs plugins de sécurité WordPress, par exemple Malcare, vous pouvez automatiser le processus de blocage. De tels plugins de sécurité prennent en charge toutes les failles de sécurité de WP.
5. Cacher WordPress
Il existe une hypothèse générale selon laquelle la dissimulation de votre CMS rend plus difficile pour les personnes ayant de viles intentions de pénétrer dans votre site. Et si nous pouvions cacher le fait que votre site Web fonctionne sur WordPress. Cela protégerait votre site des pirates informatiques souhaitant exploiter des vulnérabilités courantes. Un moyen simple de le faire est d’utiliser (vous l’avez deviné) un plugin. Mais la méthode échoue lorsque les pirates ne se soucient pas de la plate-forme sur laquelle votre site Web est exécuté. De plus, il existe une multitude de façons de savoir si un site fonctionne sur WordPress.
En plus d’utiliser un plugin, on peut choisir de faire le travail manuellement. Mais c’est un processus qui prend du temps. Une seule mise à jour WordPress peut annuler tout ce que vous travaillez en quelques secondes. Ce qui signifie que vous devrez soit répéter le processus encore et encore, soit éviter les mises à jour de WP. Ignorer les mises à jour de WordPress, c’est comme ouvrir la porte d’entrée pour qu’un pirate informatique entre directement dans votre maison.
6. La protection par mot de passe de wp-admin ne fonctionne pas
La page de connexion WordPress par défaut (qui ressemble à ceci – example.com/wp-admin) est une passerelle vers votre site. Une page de connexion typique ressemble à l’image ci-dessous.
Ici, vous devrez utiliser vos informations d’identification pour accéder au tableau de bord WordPress. Le mot de passe protégeant la page de connexion permet de masquer ou de protéger cette passerelle vers le tableau de bord. C’est une bonne idée mais pas sans failles.
Tout d’abord, il est difficile de conserver ou même de modifier le mot de passe si vous le perdez. En plus d’être inefficaces pour fournir une sécurité supplémentaire, de telles modifications sur votre site peuvent s’avérer très dangereuses. Par exemple, lorsque vous protégez la page d’administration par mot de passe, une requête telle que /wp-admin/admin-ajax.php ne peut pas contourner la protection. Il existe des plugins qui peuvent dépendre de la fonctionnalité Ajax de votre site. Et quand ils ne sont pas en mesure d’accéder à cette fonctionnalité, ils commencent à mal se comporter. Par conséquent, cela peut entraîner la rupture du site Web.
À toi
Si vous avez des questions ou des suggestions concernant ce qu’il faut éviter pour sécuriser son site WordPress, faites-le nous savoir dans les commentaires.