6 conseils pour résoudre les problèmes de sécurité de WordPress

Bienvenue dans le CMS le plus populaire sur Terre

WordPress est l'une des principales cibles des cyberattaques. En effet, WordPress est de loin le système de gestion de contenu (CMS) le plus populaire au monde : il alimente 43,1 % de tous les sites Web et revendique une part de marché CMS de 63,6 % selon W3Techs. À titre de comparaison, la deuxième place est Shopify, qui alimente 3,8 % des sites Web et détient une part de marché CMS de 5,6 %.

Sa plate-forme de commerce électronique gratuite, WooCommerce, est également un acteur important à part entière, étant la solution de commerce électronique open source la plus populaire au monde.

Cela soulève une question évidente : que devez-vous faire lorsqu'il s'agit de sécuriser WordPress sur votre site et de prévenir ou de corriger les vulnérabilités de WordPress ? À partir de nos propres meilleures pratiques en matière de cybersécurité chez Coalition Technologies, voici nos 6 meilleurs conseils pour résoudre les problèmes de sécurité de WordPress.

Pourquoi choisir WordPress ?

WordPress est extrêmement flexible et puissant, et comme il est open source, il est également très rentable et populaire. WordPress étant la plus grande plate-forme sur le Web, de nombreux experts en cybersécurité sont disponibles pour aider à la sécurité d'un site Web WordPress pour une fraction du coût d'une plate-forme personnalisée.

1. Protégez vos identifiants de connexion

La mesure la plus puissante que vous puissiez prendre pour résoudre les problèmes de sécurité de WordPress est de ne pas avoir ces problèmes en premier lieu, et la protection de vos identifiants de connexion peut réduire de plus de moitié les violations de données.

Selon Verizon dans son rapport d'enquête sur les violations de données 2021, 61 % des violations de données impliquaient l'utilisation d'identifiants de connexion d'une manière ou d'une autre. Cela se produit le plus souvent à cause de :

• Vol de mot de passe
• Attaques par force brute
• Utilisation abusive des identifiants en interne

Protégez-vous contre le vol de mot de passe

Les pirates aiment opter pour les fruits à portée de main, et la correction des vulnérabilités de WordPress commence par éliminer tous ces fruits à portée de main avant que les pirates ne puissent l'atteindre.

• Mettez régulièrement à jour tous les mots de passe. 90 jours (une fois par trimestre) est une bonne valeur par défaut.

• Utilisez des mots de passe uniques et ne les réutilisez jamais. PurpleSec dit que 25% des employés utilisent le même mot de passe pour tout, ce qui devrait déranger tout le monde.

• Stockez correctement les mots de passe. WordPress gère tout en toute sécurité, mais si vos employés écrivent leurs mots de passe sur des notes autocollantes ou Google Docs, ils peuvent fuir.

• Pensez à faire expirer les mots de passe. Cela oblige les gens à mettre à jour leurs mots de passe, mais peut également amener certains employés à négliger le stockage de leurs mots de passe. Résoudre les problèmes de sécurité de WordPress sur le long terme signifie atténuer cette vulnérabilité avec vos politiques de mot de passe.

Renforcez-vous contre les attaques par force brute

Les pirates peuvent également utiliser des attaques par force brute pour voler des informations d'identification. Cela signifie deviner des mots de passe au hasard, des millions de fois, jusqu'à trouver une permutation qui fonctionne.

• Limitez le nombre de tentatives de connexion autorisées. Un bon plugin de sécurité WordPress gérera cela pour vous tout en corrigeant les vulnérabilités de WordPress au fur et à mesure de leur découverte.

• Utilisez des mots de passe uniques. Comme auparavant, résoudre les problèmes de sécurité de WordPress signifie utiliser des mots de passe uniques et ne les utiliser qu'une seule fois.

• Utilisez des mots de passe robustes. Les mots de passe doivent comporter au moins 8 caractères et, idéalement, ils impliqueront des chiffres, des lettres et des caractères spéciaux. Voici quelques conseils. Vous pouvez également utiliser des mots de passe mémorables, ce qui aide à réduire les problèmes de mémoire. Le National Cyber ​​​​Security Center du gouvernement britannique approuve l'idée des trois mots aléatoires, bien que quatre ou cinq mots soient encore mieux.

• Bloquez des pays ou des adresses IP spécifiques qui génèrent de nombreuses tentatives de connexion infructueuses. En particulier, empêchez ces sources d'accéder aux comptes sensibles avec accès aux panneaux d'administration à l'aide de pare-feu.

Utiliser les meilleures pratiques de protection par mot de passe

Chez Coalition Technologies, nous travaillons sans relâche pour assurer la sécurité des informations d'identification de nos clients. Au fil des ans, nous avons construit une fière feuille de route en matière de politiques de protection des mots de passe. De même, la résolution des problèmes de sécurité de WordPress nécessite de disposer de vos propres politiques de protection par mot de passe. Voici quelques directives pour corriger les vulnérabilités de WordPress au niveau des ressources humaines :

• Limitez l'accès à la connexion au besoin. N'accordez aux employés que le niveau minimum d'autorisations dont ils ont besoin et ne leur donnez accès qu'aux onglets et aux systèmes dont ils ont besoin. Limitez les comptes « admin » avec accès universel au nombre minimum de personnes possible.

• Déployer une formation efficace des employés. Parfois, l'utilisation abusive des mots de passe par des employés mécontents est malveillante (auquel cas vous pouvez limiter les dégâts en limitant l'accès comme mentionné ci-dessus). Mais le plus souvent, cette utilisation abusive est involontaire, et la résolution des problèmes de sécurité de WordPress avec des fuites de mots de passe peut être évitée avec une bonne formation. Assurez-vous que votre processus d'intégration inclut un module sur la sécurité des mots de passe et envisagez de déployer des modules de remise à niveau périodiques tous les 12 à 24 mois.

2. Installez un bon plugin de sécurité WordPress et suivez les meilleures pratiques

Le cœur de WordPress est très sécurisé, avec des talents de cybersécurité de classe mondiale travaillant pour assurer la sécurité de millions de sites Web. Mais WordPress permet également l'utilisation de plugins. Ces plugins étendent massivement les fonctionnalités de WordPress, mais introduisent également de nouvelles vulnérabilités de sécurité potentielles.

Cependant, il existe toute une industrie construite autour de la sécurisation des plugins WordPress, et ces produits sont eux-mêmes des plugins WordPress. Connus sous le nom de «plugins de sécurité», ce sont des utilitaires indispensables pour résoudre les problèmes de sécurité de WordPress et corriger les vulnérabilités de WordPress en temps réel. Votre premier arrêt après l'installation ou la mise à jour du logiciel principal de WordPress devrait être de choisir un bon plugin de sécurité WordPress et de le configurer correctement.

Nos recommandations de plugins de sécurité

Il existe de nombreux bons plugins de sécurité WordPress. Nos clients comptent sur l'architecture WordPress pour des millions de dollars de revenus. La sécurité du site Web est absolument essentielle.

Lorsque nous nous associons à nos clients pour offrir nos vastes services de conception Web WordPress, nous recommandons particulièrement ces deux plugins pour résoudre les problèmes de sécurité WordPress :

• Wordfence Security - Pare-feu, analyse des logiciels malveillants et sécurité de connexion
• Defender Security - Scanner de logiciels malveillants, sécurité de connexion et pare-feu

Nous utilisons régulièrement ces plugins de sécurité pour nos clients lors de la gestion de leurs sites WordPress.

Assurez-vous que la configuration du plug-in de sécurité est correcte

Les experts en recherche de mots-clés de Semrush recommandent ces étapes critiques pour résoudre de manière préventive les problèmes de sécurité de WordPress :

• Limitez le nombre de tentatives de connexion autorisées. Nous avons déjà couvert celui-ci, mais il convient de le répéter comme un excellent moyen de corriger de manière préventive les vulnérabilités de WordPress.

• Masquez votre page de connexion de la vue publique. Les visiteurs de votre site ne doivent pas pouvoir accéder à votre page de connexion via la navigation sur le site ou en devinant l'URL. L'URL de la page de connexion doit être obscure et non liée par d'autres pages.

• Supprimez les pages de backend, d'administration et de panier d'achat de l'indexation des moteurs de recherche. Ces pages sont évidemment beaucoup plus vulnérables au piratage, donc dans ce cas, résoudre les problèmes de sécurité de WordPress signifie garder ces pages hors des résultats de recherche.

• Sauvegardez régulièrement votre site Web. Vous pouvez le faire manuellement ou automatiquement, mais faites-le régulièrement. Tout ce qui n'est pas sauvegardé doit être considéré comme perdu, car c'est ce à quoi il reviendra dans quelque chose comme une attaque de ransomware. Les sauvegardes doivent être hébergées sur un serveur différent et utiliser des informations d'identification d'accès différentes. Lorsque cela est possible, il est également judicieux de conserver des sauvegardes « froides » locales. Ceci est particulièrement important pour les petites entreprises.

3. Auditez soigneusement les thèmes et les plugins avant de les installer

En ce qui concerne les autres plugins WordPress (en plus des plugins de sécurité) et les thèmes WordPress, il est essentiel de comprendre que vous avez affaire à une très large gamme de produits et de qualité. Toute bonne stratégie pour corriger les vulnérabilités de WordPress signifie faire beaucoup de diligence raisonnable dans l'audit de ces applications.

De nombreux plugins et thèmes sont solides et offrent des fonctionnalités et des options de mise en page essentielles dont votre site Web a besoin pour s'épanouir. D'autres plugins et thèmes sont mal conçus et vulnérables aux failles de sécurité des pirates. Et quelques-uns sont carrément des logiciels malveillants.

WordPress est vigilant pour résoudre les problèmes de sécurité WordPress avec des plugins et des thèmes en bloquant les logiciels malveillants et les spams, mais parfois quelques-uns de ces mauvais œufs passent. Voici quelques bonnes pratiques pour auditer les plugins et les thèmes qui vous intéressent :

• Un nombre de téléchargement élevé est généralement plus sûr. Les logiciels malveillants sont détectés très tôt, et les mauvais thèmes et plugins ne deviennent jamais populaires, donc seuls les éléments qui fonctionnent sont susceptibles d'accumuler un nombre élevé de téléchargements.

• Un grand nombre d'avis positifs d'utilisateurs est un indicateur fiable. Si de nombreuses personnes ont attribué à un plugin ou à un thème une note parfaite ou presque parfaite, c'est bon signe. Mais assurez-vous de lire également quelques-unes des critiques médiocres et négatives, pour voir quels types de plaintes les gens ont.

• Recherchez sur le Web des entreprises et des organes de presse qui parlent de leur expérience d'utilisation de ces plugins. Lorsqu'il s'agit de résoudre les problèmes de sécurité de WordPress et de corriger les vulnérabilités de WordPress pour votre entreprise, les avis des utilisateurs peuvent ne pas avoir la profondeur ou la crédibilité que vous recherchez. Alors allez en ligne et recherchez des noms en qui vous avez confiance. Voyez ce qu'ils disent de ces applications.

Où devriez-vous obtenir des plugins ?

En cas de doute, choisissez des plugins WordPress provenant de sources fiables :

• Le référentiel officiel de plugins WordPress est votre meilleur pari, et si vous n'obtenez que des plugins d'une seule source, obtenez-les ici.

• Les marchés tiers réputés pour les plugins, par exemple, CodeCanyon, sont une autre bonne source de plugins. Les places de marché réputées accordent beaucoup d'importance à la résolution des problèmes de sécurité de WordPress, car leur réputation en dépend.

• Les sites de développeurs de plugins WP tels que WPMU DEV sont une autre source de haute qualité pour les plugins. Ces communautés de développeurs de plugins WordPress de carrière se rassemblent pour augmenter la visibilité et la fiabilité de leurs produits.

Les bons plugins ont de bonnes équipes de développement, et les vulnérabilités de ces plugins sont généralement rapidement corrigées par les développeurs indépendants ou les agences qui les ont construits. Et quand ce n'est pas le cas, il existe généralement de nombreux plugins alternatifs différents qui offrent la même fonctionnalité en toute sécurité.

4. Tout mettre à jour et ré-auditer

Laisser votre logiciel prendre du retard est facile en raison du temps qu'il faut pour mettre à jour (et du temps qu'il faut pour réparer les choses cassées par les mises à jour), mais c'est terrible car beaucoup de ces mises à jour contiennent des correctifs pour corriger les vulnérabilités WordPress ou les vulnérabilités dans WordPress plugins ou thèmes. C'est pourquoi des organisations comme Search Engine Journal vous recommandent de garder vos plugins et vos thèmes à jour.

Il n'y a pas de sucreries : c'est l'un de nos conseils les plus chronophages pour résoudre les problèmes de sécurité de WordPress. Mais il faut y mettre du temps, sinon, on ouvre la porte aux cyberattaquants.

Cela inclut le logiciel WordPress de base, la version PHP qu'il exécute et tous les thèmes et plugins. Tout doit être mis à jour lorsque de nouvelles mises à jour sont disponibles et, lorsque vous le mettez à jour, tous les plugins et fonctions concernés doivent être à nouveau audités pour s'assurer que tout fonctionne correctement.

Allouer la main-d'œuvre continue

Suivre les mises à jour de votre noyau WordPress et les mises à jour des plugins doit faire partie de la description de poste de quelqu'un. Si la résolution des problèmes de sécurité de WordPress par la mise à jour préventive n'est pas sur le radar de quelqu'un, c'est le genre de chose qui a tendance à être oubliée.

La mise à jour des logiciels et la correction des vulnérabilités de WordPress ne génèrent pas de ventes directement, mais agissent pour éviter des coûts potentiellement catastrophiques et doivent être budgétisées en conséquence. Assurez-vous de préparer votre entreprise au succès en vous assurant que votre administrateur système ou votre équipe informatique dispose de la bande passante nécessaire pour rester au fait des mises à jour.

Chez Coalition Technologies, nous restons au courant des mises à jour dans le cadre de notre stratégie de réussite pour préparer les clients à une croissance durable à long terme.

Faites attention aux mises à jour

Une chose à savoir sur la résolution des problèmes de sécurité de WordPress en installant avec diligence les mises à jour au fur et à mesure de leur publication : WordPress examine tous les plugins qui sont soumis à son référentiel officiel, afin de filtrer les spams, de détecter les bogues graves courants et de s'assurer que les plugins sont conformes à WordPress. des lignes directrices.

Cependant, une fois qu'un plugin est approuvé et répertorié, WordPress n'a pas la possibilité d'auditer à nouveau tous ces plugins tiers à chaque fois qu'un plugin est mis à jour. La base de code d'un plugin peut et change souvent de manière significative après cet examen initial, et WordPress ne le saurait pas.

Cela se produit généralement pour des raisons légitimes, par exemple, les mises à niveau UX, la correction des vulnérabilités et des bogues WordPress et l'ajout de nouvelles fonctionnalités. Mais les pirates peuvent déjouer le système en mettant en place une version initiale de leur plugin qui réussit, puis en ajoutant des logiciels malveillants avec les mises à jour ultérieures. Cela peut également se produire lorsqu'un plug-in existant est abandonné ou vendu, et qu'un tiers malveillant le prend en charge et ajoute un logiciel malveillant. Cela signifie qu'une partie du travail de résolution des problèmes de sécurité de WordPress vous incombe.

Consultez toujours les notes de mise à jour lorsqu'un plugin est mis à jour, et ne vous précipitez pas pour être l'un des premiers utilisateurs sans vérification extérieure : voyez d'abord ce que les autres disent.

Utiliser les services de recherche de vulnérabilité

Vous pouvez également utiliser des services tels que la base de données de vulnérabilité WPScan, qui peut vous aider à résoudre les problèmes de sécurité de WordPress en vous informant rapidement des risques de sécurité nouvellement découverts.

Si vous vous associez à Coalition Technologies pour gérer votre site WordPress, nous effectuons tous nos propres contrôles de thèmes et de plugins WordPress, et prenons la responsabilité de corriger les vulnérabilités WordPress auxquelles votre site est exposé, vous donnant la tranquillité d'esprit et vous déchargeant d'une tâche fastidieuse. .

5. Identifiez les attaques de phishing

L'hameçonnage est une source majeure de vulnérabilité en matière de cybersécurité, et bien qu'il s'agisse d'un phénomène à l'échelle d'Internet, il doit toujours être discuté dans le contexte des cas d'utilisation de WP et de la résolution des problèmes de sécurité de WordPress. Les hameçonneurs usurpent souvent WordPress lui-même ou usurpent les e-mails des clients. La société de cybersécurité Varonis a une bonne introduction sur le fonctionnement du phishing.

Tout ce qui contient des hyperliens que vous ne contrôlez pas pourrait être une attaque de phishing (sites Web, documents numériques, etc.), mais surtout les e-mails.

Méfiez-vous des e-mails entrants

Presque toutes les attaques de phishing commencent par e-mail. (C'est environ 90% selon CyberTalk.org.) Cela signifie que les entreprises doivent enseigner aux employés les meilleures pratiques d'autodéfense par e-mail. Il ne s'agit pas tant de corriger les vulnérabilités de WordPress que d'empêcher le comportement de votre équipe de devenir un vecteur d'attaques de cybersécurité.

Assurez-vous que vous disposez d'enregistrements DMARC et SPF appropriés configurés pour votre DNS, ce qui empêchera les personnes d'utiliser votre domaine dans les e-mails, car ils finiront soit en courrier indésirable, soit ils ne seront jamais envoyés, selon la politique DMARC définie. .

Protégez-vous contre les faux liens

Les hameçonneurs utilisent de faux liens, qui sont parfois déguisés pour ressembler à des sites courants tels que Google. Une méthode pour résoudre les problèmes de sécurité de WordPress en se protégeant contre le phishing consiste à modifier les en-têtes de sécurité des X-Frame-Options de votre site, ce qui ne permettra pas à votre site Web d'être utilisé dans un iframe par des sites Web externes.

Utiliser de vraies URL

Enfin, n'utilisez pas de raccourcisseurs de liens, qui ne révèlent pas à l'utilisateur le site Web de destination ultime.

6. Sécurisez votre réseau

Un autre conseil important pour résoudre les problèmes de sécurité de WordPress est de sécuriser votre réseau. En cette ère pandémique d'augmentation du télétravail et des lieux de travail mondiaux, les entreprises transmettent régulièrement des informations critiques sur Internet, créant de nombreuses opportunités de vulnérabilités de sécurité.

WordPress est une plate-forme très flexible, ce qui signifie que vous pouvez corriger des méthodes couramment exploitables avec de simples extraits de code trouvés en ligne, comme désactiver le XMLRPC et exiger une authentification pour accéder à WP-JSON. La correction des vulnérabilités de WordPress est souvent aussi simple que l'installation et l'utilisation des plugins appropriés.

De plus, des options d'authentification multi-facteurs sont disponibles avec l'utilisation de plugins WordPress.

Pratiquer une préparation et une prévention solides

Les pare-feu d'applications Web tels que Cloudflare et bien d'autres ont spécifiquement conçu leur WAF pour protéger les applications WordPress contre différents types et modèles d'attaques courants. De nombreux hébergeurs proposent gratuitement un service de sauvegarde quotidienne, comme WP Engine.

Partenaire avec Coalition Technologies pour la conception et le développement de WordPress

Chez Coalition, nous proposons des services complets de conception et de développement WordPress, soit de manière autonome, soit en conjonction avec nos services primés de référencement et de marketing numérique. Tout ce dont nous avons discuté aujourd'hui sur la résolution des problèmes de sécurité de WordPress et la correction des vulnérabilités de WordPress est inclus dans nos services lorsque vous vous associez à nous.

Consultez notre FAQ sur les services WordPress. Nous serions ravis de travailler avec vous ! Contactez-nous pour discuter des besoins de votre site Web.