Étant le CMS le plus populaire, il est également le plus sujet aux cyberattaques. Découvrons ensemble les principales actions à mener pour sécuriser un site réalisé en WordPress.

De toute évidence, avoir un site Web sécurisé est essentiel pour tout type d’entreprise. Compte tenu de ce pourcentage élevé d’attaques et de la gravité des actions que les pirates pourraient faire en violant un site construit sur WordPress, il est nécessaire de porter la plus grande attention et de mener des actions spécifiques visant à sécuriser WordPress.

Ne modifiez pas les extensions des fichiers php

Il est courant de renommer les anciennes versions des fichiers avec le suffixe .old, afin qu’ils puissent toujours être conservés et utilisés en cas de besoin ou d’activité de restauration, mais sans qu’ils soient pris en compte dans l’exécution de l’application.

Cependant, renommer des fichiers php vous expose à des risques dus au fait que le système, lisant une extension de fichier différente, n’appliquera plus les restrictions de visibilité des fichiers php.

Il est donc conseillé de ne pas renommer les fichiers avec le suffixe .old sinon son contenu sera visible de l’extérieur et, n’étant plus interprété par le serveur comme un fichier php, il permettra à d’éventuels attaquants d’avoir accès à toute la configuration de l’installation informations de WordPress.

Utilisez des mots de passe forts

L’utilisation de mots de passe forts est d’une importance primordiale pour éviter les attaques et rester en sécurité.

Beaucoup d’entre nous optent pour des mots de passe faciles à mémoriser et peuvent utiliser le même mot de passe pour accéder à diverses connexions, mais ce faisant, nous aidons les pirates à accéder à notre site Web.

Si vous souhaitez sécuriser votre site WordPress, définissez des mots de passe forts pour tous les niveaux d’accès aux composants WordPress.

Voici quelques conseils pour créer un mot de passe fort et fort :

  • Choisissez un mot de passe d’au moins 8 caractères (8 caractères sont une force minimale requise mais il est conseillé d’utiliser au moins 12 caractères).
  • Le mot de passe doit contenir des lettres majuscules et minuscules, des chiffres de 0 à 9 et au moins un caractère spécial (~! @ # $% ^ & * _- + = ‘| \ () {} [] :; ”'<>, .? /)
  • Le mot de passe ne doit pas contenir le nom d’utilisateur ou les données personnelles de l’utilisateur.

Il est important de choisir un mot de passe différent des 5 derniers mots de passe utilisés à chaque fois (différent des 5 derniers est un critère de force minimum mais il est conseillé d’en choisir un différent parmi les 10 derniers).

En termes de sécurité, la fréquence de changement est également fondamentale : nous vous recommandons de changer de mot de passe au plus tard tous les 90 jours, en prenant soin de ne pas baisser le niveau de complexité du nouveau mot de passe par rapport au précédent.

Renommez votre administrateur de site

Cela peut sembler être un conseil trivial, mais ce n’est pas le cas… n’utilisez jamais le nom d’utilisateur standard « admin » sur WorPress, si vous le faites, vous aiderez les pirates !

Connectez-vous simplement à phpMyAdmin dans votre panneau d’administration d’hébergement, sélectionnez la base de données et changez l’utilisateur avec le nom admin dans la table wp_users.

Une autre mesure de sécurité importante consiste à éviter d’utiliser l’utilisateur administrateur pour les activités de création et de modification de contenu.

Pour ce type d’activité il est en effet conseillé d’activer des utilisateurs ad hoc « Editeur » ou « Auteur » selon le besoin.

Cette mesure rend plus difficile pour un attaquant potentiel d’identifier l’utilisateur administratif, en accédant à la page d’archives de l’auteur, puis de tenter de l’attaquer en acquérant les informations d’identification.

Configurer l’authentification à deux facteurs (2FA)

Pour ajouter un niveau de sécurité supplémentaire au processus d’authentification, au moment de la connexion, il est possible de demander, en plus du nom d’utilisateur et du mot de passe, un autre paramètre généré par un appareil dont l’utilisateur dispose, par exemple le téléphone portable.

Vous pouvez le faire via des plugins d’authentification spécifiques qui vous permettent de demander à l’utilisateur d’installer sur son appareil une application capable de générer des jetons temporaires à utiliser, avec le nom d’utilisateur et le mot de passe, lors de la phase d’authentification.

Installez un antivirus / antimalware et mettez-le toujours à jour

Les appareils que vous utilisez au quotidien pour gérer le contenu de votre site sur WordPress, modifier des thèmes ou installer des plugins pourraient être la cible d’attaques potentielles.

Il est donc fondamental d’avoir installé un bon service antivirus et antimalware sur les appareils avec lesquels le site WordPress est géré et de ne pas oublier de :

  • Effectuez régulièrement des analyses de virus et de logiciels malveillants.
  • Analysez les fichiers, plugins et thèmes avant de les télécharger/installer sur le site WordPress et évitez de télécharger d’autres plugins ou thèmes à partir de la même source où des visus ou des logiciels malveillants sont détectés.
  • Gardez le service antivirus et antimalware à jour à tout moment.