Travailler avec des systèmes de gestion de contenu populaires peut être un excellent moyen de gérer, modifier et maintenir votre site Web. Mais avec une grande popularité vient une grande responsabilité de sécuriser votre installation WordPress contre les pirates informatiques qui visent à exploiter des systèmes populaires comme WordPress. Voyons comment nous pouvons sécuriser notre serveur et nous protéger des attaquants.
Pourquoi ai-je besoin de sécuriser WordPress?
La popularité de WordPress en fait une cible pour les pirates. Avec des millions d'utilisateurs dans le monde, les attaquants obtiennent le meilleur rapport qualité-prix en exploitant ces outils largement utilisés. Un seul exploit pourrait permettre à un pirate informatique de compromettre des centaines ou des milliers de sites Web, ce qui pourrait signifier que votre site Web est l'un des nombreux concernés.
Les principaux moyens par lesquels WordPress est piraté ou compromis sont des mots de passe faciles à deviner, et le compromis de thèmes, de plugins et d'une installation WordPress obsolète. Garder des mots de passe et des noms d'utilisateur, des thèmes, des plug-ins et des installations de base à jour avec les derniers correctifs peut contribuer grandement à protéger votre serveur contre les attaquants.
Voyons comment nous pouvons mettre à jour ces éléments et nous assurer que notre installation WordPress est à jour.
Création d'un nom d'utilisateur et d'un mot de passe sécurisés
Bien que vous ne puissiez pas modifier le nom d'utilisateur défini lors de l'installation de WordPress, nous pouvons créer un autre utilisateur administratif qui n'a pas de nom d'utilisateur facilement deviné tel que «utilisateur» ou «admin», ce qui n'a peut-être pas été pris en compte lors de l'installation. Ensuite, nous pouvons créer un mot de passe sécurisé pour le compte administrateur d'origine, afin qu'il ne soit pas deviné.
Les noms d'utilisateur faciles à deviner permettent aux attaquants de deviner les noms d'utilisateur courants et la combinaison de mots de passe pour accéder à votre installation WordPress. En ayant un nom d'utilisateur obscur et unique, même si votre mot de passe est quelque chose de simple comme «mot de passe», les attaquants devront toujours deviner votre nom d'utilisateur compliqué pour y accéder.
Avec un nom d'utilisateur comme "mywebsite123987 @ # $ @!", Les pirates auront du mal à compromettre votre serveur de cette façon.
Pour créer un nouvel utilisateur, ouvrez votre tableau de bord et accédez à Utilisateurs.
Sélectionner Ajouter nouveau dans la navigation supérieure pour créer un nouvel utilisateur.
Assurez-vous de fournir un nom d'utilisateur et un mot de passe uniques et difficiles à deviner, avec plus de 12 caractères, y compris des lettres, des chiffres et des symboles.
Attribuez à cet utilisateur le Administrateur rôle, puis sélectionnez Ajouter un nouvel utilisateur.
Maintenant, nous pouvons revenir à la page Utilisateurs et sélectionner notre compte administrateur d'origine nommé utilisateur.
Générez un nouveau mot de passe pour notre utilisateur d'origine qui sera impossible à deviner. Maintenant que nous avons notre compte administrateur alternatif, notre compte d'origine nommé utilisateur peut avoir un mot de passe très long et compliqué, il n'est donc pas forcé par les attaquants d'être un nom d'utilisateur aussi commun.
Modification de l'URL de connexion WP-Admin
Un autre excellent moyen de sécuriser vos pages de connexion consiste à changer l'URL de connexion par défaut de wp-admin en quelque chose d'unique. De cette façon, les attaquants ne peuvent pas tenter automatiquement de se connecter à votre site Web via la valeur par défaut example.com/wp-admin/ URL et devra deviner votre page de connexion (nommée de manière sécurisée) pour attaquer votre site Web.
Bien que ce ne soit pas une fonctionnalité prise en charge par WordPress, nous pouvons y parvenir de deux manières. Utilisation d'un plugin ou modification manuelle des fichiers pour apporter nos modifications.
Pour cet article, nous modifierons manuellement nos fichiers et ferons de notre mieux pour éviter les plugins inutiles.
Il est important de noter que ces modifications ne seront pas répercutées sur les mises à jour de WordPress et pourraient causer des problèmes à l'avenir. Pour garantir des mises à jour fluides, il est recommandé de conserver une sauvegarde de tous les fichiers modifiés et de les restaurer avant la mise à jour. Ensuite, vous pouvez simplement effectuer à nouveau les mêmes modifications pour restaurer votre URL de connexion WordPress sécurisée.
Pour commencer, vous aurez besoin d'un bon éditeur de texte comme Notepad ++ qui a une fonction de recherche et de remplacement puissante. Une fois que nous avons cela, trouvons notre wp-login.php fichier dans notre répertoire racine WordPress.
Tout d'abord, faites une sauvegarde de ce fichier au cas où nous aurions besoin de revenir à l'URL de connexion d'origine à un moment donné. Une fois cela fait, ouvrez wp-login.php dans Notepad ++ afin que nous puissions émettre le module de recherche et de remplacement dont nous avons besoin pour sécuriser notre page de connexion.
Pour accéder au module de recherche et remplacement, accédez à Chercher dans le menu supérieur et trouvez Remplacer.
Une fois le module ouvert, dans le Trouver quoi: champ entrer connexion wp et dans le Remplacer par: entrez l'URL de connexion souhaitée. Dans ce cas, j'ai choisi custom_login pour être notre nouvelle page de connexion.
Sélectionner Remplace tout pour remplacer toutes les occurrences de connexion wp.
Enregistrez votre fichier et revenez au répertoire d'accueil de WordPress. Il est temps de renommer notre wp-login.php déposer vers custom_login.php.
Maintenant, pour tester que notre changement a fonctionné, accédez au répertoire wp-admin sur votre site Web. Dans mon cas, il est situé à http: // localhost / wordpress / wp-admin /. Lors du chargement de cette URL, vous devriez trouver qu'elle donne une erreur ou un avertissement «Page non trouvée». Cela signifie que notre URL de connexion a changé et ne peut pas être trouvée par les pirates utilisant une URL de connexion par défaut!
Ouvrons maintenant la bonne page de connexion, dans mon cas situé à http: //localhost/wordpress/custom_login.php.
Toutes nos félicitations! Vous avez changé votre URL de connexion par défaut en une URL unique plus sécurisée qui sera plus difficile à deviner par les pirates. Cela empêchera votre page de connexion d'être forcée par des programmes recherchant spécifiquement le wp-login.php URL. Un pas de plus vers la sécurité!
Gardez à jour les plugins, les thèmes et le noyau de WordPress
Le moyen le plus efficace de protéger votre installation WordPress est de maintenir à jour les thèmes, les plugins et l'installation principale de WordPress.
Les plugins et les thèmes sont souvent ciblés par les pirates car ils ont tendance à être développés par des développeurs tiers avec des ressources quelque peu limitées, par opposition à l'organisation WordPress dont la priorité sera la sécurité et le test de bogues des plugins et thèmes officiels.
Les thèmes et les plugins sont créés de la même manière que le développeur a décidé de les écrire, et ils ne sont pas souvent testés de manière approfondie contre les exploits. Cela peut causer des problèmes aux utilisateurs une fois qu'un attaquant trouve un bogue dans les fichiers de thème qui n'ont peut-être pas été mis à jour pour tous les utilisateurs. Cela peut également arriver des années plus tard.
Les plugins fonctionnent de la même manière mais peuvent être plus largement utilisés par les utilisateurs de WordPress, ce qui fait des plugins une cible idéale pour les pirates. Il y a eu de nombreux cas où les plugins installés par des millions d'utilisateurs ont été exploités, et tous les sites Web avec le plugin affecté peuvent être compromis s'ils ne sont pas mis à jour.
Pour gérer les mises à jour de WordPress, accédez au tableau de bord et recherchez Accueil.
Cette page vous aidera à gérer les mises à jour principales, les mises à jour de thèmes et même les mises à jour des plugins en un seul endroit central. Vous serez informé de toute extension obsolète et vous aurez la possibilité de les mettre à jour ici. Vous n'aurez besoin que d'un accès FTP disposant de droits de modification sur le thème, le plugin ou l'installation de WordPress.
Alors que WordPress fournit souvent des avertissements sur la page principale du tableau de bord pour les fichiers obsolètes, consultez souvent cette page de mises à jour de WordPress et assurez-vous que vos fichiers sont à jour. La correction des fichiers obsolètes est l'un des moyens les plus efficaces d'empêcher de simples prises de contrôle par des attaquants.
Minimiser l'utilisation des plugins et des thèmes installés
Cela peut certainement être un défi de garder les thèmes et les plugins à jour avec les derniers correctifs, surtout si vous utilisez des dizaines ou plus de thèmes et d'extensions. L'un des moyens les plus simples de minimiser ce risque est de limiter la quantité de plugins et de thèmes que vous utilisez.
Cela donne exponentiellement moins de vecteurs d'attaque pour les pirates pour chaque plugin ou thème qui n'est pas installé et peut avoir des exploits potentiels. De plus, la désinstallation des plugins et des thèmes désactivés empêchera même les outils inutilisés d'être exploités à l'avenir par de graves bogues.
Une fois que vous avez décidé de ne pas utiliser de plugin, supprimez-le entièrement de votre site Web. Même les anciens plugins désactivés se sont avérés avoir de graves bogues qui ont été compromis par des pirates à grande échelle.
Bien qu'il semble y avoir un plugin pour tout, même certaines des choses que nous avons faites aujourd'hui, minimiser votre utilisation des plugins et des installations de thèmes aidera certainement à protéger votre site Web contre les bogues facilement exploitables que les pirates peuvent trouver même des années plus tard. Si possible, installez uniquement le thème par défaut et celui que vous utilisez, et aussi peu de plugins que possible pour faire fonctionner votre site.
Rappelez-vous, plus il y a d'utilisateurs qui ont un plugin ou un thème installé, plus la cible est pour les pirates informatiques de trouver un exploit.
Remédiation et tranquillité d'esprit
Une dernière étape dans la protection des compromis irrévocables consiste à conserver des sauvegardes sécurisées. S'il y a une annonce d'un bogue trouvé dans un plugin ou WordPress, vous pourrez peut-être revenir à une installation plus sécurisée ou simplement supprimer les fichiers concernés du site Web en direct.
Si l'exploit est suffisamment sérieux, vous voudrez peut-être avoir une nouvelle installation de WordPress et importer simplement vos publications dans la nouvelle installation sécurisée.
Bien qu'il existe un million de façons de sauvegarder vos données, nous vous montrerons la forme la plus basique de sauvegarde de fichiers WordPress à l'aide de l'outil d'exportation intégré.
Cet outil est situé à Outils > Exportation dans le tableau de bord WordPress.
À partir de là, vous pouvez exporter manuellement des articles, des pages, des fichiers multimédias ou tout le contenu.
Cela ne sauvegardera en aucun cas votre thème ou vos plugins, ni aucun fichier modifié comme notre custom_login.php page. Cependant, en cas de sinistre, vous disposerez de sauvegardes sécurisées de tous vos articles et pages pour être facilement importés vers une nouvelle installation.
Les autres méthodes de sauvegarde de vos fichiers incluent l'exportation de la base de données SQL dans son ensemble. Mais une fois compromis, il est difficile de dire exactement quels fichiers et quelles données risquent une porte dérobée à long terme. Si votre installation WordPress a été compromise, il est préférable de recommencer sur une nouvelle installation avec le moins de fichiers restants possible.
Sécurité: un travail sans fin
Bien que ce guide ne touche que la surface de la sécurité, ce sont quelques-unes des méthodes les plus efficaces pour éviter un compromis total de WordPress. Ce sont les vecteurs d'attaque les plus utilisés par les pirates et la sécurisation de ces systèmes sécurisera votre site contre les attaques les plus courantes et automatisées contre les installations WordPress dans le monde entier.
Un nom d'utilisateur et un mot de passe forts qui ne sont pas faciles à deviner, une page de connexion personnalisée et des plugins, des thèmes et des installations de base à jour contribueront grandement à sécuriser votre serveur. Combinez cela avec des sauvegardes solides et en minimisant les outils tiers, et les pirates auront beaucoup moins de vecteurs à exploiter contre votre installation WordPress.
La combinaison de bonnes pratiques WordPress avec de solides pratiques de sécurité des serveurs telles que le cryptage, les pare-feu et la détection d'activités malveillantes maintiendra votre site Web sécurisé et un endroit sûr sur le Web!