5 menaces de sécurité par défaut dans WordPress et comment les corriger

Sécurité WordPress

WordPress est un logiciel très populaire et entièrement open source. La grande chose à propos de cette sécurité, c’est qu’il existe une énorme communauté qui travaille avec elle, qui est en mesure de découvrir les bogues ainsi que les risques de sécurité plus rapidement que l’on pourrait avec une solution CMS interne. (Il est difficile de se renseigner sur les faiblesses lorsqu’une façon de le découvrir consiste à exploiter la faiblesse, et le fait d’avoir une énorme base d’utilisateurs rend la découverte beaucoup plus probable.)


L’inconvénient est que les pirates avec de mauvaises intentions savent exactement comment votre site Web est construit. Ils ont déjà le «plan» de votre site. Et s’il y a des faiblesses dans le noyau, les thèmes ou les plugins que vous utilisez, c’est quelque chose qu’ils pourront savoir sans jamais avoir accès au backend de votre site.

Donc, dans cet article, je vais vous montrer comment corriger 5 menaces de sécurité présentes dans toute installation complètement par défaut de WordPress. (Si vous avez déjà pris certaines précautions, vous constaterez peut-être que vous en avez déjà corrigé une ou deux, mais il est important de corriger les cinq pour minimiser le risque de piratage.)

Votre site montre que vous utilisez WordPress, plus la version

Version WordPress

La version par défaut de WordPress aura des lignes de code qui indiquent que votre site est construit en utilisant WordPress, même jusqu’à la version pour les personnes qui savent où chercher. Selon le thème, il peut même être affiché visuellement sur chaque page de votre site Web.

La raison pour laquelle cela pourrait être un risque pour la sécurité, c’est que les gens pourraient cibler votre site pour aucune autre raison que celle-ci est construite sur WordPress. Si quelqu’un trouve une faiblesse de sécurité dans le noyau WordPress, un thème ou un plugin, il pourrait trouver son chemin vers votre site pour l’exploiter. Alors que si vous aviez réussi à cacher que votre site avait été construit avec WordPress, les personnes qui recherchent des sites WordPress à l’aide de robots ou de robots seraient amenées à penser que votre site n’était pas une cible viable.

Comment le réparer:
Pour résoudre ce problème, vous pouvez utiliser le plugin Hide My WP. Avec ce petit plugin utile, vous pouvez éviter le trafic inutile sur votre serveur et, en même temps, rester à l’abri des attaques qui ciblent spécifiquement les sites WordPress.

Tout le monde sait où se trouve votre page de connexion / zone d’administration

Connexion WordPress

Si vous montrez toujours que vous utilisez WordPress (c’est-à-dire que vous ne le cachez pas activement en utilisant par exemple un plugin comme Hide My WP), les personnes mal intentionnées sauront déjà où tenter une attaque par force brute sur votre site..

Comment le réparer:
Pour corriger cette menace, réduire considérablement les risques de piratage et réduire le stress du serveur, nous devons empêcher les personnes malveillantes et les robots d’accéder à notre page de connexion..

Il existe deux façons principales de procéder. Vous pouvez soit modifier l’emplacement physique de votre page de connexion en quelque chose d’autre en utilisant un plugin (ou quelques lignes de code), soit limiter l’accès à votre page de connexion et à votre zone d’administration par des adresses IP. Vous pouvez le faire avec un plugin dédié à cette chose particulière, ou avec un plugin de sécurité comme Sucuri, Wordfence, iThemes Security Pro ou Tout-en-un WP Security & Firewall.

WordPress a un préfixe de table par défaut que tout le monde utilise

Préfixe du tableau WordPress

Un préfixe de table est ce qui précède les noms des tables de votre base de données. Au lieu d’utilisateurs, avec le préfixe WordPress standard, ce serait wp_users. Si vous utilisez le préfixe de table par défaut, il est plus facile pour les gens d’accéder à votre site en exploitant les faiblesses possibles de l’injection SQL. Parce qu’ils savent exactement où injecter des informations dans votre base de données pour ensuite accéder à votre site.

En fait, un de mes sites Web a été piraté en raison de l’injection SQL, c’est donc une menace très réelle contre laquelle vous devez prendre des contre-mesures..

Comment le réparer:
Heureusement, il est très facile de supprimer cette menace. Si vous avez déjà installé WordPress en utilisant le préfixe wp_ par défaut, vous pouvez facilement le changer en utilisant un plugin comme Sucuri. Tout d’abord, vous devez sauvegarder votre base de données avant d’utiliser cette option, car il y a un risque mineur de problème. Vous pouvez le faire en cliquant sur un bouton. Ensuite, vous pouvez choisir un nouveau préfixe, ou simplement laisser Sucuri générer aléatoirement le nouveau préfixe pour vous.

Remarque: si vous installez WordPress pour la première fois, vous pouvez le modifier dans l’interface d’installation.

Les fichiers de thèmes et de plugins WordPress sont modifiables via le tableau de bord

Éditeur de plugin WordPress

Le problème, c’est que si un pirate accède à votre site Web, il peut faire beaucoup de dégâts. Ils peuvent faire en sorte que votre site Web infeste d’autres personnes avec des logiciels malveillants (ce qui pourrait entraîner la disparition de votre site sur la liste noire de Google et la désindexation des moteurs de recherche), endommager votre site Web ou ouvrir facilement des portes dérobées..

Comment le réparer:
Vous pouvez soit ajouter cette ligne de code à votre fichier wp-config.php:

define ('DISALLOW_FILE_EDIT', true);

Ou utilisez un plugin de sécurité pour le faire pour vous (qui n’insérera essentiellement que cette ligne de code pour vous). Le seul problème est qu’il existe des plugins qui permettent aux gens d’activer et de désactiver cette capacité, donc un pirate très dédié pourrait être en mesure d’installer un plugin, d’activer le plugin, puis d’accéder à l’édition de code sans accès FTP.

Si vous voulez être extrêmement approfondi et vous protéger contre cela, vous pouvez désactiver toutes les mises à jour / installations de plugins et de thèmes en ajoutant cette ligne de code à wp-config.php:

define ('DISALLOW_FILE_MODS', true);

Mais évidemment, cela signifierait que vous deviez changer sa valeur en false chaque fois que vous vouliez mettre à jour ou installer un plugin ou un thème (nous ne recommandons pas vraiment cette option, car la mise à jour des thèmes et des plugins est l’un des meilleurs moyens pour vous assurer que votre site est moins vulnérable).

WordPress a des paramètres de pare-feu très ouverts qui peuvent permettre à des robots malveillants connus de tenter des attaques

Serrures de pare-feu WordPress

Les paramètres de pare-feu par défaut de WordPress sont en fait du côté libéral. Cela signifie que certains robots indésirables et autres visiteurs indésirables obtiennent un feu vert.

Comment le réparer:
Vous pouvez améliorer cela en installant les règles de base du pare-feu de la liste noire 5G, en le copiant manuellement dans votre fichier .htaccess, (vous pouvez le trouver ici) ou en installant ce plugin, ou utilisez un plugin de sécurité pour mieux optimiser les règles de votre .htaccess.

Tentatives de connexion WordPress illimitées

Bien que le paramètre par défaut soit en effet un nombre illimité de tentatives de connexion, vous avez peut-être choisi de limiter les tentatives de connexion lorsque vous avez installé WordPress sur votre site. Si vous ne l’avez pas fait, cependant, c’est une solution incroyablement facile.

Comment le réparer:
Installez simplement le Plugin Limiter les tentatives de connexion. Ou, si vous utilisez l’hébergement WPEngine, c’est une fonctionnalité qu’ils ont déjà intégrée pour vous – aucun plugin requis! Si vous protégez déjà votre zone de connexion en autorisant uniquement vos propres adresses IP à accéder au tableau de bord, vous n’aurez pas besoin de le faire. Mais si vous venez de cacher l’adresse de votre page de connexion, c’est une belle double protection contre les attaques potentielles par force brute.

Conclusion

La cybercriminalité se développe rapidement et Internet est en voie de devenir le foyer de plus de criminels que «le monde réel». Dans certains pays, cela s’est déjà produit. Et bien qu’il s’agisse en grande partie de fraude par carte de crédit et de banque, il existe un nombre croissant de pirates informatiques, et en tant que propriétaires de sites Web, nous devons nous protéger et protéger nos sites du mieux que nous pouvons.

Bien qu’une installation par défaut de WordPress présente certaines faiblesses, la beauté de WordPress réside vraiment dans la facilité avec laquelle vous pouvez résoudre à peu près tous vos problèmes avec votre site, y compris les menaces de sécurité mentionnées dans cet article. Au-delà d’avoir un nom d’utilisateur unique et un mot de passe fort, en installant un plugin de sécurité, en modifiant certains paramètres et peut-être en insérant une ou deux lignes de code, vous pouvez déjà réduire considérablement le risque que votre site soit piraté ou infesté de logiciels malveillants.

Avez-vous pris des mesures pour améliorer la sécurité de votre site WordPress? Quel genre? Nous aimerions entendre certains de vos trucs et astuces! Merci de nous le faire savoir dans les commentaires.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map