Comment Sécuriser Un Site WordPress (Version Débutante)

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Table Des Matières

Selon WordFence, il y a 90,000 attaques par minute sur les sites WordPress. Bien que la plateforme soit dotée de nombreuses mesures pour atténuer les risques potentiels, la complexité des menaces modernes nécessite une participation active afin de sécuriser un site WordPress contre les pirates qui scrutent constamment le web. Voici six mesures pouvant facilement être mises en place dès aujourd’hui pour sécuriser un site WordPress:

Cet passe brièvement en revue chacun de ces points.

Maintenez vos logiciels à jour

Les logiciels obsolètes sont souvent l’un des principaux points d’entrée des pirates qui tentent de pirater votre site Web, car les mises à jour sont souvent publiées pour corriger une attaque spécifique découverte par les pirates et partagée sur Internet. Les pirates utilisent des scans automatisés qui recherchent tous les sites Web susceptibles de contenir une version obsolète de ces plugins, de sorte qu’il faut toujours se demander « quand cela va-t-il se produire » plutôt que « est-ce que ca va se produire? ».

Le logiciel WordPress est le cœur de votre site et doit toujours être mis à jour. Si vous ne le mettez pas à jour, votre site risque d’être vulnérable à des attaques connues de tous et qui sont tentées sur une base régulière. La dernière version de PHP devrait être également installée. Les anciennes versions de ce langage présentent des vulnérabilités qui pourraient conduire à une prise de contrôle totale de votre site par un pirate.

En outre, vous devez non seulement maintenir vos plugins et vos thèmes à jour de manière très rigoureuse, mais vous devez également faire preuve de diligence avant d’installer un plugin, pour vous assurer qu’il a été soutenu par la communauté et qu’il a été jugé fiable. Cela contribuera grandement à sécuriser votre site WordPress, mais votre parcours ne s’arrête pas là.

Passez à HTTPS

HTTPS, également connu sous le nom de SSL ou TLS, est un protocole de cryptage qui sécurise les informations qui transitent entre votre site et ses visiteurs. Sécuriser votre site WordPress avec le cryptage HTTPS est une nécessité aujourd’hui, surtout si vous traitez des données sensibles des utilisateurs.  Lorsqu’un site Web n’utilise pas le protocole HTTPS, les pirates peuvent intercepter et modifier les données partagées entre les utilisateurs et le serveur.

Un certificat numérique TLS peut facilement être obtenu gratuitement. La majorité des hébergeurs propose un hébergement sécurisé avec un certificat inclut de base. Cela devrait être l’une de vos principales priorités pour sécuriser votre site WordPress.

Découvrez comment Vumetric a sécurisé le site WordPress de centaines d'organisations.

Quelle que soit la complexité de votre site web, nos experts comprennent les vulnérabilités les plus complexes de la plateforme WordPress qui pourraient être désastreuses si elles sont exploitées par un pirate.

Utilisez des mots de passe robustes

Vos utilisateurs disposant de quelconques privilèges administratifs  doivent obligatoirement utiliser des mots de passe robustes composés de caractères spéciaux, de chiffres et de lettres majuscules. Plus important encore, ils doivent créer des mots de passe uniques qui ne sont utilisés par aucun de leurs comptes personnels ou professionnels. Cette mesure doit être strictement appliquée et la raison en est simple. Des millions de mots de passe, de noms d’utilisateur et d’e-mails divulgués peuvent facilement être achetés sur le dark web pour un prix modique. Les pirates intègrent ces grandes bases de données dans leurs outils de piratage, ce qui leur permet de tenter des millions de mots de passe qui pourraient potentiellement leur donner accès à l’un de vos comptes avec un accès administratif si le mot de passe de cet utilisateur était divulgué sur le dark web à la suite de la fuite de données d’un site web compromis. Ces attaques, connues sous le nom d’attaques « brute-force », peuvent également être atténuées en installant un plugin qui limite le nombre de tentatives de connexion consécutives. Cela dit, une autre couche de protection peut également être ajoutée pour sécuriser votre site Web WordPress si un attaquant parvient à se connecter à un compte.

Adhérez au Principe du Moindre Privilège

Les gens sont trop souvent négligents lorsqu’il s’agit de protéger leurs comptes. Ils n’adhèrent pas à des règles strictes en matière de mots de passe, ou ils se laissent piéger par des courriels d’hameçonnage qui tente de soutirer leurs informations d’identification. Si un compte est compromis, l’impact de l’intrusion est nettement moins important lorsqu’il ne peut accéder à aucun élément sensible.

C’est là que le principe du moindre privilège devient particulièremet utile. Il consiste à donner à chaque compte uniquement les autorisations strictement nécessaires.

WordPress définit six rôles : Super Administrateur, Administrateur, Editeur, Auteur, Contributeur, et Abonné. Un site web ne devrait avoir qu’un seul compte Administrateur (Super Administrateur est seulement pour les installations multisites.) Les personnes qui ne font que créer du contenu devraient avoir le rôle d’Auteur ou de Contributeur.

Pendant que vous y êtes, changez le nom du compte « admin » en quelque chose d’autre. Cela le rend un peu plus difficile à identifier et à cibler par les attaquants. Il pourrait également être important d’envisager l’ajout d’un plugin pour contrôler l’accès aux rôles de vos utilisateurs de manière granulaire, ce qui vous permettrait de créer de nouveaux rôles d’utilisateur et de leur donner le moins d’accès possible.

Configurez l’authentification à deux facteurs

Dans le même ordre d’idées que la précédente, cette mesure devrait ajouter une couche supplémentaire de sécurité pour les utilisateurs avec un mot de passe compromis. L’authentification multifactorielle exige une confirmation supplémentaire de l’utilisateur pour valider son identité. Lorsque l’utilisateur se connecte, le serveur vérifie l’accès en envoyant un message texte, en passant un appel vocal ou en utilisant une application mobile. Bien que cette mécanique ne soit pas entièrement à l’épreuve des pirates, les risques sont très limités et cela ajoutera simplement une étape supplémentaire pour décourager les pirates de cibler votre site Web.

Les comptes ayant les plus hauts niveaux de responsabilité – administrateurs et rédacteurs – devraient toujours utiliser l’authentification à deux facteurs. Les auteurs et les contributeurs peuvent également en disposer, mais c’est moins critique. Plusieurs plugins sont disponibles pour ajouter l’authentification à plusieurs facteurs.

Sauvegarde régulière de votre site

Une sécurité absolue est impossible, à moins de se déconnecter entièrement d’Internet. Si votre site est compromis par un attaquant motivé, vous devez disposer des outils nécessaires pour le rétablir rapidement. Cela est facilement réalisable si vous effectuez des sauvegardes régulières, automatisées et hors site. Une sauvegarde « on-site » peut être détruite au moment même où un pirate compromet les fichiers du serveur. Une sauvegarde à distance, hors site, est plus sécuritaire.

Les sauvegardes hors site ne mettent normalement à jour que ce qui a été modifié depuis votre dernière session utilisateur, de sorte que le volume réel de données à restaurer depuis l’attaque n’est pas très important. Surtout quand il est possible de sauvegarder votre site Web toutes les heures.

 

Vous voulez savoir si votre site Web pourrait être piraté ?

Nos services de tests d’intrusion ont été conçus pour aider les organisations comme la vôtre à améliorer leur cybersécurité contre les dernières menaces en identifiant les vulnérabilités pouvant être exploitées par un attaquant et en fournissant des recommandations pour les corriger. Contactez nos spécialistes pour commencer.

 

Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses. Cet exercice s’appuie généralement sur les outils utilisés par les pirates informatiques ainsi que diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.

De plus, un test tente d’exploiter vos vulnérabilités afin de déterminer leur impact potentiel sur votre entreprise si elles étaient utilisées dans un scénario de piratage réel. Ultimement, ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques. Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:

  • Un pirate informatique peut-il accéder à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour commettre des actes malicieux ?
  • Une infection par un logiciel malveillant peut-elle se propager sur notre réseau ?
  • Un pirate peut-il altérer son rôle d’utilisateur dans une application afin d’obtenir des permissions administratives ?

Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué. Voici quelques cas d’utilisation courante pour un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
  • Pour protéger les données sensibles contre l’exfiltration.
  • Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
  • Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.

Il est conseillé à toutes les entreprises de procéder à un test d’intrusion au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.

Diverses mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales. C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.

Bien que nous utilisons une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est  basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • L’impact potentiel: L’impact potentiel d’une attaque qui exploite la vulnérabilité combiné à son effet sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)

Autres Articles du Blogue de Vumetric

Impact d'une cyberattaque

Les Conséquences d’une Cyberattaque sur Votre Entreprise

Une cyberattaque est une attaque menée par des pirates informatiques dans le but d’endommager un …

Lire l'Article
test d'intrusion vs bug bounty

Test d’Intrusion vs Bug Bounty

En raison de la récente vague d’incidents liés aux ransomwares, les organisations et les …

Lire l'Article
Comment Protéger WordPress des Pirates

Comment Protéger WordPress des Cyberattaques Courantes

Les sites WordPress sont régulièrement piratés, car il s’agit de loin du logiciel le plus …

Lire l'Article

Certifications

Nous Détenons des Certifications Reconnues Mondialement

Contactez un Expert Certifié

Parlez avec un vrai spécialiste. Aucun engagement. Réponse sous 24h.

fournisseur de test d'Intrusion

Confidentialité

Appelez-nous au: 1-877-805-7475

Vous Désirez Savoir Comment Votre Site Web Pourrait Être Piraté?

ou appelez nous directement au: