Comment améliorer la sécurité de WordPress

Les utilisateurs peuvent améliorer la sécurité de WordPress en gardant leur site à jour, en appliquant des règles d'accès strictes pour les utilisateurs et en recherchant régulièrement les vulnérabilités critiques et activités suspectes.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre les risques pour la sécurité de WordPress
  • Comparer les stratégies de sécurisation des sites WordPress
  • Découvrez comment Cloudflare protège les sites WordPress

Copier le lien de l'article

Comment améliorer la sécurité de WordPress

Les systèmes de gestion de contenu (SGC) sont des applications logicielles qui aident les utilisateurs à créer, gérer et personnaliser un site web sans qu'ils aient à écrire le code eux-mêmes. WordPress est l'un des systèmes de gestion de contenu les plus populaires au monde et constitue par conséquent une cible de choix pour les cyberacteurs malveillants.

Les équipes internes de WordPress fournissent régulièrement des mises à jour de sécurité et des correctifs pour les vulnérabilités nouvellement découvertes dans leur système, mais les utilisateurs de WordPress peuvent également adopter plusieurs mesures pour maintenir leurs sites sécurisés contre les menaces connues et émergentes. La plupart de ces mesures entrent dans l'une des deux catégories suivantes : élimination de la menace et réduction des risques.

L'élimination des menaces se concentre sur l'élimination des cyberattaques et autres menaces. Par exemple, un utilisateur de WordPress peut installer un pare-feu pour filtrer le trafic malveillant et atténuer les attaques par déni de service distribué (DDoS), ou choisir un fournisseur d'hébergement qui propose des fonctions de sécurité intégrées.

La réduction des risques fait référence à des pratiques de sécurité proactives, telles que la modification du préfixe par défaut de la base de données de WordPress afin que l'acteur malveillant ne puisse pas la localiser facilement, l'instauration de conditions d'accès strictes pour les utilisateurs et l'analyse régulière de la sécurité.

Quel est le niveau de sécurité de WordPress ?

Aussi puissant et flexible soit-il, WordPress n'est pas un outil à l'abri des cyberattaques, des vulnérabilités ou d'autres risques introduits par les erreurs de l'utilisateur.

Attaques courantes contre WordPress

  • Attaques basées sur le mot de passe : les tentatives de connexion par force brute, au cours desquelles l'acteur malveillant saisit à plusieurs reprises différents identifiants utilisateur (combinaisons de nom d'utilisateur et de mot de passe) dans une page de connexion, sont souvent utilisées pour parvenir à une entrée non autorisée dans un compte WordPress. Parmi les autres formes d'attaques basées sur le mot de passe, citons le bourrage d'identifiants (Credential Stuffing) et les attaques par dictionnaire.
  • Cross-site scripting (XSS): l'exploitation XSS permet d'injecter du code malveillant dans un site WordPress. Cela se fait le plus souvent par l'intermédiaire de plugins WordPress.
  • Injection SQL (SQLi) : parfois appelées injection de base de données, les attaques SQLi injectent du code malveillant dans un site WordPress via des champs de saisie de données (par ex. des formulaires de contact).
  • Attaques DDoS : les attaques DDoS inondent le site web de WordPress d'un volume important de trafic indésirable, entraînant une dégradation importante des performances ou une interruption du service.

Vulnérabilités de WordPress

  • Versions obsolètes de WordPress : WordPress met régulièrement à jour son logiciel de base pour apporter des correctifs aux vulnérabilités existantes et renforcer ses défenses contre les menaces émergentes. Les anciennes versions de WordPress ne disposent pas de ces protections et peuvent rester vulnérables aux attaques.
  • Thèmes et plugins tiers : les thèmes et plugins WordPress tiers offrent un large éventail de fonctionnalités, mais ne sont pas toujours conformes aux exigences de sécurité les plus récentes. En tant que tels, ils peuvent créer des risques lorsqu'ils sont installés sur un site WordPress.
  • Portes dérobées : une fois qu'un acteur malveillant a réussi une violation de compte WordPress, il est possible de créer une porte dérobée, c'est-à-dire une méthode secrète pour contourner les mesures de sécurité. Les portes dérobées permettent à l'acteur malveillant d'accéder à plusieurs reprises à un site WordPress ou de lancer d'autres attaques.
  • Authentification insuffisante de l'utilisateur : tout manquement dans l'hygiène des mots de passe (création de mots de passe forts, changements réguliers, etc.) ou dans la mise en œuvre l'authentification multifactorielle (AMF) peut augmenter le risque d'une violation.
  • Paramètres par défaut de WordPress : plusieurs réglages par défaut de WordPress permettent à l'acteur malveillant d'identifier facilement les points d'entrée courants (par exemple, l'URL /wp-login.php) et les informations sensibles du site (par exemple, le fichier wp-config.php).

Bonnes pratiques en matière de sécurité pour WordPress

Il existe plusieurs mesures que les utilisateurs peuvent prendre pour protéger le site web de WordPress contre les cybermenaces courantes et les vulnérabilités connues. Elles se retrouvent généralement à l'une des catégories suivantes : configuration du site, fonctions de sécurité proactives, accès des utilisateurs, autorisations des utilisateurs et mises à jour de la sécurité du site.

Configuration d'un site sécurisé

  • Utiliser un hébergement WordPress sécurisé. La sécurité d'un site web WordPress dépend de celle de son hébergeur (un service tiers qui sert le contenu pour le compte des utilisateurs). Choisissez un hébergeur capable de se défendre contre les attaques sophistiquées, de détecter les nouvelles vulnérabilités et menaces, et de fournir des ressources de reprise après sinistre.
  • Modifier l'URL par défaut de la page de connexion de WordPress et le préfixe de la base de données. Ces URLS, qui se terminent respectivement par /wp-login.php et /wp-admin, sont activées par défaut sur tous les sites WordPress, il est donc facile pour un acteur malveillant de les trouver. Il suffit de les renommer pour éviter les tentatives de connexion par force brute et autres menaces ciblées.
  • Déplacer le fichier wp-config.php . Le fichier wp-config.php contient les clés de sécurité de WordPress et d'autres informations sensibles relatives à l'installation de WordPress. Malheureusement, il est également facile à trouver. Déplacez le fichier au-delà du répertoire racine de WordPress pour que l'acteur malveillant ne puisse pas le localiser.
  • Installer un thème WordPress sécurisé. Certains thèmes WordPress n'ont pas été mis à jour de façon à prendre en charge la version la plus récente de WordPress ou il se peut qu'ils ne soient pas conformes aux normes de sécurité WordPress existantes. Par conséquent, ils peuvent être plus facilement exploités par les acteurs malveillants. Sélectionnez un thème figurant dans le répertoire des thèmes de WordPress, ou exécutez un valideur de thème WordPress avant de l'installer.
  • Cacher la version de WordPress utilisée. De nombreuses attaques contre WordPress exploitent des vulnérabilités spécifiques aux différentes versions de WordPress. En cachant la version de WordPress utilisée, les utilisateurs peuvent être en mesure d'éviter ces menaces, ou de faire en sorte qu'il soit plus difficile pour les acteurs malveillants de repérer les faiblesses existantes de leurs sites.

Installation des fonctionnalités de sécurité proactives

  • Utiliser un certificat SSL/TLS . Secure Socket Layer (SSL), également connu sous le nom de Transport Layer Security (TLS), est un protocole de sécurité qui permet de sécuriser et de crypter les données transmises sur le web. Le certificat SSL peut être obtenu auprès des fournisseurs d'hébergement ou de services de sécurité tiers tels que Cloudflare.
  • Installer un pare-feu. Un pare-feu d'application web (WAF) s'installe devant les sites WordPress pour filtrer et bloquer le trafic non autorisé. L'installation d'un WAF contribue à empêcher toute incidence trop significative que les attaques DoS et DDoS sont susceptibles d'avoir sur le service du site.
  • Bloquer les requêtes HTTP utilisant le protocole XML-RPC. XML-RPC est souvent utilisé pour lancer des cyberattaques volumétriques ou des tentatives de force brute. Un plugin ou une règle de pare-feu peuvent être utilisés pour éviter la fonctionnalité XML-RPC.
  • Empêcher le hotlinking. Le hotlinking permet à des tiers d'intégrer du contenu provenant de sites WordPress sans avoir à l'héberger eux-mêmes. Lorsque cela se produit de manière répétée, cela peut faire grimper les coûts de la bande passante pour l'hébergeur d'origine du contenu.

Sécurisation de l'accès utilisateur

  • Appliquer l'AMF. L'AMF (authentification multifacteur) exige des utilisateurs qu'ils fournissent une forme d'identification supplémentaire avant d'accéder à un système ou à un compte protégé, et rend plus difficile l'infiltration d'un site WordPress par un acteur malveillant, même s'il a réussi à déchiffrer la combinaison nom d'utilisateur/mot de passe d'un utilisateur légitime.
  • Limiter le nombre de tentatives de connexion ayant échoué. Les attaques par mot de passe ont plus de chances de réussir lorsque l'acteur malveillant dispose d'un nombre illimité de tentatives de saisie des informations d'identification sur une page de connexion.
  • Déconnecter automatiquement les utilisateurs inactifs. Les utilisateurs accèdent parfois à leur compte WordPress à partir d'ordinateurs publics ou adoptent d'autres habitudes de navigation dangereuses. Déconnectez automatiquement les utilisateurs après une période d'inactivité déterminée afin de réduire les risques d'espionnage et d'autres formes d'accès non autorisé par des tiers.
  • Supprimer les comptes d'utilisateurs inactifs. Même si un utilisateur n'utilise plus son compte pour accéder à un site WordPress, son compte et ses identifiants de connexion peuvent être ciblés par des acteurs malveillants.

Gestion des autorisations d'utilisateurs

  • Restreindre les droits d'accès aux fichiers et aux dossiers. Les utilisateurs ne doivent pas disposer de privilèges de niveau administrateur, sauf en cas d'absolue nécessité. Limitez les fonctions que les utilisateurs peuvent exécuter sur un site WordPress afin de réduire la probabilité d'un partage non souhaité des données et de minimaliser les effets d'une violation. (Pour en savoir plus sur le principe du moindre privilège.)
  • Interdire l'édition de fichiers. L'éditeur de fichiers par défaut de WordPress permet aux utilisateurs de modifier facilement les fichiers PHP. Si un compte WordPress est violé, cette fonctionnalité permet également à l'acteur malveillant de modifier de manière significative le code des fichiers du site.
  • Surveiller l'activité des utilisateurs. Les attaques de WordPress peuvent provenir de sources aussi bien externes qu'internes. Enregistrez et examinez régulièrement l'activité des utilisateurs afin de détecter tout comportement suspect (par ex. modification de fichiers, installation de plugins non autorisés, etc.)

Mise à jour des fonctions de sécurité de WordPress

  • Mettre à jour vers la version la plus récente de WordPress. WordPress est régulièrement mis à jour pour se prémunir des vulnérabilités connues. Vérifiez la présence ou non de l'avis en haut du tableau de bord de WordPress qui avertit les utilisateurs de la disponibilité d'une nouvelle version.
  • Mettre à jour les thèmes et les plugins de WordPress. Chaque thème et chaque plugin représente un point d'entrée potentiel pour l'acteur malveillant. Les anciennes versions de WordPress peuvent comporter des points faibles critiques et les acteurs malveillants utilisent souvent des thèmes et des plugins obsolètes pour mener des attaques contre les utilisateurs de WordPress.
  • Procéder régulièrement à des analyses de sécurité. Utilisez un plugin de sécurité, logiciel ou service tiers fiable pour vérifier automatiquement la présence d'un logiciel malveillant et d'autres risques de sécurité.
  • Générer régulièrement des sauvegardes des données du site. En cas d'attaque ayant réussi, les utilisateurs pourront toujours restaurer les données perdues à partir d'une sauvegarde récente du site.

Comment Cloudflare protège-t-elle les sites WordPress ?

L'Optimisation automatique de plateforme (APO) de Cloudflare est un plugin WordPress qui permet aux utilisateurs d'accéder à une variété de fonctionnalités de sécurité et de performance, y compris aux ensembles de règles Cloudflare WAF, à Universal SSL, à la protection contre les attaques DDoS. Et avec Cloudflare Zero Trust, les utilisateurs peuvent encore renforcer la sécurité de WordPress en activant la MFA, en surveillant les tentatives de connexion et en limitant l'accès des utilisateurs aux ressources internes. En savoir plus sur la manière dont Cloudflare contribue à la protection des sites WordPress.