Il existe des dizaines de conseils et de ressources disponibles qui peuvent vous aider \u00e0 s\u00e9curiser votre site WordPress.
En novembre dernier, plus d’un million de clients WordPress g\u00e9r\u00e9s par GoDaddy faisaient partie d’une violation qui aurait pu exposer leurs adresses e-mail, leurs cl\u00e9s SSL priv\u00e9es et leurs mots de passe administrateur. L’attaquant a apparemment pu op\u00e9rer sans \u00eatre d\u00e9tect\u00e9 \u00e0 l’int\u00e9rieur de leurs r\u00e9seaux pendant deux mois entiers.<\/p>\n\n\n\n
WordPress a la r\u00e9putation d’\u00eatre une cible tr\u00e8s riche pour les exploits. Par exemple, un botnet a utilis\u00e9 des serveurs WordPress compromis pour en attaquer d’autres en 2018. En effet, le logiciel est bas\u00e9 sur l’ex\u00e9cution d’une s\u00e9rie de scripts PHP, qui sont souvent utilis\u00e9s par les pirates. Le grand nombre de composants diff\u00e9rents, y compris les plug-ins, les th\u00e8mes et d’autres scripts, rend difficile la pr\u00e9vention des infections ou des compromis potentiels. Ce site r\u00e9pertorie de nombreuses autres vuln\u00e9rabilit\u00e9s qui ont \u00e9t\u00e9 trouv\u00e9es, principalement sur les anciennes versions de WordPress.
En plus de cela, il y a une erreur humaine \u00e0 prendre en consid\u00e9ration. De nombreux sites WordPress ex\u00e9cutent des versions plus anciennes qui pourraient \u00eatre \u00e0 l’origine de plusieurs vuln\u00e9rabilit\u00e9s majeures. De plus, certains administrateurs sont inexp\u00e9riment\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 op\u00e9rationnelle informatique ou simplement surcharg\u00e9s par d’autres responsabilit\u00e9s et ne peuvent pas consacrer suffisamment de temps \u00e0 la mise en \u0153uvre des mesures de s\u00e9curit\u00e9 n\u00e9cessaires pour assurer la s\u00e9curit\u00e9 d’un site WordPress.<\/p>\n\n\n\n
Explorons comment vous pouvez configurer et maintenir la s\u00e9curit\u00e9 de votre site Web sur WordPress.<\/p>\n\n\n\n
Tout d’abord, s\u00e9curisez votre nom d’utilisateur et vos mots de passe WordPress. La litt\u00e9rature en ligne est remplie de nombreux mauvais choix de mots de passe administrateur que les op\u00e9rateurs de sites ont faits. N’utilisez pas le nom \u00ab\u00a0admin\u00a0\u00bb sur votre compte car de nombreuses attaques par force brute commencent par utiliser ce nom, car il est tr\u00e8s courant. Au lieu de cela, choisissez un nom au hasard pour administrer votre compte. Utilisez \u00e9galement MFA pour prot\u00e9ger toutes vos connexions WordPress.<\/p>\n\n\n\n
Mettez \u00e0 jour votre WordPress et PHP vers les derni\u00e8res versions. R\u00e9duisez le nombre de plug-ins install\u00e9s, de th\u00e8mes et d’autres extras. En termes simples, ceux-ci peuvent augmenter votre surface d’attaque.
Activez l’acc\u00e8s SSL\/HTTPS \u00e0 votre site pour crypter les communications. Assurez-vous que votre fournisseur d’h\u00e9bergement le prend \u00e9galement en charge.<\/p>\n\n\n\n
Effectuez des sauvegardes r\u00e9guli\u00e8res du contenu de votre site. WordPress a une fonction d’exportation simple qui cr\u00e9era un fichier XML que vous devriez stocker hors ligne.<\/p>\n\n\n\n
Installez un plug-in de s\u00e9curit\u00e9 WordPress sp\u00e9cialis\u00e9, tel que Wordfence. Prenez le temps de comprendre les fonctions de s\u00e9curit\u00e9 ainsi que les rapports g\u00e9n\u00e9r\u00e9s, et assurez-vous d’agir en fonction des informations et de leurs implications. Une plus grande liste de plug-ins de s\u00e9curit\u00e9 peut \u00eatre trouv\u00e9e sur le site Web de WordPress, o\u00f9 vous pouvez voir si l’outil a \u00e9t\u00e9 test\u00e9 avec la derni\u00e8re version de WordPress, la derni\u00e8re fois que le plug-in a \u00e9t\u00e9 mis \u00e0 jour et le nombre d’utilisateurs qui ont t\u00e9l\u00e9charg\u00e9 le logiciel.<\/p>\n\n\n\n
Restez au courant des derni\u00e8res vuln\u00e9rabilit\u00e9s de WordPress. Il peut parfois \u00eatre difficile de les retrouver, mais voici quelques ressources. Tout d’abord, les vuln\u00e9rabilit\u00e9s des plugins et le blog de Wordfence informent fr\u00e9quemment sur les exploits et les attaques zero-day que leurs propres r\u00e9seaux d’instrumentation ont d\u00e9couverts. De plus, un outil semi-automatis\u00e9 r\u00e9cent d\u00e9velopp\u00e9 par le chercheur Krzysztof Zajac peut analyser diverses zones faibles pour d\u00e9tecter des probl\u00e8mes potentiels.<\/p>\n\n\n\n
Comme vous pouvez le voir, il existe des dizaines de conseils et de ressources disponibles qui peuvent vous aider \u00e0 s\u00e9curiser votre site WordPress. Dans tous les cas, vous ne devez pas utiliser WordPress sans suivre ces \u00e9tapes, m\u00eame si vous ajoutez progressivement des mesures de s\u00e9curit\u00e9 individuelles une par une.<\/p>\n\n\n\n