Sécurité de WordPress

WordPress est le CMS le plus utilisé au monde. Développé avec PHP/MySQL, il a été conçu afin de permettre à la communauté de modifier son code source et de développer des extensions ou plug-ins.

Voici donc comment sécuriser WordPress sur un serveur Ubuntu déjà configuré avec un LEMP.

Cet article complète une série d’articles qui présente la façon de sécuriser un serveur Web avec Let’s Encrypt. Il est donc proposé de débuter avec l’article initial : Let’s Encrypt : sécuriser un serveur Web LEMP.

Logo de WordPress

Extensions pour augmenter la sécurité de WordPress

Shield Security for WordPress

Shield Security pour WordPress offre plusieurs fonctionnalités impressionnantes pour protéger votre installation WordPress :

  • Bloque les requêtes malicieuses
  • Bloque les robots du spam
  • Cache votre page d’authentification WordPress
  • Protège contre les attaques d’authentification par la force
  • Permet d’activer ou de désactiver les mises à jour automatiques de WordPress

Two Factor Authentication

Ajouter une deuxième authentification à votre installation WordPress est une excellente façon d’augmenter la sécurité de votre site Web. Grâce à cette extension nommée Two Factor Authentication, il sera virtuellement impossible pour un pirate de défoncer votre site par une attaque d’authentification par la force (brute force).

Mise à jour et gestion de la sécurité du serveur

À gérer en continu et à l’infini

Une fois mis en ligne, votre serveur sera certainement la cible de pirates informatiques. Vous serez victimes de plusieurs attaques :

  • Analyses des vulnérabilités
  • Analyses des ports ouverts
  • Tentatives d’injection SQL
  • Analyse complète de toutes les pages hébergées
  • Attaques provenant du logiciel wp-scan
  • Tentative d’authentification par la force (brute force)
  • DOS

Pour ces raisons, il est primordial de mettre en place des outils et des stratégies afin de protéger le serveur et les données hébergées. Voici quelques pistes de solutions :

  • Installer fail2ban
  • Modifier le port par défaut pour SSH
  • Automatiser les sauvegardes
  • Resserrer les règles du pare-feu
  • Supprimer les logiciels inutilisés
  • Planifier les mises à jour logicielles

Conseils pour augmenter la sécurité de WordPress

Voici quelques propositions afin d’augmenter la sécurité de votre installation WordPress. Ces étapes ne doivent pas être prises à la légère, surtout si vous maintenez vous-même votre serveur Web.

  1. Désactiver les commentaires
  2. Configurer une sauvegarde (backup) automatique
  3. Éviter d’utiliser le nom d’utilisateur Administrateur
  4. Désactiver les extensions inutilisées
  5. Supprimer les thèmes non utilisés
  6. Sélectionner une phrase de passe plutôt qu’un mot de passe

Valider la sécurité avec une checklist

Vous voulez aller encore plus loin, voici quelques listes à cocher qui vous permettront de maximiser la sécurité de votre installation WordPress :

Lancer une analyse de la sécurité avec WPScan

À partir de votre installation Kali Linux :

  • $ wpscan nom_de_domaine

Il serait souhaitable d’automatiser cette opération (tâche cron) pour qu’elle soit exécutée une fois par semaine. Un courriel du résultat pourrait vous être envoyé.

Logo de Kali Linux

Hackez votre site WordPress avec Kali Linux

La sécurité vous passionne? Poursuivez avec une introduction au piratage éthique avec Kali Linux, la distribution idéale pour vérifier la sécurité de votre installation WordPress et de votre serveur LEMP Digital Ocean.

Ne manquez rien, abonnez-vous à l’infolettre

Pour terminer en beauté, merci de partager!

Comments

comments