Guide de sécurité et de renforcement de WordPress

Tout d’abord, définissons WordPress pour les mesures de sécurité WordPress. WordPress est un système de gestion de contenu (CMS) qui vous permet de produire et de gérer toutes sortes de contenus sans aucune connaissance en codage. Après quelques étapes d'installation, vous pouvez facilement déployer votre site Web avec une infrastructure de gestion de contenu. Tout ce dont vous avez besoin est un domaine et un hébergement avec support PHP et MySQL.

WordPress est l’une des structures CMS open source les plus appréciées au monde. Selon des statistiques récentes, 30% des sites Web dans le monde sont construits sur la plateforme WordPress. Vous pouvez constater que les entreprises mondiales, les institutions gouvernementales, les journaux et de nombreuses entreprises similaires préfèrent la plateforme WordPress.

Mesures de sécurité WordPress Ce système a connu un grand succès et une grande popularité. Cependant, l’un des facteurs qui expliquent sa popularité est d’attirer l’attention des cyberattaquants. Les cyberattaquants suivent généralement les systèmes populaires, en particulier les systèmes open source. Il est inévitable qu'une partie des cyberattaques soient dirigées vers ce système de gestion CMS puisqu'un tiers des sites Web dans le monde disposent d'une infrastructure WordPress.

Dans cet article, nous discuterons des mesures de sécurité à prendre après l’installation de WordPress. En prenant ces mesures de sécurité et mesures de renforcement, vous aurez pris les mesures nécessaires pour protéger votre infrastructure WordPress contre les cyber-attaquants.

Remarque : ce guide est rédigé uniquement sur la base du système de gestion WordPress. Les problèmes liés à l'hébergement, aux problèmes d'ordinateur personnel et à d'autres sources similaires ne sont pas inclus dans cet article.

Guide de sécurité et de renforcement de WordPress

Après l’installation de WordPress, vous pouvez sécuriser votre système et garder une longueur d’avance sur les cyberattaques en prenant les mesures de sécurité décrites ci-dessous.

Si vous disposez d’une infrastructure WordPress, vous devez prendre ce problème au sérieux et prendre vos mesures de sécurité de base contre les cyberattaques en constante évolution. Sinon, vous pourriez devenir la cible de cyberattaquants, ou votre système de gestion de contenu et vos données pourraient être compromises.

La sécurité est un processus et doit être gérée correctement. Il est important de se rappeler que la sécurité ne peut pas être garantie et que la gestion de ce processus peut réduire votre niveau de risque.

Sécuriser votre ordinateur personnel ou professionnel, vos comportements en ligne et vos opérations internes est l'une des premières mesures à prendre pour protéger votre infrastructure WordPress.

La sécurité comprend trois domaines principaux : les personnes, les processus et la technologie.

Chacun d’eux doit être en harmonie synchronisée les uns avec les autres. La vulnérabilité dans un domaine peut affecter l’ensemble du système. Par conséquent, lorsque vous envisagez la sécurité de WordPress, vous ne devez pas négliger vos erreurs personnelles, les vulnérabilités des systèmes d’hébergement et d’hébergement similaires, les processus et le développement de la technologie.

Comment assurer la sécurité de WordPress ?

Vous trouverez ci-dessous les contrôles de sécurité WordPress et les mesures de sécurité que vous devez prendre. En prenant ces mesures, vous pouvez sécuriser votre système et renforcer la sécurité.

Restriction d'accès aux contrôles de sécurité généraux de WordPress : Vous pouvez renforcer votre sécurité en minimisant le nombre de comptes ayant accès à votre site WordPress et en ajustant correctement les autorisations de ceux qui y accéderont. N'oubliez pas que le fait d'avoir plusieurs privilèges « Administrateur » dans un système augmentera vos vulnérabilités.

Plugins et thèmes : Supprimez tous les plugins et thèmes inutilisés sur votre site WordPress. Ceux-ci aident à maintenir la confidentialité, la convivialité et l’intégrité avec au moins les principes de privilège. De cette façon, vous ne serez pas affecté par les vulnérabilités pouvant survenir dans les thèmes ou plugins inutilisés.

Isolement: Vous devez configurer votre système pour minimiser les dommages pouvant survenir si votre système est compromis. Si possible, évitez d’avoir plusieurs sites Web différents sur un seul compte d’hébergement. Si plusieurs sites Web sont hébergés sur un seul hébergement, notez que l'ensemble du système sera affecté par les vulnérabilités des autres sites.

Sauvegarde sécurisée : Hébergez des sauvegardes vérifiées dans des emplacements sécurisés. Vérifiez périodiquement l'intégrité des sauvegardes pour vous assurer que vous pouvez restaurer votre site Web s'il est endommagé. Après des cyberattaques susceptibles de compromettre la sécurité de votre site Web, vous devez disposer d'un plan de reprise d'urgence.

N'oubliez pas les mises à jour : Faites de votre mieux pour rester à jour avec votre installation WordPress, y compris les plugins et les thèmes. Vous devez effectuer des mises à jour des thèmes et plugins installés sur votre site. Nous vous recommandons par la même occasion d’effectuer sans attendre les mises à jour de version de WordPress.

Mises à jour de sécurité : Les failles de sécurité sont une préoccupation qui touche tous les logiciels. Une vulnérabilité peut être identifiée et exploitée sur n’importe quel système. Cela peut affecter non seulement tous les logiciels et matériels, mais également le système de gestion de contenu WordPress. 

Utilisez des sources fiables : N'installez pas, ne téléchargez pas et n'utilisez pas de plugins/thèmes provenant de sources peu fiables ! Si vous souhaitez installer un plugin, assurez-vous de le télécharger sur votre système via WordPress.org. Éloignez-vous des plugins et des thèmes distribués par des sites Web tiers. Surtout sur les sites illégaux distribuant gratuitement des thèmes ou des plugins payants, il existe des vulnérabilités importantes, des virus ou des pirates malveillants. N’oubliez pas que ces sites illégaux distribuant gratuitement des thèmes ou plugins peuvent pirater votre système en insérant du code malveillant dans vos thèmes ou plugins !

Étapes de sécurité après l'installation de WordPress

Après avoir terminé l'installation de WordPress, vous pouvez effectuer un renforcement post-installation en suivant les instructions ci-dessous.

Sécuriser wp-config.php

Le fichier le plus important de l'infrastructure WordPress est le fichier wp-config.php. En effectuant quelques ajustements dans ce fichier, vous pouvez améliorer la sécurité du système. Tout d’abord, nous devons vérifier la sécurité du fichier wp-config.php.

Pour sécuriser le fichier wp-config.php sur les serveurs Apache, ajoutez le code suivant au contenu du fichier .htaccess. Avec ce code, le contenu du fichier wp-config.php ne pourra pas être appelé de l'extérieur et l'accès depuis l'extérieur sera désactivé.

<files wp-config.php>
commande autoriser, refuser
nier de tous
</files>

De plus, déplacer le fichier wp-config.php en dehors du dossier HTML à l'aide de différents plugins apportera une valeur de sécurité supplémentaire. Ce fichier est le fichier le plus crucial des journaux WordPress. Le wp-config.php contient les informations nécessaires à la connexion à la base de données.

Cryptage du fichier wp-config.php

Une autre façon de restreindre l'accès à un autre fichier wp-config.php consiste à chiffrer son contenu. Vous pouvez utiliser ionCube, Zend Guard ou l'outil le plus simple et gratuit disponible sur phpr.org pour le cryptage. De cette façon, seules les personnes ayant accès aux données cryptées peuvent les visualiser, préservant ainsi la confidentialité des informations de connexion à votre base de données.

Changer l'emplacement du fichier wp-config.php

Le fichier wp-config.php étant crucial, nous ne pouvons pas nous fier uniquement au cryptage. Les méthodes de cryptage peuvent éventuellement être piratées par des attaquants professionnels. Si nous changeons l'emplacement du fichier wp-config.php, nous franchirons une autre étape importante en termes de contrôle d'accès.

Nous pouvons changer le répertoire où se trouve le fichier wp-config.php ou changer directement le nom du fichier. Pour ce faire, nous devons ouvrir le fichier wp-load.php dans le répertoire racine de notre site et modifier les endroits où wp-config.php est écrit en fonction du nom de notre dossier.

Remarque : Vous pouvez utiliser des plugins qui rendent ces paramètres permanents, car ils reviendront à leurs anciens paramètres après chaque mise à jour.

Blocage de l'accès au fichier wp-load.php

Une autre étape pour sécuriser WordPress consiste à bloquer l’accès au fichier wp-load.php. Tout comme nous avons bloqué l'accès au fichier wp-config.php de l'extérieur à l'aide du fichier .htaccess, nous pouvons restreindre l'accès au fichier wp-load.php pour d'éventuels accès non autorisés.

<files wp-load.php>
commande autoriser, refuser
nier de tous
</files>

Protéger le répertoire des plugins WordPress

Des vulnérabilités peuvent également survenir dans les plugins que vous utilisez dans votre système WordPress. Les attaquants peuvent obtenir un accès non autorisé à votre système en exploitant les vulnérabilités de ces plugins. Par conséquent, nous devons également prendre des mesures de sécurité pour le dossier « Plugins » de WordPress. Dans des circonstances normales, le contenu de ce répertoire ne devrait pas être répertorié lors de l'accès. Cependant, dans certaines versions ou en raison d'une erreur de l'utilisateur, ce répertoire peut être ouvert et les dossiers qu'il contient peuvent être répertoriés. De cette façon, les attaquants peuvent obtenir des informations sur les plugins installés sur le système. Si vous souhaitez empêcher les étrangers de voir vos plugins, vous pouvez créer un fichier vide nommé index.html dans ce dossier pour empêcher la liste des répertoires.

Remarque : dans les versions WordPress à jour, il existe un fichier index.php vide par défaut.

Blocage de l'accès au fichier WordPress .htaccess

Le fichier .htaccess est très important pour WordPress sur les serveurs Apache. Ce fichier contient généralement le contenu de redirection standard de WordPress. D’un autre côté, comme mentionné ci-dessus, il peut également être utilisé pour bloquer les accès non autorisés. Si nous ajoutons le code suivant à notre fichier .htaccess, nous assurons la sécurité de notre fichier .htaccess :

ordre autoriser, refuser refuser de tous

Désactiver le mode de débogage de WordPress

Vous pouvez éviter les vulnérabilités potentielles en désactivant les messages d’erreur WordPress. Vous pouvez désactiver le mode débogage en ajoutant le code suivant au fichier wp-config.php. Le mode débogage est utilisé pour afficher les erreurs WordPress possibles, et les développeurs activent généralement ce mode pour enquêter sur les erreurs dans le système. Vous pouvez désactiver le mode en changeant la valeur « false » dans le code ou en la changeant en « true » pour réactiver le mode débogage.

définir( 'WP_DEBUG', FAUX );

Forcer WordPress à la publication SSL

Nous recommandons que votre site WordPress soit publié via SSL. Pour publier via SSL, vous devez disposer d'un certificat SSL. Les certificats SSL peuvent être vendus moyennant des frais ou disponibles en versions gratuites. Vous pouvez avoir un certificat SSL gratuit en utilisant Let's Encrypt ou Cloudflare. La publication de votre site via SSL aura un impact positif sur Google et constituera également une étape importante contre les attaquants. Après avoir configuré la publication SSL pour votre site, vous pouvez forcer SSL en ajoutant le code suivant au fichier wp-config.php :

définir('FORCE_SSL_ADMIN', vrai);

Activation des mises à jour automatiques de WordPress

À mesure que des vulnérabilités apparaissent dans d’autres logiciels, elles apparaissent également dans WordPress, et ces vulnérabilités détectées en permanence par l’équipe WordPress sont corrigées via des mises à jour. Vous pouvez effectuer ces mises à jour manuellement ou automatiquement en ajoutant le code suivant à votre fichier wp-config.php :

définir('WP_AUTO_UPDATE_CORE', vrai);

Définir le dossier temporaire WordPress

Tout comme dans les mises à jour WordPress, les opérations sont également effectuées sur un dossier TEMP pour les mises à jour de plugins et de thèmes. Ce dossier doit être accessible en écriture. Vous pouvez vous assurer que les mises à jour sont correctement effectuées en ajoutant le code suivant à votre fichier wp-config.php, en spécifiant le répertoire de téléchargement. Le code doit indiquer le répertoire de téléchargement et le chemin du fichier doit être spécifié exactement. Le code suivant est le chemin du dossier de téléchargement WordPress par défaut dans le système d'exploitation CentOS :

définir('WP_TEMP_DIR','/var/www/html/wp-content/uploads/');

Dans certains cas, lors des mises à jour des plugins et des thèmes, les fichiers WordPress peuvent ne pas être récupérés correctement ou produire des erreurs. Vous pouvez vous assurer que les mises à jour comportant des erreurs sont effectuées correctement en ajoutant le code suivant à votre fichier wp-config.php :

Désactivation des tâches planifiées

L'une des fonctionnalités de WordPress concerne les tâches planifiées. Cependant, les tâches planifiées peuvent dans certains cas surcharger votre système. D'un autre côté, lorsque des attaquants infiltrent votre système, ils peuvent utiliser la fonction CRON de WordPress pour rester persistants. Vous pouvez arrêter les tâches planifiées de WordPress en ajoutant le code suivant à votre fichier wp-config.php :

définir(« Désactiver WP_CRON », vrai);

Désactivation de l'éditeur d'édition de fichiers

Vous pouvez gérer les fichiers de thème à l'aide de l'éditeur de code dans le panneau d'administration WordPress. Cependant, cette fonctionnalité peut présenter une vulnérabilité. En particulier, nous avons vu des cas où des attaquants injectaient du code malveillant dans vos fichiers de thème via une vulnérabilité de votre système. Vous pouvez désactiver la fonctionnalité d'édition de fichiers de thème de WordPress en ajoutant le code suivant à votre fichier wp-config.php. Cela renforcera encore votre sécurité :

définir('INTERDIRE_LA_MODIFICATION_DE_FICHIER', vrai);

Modification des clés d'authentification uniques

Les clés d'authentification uniques de WordPress sont un ensemble de variables aléatoires qui améliorent le cryptage des informations stockées dans les cookies de l'utilisateur. Au total, quatre clés de sécurité sont créées après l'installation :

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY et NONCE_KEY.

Les clés d'authentification WordPress sont utilisées pour crypter les autorisations sur WordPress, contribuant ainsi à la sécurité de votre site Web et le rendant plus difficile à pirater. Ces clés affectent divers aspects, du cryptage des cookies aux clés de sécurité utilisées comme « Noncements » pour les opérations AJAX. Dans une installation standard, vous les rencontrerez comme suit :

définir('AUTH_KEY', « Placez votre jeu de caractères unique ici »);
définir(« CLÉ_D'AUTHENTIFICATION_SÉCURISÉE », « Placez votre jeu de caractères unique ici »);
définir(« CLÉ_CONNECTÉE », « Placez votre jeu de caractères unique ici »);
définir('CLÉ_NONCE', « Placez votre jeu de caractères unique ici »);
définir('AUTH_SEL', « Placez votre jeu de caractères unique ici »);
définir('SECURE_AUTH_SALT', « Placez votre jeu de caractères unique ici »);
définir('CONNECTÉ_EN_SEL', « Placez votre jeu de caractères unique ici »);
définir('NONCE_SEL', « Placez votre jeu de caractères unique ici »);

Configuration des autorisations de fichiers et de répertoires WordPress

Le schéma d'autorisation par défaut pour WordPress devrait être le suivant :

Dossiers – 750 / Fichiers – 640

Vous pouvez sécuriser votre site en accordant 750 autorisations pour vos dossiers et 640 autorisations pour vos fichiers. Vous pouvez utiliser FileZilla ou un outil FTP similaire pour cet ajustement, ou vous devrez peut-être contacter votre fournisseur d'hébergement. Avant d'apporter des modifications aux autorisations, il est recommandé d'en discuter avec votre fournisseur d'hébergement, car cela peut affecter négativement les performances et la convivialité de votre site. Assurez-vous également qu’aucun fichier ou répertoire ne dispose des autorisations 777 car cela crée une vulnérabilité.

Sécurisez le dossier de téléchargement

Vous devez sécuriser le dossier de téléchargement de WordPress, dans lequel les images et autres fichiers sont téléchargés, contre les vulnérabilités potentielles telles que l'exécution de fichiers exécutables (par exemple, des scripts Shell). Les attaquants peuvent exploiter les vulnérabilités qu'ils trouvent dans votre système pour télécharger des fichiers malveillants dans le répertoire Uploads et obtenir un accès Shell. Pour éviter cela, vous devez créer un fichier .htaccess dans le répertoire /wp-content/uploads/ et ajouter le code suivant au fichier /wp-content/uploads/.htaccess. Cela empêchera les attaquants de télécharger et d'exécuter des fichiers malveillants dans votre dossier de téléchargement.

# Arrêter l'exécution de PHP nier de tout

Politique de compte utilisateur

Lors de l'installation de WordPress, un compte administrateur est ajouté. Si vous avez terminé l'installation de WordPress par défaut, vous aurez créé un compte administrateur. Cependant, nous vous recommandons de modifier le nom d'utilisateur de ce compte pour vous protéger contre les attaques par force brute. De plus, le fait d'avoir plusieurs comptes d'administrateur augmente les vulnérabilités. Nous vous recommandons d'utiliser un seul compte administrateur et d'attribuer des rôles d'éditeur, d'auteur ou d'utilisateur aux autres utilisateurs de votre système. Les utilisateurs utilisent souvent leurs noms comme noms d'utilisateur, ce qui peut être prévisible et créer des vulnérabilités. Par conséquent, nous déconseillons aux utilisateurs ou aux administrateurs d’utiliser de tels noms d’utilisateur.

Mots de passe et informations utilisateur

WordPress applique une politique par défaut pour les mots de passe complexes aux utilisateurs que vous créez. Cependant, certains utilisateurs peuvent créer des mots de passe peu fiables et prévisibles tels que « 12345678 ». Nous recommandons d'encourager les utilisateurs à créer des mots de passe complexes pour sécuriser leurs comptes. Sinon, il existe une forte probabilité que des attaquants puissent deviner ces mots de passe et accéder à votre système. De plus, changer périodiquement les mots de passe est important pour la sécurité.

Prévenir les attaques de pingback WordPress

La fonctionnalité Pingback de WordPress peut être utilisée de manière abusive par des attaquants pour créer une charge excessive sur votre système et peut être utilisée dans des attaques par déni de service distribué (DDOS). Pour éviter cela, nous vous recommandons de désactiver la fonctionnalité Pingback de WordPress si vous ne l'utilisez pas. Vous pouvez désactiver la fonction Pingback en ajoutant le code suivant à un endroit approprié dans le fichier function.php de votre thème.

// Désactiver le pingback fonction supprimer_x_pingback($hèmes) { non réglé($hèmes[« X-Pingback »]); retour $hèmes; } ajouter_filtre('wp_headers', 'remove_x_pingback');

Désactivation de l'accès WordPress XML-RPC

Le fichier XML-RPC de WordPress a été exploité à plusieurs reprises dans le passé. Les attaquants exploitent généralement deux vulnérabilités majeures de ce fichier. Premièrement, il est utilisé dans des attaques par force brute pour obtenir un accès non autorisé à votre site en tentant de combiner un nom d'utilisateur et un mot de passe. Deuxièmement, les attaquants peuvent utiliser le fichier XML-RPC pour lancer des attaques par déni de service (DDOS) sur votre système.

Pour vous protéger contre ces attaques, nous vous recommandons d'ajouter le code suivant au fichier function.php de votre thème pour désactiver la fonction XML-RPC.

// Désactiver XML-RPC ajouter_filtre('xmlrpc_activé', '__return_false');

Vous pouvez également désactiver l'accès XML-RPC via .htaccess. Ajoutez le code suivant à votre fichier .htaccess dans le répertoire racine, en remplaçant « 123.123.123.123 » par votre adresse IP réelle pour autoriser uniquement l'accès à partir de cette IP.

# Bloquer WordPress xmlrpc.php
<Files xmlrpc.php>
commande refuser, autoriser
nier de tous
autoriser à partir du 123.123.123.123
</Files>

Désactivation de la fonctionnalité de l'API REST de WordPress

Si vous n'utilisez pas la fonctionnalité API REST introduite dans WordPress 4.4, nous vous recommandons de la désactiver pour éviter tout abus potentiel par des acteurs malveillants, entraînant une surcharge du système et d'éventuelles interruptions de service. Pour désactiver la fonctionnalité API REST, ajoutez le code suivant au fichier function.php de votre thème.

// Désactiver l'API REST
ajouter_filtre( 'json_activé', '__return_false' );
ajouter_filtre( 'json_jsonp_enabled', '__return_false' );
ajouter_filtre( 'rest_activé', '__return_false' );
ajouter_filtre( 'rest_jsonp_enabled', '__return_false' );

Faites attention au bloc de code pour supprimer les informations « info » des requêtes, empêchant ainsi les attaquants de collecter des informations.