time management

Lun - Ven 9:00 - 18:30

+33 7 57 95 37 31

sécurite de votre site Wordpress

Les 10 commandements de la sécurité WordPress en 2021

Table des matières

La Sécurité WordPress fait souvent parler d’elle car de nombreuses entreprises, associations, administrations et les centres d’enseignement utilisent WordPress : 40 % des sites web sont propulse par WordPress et c’est donc la cible favorite des hackers.

Il y a plusieurs facteurs à prendre en compte pour la Sécurité WordPress : La creation du site internet, hébergement WordPress et la sécurité de l’installation.IL existe de nombreux trucs et astuces que vous pouvez mettre en œuvre pour renforcer votre sécurité WordPress.

Consultez notre guide ultime pour protéger votre site wordpress.

securite wordpress

Votre site WordPress est-il sécurisé ?

Dans notre cas, nous pouvons dire sans risque que WordPress est très sûr. Cependant, ce n’est pas parce que quelque chose est sécurisé qu’il est bon. Nous devons également prendre en compte l’effort que nous sommes prêts à fournir pour maintenir la sécurité de notre site Web.

L’utilisation d’une version obsolète de WordPress, des fichiers de plugins mal entretenus, une mauvaise administration du système, une mauvaise gestion des connexions ou un manque de connaissances en matière de web et de sécurité chez les utilisateurs de WordPress les rendent vulnérables aux piratages et a l’insertion d’un code malveillant.

Même les leaders du secteur ne suivent pas toujours les meilleures pratiques qui les rendent sujet a des attaques malveillantes : Reuters a été piraté parce qu’il utilisait une version obsolète de WordPress et non une dernière version ce qui augmente les failles de sécurité

.La sécurité n’est pas une question de systèmes sans faille: Nous pouvons réduire les risques d’infection par des logiciels malveillants avec une planification adéquate et la mise en œuvre de bonnes pratiques comme la mise en place de certificat SSL qui limite le risque de piratage

. Nous devons concentrer nos efforts sur l’amélioration de la posture globale de notre organisation face aux menaces de sécurité plutôt que sur l’élimination totale du risque.

Cela ne veut pas dire qu’il n’y a pas de vulnérabilité. Selon une étude récente de Sucuri, un éditeur d’extensions de sécurité, WordPress est en tête de liste des sites les plus infectés par des logiciels malveillants avec 83 %, contre 74 % de codes malveillants l’année dernière.

securite wordpress

Avec plus de 43,5 % de l’internet mondial alimenté par WordPress, il n’est pas surprenant qu’une faille de sécurité se produise, mais il est important de noter qu’il existe une énorme communauté autour de WordPress qui travaille dur pour s’assurer que ces problèmes sont traités rapidement. En 2022, la taille de la communauté travaillant sur la sécurité de WordPress a augmenté pour inclure 50 experts, comprenant à la fois des développeurs et des chercheurs en sécurité. Ces experts comprenaient des employés d’Automattic, qui emploient la plupart des membres de l’équipe centrale responsable de la sécurité de WordPress, et ils comprenaient des personnes issues de la communauté plus large de la sécurité web.

L’absence de sécurité du a l’absence de certificat payant dans quatre-vingts pour cent des cas, est la première cause de dysfonctionnement d’un site web ce qui nuit a une bonne réputation

Si le niveau de protection n’est pas suffisant, votre site web peut être piraté, ce qui le rend inaccessible avec les versions obsolètes de plugin.

Zoom sur les menaces sur les sites internet

Les sites internet sont victimes de dénis de service ou de modification de contenu, quand ils ne sont pas bien sécurisés. Si votre site est attaqué par ces deux menaces, qui sont les plus courantes, il perd en ergonomie. En effet, il va perdre ses visiteurs en chemin.

Une défiguration désigne la modification du contenu du site par un autre contenu choisi par la personne malveillante. Cette modification peut être dans le but de dénigrer le propriétaire du site ou encore de relayer un message politique.

Le site va être indisponible pour certains moments jusqu’à ce que le problème soit détecté.

Grace à des robots et des scripts, il est plus facile de détecter et de scanner les menaces.

A cause des changements de procédure utilisés par les pirates informatiques, les risques augmentent de jour en jour pour les propriétaires de sites web pour ne citer que le blacklisting, l’indisponibilité du site, le préjudice financier, la fuite d’informations commerciales ou encore la mise à mal de l’e-réputation.

Backdoors ou porte de derriere

Les vulnérabilités de type « backdoor » permettent aux pirates d’accéder aux sites Web en contournant le cryptage de sécurité. Une fois exploitées, les portes dérobées leur donnent accès aux systèmes backend du site. Au deuxième trimestre 2016, Sucuri a indiqué que les portes dérobées restent l’une des nombreuses mesures prises après les piratages, 71 % des sites piratés présentant une forme d’injection de porte dérobée.

Heureusement, il est assez facile de prévenir et de gérer ces vulnérabilités. Vous pouvez utiliser des solutions de sécurité comme un  pare-feu d’application Web (WAF) pour détecter les portes dérobées les plus courantes. L’authentification à deux facteurs empêche les attaques les plus courantes. Le blocage des adresses IP et les privilèges d’administrateur limitent l’accès aux fichiers sensibles. Et la prévention de l’exécution non autorisée de PHP empêche le vecteur d’attaque le plus courant.

Pharma Hacks sur les version obsolete

La faillePharma Hack permet aux pirates d’injecter du code malveillant dans des sites Web et des plugins WordPress obsolètes, ce qui amène les moteurs de recherche à renvoyer des publicités pharmaceutiques lorsqu’un site Web compromis est interrogé. La vulnérabilité s’apparente davantage à une forme de contenu « spammy » qu’à un malware traditionnel, mais fournit aux moteurs de recherche une raison suffisante pour mettre le site sur liste noire en l’accusant de diffuser des publicités non sollicitées.

Les éléments mobiles d’un piratage contre une entreprise pharmaceutique comprennent des portes dérobées dans les applications de base de données et les plugins. Celles-ci peuvent être supprimées en suivant les étapes décrites dans l’article de blog rédigé par Sucuri. Cependant, ces attaques impliquent souvent l’insertion de code malveillant dans les bases de données, ce qui nécessite un processus de nettoyage complet. Vous pouvez facilement éviter les pharma hacks en utilisant des fournisseurs d’hébergement fiables avec des serveurs de pointe et en mettant fréquemment à jour vos installations, thèmes et plugin de sécurité WordPress, notamment ceux proposés par PlanetHoster.com.

Tentatives de connexion par force brute

Malheureusement, de nombreux propriétaires de sites Web WordPress ne prennent pas de mesures simples pour protéger leurs sites contre les attaquants qui tentent de s’y connecter en devinant les noms d’utilisateur et les mots de passe. Les pirates peuvent facilement compromettre jusqu’à 300 000 sites Web en une journée en devinant les mots de passe.

Redirections porte de derriere

Les redirections malveillantes peuvent être utilisées pour créer un accès backdoor à votre installation WordPress en les plaçant dans votre fichier .htacess et d’autres fichiers WordPress. Nous discuterons des moyens d’éviter cela dans nos étapes de sécurité de WordPress.

Quel hébergement WordPress mutualisé à éviter en ce moment ?

 OVH et Amen nous ont profondément déçus, en tout cas pour de l’hébergement WordPress mutualisé.

Une accumulation de problèmes techniques graves depuis quelques années qui a culmine cette année.

Nous recommandons Planethoster   et vous aurez 10% avec le code PHA-RCM10 : en 12 ans juste 5min défaillance et le support accessible H24 meme le 31 Decembre .

(Ceux qui connaissent OVH apprécieront)

La sécurité des serveurs et top et équipe de planet assiste les utilisateurs avec efficacité .

Nos serveurs sont chez Planet Hoster ou chez WPMUDEV.

Les actions de bases pour sécuriser votre WordPress.

Installer de Plugins De Sécurité comme defender depuis le panneau d’administration qui vous automatise les patches de bases pour sécuriser WordPress et dispose d’un scanner de logiciels malveillants

  • Pensez à masquer la version de votre WordPress
  • Faites des sauvegardes
  • Faites des mises à jour régulière du fichier PHP
  • Ne téléchargez pas de modèles si vous ne savez pas exactement ce qu’ils contiennent.
  • Supprimer les extensions et thèmes inutilisés
  • Modifications des clés
  • Changement de l’admin et protection du fichier de configuration
  • Verification de PHP my admin pour la base de données
  • Verification du serveur FTP
  • Authentification a deux étapes
  • Protection contre les tentatives de connexion par force brute
  • Scan antivirus
  • Installation des correctifs de sécurité

Maintenant il faut sauvegarder régulièrement votre site web (idéalement 1 backup quotidien et archivage par semaine sur un cloud. Nous utilisons Snapshot Pro qui est un excellent plugin

Pour la sauvegarde complete car il nous permet automatiquement d’envoyer celle ci sur plusieurs destinations ces dernières (cloud et ftp).

Booster la sécurité de votre site web avec un service de maintenance.

Pour faire face aux menaces sur votre site web et si vous souhaitez une disponibilité a 100% de vos services, le recours une assistance H24 s’impose.

RCM propose un service de support qui surveille votre site H24, met à jours les plugins et assure les sauvegardes. Nous installons SSL si ce n’est pas fait et nous parametrons cloud Fare pour une protection contre le DDS.

Une équipe de développement web qualifiée prendra tout en charge. Elle vous garantit un résultat optimal. Pour y parvenir, nous adoptons quelques stratégies comme :

10 commandements securite wordpress
Sécurité WordPress : mise a jour régulière
  • La mise à jour d’un site wordpress : grâce à cette mise à jour, les risques d’être attaqués par les menaces sont réduits tandis que les failles de sécurité sont corrigées.
  • La mise à jour des plugins est systématique, car ils constituent l’un des moyens pour accéder au site. Nos équipes pourront le faire à votre place..
  • L’optimisation des réglages : notre équipe assure un bon paramétrage de WordPress. Différents outils sont ainsi utilisés non seulement pour booster son fonctionnement, mais aussi pour alerter l’équipe en cas de mal configuration.
  • Un backup journalier de votre site : cette stratégie concerne l’hébergement du site.

Nos outils de surveillance permettent également à nos équipes d’intervenir rapidement en cas de soucis.

Nos équipes choisissent les outils les plus performants pour que votre site atteigne un niveau de sécurité élevé.

Consultez un expert en informatique, qui vous conseille sur les mesures de sécurités convenables à votre site. Profitez de l’offre de support RCM qui vous permet de vérifier les mises à jour et d’actualiser le système.

Remplissez ce formulaire et on s’occupe de votre Externalisation

Partager:

Suivez nous:

VIDEO DE LA SEMAINE