Min menu

Pages

Principes de base de la sécurité WordPress

Principes de base de la sécurité WordPress

Principes de base de la sécurité WordPress

WordPress domine le marché mondial des systèmes de gestion de contenu (CMS). Son immense popularité a fait de lui un appât pour les mauvais acteurs. WordPress Core est assez sûr pour la conception, ce qui explique le petit nombre de hacks qui l'exploitent. Voici un guide des bases de la sécurité WordPress.

Les cybercriminels sont de plus en plus aptes à corriger les bogues liés aux plugins, aux thèmes, aux fournisseurs d'hébergement et à la propreté des propriétaires de sites Web.

À qui est destiné WordPress et pourquoi?

La plupart des interventions sur un site WordPress zero sont mises en place à l'aide d'outils automatisés comme des scanners et des bots.

Ces entreprises recherchent constamment sur Internet des sites Web hautement sécurisés. Si vous identifiez une vulnérabilité documentée, profitez-en rapidement.

Spam

Voici quelques informations sur le wiki: Le spam représente environ 50% de tous les e-mails envoyés.

Un abus peut rester sur votre serveur via la passerelle de sécurité dans le plugin ou une ancienne version du moteur WordPress pour reconfigurer le serveur et générer du spam.

Supprimer les ressources du serveur

Les cybercriminels peuvent infiltrer des sites WordPress mal protégés, accéder à des serveurs critiques et utiliser leur puissance de traitement pour récupérer secrètement des pièces.

SEO Black Hat

L'un des scénarios les plus courants de piratage de WordPress consiste à obtenir un accès non autorisé à une base de données de site Web et à intégrer brièvement des mots-clés et des hyperliens associés à d'autres sites Web.

L'intégration de mots-clés et d'hyperliens est un raccourci vers le détournement et l'augmentation du classement des sites Web des attaquants dans les moteurs de recherche.

Vol d'informations déloyales

Les hackers expérimentés connaissent la vraie valeur des données, en particulier dans des domaines tels que le commerce électronique et le comportement des consommateurs. Les criminels sérieux peuvent réaliser d'énormes profits en extrayant ces informations et en les vendant aux parties prenantes sur le dark web.

Votre priorité absolue

La sécurité de WordPress devrait être une priorité absolue pour tout administrateur Web, car la réparation d'un site WordPress piraté est plus facile que jamais. Vous devez évaluer chaque ligne de code pour identifier le contenu dangereux, le supprimer et saisir à nouveau une chaîne valide.

Un autre élément de votre liste de tâches consiste à modifier tous les détails d'authentification, y compris les mots de passe de la base de données et du serveur.

Un autre aspect du problème est que le classement des moteurs de recherche pour les sites Web compromis peut chuter considérablement plus tard, ce qui signifie moins de visiteurs et moins de revenus.

Une autre chose à retenir est que les utilisateurs ne visiteront un site Web que s'ils lui font confiance. La violation affectera probablement votre réputation, ce qui prendra beaucoup de temps et d'efforts pour se rétablir.

Sécurité WordPress: la triade de la CIA

Du point de vue de la sécurité de l'information, l'acronyme CIA signifie «Confidentialité, intégrité et accessibilité». Ce modèle de la CIA est le rempart de toute initiative de sécurité numérique. En termes de WordPress, l'anatomie de la CIA est la suivante:

Domaine 1: Confidentialité

• Données sensibles

Les plugins WP, les thèmes et les variables globales sont des boîtes de Pandore remplies d'informations classifiées ou de fil d'Ariane qui pointent vers ces données. Glisser vers le haut en définissant la valeur du paramètre WP_DEBUG sur true au lieu de false révélera le chemin d'accès au répertoire racine de votre site. Tu ne veux pas de ça.

La page de l'auteur peut également être verbeuse, car elle contient souvent un nom d'utilisateur et une adresse e-mail. Les attaquants peuvent essayer de deviner ou de récupérer approximativement le mot de passe de l'auteur. S'il n'est pas assez fort, une intrusion dans le site est imminente.

• Certificat utilisateur

La plate-forme WordPress prend la force du mot de passe au sérieux et aide les utilisateurs à éviter le spectre de la faiblesse des informations d'identification. Cependant, cela peut ne pas suffire.

Une technique supplémentaire qui peut rendre la vie plus difficile pour un attaquant consiste à activer l'authentification à deux facteurs. Il est également nécessaire de limiter le nombre de tentatives de connexion infructueuses.

Zone 2: intégrité

• Examen des données

WordPress s'engage à sécuriser le traitement des données et fait beaucoup pour y parvenir. Cependant, ce mécanisme ne fonctionne pas en dehors du noyau, les développeurs Web doivent donc commencer à valider un autre code.

L'utilisation de la base de données directement sur le site peut être moins sécurisée que l'utilisation d'une fonction comme update_post_meta. Ce dernier peut repousser l'injection SQL, une tactique schématique visant à exécuter du code malveillant via des formulaires intégrés dans des pages Web.

Les tactiques de code malveillant peuvent être un précurseur de la suppression de logiciels malveillants de type Windows et Mac sur les ordinateurs des visiteurs.

Pour éviter les attaques par injection SQL lors de l'exécution de requêtes complexes ou lors de la gestion de tables personnalisées, utilisez la classe WPDB en combinaison avec la fonction de préparation sur toutes les requêtes.

• Réhabilitation des applications

Les problèmes de gestion de site WordPress sont généralement protégés tant que SSL est activé et que vous utilisez un service d'hébergement fiable. Cependant, comme tous les services d'hébergement ne sont pas fiables, il ne s'agit pas d'un écosystème blindé.

Il est dans votre intérêt de surveiller les intentions des utilisateurs et de déterminer que les demandes entrantes proviennent d'utilisateurs enregistrés.

WordPress utilise ce qu'on appelle le charabia pour vérifier les actions initiées par l'utilisateur. Ce jeton de sécurité est formé avec chaque demande faite par l'utilisateur. Puisque le charabia est associé à une URL spécifique, il doit être vérifié par le destinataire avant d'exécuter la demande.

• Code tiers

La plupart des compromis sur WordPress tournent autour des plugins, des thèmes et d'une version non packagée du moteur WordPress. En d'autres termes, moins il y a de code tiers, plus la zone d'attaque est petite.

Si vous ne pouvez pas vous passer d'un certain composant WP de ce type, vous devez d'abord faire vos devoirs et le vérifier. Les éléments à rechercher incluent les commentaires des utilisateurs, la date de sortie de la dernière version et les versions de PHP prises en charge.

Lisez également les avis d'experts sur les ressources de sécurité établies comme Wordfence.

Zone 3: disponibilité

• Mettre à jour

Le moteur WordPress reçoit automatiquement les mises à jour de sécurité. Cependant, le processus avec les thèmes et les plugins n'est pas si simple. Vous devrez peut-être rechercher des mises à jour et les installer manuellement.

Cela peut également être une route cahoteuse car vous ne pouvez pas être sûr que ces fournisseurs tiers fonctionneront correctement jusqu'à ce qu'ils soient minutieusement testés. Les utilisateurs rencontrent souvent beaucoup d'essais et d'erreurs avec eux.

• Rôles et autorisations des utilisateurs

Les données sensibles doivent être en sécurité tant qu'elles sont entre de bonnes mains. Par conséquent, vous devez diversifier les niveaux d'accès pour déterminer que tous les utilisateurs n'ont pas accès à plus d'informations qu'ils n'en ont vraiment besoin. La création de rôles d'utilisateur est le meilleur moyen de gérer les autorisations. La technique de substitution utilisateur empêche également les composants tiers de modifier les fichiers WordPress de base.

• Email

WordPress fonctionne avec le courrier électronique au niveau du serveur sur lequel il est installé. Pour se protéger contre la morve, nous vous recommandons d'utiliser le protocole de communication SMTP.

Il existe de nombreux plugins qui facilitent l'envoi d'e-mails via une connexion SMTP impénétrable.

Vous devrez ajouter un nouvel enregistrement SPF (Sender Policy Framework) qui nécessite l'accès aux paramètres DNS du nom de domaine. Les notes ci-dessus visent à garantir que le service SMTP peut envoyer des e-mails sur le domaine.

• Examens

L'importance de l'intégrité des données de partition vient du fait que les attaquants peuvent modifier votre code s'ils peuvent accéder au serveur.

Heureusement, ce problème peut être résolu avec des outils complémentaires spécialement conçus. Par exemple, le plug-in de sécurité de Sucuri est un excellent choix. Il recherche dans toute votre base de données de fichiers des exemples de code malveillant.

• sauvegarde

Si vous utilisez un fournisseur d'hébergement fiable, il y a de fortes chances qu'un programme de sauvegarde complet soit fait pour vous.

Même si votre fournisseur n'offre pas de fonction de sauvegarde automatique pour votre site, il existe de nombreuses options alternatives. Par exemple, certains services peuvent effectuer une sauvegarde sur un stockage cloud comme Amazon S3 ou Dropbox.

• services d'hébergement

Un service d'hébergement de mauvaise qualité est une cause fréquente d'un mauvais scénario dans lequel un site Web WordPress manque de la dernière version de PHP. Il existe une grande différence entre l'hébergement géré et celui qui ne fournit que des répertoires avec accès à la base de données.

Il est toujours préférable de trouver un hébergement géré de bonne réputation pour votre site WordPress. Bien que cela puisse être une option coûteuse, vous pouvez être assuré que la sécurité est à un niveau raisonnable.

Résumé

Le moteur WordPress lui-même reçoit des mises à jour régulières qui fournissent des correctifs et des améliorations, et l'écosystème qui l'entoure est tout sauf sécurisé.

La bonne nouvelle est que si vous suivez des pratiques sûres lors de l'installation de thèmes et de plugins, de l'ajout de nouveaux rôles d'utilisateur et de l'écriture de nouveau code, votre site Web doit être sûr.

Commentaires