L’année dernière, WordPress était responsable de 83% des sites de gestion de contenu infectés. Assurez-vous de ne pas contribuer à ces infections et apprenez à gérer WordPress en toute sécurité.
( Cet article est aimablement sponsorisé par Sucuri .) La sécurité WordPress n’a pas bonne réputation. Plus de 70% de tous les sites WordPress présentent une sorte de vulnérabilité selon les recherches effectuées sur +40 000 sites WordPress par Alexa . Si vous développez des thèmes ou des plugins WordPress – ou utilisez WordPress pour vos sites Web – ce nombre devrait vous faire peur.
Vous pouvez faire beaucoup pour vous assurer de ne pas faire partie des 70%, mais cela demande plus de travail que d’installer un plugin ou d’échapper à une chaîne. Beaucoup de conseils dans cet article proviennent du guide de Sucuri sur la sécurité de WordPress et des années d’expérience personnelle.
Est-ce que WordPress est non sécurisé?
WordPress détient la plus grande part de marché parmi les systèmes de gestion de contenu et une part de marché de 30% parmi les 10 millions de sites Web les plus populaires. Ce type de succès en fait une cible importante pour les hacks. WordPress n’est pas moins sécurisé que les autres systèmes de gestion de contenu.
Les vulnérabilités dans le noyau WordPress sont responsables de moins de 10% de tous les hacks WordPress. La plupart d’entre elles proviennent d’installations WordPress obsolètes. La quantité de hacks qui se produisent sur les failles de sécurité réelles dans les versions à jour (également connues sous le nom d’exploits zero-day) dans le noyau WordPress représente un pourcentage infime de tous les hacks.
Les autres sites infectés étaient causés par des plug-ins, des thèmes, des services d’hébergement et des utilisateurs. Et vous, en tant que développeur de sites Web WordPress, avez le contrôle de tous ces éléments. Si cela vous semble compliqué, alors je peux recommander le plan d’agence de Sucuri . Sinon, découvrons comment gérer la sécurité WordPress nous-mêmes!
Qui vous attaque et pourquoi?
Jetons d’abord un mythe: un petit site WordPress reste une cible attrayante pour les pirates. Les attaques à titre personnel sont très rares. La plupart des sites Web WordPress piratés sont automatiquement compromis par un bot ou un botnet.
Les bots sont des programmes informatiques qui recherchent constamment des sites Web à pirater. Ils ne se soucient pas de qui vous êtes; ils cherchent juste une faiblesse dans vos défenses. Un botnet combine la puissance de calcul de nombreux robots pour accomplir des tâches plus importantes.
Les pirates cherchent avant tout un moyen d’entrer dans votre serveur afin qu’ils puissent utiliser la puissance de calcul de votre serveur et la libérer d’un autre objectif ou d’une autre cible. Les pirates veulent votre serveur pour les raisons suivantes.
ENVOI DE SPAM
Le spam représente environ 60% de tous les e-mails et doit être envoyé depuis quelque part. De nombreux pirates souhaitent accéder à votre serveur via un plugin défectueux ou une ancienne version du noyau WordPress afin de pouvoir transformer votre serveur en une machine à spammer.
ATTAQUER D’AUTRES SITES WEB
Les attaques par déni de service distribué utilisent de nombreux ordinateurs pour inonder un site Web avec un trafic tellement important qu’ils ne peuvent plus suivre. Ces attaques sont très difficiles à atténuer, en particulier lorsqu’elles sont effectuées correctement. Les pirates qui s’introduisent dans votre serveur peuvent l’ajouter à un pool de serveurs pour attaquer des sites Web.
RESSOURCES VOLANTES
La cryptomonnaie minière est maintenant très populaire, mais elle nécessite beaucoup de puissance de calcul. Les pirates qui ne veulent pas dépenser beaucoup d’argent sur une ferme de serveurs s’emparent de sites WordPress non protégés et accèdent aux serveurs ou aux visiteurs de vos sites Web et volent la puissance de calcul.
SCORING SEO SCORES
Un hack particulièrement populaire pour WordPress consiste à accéder à sa base de données et à ajouter un tas de texte (caché) sous chaque article, en lien avec un autre site Web. C’est un moyen très rapide de propulser son score SEO, bien que Google soit de plus en plus vigilant sur ce comportement et que les listes noires augmentent.
DONNÉES VOLANTES
Les données sont précieuses, en particulier lorsqu’elles sont liées à des profils d’utilisateurs et à des informations de commerce électronique. Obtenir ces données et les vendre peut faire un attaquant un beau profit.
Pourquoi la sécurité est-elle importante?
En plus de ne pas donner satisfaction aux criminels, il existe de nombreuses raisons pour lesquelles votre site Web devrait être sécurisé par défaut. Ayant nettoyé et traité beaucoup de piratage WordPress, je peux certainement dire qu’ils ne se produisent jamais à un moment opportun. Le nettoyage peut prendre des heures et vous coûtera de l’argent à vous ou à votre client.
Pour obtenir un site web WordPress piraté, vous devrez supprimer et remplacer chaque bit de code tiers (y compris le noyau WordPress); peignez votre propre ligne de code ligne par ligne et tous les autres dossiers du serveur pour vous assurer qu’ils sont toujours propres; vérifier si les utilisateurs non autorisés ont obtenu un accès; et remplacez tous les mots de passe dans WordPress, sur votre serveur et sur votre base de données.
Beaucoup de services peuvent nettoyer un site WordPress pour vous, mais la prévention est tellement meilleure à long terme.
Outre le coût du nettoyage, le piratage peut également vous coûter cher en ventes manquées ou en prospects. Les hachages vous font baisser dans les classements de recherche, entraînant moins de visiteurs et moins de conversions.
Plus que le coût financier, le piratage nuit à votre réputation. Les visiteurs viennent sur votre site Web car ils vous font confiance. Le piratage endommage votre réputation, et cela prend beaucoup de temps à réparer.
Il y a aussi une réelle possibilité de problèmes juridiques, surtout si vous avez des clients dans l’UE, où la législation GDPR entrera en vigueur à l’été 2018. Cette nouvelle législation inclut une lourde amende pour les violations de données qui ne sont pas gérées correctement.
Argent, réputation et problèmes juridiques: Une mauvaise sécurité peut vous coûter cher. Investir un peu de temps dans la mise en place de votre site Web, de votre code et de votre équipe dans un esprit de sécurité sera certainement payant.
Voyons comment nous pouvons empêcher toute cette méchanceté.
La triade de la CIA
La triade CIA est un cadre de base pour chaque projet de sécurité numérique. Cela signifie la confidentialité, l’intégrité et la disponibilité. CIA est un ensemble de règles qui limitent l’accès aux informations aux bonnes parties, garantissent la fiabilité et l’exactitude des informations et garantissent un accès fiable à ces informations.
Pour WordPress, le framework CIA se résume à ce qui suit.
CONFIDENTIALITÉ
Assurez-vous que les utilisateurs connectés disposent des rôles appropriés et que leurs capacités sont contrôlées. Ne donnez aux utilisateurs que le minimum d’accès dont ils ont besoin, et assurez-vous que les informations de l’administrateur ne sont pas divulguées à la mauvaise personne. Vous pouvez le faire en durcissant la zone d’administration de WordPress et en faisant attention aux noms d’utilisateur et aux informations d’identification.
INTÉGRITÉ
Affichez des informations précises sur votre site Web et assurez-vous que les interactions des utilisateurs sur votre site Web se déroulent correctement.
Lorsque vous acceptez des requêtes à la fois avant et arrière, vérifiez toujours que l’intention correspond à l’action réelle. Lorsque des données sont publiées, filtrez toujours les données de votre code afin de détecter les contenus malveillants en utilisant la désinfection et les échappements. Assurez-vous que le spam est supprimé à l’aide d’un service de protection antispam tel qu’Akismet.
DISPONIBILITÉ
Assurez-vous que vos WordPress, plugins et thèmes sont à jour et hébergés sur un hôte WordPress fiable (de préférence géré). Les sauvegardes automatiques quotidiennes permettent également de garantir que votre site Web reste accessible au public.
Les trois éléments s’appuient l’un sur l’autre. L’intégrité du code ne fonctionnera pas tout seul si le mot de passe confidentiel d’un utilisateur est facilement volé ou deviné. Tous les aspects sont importants pour une plate-forme solide et sécurisée.
La sécurité est un travail difficile. Outre le travail qui peut être fait en code, ce cadre comporte un énorme élément humain. La sécurité est un processus constant. il ne peut être résolu par un seul plugin.
Partie 1: Intégrité – Ne faites confiance à rien
Vérifiez l’intention des actions de l’utilisateur et l’intégrité des données que vous gérez. Jetez votre hippie intérieur à la porte. Rien ne peut être fait confiance en ligne, vérifiez donc tout ce que vous faites pour une éventuelle intention malveillante.
VALIDATION DES DONNÉES ET ASSAINISSEMENT
WordPress est excellent pour gérer les données. Il s’assure que chaque interaction est validée et que chaque bit de données est assaini, mais uniquement dans le noyau WordPress. Si vous créez votre propre plugin ou thème, ou si vous ne faites que vérifier un code tiers, il est essentiel de savoir comment procéder.
//traiter la variable
update_post_meta( $post->ID, ‘some-meta’, sanitize_text_field( (string)$_POST[‘some-meta’] ) );
//La variable doit être un entier
update_post_meta( $post->ID, ‘some-int’, absint( $_POST[‘int’] ) );Dans cet exemple, nous avons ajouté deux données à un article WordPress en utilisant update_post_meta . Le premier est une chaîne; ainsi, nous le lançons en tant que chaîne de caractères en PHP et supprimons les caractères et balises indésirables sanitize_text_field, une des nombreuses fonctions de désinfection de WordPress .
Nous avons également ajouté un nombre entier à cet article et utilisé absint pour nous assurer qu’il s’agit d’un entier absolu (et non négatif).
Utiliser les fonctions de base de WordPress update_post_metaest une meilleure idée que d’utiliser directement la base de données WordPress. C’est parce que WordPress vérifie tout ce qui doit être stocké dans la base de données pour des injections dites SQL. Une attaque par injection SQL exécute du code SQL malveillant via les formulaires de votre site Web. Ce code manipule la base de données pour, par exemple, détruire tout, fuir les données utilisateur ou créer de faux comptes d’administrateur.
Si vous avez besoin de travailler avec une table personnalisée ou d’effectuer une requête compliquée dans WordPress, utilisez la classe WPDB native et utilisez la preparefonction sur toutes vos requêtes pour empêcher les attaques par injection SQL:
$tableName = $wpdb->prefix . “my_table”;
$sql = $wpdb->prepare( “SELECT * FROM %s”, $tableName );
$results = $wpdb->get_results( $sql );
$ wpdb-> prepare passe par chaque variable pour s’assurer qu’il n’y a aucune chance d’une attaque par injection SQL.
ÉCHAPPER
La sortie de sortie est tout aussi importante que la désinfection. La validation des données avant de les enregistrer est importante, mais vous ne pouvez pas être sûr à 100% qu’elles sont toujours sûres. Ne faites rien. WordPress utilise beaucoup de filtres pour permettre aux plugins et aux thèmes de modifier les données à la volée, il y a donc de fortes chances que vos données soient également analysées via d’autres plugins. Échapper aux données avant de les ajouter à votre thème ou à votre plug-in est une bonne chose à faire.
L’échappement est principalement destiné à empêcher les attaques de script inter-sites (XSS). Les attaques XSS injectent un code malveillant dans la partie frontale de votre site Web. Un avantage supplémentaire de la fuite des données est que vous pouvez être sûr que votre balisage est toujours valide par la suite.
WordPress a de nombreuses fonctions d’échappement . Voici un exemple simple:
<a href=“<?php echo esc_url( $url );?>” title=“<?php echo esc_attr( $title );?>”><?php echo esc_html( $title );?></a>
Évadez-vous le plus tard possible. Cela garantit que vous avez le dernier mot sur vos données.
SÉCURISER LES DEMANDES
Les requêtes d’administration WordPress sont déjà assez sécurisées si SSL est activé et si vous disposez d’un hôte décent, mais que certaines vulnérabilités existent toujours. Vous devez vérifier l’intention de l’utilisateur et valider que la demande entrante est quelque chose qui a été effectuée par l’utilisateur connecté.
WordPress valide l’intention avec les nonces. . Un nonce (ou «numéro utilisé qu’une seule fois») n’est pas vraiment une description précise de cette API dans WordPress. Il n’utilise pas seulement des nombres, et il ressemble beaucoup plus à un jeton de contrefaçon de requête intersite (CSRF) que vous trouverez dans chaque framework Web moderne. Ces jetons permettent aux pirates de ne pas répéter les requêtes. C’est beaucoup plus qu’un simple nonce, mais WordPress aime la compatibilité ascendante, donc le nom est resté bloqué.
Les nonces sont envoyés avec chaque requête vulnérable d’un utilisateur. Ils sont attachés aux URL et aux formulaires, et ils doivent toujours être vérifiés à la réception avant d’exécuter la demande. Vous pouvez ajouter un nonce à un formulaire ou à une URL. Voici un exemple utilisé dans un formulaire:
<form method= “post”>
<!-- Add a nonce field: -->
<?php wp_nonce_field( ‘post_custom_form’ );?>
<!-- other fields: →
...
</form>
Dans ce cas, nous utilisons simplement la fonction d’aide simple wp_nonce_field(), qui génère pour nous deux champs cachés qui ressembleront à ceci:
<input type="hidden" id="_wpnonce" name="_wpnonce" value="e558d2674e" />
<input type="hidden" name="_wp_http_referer" value="/wp-admin/post.php?post=2&action=edit" />
Le premier champ vérifie l’intention en utilisant un code généré avec la 'post_custom_form'chaîne que nous avons transmise à la fonction. Le second champ ajoute un référent pour valider si la requête a été effectuée à partir de l’installation WordPress.
Avant de traiter votre tâche à l’autre bout du formulaire ou de l’URL, vous devez vérifier le nonce et sa validité avec wp_verify_nonce:
if( wp_verify_nonce( $_REQUEST[‘_wpnonce’], ‘post_custom_form’ ) == false ){
wp_die( “Nonce isn\’t valid” );
}
Ici, nous vérifions le nonce avec notre nom d’action et si cela ne correspond pas, nous arrêtons le traitement du formulaire.
CODE TIERS
Les plug-ins et thèmes tiers sont un véritable point de départ pour les hacks. Ils sont également les plus difficiles à casser lorsque vous assurez la sécurité de votre site Web.
La plupart des hacks WordPress sont causés par des plugins, des thèmes et des copies obsolètes de WordPress . Aucun logiciel n’est sécurisé à 100%, mais beaucoup de plugins et de thèmes n’ont pas été mis à jour depuis longtemps par les développeurs ou n’ont pas été sécurisés.
Moins de code signifie moins de piratage. Donc, avant d’installer un autre plugin, demandez-vous si vous en avez vraiment besoin. Y a-t-il une autre façon de résoudre ce problème?
Si vous êtes sûr d’avoir besoin d’un plugin ou d’un thème, alors jugez-le attentivement. Regardez le classement, la date de dernière mise à jour et la version de PHP requise lorsque vous parcourez le répertoire du plug-in WordPress. Si vous avez trouvé ce que vous cherchiez et que tout semble fonctionner, recherchez-en les mentions sur un blog sécurisé tel que Sucuri ou WordFence.
Une autre option consiste à analyser le code et à s’assurer qu’il contient des nonces, des systèmes d’assainissement et des systèmes d’échappement appropriés. Ce sont généralement des signes de code bien écrit et sécurisé. Vous n’avez pas besoin de connaître PHP ou de faire une révision complète du code. Un moyen simple et rapide de vérifier l’utilisation correcte des fonctions de sécurité de WordPress consiste à rechercher le code du plug-in pour ces chaînes:
esc_attresc_htmlwp_nonce_fieldwp_nonce_urlsanitize_text_field$wpdb->prepare
Un plugin peut toujours être sécurisé s’il n’inclut pas toutes ces chaînes, mais si aucune ou un petit nombre de ces chaînes n’est trouvé, c’est un drapeau rouge. Si vous trouvez une vulnérabilité, partagez-la avec le créateur en privé et accordez-lui le temps de le réparer.
Garder une trace des vulnérabilités dans l’espace du plugin WordPress devient plus facile avec des initiatives telles que wpvulndb .
Remarque: Certains thèmes regroupent des versions de plug-ins avec leur code. C’est un symptôme de WordPress qui ne dispose pas d’une excellente gestion des dépendances prête à l’emploi, mais c’est aussi le signe d’un thème très mal écrit. Évitez toujours ces thèmes car ils incluent des bases de code qui ne peuvent pas être mises à jour.
Les thèmes et les plugins contiennent rarement du code écrit par un seul développeur. Composer et NPM ont tellement facilité la tâche de dépendre des autres bibliothèques pour devenir un vecteur d’attaque populaire. Si vous téléchargez un thème ou un plug-in WordPress sec, ce n’est vraiment pas un problème, mais si vous travaillez avec des outils qui utilisent Composer ou NPM, il n’est pas difficile de vérifier leurs dépendances. Vous pouvez vérifier les dépendances Composer avec un outil gratuit d’interface de ligne de commande (CLI) de SensioLabs . Un service tel que Snyk (que vous pouvez utiliser gratuitement mais qui propose également des options premium) vous permet de vérifier chaque dépendance de votre projet.
Partie 2: Disponibilité: restez simple
Votre objectif principal est de garder votre site Web en ligne sans interruption. Même avec une sécurité de premier ordre, vous pouvez toujours avoir des problèmes. Lorsque cela se produit, une sauvegarde de qualité vous évitera de gros problèmes.
MISES À JOUR
Open-source ne peut exister sans mises à jour. La plupart des attaques sur les sites WordPress se produisent sur des versions obsolètes du logiciel principal ou des plug-ins. Les mises à jour de sécurité du noyau de WordPress sont désormais traitées automatiquement (sauf si vous avez désactivé cette fonctionnalité, monstre!), Mais les mises à jour de sécurité dans les plug-ins sont une autre histoire.
La mise à jour est normalement sûre avec les plug-ins populaires et fiables, mais tous les plug-ins doivent être testés avant leur mise en ligne sur votre site Web. Des outils tels que WP CLI facilitent grandement la mise à jour. Le développeur principal de WordPress, Mark Jaquith, a publié un excellent article sur la mise à jour automatique de tous les plugins , afin de pouvoir filtrer les erreurs éventuelles.
UTILISATEURS, RÔLES ET CAPACITÉS
La «disponibilité» dans la triade de la CIA est liée à l’obtention d’informations dans les bonnes mains. Notre principale priorité est de limiter les capacités de vos utilisateurs principaux. Ne donnez pas à chacun un compte administrateur.
Le compte administrateur dans WordPress est exceptionnellement puissant. Il existe même une option dans WordPress vanille pour modifier votre base de code complète à partir du compte administrateur WordPress. (Si ceci est nouveau pour vous et que vous n’avez pas désactivé ceci, veuillez le faire .)
Le système de rôles et de fonctionnalités de WordPress est puissant et très facile à modifier dans le code. Je crée beaucoup de nouveaux rôles lorsque je travaille avec WordPress. Le principal avantage de ceci est que vous obtenez un contrôle total sur les parties du système auxquelles les différents utilisateurs accèdent, mais un autre avantage majeur est qu’il empêche le code tiers de modifier les fonctionnalités standard du cœur de WordPress.
WordPress gère généralement le courrier électronique via le serveur sur lequel il se trouve, mais cela rend tout votre courrier électronique entièrement dépendant du serveur sur lequel il s’exécute. Empêchez vos e-mails d’être interceptés et considérés comme du spam en utilisant un service SMTP. De nombreuses options de plug-in sont disponibles pour vous assurer que tous vos messages sont envoyés via une connexion SMTP sécurisée.
Vous devrez toutefois accéder aux paramètres DNS du nom de domaine pour ajouter un enregistrement SPF (Sender Policy Framework). Tous les bons services SMTP fourniront le dossier exact à ajouter. Un enregistrement SPF garantit que votre service SMTP est autorisé par le domaine à envoyer des messages électroniques en son nom.
SURVEILLANCE
Surveiller votre site Web en ligne est une tâche 24 heures sur 24 et 7 jours sur 7 qui peut être entièrement automatisée. Dans le cas de WordPress, nous sommes intéressés par la disponibilité et l’intégrité des fichiers.
Un bon hôte fera généralement le suivi de la disponibilité . Des outils tels que Uptime Robot ajoutent encore plus de sécurité. Vos 50 premiers sites Web sont entièrement gratuits.
En ce qui concerne l’ intégrité des fichiers , si un pirate accède à votre serveur, il peut modifier votre code.
Dans ce cas, les plugins sont la réponse à votre problème. Sucuri a un excellent plugin d’audit. Il vérifie tous les fichiers de votre installation contre une vaste base de données de code malveillant connu. Il vérifie également si le noyau WordPress est toujours centré sur WordPress à 100%, et vous donne une idée si une violation a été commise, afin que vous puissiez la réparer le plus rapidement possible.
LES SAUVEGARDES
Les sauvegardes automatisées sont l’ultime sécurité de chaque processus de sécurité. La plupart des bons hôtes le feront pour vous, mais il existe d’autres options intéressantes si votre hôte ne propose pas de sauvegardes. Automattic en crée un nommé VaultPress , et des outils tels que BackupBuddy sont sauvegardés sur un compte Dropbox ou un compartiment Amazon S3.
La plupart des services fiables de l’espace de sauvegarde WordPress sont des services premium ou des plugins premium. Selon que vous avez besoin de contrôler entièrement vos données, vous pouvez préférer un plug-in fourni avec un hôte Cloud, au lieu d’un service. L’un ou l’autre vaut chaque centime.
HÉBERGEMENT
WordPress n’est pas le seul logiciel exécuté sur votre serveur. Beaucoup de vecteurs d’attaques sont ouverts lorsque vous êtes sur un hébergement minable. En fait, le mauvais hébergement est la principale raison pour laquelle WordPress prend toujours en charge les versions obsolètes de PHP. Au moment de la rédaction de ce rapport, la page de statistiques de WordPress indique que 32,5% de toutes les installations WordPress fonctionnent sur des versions PHP qui ne reçoivent plus de mises à jour de sécurité.
Notez les presque 60% d’installations fonctionnant sous PHP 5.6 et 7.0, qui recevront des correctifs de sécurité uniquement jusqu’à la fin de l’année.
L’hébergement est important non seulement pour garder le logiciel de votre serveur à jour, cependant. Un bon hôte offrira beaucoup plus de services, tels que des sauvegardes quotidiennes automatisées, des mises à jour automatisées, une surveillance de l’intégrité des fichiers et la sécurité des courriers électroniques. Il y a une grande différence entre les hôtes WordPress gérés et les hôtes qui vous donnent un dossier en ligne avec un accès à la base de données.
Le meilleur conseil est de trouver un hôte WordPress bien géré. Ils coûtent un peu plus cher, mais ils constituent une base solide pour votre site WordPress.
Partie 3: Confidentialité
Si vous vous êtes assuré que votre base de code est aussi sécurisée que possible et que vous êtes sur un excellent hôte WordPress, entouré de scanners et de sauvegardes de logiciels malveillants, vous rencontrerez toujours des problèmes de sécurité, car les gens sont les pires. … À la sécurité Internet.
La confidentialité consiste à éduquer vous-même, votre client et les utilisateurs du site.
DONNÉES CONFIDENTIELLES
Vous ne le savez peut-être pas, mais vos plug-ins et vos thèmes affichent probablement des données confidentielles précieuses. Si, par exemple, vous avez WP_DEBUGdéfini sur true, vous affichez chaque chemin d’accès root de votre site Web sur le serveur. Le débogage des données ne doit pas avoir sa place sur votre site de production.
Les commentaires et les pages d’auteur constituent une autre source de données précieuse. Ceux-ci sont remplis de noms d’utilisateur et même d’adresses électroniques. Un pirate informatique pourrait les utiliser en combinaison avec un mot de passe faible pour accéder à votre site Web. Méfiez-vous de ce que vous montrez au monde extérieur.
Aussi, revérifiez que vous avez mis wp-config.phpdans votre .gitignore.
NE CODE PAS SEUL
Un moyen d’éviter beaucoup d’erreurs de se faufiler dans votre base de code est de pratiquer la programmation par paires. Si vous êtes seul, c’est beaucoup plus difficile, mais de nombreuses communautés en ligne sont disponibles et sont disposées à faire des audits rapides du code. WordPress, par exemple, utilise Slack pour communiquer tout sur le développement de sa plateforme. Vous y trouverez beaucoup de gens qui sont prêts à aider. Les alternatives plus lentes mais meilleures sont les forums WordPress, StackOverflow et GitHub, où vos questions (et leurs réponses!) Sont sauvegardées afin que d’autres puissent en bénéficier.
Demander des commentaires peut être difficile, mais les gens aiment montrer leur expertise et WordPress en général a une communauté très ouverte et accueillante. Le fait est que si vous ne demandez jamais d’informations sur la qualité de votre code, vous n’auriez aucune idée de la sécurité de votre code.
LOGINS ET MOTS DE PASSE
Vos clients devront se connecter à WordPress pour gérer leur contenu. Le noyau de WordPress fait ce qu’il peut pour empêcher les mots de passe faibles de passer, mais cela ne suffit généralement pas.
Je vous recommande d’ajouter un plug-in pour l’authentification à deux facteurs sur votre site Web, ainsi qu’une limite pour les tentatives de connexion. Mieux encore, supprimez entièrement les mots de passe et utilisez des liens magiques.
FAITES CONFIANCE MAIS VÉRIFIEZ
Jusqu’à présent, dans cet article, nous n’avons pas du tout parlé d’ingénierie sociale. C’est une forme de piratage qui prend de l’ampleur, mais il n’est généralement pas utilisé pour pirater les sites Web WordPress. Il s’agit toutefois d’un excellent moyen de définir la culture autour de votre site Web en tenant compte de la sécurité. C’est parce que la meilleure défense contre l’ingénierie sociale est la «confiance mais vérifier».
Chaque fois qu’un client, un utilisateur ou votre patron demande quelque chose en rapport avec la sécurité, la meilleure façon de le gérer est de faire confiance en premier lieu de vérifier si ce qu’il dit est vrai.
Un client peut prétendre avoir besoin d’un accès administrateur à WordPress, mais votre travail consiste à vérifier si cela est vrai. Ont-ils réellement besoin d’un accès ou manquent-ils une seule capacité dans leur rôle? Est-il possible de résoudre ce problème sans ajouter de nouveaux vecteurs d’attaque?
«Faites confiance mais vérifiez» est un mantra simple mais efficace quand il s’agit de questions de sécurité.
Conclusion
WordPress n’est-il pas sécurisé? Non ce n’est pas. Le noyau de WordPress est constamment mis à jour et corrigé, et la plupart des hacks WordPress rapportés ne proviennent pas de WordPress lui-même. La culture entourant WordPress est-elle incertaine? Vous pariez!
Mais en ayant la sécurité à l’esprit avec chaque ligne de code que vous écrivez, chaque utilisateur que vous ajoutez, chaque plug-in que vous activez et chaque facture d’hébergement que vous payez, vous pouvez au moins données sécurisées.
Patr Luc Princen, source : https://www.smashingmagazine.com/
