Il est important de mettre en place de bonnes pratiques de sécurité dès le début de la création du site afin de ne pas avoir à lutter à longueur de journée contre les intrusions.
C’est pourquoi dans ce guide, nous vous fournirons les bonnes pratiques simples pour assurer la sécurité de votre WordPress.
La sécurité est un élément fondamental du développement Web et est toujours une considération clé dans notre approche de développement et de maintenance de sites WordPress chez Osmova. C’est souvent au sommet de la liste pour la plupart de nos entreprises clientes.
Notre propre site est un excellent exemple des nombreuses fonctionnalités de sécurité différentes qui peuvent être mises en œuvre sur un site Web. Cet article examinera comment nous avons abordé différents domaines de la sécurité et quelles mesures ont été prises pour garantir la sécurité du site.
Le choix de l’hébergement
Avant de commencer à chercher un hébergeur, prenez un moment pour réfléchir à ce dont vous avez besoin. Le prix, le support, le stockage et les performances sont toutes des caractéristiques importantes à prendre en compte lors de l’achat d’un service auprès d’un hébergeur.
Les autres facteurs de différenciation incluent les produits de commerce électronique et les options de nom de domaine gratuites, ainsi que des avantages tels que les crédits publicitaires, les créateurs de sites Web et le matériel mis à niveau.
Le site est hébergé par OVH un hébergeur Français, qui offre un certain nombre de mesures de sécurité utiles pour tout site hébergé avec eux. Ces mesures comprennent:
- Un pare-feu propriétaire qui aide à diriger le trafic bon, mauvais et malveillant
- Blocage de l’énumération des utilisateurs
- Prévention des attaques de connexion par force brute
- Forcer tous les utilisateurs de WordPress à définir un mot de passe sécurisé
L’hébergement avec OVH présente également l’avantage supplémentaire de sauvegardes quotidiennes automatiques pour tous les environnements de site tels que la production et la mise en scène. Tout site peut être rétabli sur l’une de ces sauvegardes quotidiennes d’un simple clic sur un bouton.
Un site en HTTPS
Le site osmova utilise HTTPS, tout comme la plupart des sites sur Internet en 2022. Hypertext Transfer Protocol Security est une version mise à jour du protocole HTTP standard, qui fournit une communication de données cryptée entre les serveurs Web et les navigateurs. Cela permet aux données sensibles, telles que les informations de connexion ou les informations de carte de crédit, d’être transférées en toute sécurité entre le navigateur et le serveur.
HTTPS est actuellement le protocole de transfert de facto pour tous les sites Web, avec Google marquant les sites dans leurs résultats de recherche qui n’utilisent pas HTTPS.
Afin de configurer HTTPS, un certificat SSL doit être obtenu et placé sur le serveur à côté du site.
Voilà donc quelques un des éléments que nous mettons en place pour assurer la sécurité de nos site web.
Nous utilisons un CDN
Le site utilise le CDN Cloudflare pour améliorer les performances du site pour les utilisateurs du monde entier. L’utilisation du CDN Cloudflare offre également des avantages de sécurité tels que la protection contre les attaques DDoS et l’amélioration de la certification de sécurité. Nous implémentons également un certain nombre de règles de pare-feu via Cloudflare.
En tant que proxy inverse, Cloudflare est un mur à travers lequel les requêtes doivent passer pour atteindre votre site. Cloudflare opère dans trois domaines verticaux de sécurité, de performance et de fiabilité pour vous fournir, à vous et à vos visiteurs, le meilleur service. Cloudflare améliore la sécurité, analyse les demandes de votre application Web et trouve le contenu malveillant en fonction des adresses IP suspectes, des types de ressources demandés, de la charge utile et de la fréquence des demandes, et des pare-feu qui contiennent des règles définies par vous (le consommateur).
Gestion des comptes utilisateurs
Les utilisateurs disposant d’autorisations d’administrateur ont un contrôle total sur tout ce qui se trouve dans le CMS, il est donc conseillé que seuls les utilisateurs qui ont besoin de ce contrôle en bénéficient. Le fait d’avoir un plus grand nombre d’administrateurs peut augmenter les vulnérabilités du site.
Pour s’assurer que chaque utilisateur utilise un mot de passe robuste nous utilisons des Gestionnaires de mots de passe. Par exemple, un utilisateur qui n’est pas familier avec le fonctionnement interne de WordPress ne devrait pas avoir accès à la configuration et aux paramètres du site, car cela présente le risque de modifier sans le savoir quelque chose de critique pour le fonctionnement du site.
Une gestion minutieuse des comptes d’utilisateurs garantit que seuls les utilisateurs actifs sur le site peuvent accéder au CMS et que ces utilisateurs actifs disposent des autorisations minimales requises.
API REST désactivée
REST est un ensemble de contraintes architecturales. Ce n’est ni un protocole ni une norme. Les développeurs d’API peuvent implémenter REST de plusieurs manières.
Par défaut, une grande partie du contenu défini dans WordPress est accessible au public via l’API REST de WordPress. Bien que la plupart d’entre eux puissent être utilisés dans le domaine public, il est toujours judicieux d’empêcher le public d’y accéder lorsqu’il n’est pas nécessaire.
Les données utilisateur telles que les noms d’utilisateur WordPress sont disponibles nativement sous WordPress via l’API. Il s’agit d’une légère vulnérabilité car elle permet à un attaquant de découvrir facilement tous les noms d’utilisateur et de les utiliser pour tenter une attaque par force brute sur la page de connexion WordPress.
Nous utilisons le plugin Disable REST API pour désactiver l’accès API aux utilisateurs non connectés.
En-têtes de sécurité
Il ne suffit pas d’installer un certificat SSL sur votre site pour vous protéger des attaques. Vous devez définir l’en-tête HSTS pour protéger pleinement votre site et vos utilisateurs. Un certain nombre d’en-têtes de sécurité HTTP utiles sont utilisés sur le site pour supprimer diverses vulnérabilités diverses.
Celles-ci ont été ajouté à notre site par notre équipe de développement. Les en-têtes de sécurité utilisés sur le site comprennent :
- Options de X-Frame
- Protection X-XSS
- Options de type de contenu X
- Politique de parrainage
- Politique d’autorisations
- Politique de sécurité du contenu et politique de sécurité du contenu X
Les en-têtes Content-Security-Policy et X-Content-Security-Policy nécessitent une gestion continue car ils bloquent les sources non reconnues pour les images, les feuilles de style, les fichiers JavaScript et les iframes doivent donc être mis à jour chaque fois qu’un nouvel ajout est effectué sur le site Web.
Choix des plug-ins
Nous sommes très sélectifs sur les types de plugins que nous utilisons lors de la conception d’un site WordPress, en veillant à limiter le nombre autant que possible.
Il est clair que vous devez toujours faire attention aux plug-ins que vous installez, sinon vous risquez de rencontrer de mauvaises surprises. Pour faire un choix, il est préférable d’adopter une méthode et de l’appliquer systématiquement à chaque plug-in nouvellement installé
Nous avons également des critères que nous recherchons tels que la qualité du code, les critiques, la dernière mise à jour, etc. avant d’utiliser un nouveau plugin WordPress. Ceci est important lors de la livraison d’un site WordPress d’entreprise pour la sécurité et la maintenance du service.
