Sélectionner une page
sécurité wordpress

La sécurité est un élément fondamental du développement Web et est toujours une considération clé dans notre approche de développement et de maintenance de sites chez Osmova. C’est souvent au sommet de la liste pour la plupart de nos entreprises clientes.

Notre propre site est un excellent exemple des nombreuses fonctionnalités de sécurité différentes qui peuvent être mises en œuvre sur un site Web. Cet article examinera comment nous avons abordé différents domaines de la sécurité et quelles mesures ont été prises pour garantir la sécurité du site.

Choix de l’hébergement

Le site est hébergé par OVH un hébergeur Français, qui offre un certain nombre de mesures de sécurité utiles pour tout site hébergé avec eux. Ces mesures comprennent:

  • Un pare-feu propriétaire qui aide à diriger le trafic bon, mauvais et malveillant
  • Blocage de l’énumération des utilisateurs
  • Prévention des attaques de connexion par force brute
  • Forcer tous les utilisateurs de WordPress à définir un mot de passe sécurisé

L’hébergement avec OVH présente également l’avantage supplémentaire de sauvegardes quotidiennes automatiques pour tous les environnements de site tels que la production et la mise en scène. Tout site peut être rétabli sur l’une de ces sauvegardes quotidiennes d’un simple clic sur un bouton.

Cloudflare

Le site utilise le CDN Cloudflare pour améliorer les performances du site pour les utilisateurs du monde entier. L’utilisation du CDN Cloudflare offre également des avantages de sécurité tels que la protection contre les attaques DDoS et l’amélioration de la certification de sécurité. Nous implémentons également un certain nombre de règles de pare-feu via Cloudflare.

Gestion des comptes utilisateurs

maintenance et sécurité wordpress

La gestion diligente des comptes d’utilisateurs a veillé à ce que seuls les utilisateurs actifs sur le site aient accès au CMS, et que ces utilisateurs actifs disposent des autorisations minimales requises.

Les utilisateurs disposant d’autorisations d’administrateur ont un contrôle total sur tout ce qui se trouve dans le CMS, il est donc conseillé que seuls les utilisateurs qui ont besoin de ce contrôle en bénéficient. Le fait d’avoir un plus grand nombre d’administrateurs peut augmenter les vulnérabilités du site. Par exemple, un utilisateur qui n’est pas familier avec le fonctionnement interne de WordPress ne devrait pas avoir accès à la configuration et aux paramètres du site, car cela présente le risque de modifier sans le savoir quelque chose de critique pour le fonctionnement du site.

API REST désactivée

Un grand nombre de contenus définis dans WordPress sont disponibles publiquement par défaut via l’API REST de WordPress. Bien que la majorité de ceux-ci puissent être destinés au domaine public, il est toujours judicieux d’empêcher l’accès du public à celui-ci s’il n’est pas nécessaire.

Par défaut, les données utilisateur telles que les noms d’utilisateur WordPress sont disponibles via l’API, il s’agit d’une légère vulnérabilité car elle peut permettre aux attaquants de découvrir facilement tous les noms d’utilisateur et de les utiliser pour tenter des attaques par force brute sur la page de connexion WordPress.

Nous utilisons le plugin Disable REST API pour désactiver l’accès API aux utilisateurs non connectés.

En-têtes de sécurité

Un certain nombre d’en-têtes de sécurité HTTP utiles sont utilisés sur le site pour supprimer diverses vulnérabilités diverses. Celles-ci ont été intégrées au thème par notre équipe de développement. Les en-têtes de sécurité utilisés sur le site comprennent :

  • Options de X-Frame
  • Protection X-XSS
  • Options de type de contenu X
  • Politique de parrainage
  • Politique d’autorisations
  • Politique de sécurité du contenu et politique de sécurité du contenu X

Les en-têtes Content-Security-Policy et X-Content-Security-Policy nécessitent une gestion continue car ils bloquent les sources non reconnues pour les images, les feuilles de style, les fichiers JavaScript et les iframes doivent donc être mis à jour chaque fois qu’un nouvel ajout est effectué sur le site Web.

Plugins

Nous sommes très sélectifs sur les types de plugins que nous utilisons lors de la conception d’un site WordPress, en veillant à limiter le nombre autant que possible. Nous avons également des critères que nous recherchons tels que la qualité du code, les critiques, la dernière mise à jour, etc. avant d’utiliser un nouveau plugin WordPress. Ceci est important lors de la livraison d’un site WordPress d’entreprise pour la sécurité et la maintenance du service.

HTTPS

Le site utilise HTTPS, comme la plupart des sites sur le Web en 2021. HyperText Transfer Protocol Secure est une version mise à jour du protocole HTTP standard et offre une communication cryptée de données entre un serveur Web et un navigateur. Cela permet de transférer en toute sécurité des données sensibles telles que les informations de connexion ou les informations de carte de crédit entre un navigateur et un serveur.

HTTPS est actuellement le protocole de transfert de facto pour tous les sites Web, avec Google marquant les sites dans leurs résultats de recherche qui n’utilisent pas HTTPS.

Afin de configurer HTTPS, un certificat SSL doit être obtenu et placé sur le serveur à côté du site.

Pour tout renseignement sur nos services d’agence digitale à Montpellier. Contactez-nous via le chat de notre site web du lundi au vendredi de 9h00 à 18h00

Demander un devis I Solutions Développement I Solutions Design Graphique I Solutions Marketing Digital I Blog