Logo WordPress

Comment ProtectMy.site sécurise votre site WordPress ?

Avec près de 50% de parts de marché, WordPress est le CMS le plus utilisé au monde pour la création de sites web ou d'e-commerces. C'est naturellement aussi l'outil de gestion de contenu le plus visé par les hackers. Beaucoup de sites WordPress ne sont pas assez protégés contre les attaques et la cybermalveillance : 42% d'entre-eux seraient vulnérables. Le risque provient principalement des extensions et des thèmes, bien que 15 a 20 failles importantes soient découvertes chaque année dans le noyau de WordPress. Heureusement, la plupart des attaques exploitent des procédés déjà connus, pouvant être bloqués par un WAF (Web Application Firewall) comme ProtectMy.site. Cette page détaille toutes les actions de protection réalisées par notre firewall et WAF cloud pour sécuriser votre site WordPress.

Un bouclier devant WordPress !

Un WAF pour sécuriser WordPress

ProtectMy.site est une alternative française à CloudFlare. Il se place entre le visiteur et votre site web pour détecter et bloquer les comportements malveillants, tels que les tentatives d'injection SQL, les exploits XSS et CSRF, le scrapping, les attaques par déni de service (DDOS), etc... et ce même sur les failles 0days. Il gère également le certificat SSL et améliore la confidentialité des échanges en éliminant les protocoles de chiffrements obsolètes, sans aucune intervention sur votre serveur d'hébergement web. Grâce à sa liste "Cybercrime IP feeds", il connait déjà plus de 3 millions d'adresses IP malveillantes, qui ne pourront pas attaquer votre site WordPress. ProtectMy.site réagit rapidement : non seulement il bloque la tentative d'attaque, mais en plus il blackliste l'attaquant, l'empêchant de mener une autre attaque par la suite. Enfin, il sécurise votre interface d'administration pour la rendre étanche à toute tentative d'intrusion.

ProtectMy.site est donc une solution de protection WAF (Web Application Firewall) complète pour sécuriser votre site WordPress.

Expert cybersécurité WAF
LE WAF (Web Application Firewall) pour WordPress, allié de votre cybersécurité :

Protection contre les failles 0days.

En détectant les signatures d'attaques génériques, nous protégeons votre site WordPress contre l'exploitation par les hackers, de failles encore inconnues. Le profil spécifique à WordPress permet d'éviter les faux positifs.
Protection contre les injections SQL

Vos formulaires ou vos requêtes API peuvent présenter une vulnérabilité entrainant un accès non désiré à la base de données. Il est possible alors pour un hacker de modifier, supprimer, ajouter, extraire des données. Cela peut occasionner une fuite des mots de passe ou des informations utilisateurs, que vous devrez signaler à la CNIL et notifier à vos utilisateurs. Le hacker peut aussi procéder par ce biais au défacement de votre site web. Dans tous les cas, vous risquez une perte d'image et de confiance auprès de vos utilisateurs. Grâce a son WAF, ProtectMy.site détecte et bloque les tentatives d'injection SQL avant votre site WordPRess, grâce aux règles OWASP.

Protection contre les attaques XSS (Cross Site Scripting)

En manipulant vos formulaires vulnérables ou la requête vers une page non protégée de votre site WordPress, un code malveillant peut être installé dans un site sain. Ce code déclenche un appel vers un autre site, lors de la visite de vos utilisateurs ou clients. Cela peut servir à accéder à des informations sensibles comme les cookies d'authentification, ou pour diffuser un malware. Votre site devient alors un piège pour vos visiteurs. Le service WAF de ProtectMy.site détecte les tentative d'injection XSS dans votre site WordPress grâce aux règles OWASP et bloque les accès malveillant en appliquant la "Content Security Policy" en amont du code de votre site web.

La puissance des règles OWASP au service de votre site web WordPress !

L'OWASP est une organisation internationale qui établi une classification des attaques les plus courantes sur les applications web, comme la plateforme WordPress. Le WAF ProtectMy.site intègre un puissant moteur de détection des attaques du Top10 OWASP, et vous protège ainsi de tentatives d'intrusion cyber. Chaque requête est analysée en temps réel, avant d'être envoyée à votre site web Joomla!. Les requêtes malveillantes sont bloquées. Si l'attaquant insiste, il est directement blacklisté dans notre firewall. Pour éviter les erreurs de détection, nous avons établi un profil compatible avec les boutiques en ligne WordPress sains et la procédure d'installation comporte une vérification du bon fonctionnement de votre site à travers notre passerelle WAF (Web Application Firewall).

Détection et suppression des robots malveillants

Les robots seraient responsables de 50% du trafic web mondial. Jusqu'à la moitié des ressources de votre site WordPress, de votre serveur web et de sa bande passante pourraient être consommée pour des usages inutiles, autres que vos visiteurs et clients. Le WAF ProtectMy.site bloque les robots malveillants, mais laisse, bien-sûr, les moteurs de recherches, les réseaux sociaux et autres trafics légitimes accéder à votre site web WordPress.

Moins de requêtes inutiles
En bloquant les robots scrappeurs, les spammeurs de formulaires, les analyseurs SEO des concurrents, ou encore les bots zombies réalisant des reconnaissances avant attaque.
Plus de bande passante disponible
En éliminant les requêtes inutiles, le WAF ProtectMy.site augmente la bande passante disponible pour vos réels visiteurs. Un geste pour la planète, mais aussi pour votre budget !
Votre WordPress plus rapide
Les robots ne consomment plus les ressources de votre site WordPress, donc elles sont disponibles pour vos clients et visiteurs : pour eux, le site est plus rapide et c'est bon pour le SEO.

Sécuriser le backoffice WordPress

L'interface d'administration WordPress (ou autrement dit, le backoffice) est un espace sensible pour la sécurité de votre site web. Il convient de le protéger particulièrement.

Trop souvent, l'adresse par défaut (wp-admin) qui est utilisée, sans aucune protection et sans filtrage, ce qui facilite la possibilité d'une attaque par brute-force. Un hacker peut alors tenter tous les mots de passe possibles. Il est aussi possible d'utiliser une fuite de données d'une autre plateforme sur laquelle vous auriez utilisé le même mot de passe.

ProtectMy.site vous propose 2 solutions efficaces pour sécuriser le backoffice de WordPress :

  • L'accès restreint sur une ou plusieurs adresses IP de confiance.
  • L'accès protégé par un certificat de confiance offrant un haut niveau de cybersécurité.
Protéger l'interface d'administration de WordPress !

Amélioration de la robustesse du chiffrement SSL

À partir du mois d'août 2014, Google a favorisé les sites dotés d'un chiffrement SSL, ceux accessibles en HTTPS. C'est depuis devenu la norme, mais les algorithmes de chiffrement SSL ont évolué : certains sont devenus obsolètes, comme SSLv3 ou TLS 1.0 et 1.1, remplacés par TLS 1.2 et 1.3. Pour modifier le chiffrement SSL de votre site WordPress, il est possible d'agir au niveau de votre hébergement web : ce qui n'est pas toujours facile. Avec ProtectMy.site, c'est beaucoup plus simple : nous activons uniquement les chiffrements sûrs, offrant la possibilité d'une note "A" lors des tests SSL.

Vos visiteurs sont en confiance
Les sites dont le chiffrement n'est pas correct risquent d'afficher une alerte, ce qui rebutera les visiteurs. Alors que ceux avec un chiffrement de qualité donnent confiance.
Chiffrement SSL TLS 1.2 et TLS 1.3
Let's Encrypt ou mieux ?
Le certificat Let's Encrypt est celui par défaut mais il est possible de souscrire un meilleur niveau de certification avec un plus haut niveau de validation. C'est aussi un élément qui crée la confiance !

La blackliste "Cybercrime IP Feeds"

Avec la blackliste "CyberCrime IP Feeds" d'ARTICA Reverse Proxy, ce sont plus de 3.6 millions d'adresses IP, connues pour leurs opérations malveillantes, qui ne pourront pas attaquer votre site web WordPress : elles sont bloquées par notre firewall !

Cette blackliste contient :

- Les IPs de sites web compromis utilisés pour réaliser des attaques par rebond

- Les IPs de réseaux de spammeurs de formulaires, forums, etc...

- Les IPs repérées comme étant régulièrement sources d'attaques informatiques

- Les IPs de sites diffusant des malwares, pouvant être utilisés en cas de faille XSS

- Les IPs de sites de cryptomining par navigateur, pouvant servir dans une attaque XSS

- Les IPs repérées par nos serveurs pour des activités malveillantes

Bloquer les adresses IP des hackers

Notre protection WAF pour WordPress En résumé

La sécurisation de votre site WordPress est facile et rapide avec le WAF ProtectMy.site : après commande, un expert analyse votre site et prépare la configuration de la protection selon vos instructions recueillies dans le formulaire technique. Ensuite, il suffit de modifier les enregistrements DNS pour rediriger les requêtes vers nos serveurs. Vous ne touchez pas à votre hébergement. A l'issue du délai de propagation, votre site WordPress est protégé.

Un bouclier devant WordPress
Derrière notre WAF, votre site WordPress est protégé contre les failles 0days les plus courrantes.
Web Application Firewall
Seules les requêtes saines sont envoyées vers votre site web sous WordPress.
Backoffice sécurisé
L'interface d'administration est protégée contre les tentatives d'intrusion avec 2 méthodes au choix.
Les bots malveillants bloqués
Les robots spammeurs ou scrappeurs ne consomment plus les ressources et la bande passante.
Chiffrement SSL renforcé
Fini les méthodes de chiffrement SSL/TLS obsolètes, votre site donne confiance à vos visiteurs.
IP malveillantes blacklistées
Les IPs connues pour générer des attaques sont déjà bloquées grâce à "Cybercrime IP Feeds"