Sécurité WordPress: enjeux et conseils
On dit couramment de WordPress qu’il souffre de problèmes de sécurité pouvant compromettre un site web. C’est en partie vrai.
Loin de nous l’idée de vouloir vous dissuader d’utiliser WordPress. Si vous cherchez un système de gestion de contenu pour propulser votre site Web, c’est sans aucun doute un excellent choix.
WordPress est une excellente plateforme sécurisée. Vous pouvez et devriez toutefois faire plus pour garder votre site à l’abri des attaques.
Beaucoup de ces améliorations en matière de sécurité sont faciles à mettre en œuvre. Elles peuvent facilement être effectuées en quelques minutes. D’autres nécessitent simplement l’installation d’un plugin spécialisé.
Dans cet article, nous vous présenterons 20 stratégies différentes pour augmenter le niveau de sécurité de votre site WordPress. Tout d’abord, nous vous présenterons quelques raisons pour lesquelles la sécurité du site Web devrait compter pour vous.
Pourquoi la sécurité WordPress est si important
Choisir WordPress comme solution est un excellent départ pour créer un site. Ce n’est pas seulement une plateforme souple et puissante, le CMS aussi remarquablement sécurisé tel quel.
Aucune plateforme ne peut toutefois être sécurisée à 100%. De plus, il y a de nombreuses raisons de s’inquiéter de la sécurité de votre site WordPress:
Popularité
WordPress alimente une grande partie de tous les sites Web sur Internet. En fait, le CMS propulse déjà plus de 43% de tous les sites web, et ce pourcentage augmente sans cesse.
Cette popularité en fait une cible de choix pour les cybercriminels. Son utilisation généralisée en fait une plateforme attrayante pour exploiter les vulnérabilités et obtenir un accès non autorisé aux sites Web.
Vulnérabilités
WordPress n’est pas à l’abri de vulnérabilités périodiques. Sa nature open source et modulaire augmente beaucoup le nombre de failles potentiels. Les pirates cherchent constamment des vulnérabilités dans les thèmes et les plugins WordPress, en plus du CMS lui-même.
Leur exploitation peut conduire à un accès non autorisé, à des atteintes à la protection des données, ou même au contrôle complet d’un site Web. Les conséquences peuvent impliquer d’importantes pertes financières, ainsi que des dommages à l’image de marque.
Atteintes à la protection des données
Les sites WordPress stockent souvent des renseignements sensibles sur les utilisateurs. On peut penser à des adresses courriel, des mots de passe et des données personnelles.
Une cyberattaque peut exposer ces données confidentielles. Ce vol peut conduire à des vols d’identité, des perte financières, voire des conséquences juridiques graves.
Incidence sur le référencement
Un site WordPress compromis peut être utilisé pour des activités malveillantes. Il peut s’agir d’héberger des logiciels malveillants, de rediriger les visiteurs vers des sites nuisibles ou envoyer du spam.
Les moteurs de recherche peuvent signaler et pénaliser des sites s’adonnant à ces activités illégales. Cela peut entraîner une baisse significative du classement et du trafic organique de votre site, même après que vous ayez repris le contrôle de votre site.
Réputation et confiance
Si un site Web WordPress est compromis et utilisé à des fins malveillantes, cela peut gravement nuire à la réputation de son propriétaire et miner la confiance des utilisateurs.
Par exemple, imaginons une boutique en ligne. Si l’entreprise est incapable d’assurer la sécurité des données personnelles des acheteurs, les clients n’y feront tout simplement pas leurs achats. Entre nous, qui peut les blâmer de vouloir éviter le vol de leur numéro de carte de crédit?
Temps d’arrêt et pertes financières
Un site piraté peut connaître des temps d’arrêt prolongés. C’est souvent dû au temps durant lequel le propriétaire du site Web travaille à résoudre le problème de sécurité.
Ces temps d’arrêt peuvent entraîner des pertes d’affaires et une diminution des revenus. Dans certains cas, ils impliquent aussi des dépenses supplémentaires pour la récupération et la restauration du site.
Face à ces risques, investir dans des mesures de sécurité WordPress est essentiel. Cela permet de protéger votre site web et les données de ses utilisateurs.
Vous devriez consacrer autant de temps et d’efforts à la sécurité que vous avez consacré à la conception de votre site, ou même plus.
Heureusement, il y a de nombreuses façons simples et rapides d’améliorer la sécurité de votre site. Il y a aussi des techniques plus complexes que vous pourriez vouloir utiliser. Dans cet articles, nous vous présentons certaines de ces diverses méthodes.
Les vulnérabilités de sécurité WordPress
Un dicton répandu dit qu’il vaut mieux connaitre son ennemi. Avant de plonger dans nos conseils de sécurité, nous allons en donc vous présenter quelques informations sur les vulnérabilités de sécurité de WordPress. Vous saurez ainsi mieux de quels risques vous devez protéger votre site.
Logiciels, thèmes et plugins obsolètes
L’utilisation de versions obsolètes de WordPress, de thèmes ou de plugins peut rendre votre site vulnérable. Pire encore, les failles de sécurité de ces versions sont souvent déjà connues des pirates.
Noms d’utilisateur et mots de passe faibles
Des identifiants de connexion faibles facilitent l’accès des pirates informatiques à votre site. Évitez d’utiliser des noms d’utilisateur courants comme admin. Choisissez aussi des mots de passe forts et uniques. Assurez-vous qu’ils comprennent une combinaison de lettres, de chiffres et de symboles.
Attaques par force brute
Les attaques par force brute sont un type répandu de cyberattaque. Elles impliquent des tentatives répétées de deviner vos identifiants de connexion.
Vous pouvez les empêcher en limitant le nombre permis de tentatives de connexion. Vous pouvez aussi utiliser l’autorisation à deux facteurs pour contrer ce type de menace.
Script inter-sites (XSS)
Les attaques de type XSS surviennent lorsque des scripts malveillants sont injectés dans des pages Web. Cette injection peut compromettre les navigateurs ou les données de session des utilisateurs. De nombreux plugins WordPress de sécurité incluent des fonctionnalités pour empêcher ce type d’attaque.
Infections par des logiciels malveillants
Les logiciels malveillants peuvent être injectés dans votre site via certaines vulnérabilités, de thèmes ou de plugins infectés, ou encore via des fichiers corrompus.
Pour éviter les logiciels malveillants, n’installer des plugins sans avoir vérifier leur réputation au préalable. L’analyse régulière du contenu pour des logiciels malveillants peut aussi aider. Elle peut interrompre des infections avant qu’elles aient l’opportunité de causer trop de ravages sur votre site.
Portes dérobées
Une porte dérobée est un point d’entrée caché dans un site Web. Celui-ci permet un accès non autorisé au cintenu, même après la mise en place de mesures de sécurité.
Les portes dérobées peuvent être créées par des acteurs malveillants ou introduites accidentellement par des thèmes ou plugins compromis, ou encore de faibles pratiques de sécurité. Une fois qu’une porte dérobée est mise en place, elle peut accorder un accès non autorisé à un attaquant. Il peut alors manipuler le site, voler des données, ou effectuer d’autres activités malveillantes à l’insu du propriétaire.
L’utilisation de plugins de sécurité et d’autres bonnes pratiques peut protéger votre site contre ces vulnérabilités. Nous allons donc, sans plus tarder, vous présenter nos conseils de sécurité pour WordPress et comment les mettre en pratique.
20 conseils de sécurité WordPress
Vous devriez désormais avoir saisi l’importance de renforcer la sécurité de votre site WordPress. Nous allons donc désormais vous présenter certains actions que vous devriez poser.
Dans le reste de cet article, nous vous présenterons 20 stratégies pour rendre votre site plus sûr. Il sera ainsi protégé face à certaines des vulnérabilités de sécurité les plus courantes et dangereuses.
Vous n’avez pas à mettre en œuvre toutes les suggestions sur cette liste, même si vous le pouvez. Toutefois, plus vous prenez de mesures pour sécuriser votre site, plus vos réduisez vos chances de faire face à une catastrophe plus tard.
Utiliser un hébergeur web de qualité
Vous pouvez considérer votre hébergeur comme l’adresse de votre site Web sur Internet. C’est en quelque sorte l’endroit où votre site vit. Tout comme le choix d’un bon quartier compte pour l’avenir de votre enfant, la qualité de l’hébergement de votre site compte aussi.
Un fournisseur d’hébergement fiable peut avoir un impact sur la performance de votre site, sa fiabilité et même son classement dans les résultats des moteurs de recherche. Les meilleurs hébergeurs offrent une variété de fonctionnalités utiles, un excellent soutien technique et un service adapté à la plateforme choisie.
Comme vous l’avez probablement déjà deviné, votre hébergeur peut également avoir un impact significatif sur la sécurité de votre site. Il y a donc plusieurs avantages de sécurité à choisir parmi les meilleures entreprises d’hébergement. En voici quelques uns:
Les manières dont un hébergement Web peut améliorer la sécurité WordPress:
- Un hébergeur de qualité mettra constamment à jour son service, ses logiciels et ses outils. Il pourra ainsi répondre aux toutes dernières menaces et éliminer les risques potentiels de sécurité.
- Les hébergeurs web offrent souvent diverses fonctionnalités de sécurité ciblées. Celles-ci incluent des certificats SSL/TLS et la protection DDoS. Un pare-feu d’application Web (WAF) peut aussi aider à surveiller et à bloquer certaines menaces graves.
- Votre hébergeur devrait offrir un moyen simple de sauvegarder votre site. La plupart effectuent même des sauvegardes régulières pour vous. Si vous êtes piraté, vous pouvez sonc facilement revenir à une version antérieure non-corrompue du contenu.
- Cherchez un hébergeur offrant un soutien technique fiable, disponible 24/7. Vous aurez ainsi toujours quelqu’un pour vous aider si vous rencontrez un problème de sécurité sur WordPress.
Cette liste devrait vous donner un bon point de départ pour travailler lorsque vous cherchez un hébergeur pour votre nouveau site. Vous voudrez en trouver un qui offre toutes les fonctionnalités et fonctionnalités dont vous aurez besoin. Exigez aussi une réputation de fiabilité et d’excellentes performances.
Si vous êtes à la recherche d’un hébergeur web de qualité pour votre site WordPress, nous vous invitons à consulter nos offres d’hébergement WordPress.
Enregistrez votre domaine en privé
Pour enregistrer un domaine, vous devez fournir votre nom, adresse et numéro de téléphone. Ces informations sont utilisées pour faire le suivi de la propriété des noms de domaine. Elles peuvent facilement être trouvée en ligne en effectuant une recherche rapide dans le répertoire WHOIS.
Le suivi de ces renseignements est essentiel au bon fonctionnement du web. Il est toutefois raisonnable de ne pas vouloir que vos renseignements personnels soit visibles de tous en ligne. C’est là que l’enregistrement privé de domaine entre en scène.
Lorsque vous enregistrez un domaine avec Ex2, vous avez la possibilité de remplacer vos renseignements personnels par les données de la plateforme d’hébergement.
Une recherche de votre domaine sur WHOIS affiche alors l’adresse et les coordonnées d’Ex2 plutôt que les vôtres. Vous pouvez activer cette fonctionnalité de sécurité lors de l’enregistrement de votre domaine, ou à tout moment par la suite.
Modifier votre nom d’utilisateur administrateur
Lorsque vous créez votre site web pour la première fois, vous obtenez nécessairement un profil d’utilisateur. Changer ce nom d’utilisateur est malheureusement un brin complexe.
Il faut créer un tout nouvel utilisateur et accorder à ce compte le rôle d’administrateur. Pour ce faire, vous devez utiliser une adresse e-mail différente de celle utilisée par votre compte original.
Pour modifier votre nom d’utilisateur, il faut donc en créer un nouvel utilisateur, lui donner le rôle d’administrateur, lui attribuer tout le contenu de l’utilisateur original, puis supprimer le compte d’origine.
Lorsque le nom d’utilisateur précédent a été supprimé, vous pouvez modifier l’adresse e-mail de votre nouveau compte si vous le souhaitez.
Activer un pare-feu d’application Web
Vous connaissez sans doute le concept d’un pare-feu. Il s’agit d’un programme aidant à bloquer toutes sortes d’attaques indésirables sur un site web ou un appareil.
Vous avez probablement une sorte de pare-feu sur votre ordinateur. De même, un Web Application Firewall (WAF) est un pare-feu conçu spécifiquement pour les sites Web. Il peut protéger des serveurs, des sites web spécifiques ou des groupes de sites.
Un WAF sur votre site WordPress fonctionnera comme une barrière de sécurité entre votre site et le reste du web. Un pare-feu surveille l’activité entrante, il détecte les attaques, les logiciels malveillants et d’autres événements indésirables. Il bloque tout ce qu’il considère comme un risque pour votre serveur web.
Vous avez de nombreuses options pour ajouter un WAF à votre site. Le plugin de sécurité gratuit WordFence est un choix populaire parmi les utilisateurs de WordPress.
Mettre en place l’authentification à deux facteurs
L’authentification à deux facteurs fait référence à un processus en deux étapes que vous devrez suivre lors de votre connexion à votre site. Cela demande un peu plus de temps et d’efforts, mais accomplit beaucoup pour augmenter la sécurité d’un site WordPress.
L’authentification à deux facteurs consiste à utiliser un téléphone intelligent (ou un autre appareil) pour vérifier votre connexion. Un code unique est ensuite envoyé à votre appareil mobile lorsque vous tentez de vous connecter. Vous devez ensuite fournir ce code pour terminer votre connexion.
Cela vous permet de prouver votre identité en montrant que vous avez accès à un appareil qui vous appartient personnellement (comme un téléphone ou une tablette en particulier).
Utilisez un plugin pour mettre en place l’authentification à deux facteurs
Comme c’est le cas de nombreuses fonctionnalités sur WordPress, l’authentification à deux facteurs peut facilement être ajouter avec un plugin dédié.
Le plugin Two Factor Authentication est un choix solide. Il est créé par des développeurs fiables et est compatible avec Google Authenticator. Il permet d’ajouter sans tracas, l’authentification à deux facteurs à un site.
Un autre choix est le plugin Two-Factor. Il a été conçu principalement par les développeurs de WordPress et est bien connu pour sa fiabilité.
Comme avec tout plugin dans cette catégorie, il implique une courbe d’apprentissage un peu ardue. Toutefois, il accomplira le travail et est incroyablement sécurisé.
Quel que soit la solution que vous choisissez, assurez-vous de planifier à l’avance avec votre équipe. Vous devrez d’abord recueillir les numéros de téléphone et d’autres renseignements pour tous les comptes d’utilisateur.
Soyez consciencieux dans le choix de vos plugins et thèmes
Une des meilleures choses à propos de WordPress est la disponibilité immédiate de plugins et de thèmes pour à peu près n’importe quel besoin. Avec ces outils pratiques, vous pouvez rendre votre site juste à droite et ajouter presque n’importe quelle fonctionnalité ou fonctionnalité que vous pouvez penser.
Tous les plugins et thèmes ne sont pas créés de la même manière.
Les développeurs qui ne sont pas prudents ou qui n’ont pas le bon niveau d’expérience peuvent créer des plugins qui ne sont pas fiables ou peu sûrs – ou carrément nuls. Ils peuvent utiliser de mauvaises pratiques de codage qui laissent des trous que les pirates peuvent facilement exploiter ou interférer inconsciemment avec des fonctionnalités cruciales.
Cela signifie que vous devez être très prudent sur les thèmes et les plugins que vous ajoutez à votre site. Chacun d’eux doit être vérifié pour s’assurer qu’il s’agit d’une option solide qui ne nuira pas à votre site ou ne causera pas de problèmes. Voici comment sélectionner des outils de qualité:
Lire les commentaires – Vérifiez les évaluations des utilisateurs pour savoir si d’autres ont eu une bonne expérience avec le plugin ou le thème.
Soutien aux développeurs – Regardez comment le plugin ou le thème a été mis à jour récemment. Si ça fait plus de six mois, il y a des chances que ce ne soit pas aussi sûr que ça pourrait l’être.
Facile à faire – Installez de nouveaux plugins et thèmes un à la fois, donc si quelque chose va mal, vous saurez quelle était la cause. Aussi, n’oubliez pas de sauvegarder votre site avant d’y ajouter quoi que ce soit.
Sources vérifiées – Obtenez vos plugins et thèmes de sources fiables, comme le thème WordPress.org et les répertoires de plugin, ThemeForest et CodeCanyon, et des sites Web de développeurs fiables.
Effectuer les mises à jour régulières de WordPress
Maintenir WordPress à jour est l’une des choses les plus importantes que vous pouvez faire pour sécuriser votre site. Les correctifs et les mises à jour de sécurité sont généralement implémentés automatiquement. Il se peut qu’il vous soit toutefois nécessaire d’approuver les mises à jour majeures indépendamment. Ne vous inquiétez pas, c’est très simple à faire. Ex2 peut gérer ces mises à jour pour vous, alors vous n’avez pas à vous inquiéter.
Votre travail n’est toutefois pas terminé simplement parce que le CMS de WordPress est à jour. Vous devrez aussi mettre à jour régulièrement vos plugins, thèmes et autres installations WordPress. vous pourrez ainsi vous assurer qu’ils fonctionnent bien ensemble et sont sécurisés contre les dernières menaces.
Heureusement, ces mises à jour sont également assez facile à faire. Il suffit de vous connecter à votre tableau de bord WordPress. Vous verrez des notifications rouges vous indiquant que des mises à jour sont disponibles pour certains éléments. Il vous faut alors cliquer sur Mettre à jour maintenant à côté de chacun de ces thèmes ou plugins.
Vous pouvez également mettre à jour vos plugins en lot en sélectionnant tous et puis en appuyant sur le bouton de mise à jour.
Configurez les autorisations de fichier
Beaucoup d’informations, de données et de contenu de votre site WordPress sont stocké dans une série de dossiers et de fichiers sur son arrière-plan. Ceux-ci sont organisés en suivant une structure hiérarchique, et chacun se voit accorder un niveau de permissions.
Les autorisations sur un fichier WordPress ou un dossier déterminent qui peut le voir et le modifier. Ils peuvent être configurés pour permettre l’accès à n’importe qui, seulement vous, ou presque n’importe quelle solution entre les deux.
Les permissions de fichiers sont représentées par un numéro à trois chiffres dans WordPress. Chaque chiffre a une signification précise.
Le premier chiffre représente un utilisateur individuel (comme le propriétaire du site). Le deuxième chiffre indique le groupe (par exemple, les membres de votre site). Finalement, le troisième réfère à tout le monde dans le monde.
Le numéro lui-même indique ce que l’utilisateur, le groupe ou tout le monde, peut faire ou pas. Voici un bref aperçu de la signification de chacun des chiffres.
Ce qu’indique chacun des numéros:
- 0 : n’a pas accès au fichier.
- 1 : Peut seulement exécuter le fichier.
- 2 : Peut modifier le fichier.
- 3 : Peut modifier et exécuter le fichier.
- 4 : Peut lire le fichier.
- 5 : Peut lire et exécuter le fichier.
- 6 : Peut lire et modifier le fichier.
- 7 : Peut lire, modifier et exécuter le fichier.
Prenons ainsi l’exemple d’un fichier avec un niveau d’autorisation de 640. Cela signifie que l’utilisateur principal peut lire et modifier le fichier, le groupe peut lire le fichier mais pas le modifier, et le reste du monde ne peut pas y accéder du tout.
Il est important de s’assurer que tous aient seulement le niveau d’accès aux fichiers et aux dossiers de votre site que vous voulez qu’ils aient.
WordPress recommande de configurer les dossiers à un niveau d’autorisation de 755 et les fichiers à 644. Ces lignes directrices sont assez sûres, bien que vous pouvez choisir n’importe quelle combinaison que vous souhaitez. Rappelez-vous simplement qu’il vaut mieux ne pas donner à n’importe qui un accès plus vaste que nécessaire. C’est particulièrement vrai pour les fichiers de base.
Vous devez également garder à l’esprit que vos paramètres de permissions idéales dépendront quelque peu de votre service d’hébergement.
Remarque :
Faites très attention lorsque vous modifiez vos niveaux d’autorisation. Choisir les mauvaises valeurs peut rendre votre site vulnérable ou inaccessible.
Il est important de noter que WordPress est livré avec un éditeur de code intégré. Celui-ci permet aux utilisateurs de modifier le thème et les fichiers de plugin directement à partir de la zone d’administration.
Cet outil est pratique quand vous en avez besoin. Il peut toutefois poser un grave risque de sécurité si votre site tombe entre de mauvaises mains. C’est pourquoi vous devriez désactiver l’édition de fichiers avec un plugin WordPress de sécurité comme Sucuri.
Maintenez le nombre d’utilisateurs de WordPress à un minimum
Si vous êtes le seul utilisateur de votre site WordPress, vous n’avez pas à vous soucier de cette étape. Il vous suffit de ne donnez à personne d’autre un compte sur votre site, et vous serez la seule personne qui peut faire des changements.
Cependant, il existe de nombreuses raisons d’ajouter un autre compte utilisateur à votre site. Vous pouvez laisser d’autres auteurs contribuer au contenu. Il se peut aussi que vous ayez besoin de personnes pour vous aider à modifier le contenu et à gérer votre site.
Cela peut être bénéfique, voire nécessaire pour le succès de votre site web. Cependant, c’est aussi un risque potentiel pour la sécurité.
Plus vous laissez entrer de personnes dans votre site, plus les chances que quelqu’un fasse une erreur, ou cause des problèmes. C’est pourquoi vous devriez maintenir le nombre d’utilisateurs de votre site aussi bas que possible sans entraver sa capacité de croissance. Essayez tout particulièrement de limiter le nombre d’administrateurs et d’autres rôles utilisateurs avec des privilèges élevés.
Voici quelques autres pratiques exemplaires :
- Limitez chaque utilisateur uniquement aux autorisations nécessaires pour faire son travail.
- Essayez de maintenir un seul administrateur et un petit groupe d’éditeurs.
- Encourager les utilisateurs à utiliser des mots de passe forts.
- Supprimer les anciens utilisateurs qui n’ont plus besoin d’y accéder.
- Déconnectez régulièrement les utilisateurs inactifs.
- Envisager de télécharger un plugin comme Members, qui fournit une interface utilisateur pour le rôle et les capacités du système WordPress.
Limiter les tentatives d’ouverture de session
Tout le monde oublie son mot de passe parfois. Par défaut, WordPress permet un nombre illimité de tentatives pour essayer de vous en rappeler. Mais est-ce vraiment une bonne idée ?
Les attaques par force brute, ou les attaques où un pirate essaie un certain nombre de mots de passe, sont parmi les moyens les plus courants pour les pirates d’accéder à des comptes privés. Si vous ne limiter pas les tentatives de connexion, un pirate ou un bot pourrait essayer des milliers de mots de passe l’un après l’autre, sans conséquences.
Vérifiez donc tout d’abord votre pare-feu d’accès Web (WAF) pour limiter le nombre de tentatives de connexion qu’un utilisateur peut faire. S’il est déjà configuré, une limite devrait déjà être en place. Vous pouvez aussi choisir d’utiliser un plugin séparé pour cela.
Login Lockdown et Limit Login Attempts Reloaded sont deux bons choix d’extension pour ce faire. Ils enregistrent l’adresse IP et l’horodatage pour chaque tentative de connexion échouée. Cela vous permet de limiter le nombre de tentatives d’échec autorisées dans un certain laps de temps, et de verrouiller les adresses IP qui dépassent cette limite.
Les deux plugins sont gratuits et efficaces. Login Lockdown est toutefois un peu plus simple et plus convivial pour les débutants. Limit Login Attempts Reloaded est de son coté un peu plus robuste. Il permett non seulement des listes blanches et noires d’IP, mais il informe les administrateurs si le nombre de verrouillage est atteint.
Effectuez un suivi de votre activité dans votre secteur administratif
Si vous avez plusieurs utilisateurs, c’est une bonne idée de garder un œil sur ce qu’ils font sur votre site. Le suivi de l’activité dans votre zone d’administration WordPress permet de repérer lorsque d’autres utilisateurs font des choses qu’ils ne devraient pas faire. Cela peut aussi vous aider à repérer lorsque des utilisateurs non autorisés y ont accès.
Vous avez également besoin d’un outil pour vous aider à voir qui est derrière différentes activités du site. Par exemple, lorsque quelqu’un apporte un changement non autorisé ou une nouvelle installation suspecte. Pour cela, vous avez besoin d’un autre plugin.
Simple History est à la hauteur de son nom. Il crée un journal simplifié et facile à comprendre des changements et des événements sur votre site.
Pour des fonctionnalités de suivi plus complètes, utilisez plutôt WP Security Audit Log. Il suit à peu près tout ce qui se passe sur votre site et offre des compléments premium.
Mot de passe pour protéger votre page d’ouverture de session
La page de connexion est l’entrée la plus probable par laquelle les pirates accéderons à votre site Web. La protéger efficacement est donc un excellent moyen de d’augmenter la sécurité de votre site WordPress.
Pour ce faire, vous pouvez créer un fichier htaccess et ajouter un mot de passe à votre page de connexion. Les pirates devront alors ouvrir une session, avant de pouvoir ouvrir une session.
Si vous hébergez du contenu que tout le monde n’a pas besoin de voir, vous pouvez protéger par mot de passe certaines parties de votre site. Vous pouvez alors les réservées à certains utilisateurs.
Vous pouvez aussi choisir d’ajouter une protection par mot de passe pour les articles et les autres pages, pour davantage de sécurité.
Masquer votre page d’ouverture de session
Ajouter une protection par mot de passe à votre page de connexion est un bon départ. toutefois, il est encore mieux si les pirates ne peuvent tout simplement pas la trouver.
Changer l’url de vos pages wp-admin et wp-login est facile et efficace. Cela aide à dissuader les pirates, qui auront de la difficulté à trouver votre page de connexion.
Il existe plusieurs plugins qui peuvent rediriger la page de connexion par défaut vers une autre URL de votre choix. De nombreux plugins offrent cette fonctionnalité parmi d’autres. Si vous cherchez quelque chose de simple, essayez WPS Hide Login. Il masque simplement et efficacement votre URL de connexion.
Après le changement, n’oubliez pas d’ajouter votre nouvelle page de connexion à vos favoris afin de pouvoir facilement la retrouver.
Mettre à jour la version de PHP
WordPress fonctionne grâce au langage PHP. Mettre à jour WordPress ne suffit pas pour assurer la sécurité de votre site. Vous devez aussi vous assurer que vous utilisez la dernière version de PHP.
Normalement, chaque version de PHP est supportée pendant au moins deux ans après sa date de sortie. Cela signifie que les vulnérabilités de sécurité sont corrigées par les ingénieurs qui ont conçu le code.
Lorsque le code est périmé, le soutien n’est plus assuré. Il est alors temps de le mettre à niveau. Sinon vous risquez d’être exposé à des risques de sécurité, des ralentissements de performance et des bogues à profusion.
Vous pouvez facilement voir quelle version de PHP vous utilisez actuellement à partir de votre panneau de contrôle cPanel ou de votre tableau de bord WordPress.
Augmentez la sécurité de votre base de données WordPress
Utiliser les paramètres par défaut est une aubaine pour les pirates. Par exemple, WordPress utilise par défaut wp_ comme préfixe pour toutes vos tables liées. Elles sont ainsi faciles à localiser.
Si vous utilisez l’installateur en un clic, vous avez déjà un préfixe de lettres et de chiffres aléatoires. Tant qu’il se termine par une barre (_), le système est heureux.
Vous pouvez aussi changer les noms des répertoires et ajuster le fichier wp-config.php. Vous pouvez donc changer le préfixe de la base de données manuellement, ou avec un service comme phpMyAdmin.
Ajouter des questions de sécurité
Les questions de sécurité sont souvent négligées. Pourtant elles contribue à renforcer votre sécurité. Selon le plugin que vous choisissez, vous pourrez choisir parmi un choix de questions de sécurité existantes ou encore créer vos propres questions.
Masquer votre version WordPress
La sécurité par la dissimulation est une technique reconnue. Ce que les personnes malveillantes ne peuvent pas trouver, ils ne peuvent pas le pirater!
Masquez la version de WordPress vous utilisez ou même le fait que vous utilisez WordPress en modifiant le code de votre en-tête. Si cela vous parait trop complexe, utilisez un plugin comme WPCode.
Assurez-vous simplement de modifier le code et pas seulement les informations d’affichage dans les paramètres de votre thème. Les fragments de code ne reviendront alors qu’au moment de la prochaine mise à jour du thème.
Prévenir le hotlinking
Le hotlinking est l’acte de voler de la bande passante en utilisant des fichiers hébergés sur un site et les reliant à un autre.
Par exemple, disons un site crée un contenu vidéo original, et un autre site Web veut le présenter sans permission. Le second pourrait lié le contenu viédo au lieu de l’héberger sur leurs propres serveurs. Il en coûterait ainsi au site original plus de bande passante, et donc plus d’argent.
Pour empêcher le hotlinking, vous pouvez choisir de rejeter certains domaines, d’autoriser seulement certains domaines, ou de supprimer la possibilité de hotlink. Vous pouvez facilement le faire en apportant quelques modifications à votre fichier htaccess.
Protection DDoS (Désactiver XML RPC)
Une attaque par déni de service distribué (ou DDoS) est un acte par lequel un pirate utilise plusieurs systèmes pour envoyer un énorme volume de données et submerger leur cible.
Cela peut ralentir et même planter leur cible. En somme, imaginez un énorme embouteillage de votre sur le site web, empêchant le trafic légitime de pouvoir entrer.
La patience est une ressource rare sur internet. L’utilisateur moyen laisse seulement 3 secondes à une page pour charger avant de l’abandonner. Ainsi, le plus tôt vous pouvez identifier et résoudre une attaque sur votre site, le mieux se sera.
La prévention d’une attaque DDoS peut sembler intimidante, mais implique plusieurs mesures simples. L’une des premières choses que vous devriez faire est de supprimer ou de désactiver tous les thèmes et plugins désuets ou inutilisés.
Les plugins sont incroyablement pratiques. Toutefois, pour pouvoir augmenter les fonctionnalités, ils doivent avoir accès à votre site Web. Ils peuvent donc être exploité pour y accéder.
Analyse des logiciels malveillants
Le terme Malware est souvent utilisé pour définir un logiciel malveillant. Ce type de menace peut se cacher dans ce qui semble être des applications sûres. Ainsi, les utilisateurs ignorent que leur ordinateur ou site Web a été infecté.
L’analyse des logiciels malveillants est une défense importante. Elle fonctionne en utilisant un logiciel anti-malware pour identifier et isoler les fichiers suspects jusqu’à ce que vous décidiez s’ils doivent être supprimés.
Si une menace est détectée, un bon scanner de logiciels malveillants supprimera toute trace de celui-ci de votre site ou appeil dès que possible. Plusieurs plugins de pare-feu viennent avec l’analyse de logiciels malveillants intégrée. Il vaut donc mieux vous assurez de vérifier vos plugins WordPress de sécurité pour voir ce qu’ils incluent à ce niveau.
Pour conclure sur la sécurité WordPress
Si votre site est piraté, vous passerez des heures, voire des jours, à essayer de réparer les dommages. Vous risquez de perdre définitivement des données ou de voir vos renseignements personnels compromis,. Pire encore, les données de vos clients pourraient être compromises.
C’est pourquoi vous devez mettre assez de temps et d’énergie pour vous assurer de renforcer la sécurité de votre site WordPress. Sinon, vous risquez de subir des conséquences très fâcheuses.
Nous espérons que cet article vous a plu et vous a éclairé sur les manière d’augmenter la sécurité de votre site WordPress. Si c’est le cas, nous vous invitons à consulter nos autres autres articles et tutoriels.
Vous y trouverez une foule d’astuces et d’informations à propos de l’hébergement web et de la création de sites web.
Si vous êtes à la recherche d’un hébergement web pour votre site WordPress, nous vous invitons à consulter les offres d’Ex2. Nos plans d’hébergement WordPress vert sont très complètes et performantes, incluant tout ce dont votre site a besoin pour réussir.
Les hébergements WordPress ont notamment l’avantage d’offrir de nombreux outils permettant d’assurer la sécurité de votre site.
Articles du même auteur :
- Qu’est-ce que le fichier .htaccess d’un site WordPress?
- SEO hors-page: comment améliorer votre réputation en ligne?
- Hébergement web vert: les plus gros sites du web montrent la voie
- Pourquoi et comment utiliser une adresse e-mail professionnelle?
- Créez votre site WordPress plus facilement grâce à l’aide de l’IA