On dit couramment de WordPress qu’il souffre de probl\u00e8mes de s\u00e9curit\u00e9 pouvant compromettre un site web. C’est en partie vrai.<\/p>\n\n\n\n
Loin de nous l’id\u00e9e de vouloir vous dissuader d’utiliser WordPress. Si vous cherchez un syst\u00e8me de gestion de contenu pour propulser votre site Web, c’est sans aucun doute un excellent choix.<\/p>\n\n\n\n
WordPress est une excellente plateforme s\u00e9curis\u00e9e. Vous pouvez et devriez toutefois faire plus pour garder votre site \u00e0 l\u2019abri des attaques. <\/p>\n\n\n\n
Beaucoup de ces am\u00e9liorations en mati\u00e8re de s\u00e9curit\u00e9 sont faciles \u00e0 mettre en \u0153uvre. Elles peuvent facilement \u00eatre effectu\u00e9es en quelques minutes. D\u2019autres n\u00e9cessitent simplement l\u2019installation d\u2019un plugin sp\u00e9cialis\u00e9.<\/p>\n\n\n\n
Dans cet article, nous vous pr\u00e9senterons 20 strat\u00e9gies diff\u00e9rentes pour augmenter le niveau de s\u00e9curit\u00e9 de votre site WordPress. Tout d\u2019abord, nous vous pr\u00e9senterons quelques raisons pour lesquelles la s\u00e9curit\u00e9 du site Web devrait compter pour vous.<\/p>\n\n\n\n
Choisir WordPress comme solution est un excellent d\u00e9part pour cr\u00e9er un site. Ce n\u2019est pas seulement une plateforme souple et puissante, le CMS aussi remarquablement s\u00e9curis\u00e9 tel quel.<\/p>\n\n\n\n
Aucune plateforme ne peut toutefois \u00eatre s\u00e9curis\u00e9e \u00e0 100%. De plus, il y a de nombreuses raisons de s\u2019inqui\u00e9ter de la s\u00e9curit\u00e9 de votre site WordPress:<\/p>\n\n\n\n
WordPress alimente une grande partie de tous les sites Web sur Internet. En fait, le CMS propulse d\u00e9j\u00e0 plus de 43% de tous les sites web, et ce pourcentage augmente sans cesse. <\/p>\n\n\n\n
Cette popularit\u00e9 en fait une cible de choix pour les cybercriminels. Son utilisation g\u00e9n\u00e9ralis\u00e9e en fait une plateforme attrayante pour exploiter les vuln\u00e9rabilit\u00e9s et obtenir un acc\u00e8s non autoris\u00e9 aux sites Web.<\/p>\n\n\n\n
WordPress n\u2019est pas \u00e0 l\u2019abri de vuln\u00e9rabilit\u00e9s p\u00e9riodiques. Sa nature open source et modulaire augmente beaucoup le nombre de failles potentiels. Les pirates cherchent constamment des vuln\u00e9rabilit\u00e9s dans les th\u00e8mes et les plugins WordPress, en plus du CMS lui-m\u00eame. <\/p>\n\n\n\n
Leur exploitation peut conduire \u00e0 un acc\u00e8s non autoris\u00e9, \u00e0 des atteintes \u00e0 la protection des donn\u00e9es, ou m\u00eame au contr\u00f4le complet d\u2019un site Web. Les cons\u00e9quences peuvent impliquer d’importantes pertes financi\u00e8res, ainsi que des dommages \u00e0 l’image de marque.<\/p>\n\n\n\n
Les sites WordPress stockent souvent des renseignements sensibles sur les utilisateurs. On peut penser \u00e0 des adresses courriel, des mots de passe et des donn\u00e9es personnelles. <\/p>\n\n\n\n
Une cyberattaque peut exposer ces donn\u00e9es confidentielles. Ce vol peut conduire \u00e0 des vols d\u2019identit\u00e9, des perte financi\u00e8res, voire des cons\u00e9quences juridiques graves.<\/p>\n\n\n\n
Un site WordPress compromis peut \u00eatre utilis\u00e9 pour des activit\u00e9s malveillantes. Il peut s’agir d\u2019h\u00e9berger des logiciels malveillants, de rediriger les visiteurs vers des sites nuisibles ou envoyer du spam. <\/p>\n\n\n\n
Les moteurs de recherche peuvent signaler et p\u00e9naliser des sites s’adonnant \u00e0 ces activit\u00e9s ill\u00e9gales. Cela peut entra\u00eener une baisse significative du classement et du trafic organique de votre site, m\u00eame apr\u00e8s que vous ayez repris le contr\u00f4le de votre site.<\/p>\n\n\n\n
Si un site Web WordPress est compromis et utilis\u00e9 \u00e0 des fins malveillantes, cela peut gravement nuire \u00e0 la r\u00e9putation de son propri\u00e9taire et miner la confiance des utilisateurs. <\/p>\n\n\n\n
Par exemple, imaginons une boutique en ligne. Si l’entreprise est incapable d’assurer la s\u00e9curit\u00e9 des donn\u00e9es personnelles des acheteurs, les clients n\u2019y feront tout simplement pas leurs achats. Entre nous, qui peut les bl\u00e2mer de vouloir \u00e9viter le vol de leur num\u00e9ro de carte de cr\u00e9dit?<\/p>\n\n\n\n
Un site pirat\u00e9 peut conna\u00eetre des temps d\u2019arr\u00eat prolong\u00e9s. C’est souvent d\u00fb au temps durant lequel le propri\u00e9taire du site Web travaille \u00e0 r\u00e9soudre le probl\u00e8me de s\u00e9curit\u00e9. <\/p>\n\n\n\n
Ces temps d\u2019arr\u00eat peuvent entra\u00eener des pertes d\u2019affaires et une diminution des revenus. Dans certains cas, ils impliquent aussi des d\u00e9penses suppl\u00e9mentaires pour la r\u00e9cup\u00e9ration et la restauration du site.<\/p>\n\n\n\n
Face \u00e0 ces risques, investir dans des mesures de s\u00e9curit\u00e9 WordPress est essentiel. Cela permet de prot\u00e9ger votre site web et les donn\u00e9es de ses utilisateurs. <\/p>\n\n\n\n
Vous devriez consacrer autant de temps et d\u2019efforts \u00e0 la s\u00e9curit\u00e9 que vous avez consacr\u00e9 \u00e0 la conception de votre site, ou m\u00eame plus. <\/p>\n\n\n\n
Heureusement, il y a de nombreuses fa\u00e7ons simples et rapides d\u2019am\u00e9liorer la s\u00e9curit\u00e9 de votre site. Il y a aussi des techniques plus complexes que vous pourriez vouloir utiliser. Dans cet articles, nous vous pr\u00e9sentons certaines de ces diverses m\u00e9thodes.<\/p>\n\n\n\n
Un dicton r\u00e9pandu dit qu’il vaut mieux connaitre son ennemi. Avant de plonger dans nos conseils de s\u00e9curit\u00e9, nous allons en donc vous pr\u00e9senter quelques informations sur les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de WordPress. Vous saurez ainsi mieux de quels risques vous devez prot\u00e9ger votre site.<\/p>\n\n\n\n
L\u2019utilisation de versions obsol\u00e8tes de WordPress, de th\u00e8mes ou de plugins peut rendre votre site vuln\u00e9rable. Pire encore, les failles de s\u00e9curit\u00e9 de ces versions sont souvent d\u00e9j\u00e0 connues des pirates.<\/p>\n\n\n\n
Des identifiants de connexion faibles facilitent l\u2019acc\u00e8s des pirates informatiques \u00e0 votre site. \u00c9vitez d\u2019utiliser des noms d\u2019utilisateur courants comme admin<\/em>. Choisissez aussi des mots de passe forts et uniques. Assurez-vous qu’ils comprennent une combinaison de lettres, de chiffres et de symboles.<\/p>\n\n\n\n Les attaques par force brute sont un type r\u00e9pandu de cyberattaque. Elles impliquent des tentatives r\u00e9p\u00e9t\u00e9es de deviner vos identifiants de connexion. <\/p>\n\n\n\n Vous pouvez les emp\u00eacher en limitant le nombre permis de tentatives de connexion. Vous pouvez aussi utiliser l\u2019autorisation \u00e0 deux facteurs pour contrer ce type de menace.<\/p>\n\n\n\n Les attaques de type XSS surviennent lorsque des scripts malveillants sont inject\u00e9s dans des pages Web. Cette injection peut compromettre les navigateurs ou les donn\u00e9es de session des utilisateurs. De nombreux plugins WordPress de s\u00e9curit\u00e9 incluent des fonctionnalit\u00e9s pour emp\u00eacher ce type d’attaque.<\/p>\n\n\n\n Les logiciels malveillants peuvent \u00eatre inject\u00e9s dans votre site via certaines vuln\u00e9rabilit\u00e9s, de th\u00e8mes ou de plugins infect\u00e9s, ou encore via des fichiers corrompus. <\/p>\n\n\n\n Pour \u00e9viter les logiciels malveillants, n’installer des plugins sans avoir v\u00e9rifier leur r\u00e9putation au pr\u00e9alable. L\u2019analyse r\u00e9guli\u00e8re du contenu pour des logiciels malveillants peut aussi aider. Elle peut interrompre des infections avant qu\u2019elles aient l’opportunit\u00e9 de causer trop de ravages sur votre site.<\/p>\n\n\n\n Une porte d\u00e9rob\u00e9e est un point d\u2019entr\u00e9e cach\u00e9 dans un site Web. Celui-ci permet un acc\u00e8s non autoris\u00e9 au cintenu, m\u00eame apr\u00e8s la mise en place de mesures de s\u00e9curit\u00e9. <\/p>\n\n\n\n Les portes d\u00e9rob\u00e9es peuvent \u00eatre cr\u00e9\u00e9es par des acteurs malveillants ou introduites accidentellement par des th\u00e8mes ou plugins compromis, ou encore de faibles pratiques de s\u00e9curit\u00e9. Une fois qu\u2019une porte d\u00e9rob\u00e9e est mise en place, elle peut accorder un acc\u00e8s non autoris\u00e9 \u00e0 un attaquant. Il peut alors manipuler le site, voler des donn\u00e9es, ou effectuer d\u2019autres activit\u00e9s malveillantes \u00e0 l\u2019insu du propri\u00e9taire.<\/p>\n\n\n\n L’utilisation de plugins de s\u00e9curit\u00e9 et d\u2019autres bonnes pratiques peut prot\u00e9ger votre site contre ces vuln\u00e9rabilit\u00e9s. Nous allons donc, sans plus tarder, vous pr\u00e9senter nos conseils de s\u00e9curit\u00e9 pour WordPress et comment les mettre en pratique.<\/p>\n\n\n\n Vous devriez d\u00e9sormais avoir saisi l\u2019importance de renforcer la s\u00e9curit\u00e9 de votre site WordPress. Nous allons donc d\u00e9sormais vous pr\u00e9senter certains actions que vous devriez poser.<\/p>\n\n\n\n Dans le reste de cet article, nous vous pr\u00e9senterons 20 strat\u00e9gies pour rendre votre site plus s\u00fbr. Il sera ainsi prot\u00e9g\u00e9 face \u00e0 certaines des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 les plus courantes et dangereuses. <\/p>\n\n\n\n Vous n\u2019avez pas \u00e0 mettre en \u0153uvre toutes les suggestions sur cette liste, m\u00eame si vous le pouvez. Toutefois, plus vous prenez de mesures pour s\u00e9curiser votre site, plus vos r\u00e9duisez vos chances de faire face \u00e0 une catastrophe plus tard.<\/p>\n\n\n\n Vous pouvez consid\u00e9rer votre h\u00e9bergeur comme l’adresse de votre site Web sur Internet. C\u2019est en quelque sorte l\u2019endroit o\u00f9 votre site vit<\/em>. Tout comme le choix d’un bon quartier compte pour l\u2019avenir de votre enfant, la qualit\u00e9 de l’h\u00e9bergement de votre site compte aussi.<\/p>\n\n\n\n Un fournisseur d\u2019h\u00e9bergement fiable peut avoir un impact sur la performance de votre site, sa fiabilit\u00e9 et m\u00eame son classement dans les r\u00e9sultats des moteurs de recherche. Les meilleurs h\u00e9bergeurs offrent une vari\u00e9t\u00e9 de fonctionnalit\u00e9s utiles, un excellent soutien technique et un service adapt\u00e9 \u00e0 la plateforme choisie.<\/p>\n\n\n\n Comme vous l\u2019avez probablement d\u00e9j\u00e0 devin\u00e9, votre h\u00e9bergeur peut \u00e9galement avoir un impact significatif sur la s\u00e9curit\u00e9 de votre site. Il y a donc plusieurs avantages de s\u00e9curit\u00e9 \u00e0 choisir parmi les meilleures entreprises d\u2019h\u00e9bergement. En voici quelques uns:<\/p>\n\n\n\n Cette liste devrait vous donner un bon point de d\u00e9part pour travailler lorsque vous cherchez un h\u00e9bergeur pour votre nouveau site. Vous voudrez en trouver un qui offre toutes les fonctionnalit\u00e9s et fonctionnalit\u00e9s dont vous aurez besoin. Exigez aussi une r\u00e9putation de fiabilit\u00e9 et d\u2019excellentes performances.<\/p>\n\n\n\n Si vous \u00eates \u00e0 la recherche d’un h\u00e9bergeur web de qualit\u00e9 pour votre site WordPress, nous vous invitons \u00e0 consulter nos offres d’h\u00e9bergement WordPress<\/a>. <\/p>\n\n\n\n Pour enregistrer un domaine, vous devez fournir votre nom, adresse et num\u00e9ro de t\u00e9l\u00e9phone. Ces informations sont utilis\u00e9es pour faire le suivi de la propri\u00e9t\u00e9 des noms de domaine. Elles peuvent facilement \u00eatre trouv\u00e9e en ligne en effectuant une recherche rapide dans le r\u00e9pertoire WHOIS.<\/p>\n\n\n\n Le suivi de ces renseignements est essentiel au bon fonctionnement du web. Il est toutefois raisonnable de ne pas vouloir que vos renseignements personnels soit visibles de tous en ligne. C\u2019est l\u00e0 que l’enregistrement priv\u00e9 de domaine entre en sc\u00e8ne. <\/p>\n\n\n\n Lorsque vous enregistrez un domaine avec Ex2, vous avez la possibilit\u00e9 de remplacer vos renseignements personnels par les donn\u00e9es de la plateforme d\u2019h\u00e9bergement. <\/p>\n\n\n\n Une recherche de votre domaine sur WHOIS affiche alors l\u2019adresse et les coordonn\u00e9es d’Ex2 plut\u00f4t que les v\u00f4tres. Vous pouvez activer cette fonctionnalit\u00e9 de s\u00e9curit\u00e9 lors de l’enregistrement de votre domaine, ou \u00e0 tout moment par la suite.<\/p>\n\n\n\n Lorsque vous cr\u00e9ez votre site web pour la premi\u00e8re fois, vous obtenez n\u00e9cessairement un profil d\u2019utilisateur. Changer ce nom d\u2019utilisateur est malheureusement un brin complexe. <\/p>\n\n\n\n Il faut cr\u00e9er un tout nouvel utilisateur et accorder \u00e0 ce compte le r\u00f4le d\u2019administrateur. Pour ce faire, vous devez utiliser une adresse e-mail diff\u00e9rente de celle utilis\u00e9e par votre compte original.<\/p>\n\n\n\n Pour modifier votre nom d\u2019utilisateur, il faut donc en cr\u00e9er un nouvel utilisateur, lui donner le r\u00f4le d\u2019administrateur, lui attribuer tout le contenu de l’utilisateur original, puis supprimer le compte d\u2019origine.<\/p>\n\n\n\n Lorsque le nom d\u2019utilisateur pr\u00e9c\u00e9dent a \u00e9t\u00e9 supprim\u00e9, vous pouvez modifier l\u2019adresse e-mail de votre nouveau compte si vous le souhaitez.<\/p>\n\n\n\n Vous connaissez sans doute le concept d\u2019un pare-feu. Il s’agit d’un programme aidant \u00e0 bloquer toutes sortes d\u2019attaques ind\u00e9sirables sur un site web ou un appareil. <\/p>\n\n\n\n Vous avez probablement une sorte de pare-feu sur votre ordinateur. De m\u00eame, un Web Application Firewall<\/em> (WAF) est un pare-feu con\u00e7u sp\u00e9cifiquement pour les sites Web. Il peut prot\u00e9ger des serveurs, des sites web sp\u00e9cifiques ou des groupes de sites.<\/p>\n\n\n\n Un WAF sur votre site WordPress fonctionnera comme une barri\u00e8re de s\u00e9curit\u00e9 entre votre site et le reste du web. Un pare-feu surveille l\u2019activit\u00e9 entrante, il d\u00e9tecte les attaques, les logiciels malveillants et d’autres \u00e9v\u00e9nements ind\u00e9sirables. Il bloque tout ce qu\u2019il consid\u00e8re comme un risque pour votre serveur web.<\/p>\n\n\n\n Vous avez de nombreuses options pour ajouter un WAF \u00e0 votre site. Le plugin de s\u00e9curit\u00e9 gratuit WordFence est un choix populaire parmi les utilisateurs de WordPress.<\/p>\n\n\n\n L\u2019authentification \u00e0 deux facteurs fait r\u00e9f\u00e9rence \u00e0 un processus en deux \u00e9tapes que vous devrez suivre lors de votre connexion \u00e0 votre site. Cela demande un peu plus de temps et d\u2019efforts, mais accomplit beaucoup pour augmenter la s\u00e9curit\u00e9 d’un site WordPress.<\/p>\n\n\n\n L\u2019authentification \u00e0 deux facteurs consiste \u00e0 utiliser un t\u00e9l\u00e9phone intelligent (ou un autre appareil) pour v\u00e9rifier votre connexion. Un code unique est ensuite envoy\u00e9 \u00e0 votre appareil mobile lorsque vous tentez de vous connecter. Vous devez ensuite fournir ce code pour terminer votre connexion. <\/p>\n\n\n\n Cela vous permet de prouver votre identit\u00e9 en montrant que vous avez acc\u00e8s \u00e0 un appareil qui vous appartient personnellement (comme un t\u00e9l\u00e9phone ou une tablette en particulier).<\/p>\n\n\n\n Comme c’est le cas de nombreuses fonctionnalit\u00e9s sur WordPress, l\u2019authentification \u00e0 deux facteurs peut facilement \u00eatre ajouter avec un plugin d\u00e9di\u00e9. <\/p>\n\n\n\n Le plugin Two Factor Authentication est un choix solide. Il est cr\u00e9\u00e9 par des d\u00e9veloppeurs fiables et est compatible avec Google Authenticator. Il permet d\u2019ajouter sans tracas, l’authentification \u00e0 deux facteurs \u00e0 un site.<\/p>\n\n\n\n Un autre choix est le plugin Two-Factor. Il a \u00e9t\u00e9 con\u00e7u principalement par les d\u00e9veloppeurs de WordPress et est bien connu pour sa fiabilit\u00e9. <\/p>\n\n\n\n Comme avec tout plugin dans cette cat\u00e9gorie, il implique une courbe d\u2019apprentissage un peu ardue. Toutefois, il accomplira le travail et est incroyablement s\u00e9curis\u00e9. <\/p>\n\n\n\n Quel que soit la solution que vous choisissez, assurez-vous de planifier \u00e0 l\u2019avance avec votre \u00e9quipe. Vous devrez d’abord recueillir les num\u00e9ros de t\u00e9l\u00e9phone et d\u2019autres renseignements pour tous les comptes d\u2019utilisateur. <\/p>\n\n\n\n Une des meilleures choses \u00e0 propos de WordPress est la disponibilit\u00e9 imm\u00e9diate de plugins et de th\u00e8mes pour \u00e0 peu pr\u00e8s n\u2019importe quel besoin. Avec ces outils pratiques, vous pouvez rendre votre site juste \u00e0 droite et ajouter presque n\u2019importe quelle fonctionnalit\u00e9 ou fonctionnalit\u00e9 que vous pouvez penser.<\/p>\n\n\n\n Tous les plugins et th\u00e8mes ne sont pas cr\u00e9\u00e9s de la m\u00eame mani\u00e8re.<\/p>\n\n\n\n Les d\u00e9veloppeurs qui ne sont pas prudents ou qui n\u2019ont pas le bon niveau d\u2019exp\u00e9rience peuvent cr\u00e9er des plugins qui ne sont pas fiables ou peu s\u00fbrs – ou carr\u00e9ment nuls. Ils peuvent utiliser de mauvaises pratiques de codage qui laissent des trous que les pirates peuvent facilement exploiter ou interf\u00e9rer inconsciemment avec des fonctionnalit\u00e9s cruciales.<\/p>\n\n\n\n Cela signifie que vous devez \u00eatre tr\u00e8s prudent sur les th\u00e8mes et les plugins que vous ajoutez \u00e0 votre site. Chacun d\u2019eux doit \u00eatre v\u00e9rifi\u00e9 pour s\u2019assurer qu\u2019il s\u2019agit d\u2019une option solide qui ne nuira pas \u00e0 votre site ou ne causera pas de probl\u00e8mes. Voici comment s\u00e9lectionner des outils de qualit\u00e9:<\/p>\n\n\n\n Lire les commentaires \u2013 V\u00e9rifiez les \u00e9valuations des utilisateurs pour savoir si d\u2019autres ont eu une bonne exp\u00e9rience avec le plugin ou le th\u00e8me. Maintenir WordPress \u00e0 jour est l\u2019une des choses les plus importantes que vous pouvez faire pour s\u00e9curiser votre site. Les correctifs et les mises \u00e0 jour de s\u00e9curit\u00e9 sont g\u00e9n\u00e9ralement impl\u00e9ment\u00e9s automatiquement. Il se peut qu’il vous soit toutefois n\u00e9cessaire d’approuver les mises \u00e0 jour majeures ind\u00e9pendamment. Ne vous inqui\u00e9tez pas, c\u2019est tr\u00e8s simple \u00e0 faire. Ex2 peut g\u00e9rer ces mises \u00e0 jour pour vous, alors vous n\u2019avez pas \u00e0 vous inqui\u00e9ter.<\/p>\n\n\n\n Votre travail n\u2019est toutefois pas termin\u00e9 simplement parce que le CMS de WordPress est \u00e0 jour. Vous devrez aussi mettre \u00e0 jour r\u00e9guli\u00e8rement vos plugins, th\u00e8mes et autres installations WordPress. vous pourrez ainsi vous assurer qu\u2019ils fonctionnent bien ensemble et sont s\u00e9curis\u00e9s contre les derni\u00e8res menaces. <\/p>\n\n\n\n Heureusement, ces mises \u00e0 jour sont \u00e9galement assez facile \u00e0 faire. Il suffit de vous connecter \u00e0 votre tableau de bord WordPress. Vous verrez des notifications rouges vous indiquant que des mises \u00e0 jour sont disponibles pour certains \u00e9l\u00e9ments. Il vous faut alors cliquer sur Mettre \u00e0 jour maintenant<\/strong> \u00e0 c\u00f4t\u00e9 de chacun de ces th\u00e8mes ou plugins.<\/p>\n\n\n\n Vous pouvez \u00e9galement mettre \u00e0 jour vos plugins en lot en s\u00e9lectionnant tous et puis en appuyant sur le bouton de mise \u00e0 jour.<\/p>\n\n\n\n Beaucoup d\u2019informations, de donn\u00e9es et de contenu de votre site WordPress sont stock\u00e9 dans une s\u00e9rie de dossiers et de fichiers sur son arri\u00e8re-plan. Ceux-ci sont organis\u00e9s en suivant une structure hi\u00e9rarchique, et chacun se voit accorder un niveau de permissions. <\/p>\n\n\n\n Les autorisations sur un fichier WordPress ou un dossier d\u00e9terminent qui peut le voir et le modifier. Ils peuvent \u00eatre configur\u00e9s pour permettre l\u2019acc\u00e8s \u00e0 n\u2019importe qui, seulement vous, ou presque n\u2019importe quelle solution entre les deux. Le premier chiffre repr\u00e9sente un utilisateur individuel (comme le propri\u00e9taire du site). Le deuxi\u00e8me chiffre indique le groupe (par exemple, les membres de votre site). Finalement, le troisi\u00e8me r\u00e9f\u00e8re \u00e0 tout le monde dans le monde. <\/p>\n\n\n\n Le num\u00e9ro lui-m\u00eame indique ce que l\u2019utilisateur, le groupe ou tout le monde, peut faire ou pas. Voici un bref aper\u00e7u de la signification de chacun des chiffres.<\/p>\n\n\n\n Prenons ainsi l’exemple d’un fichier avec un niveau d\u2019autorisation de 640. Cela signifie que l\u2019utilisateur principal peut lire et modifier le fichier, le groupe peut lire le fichier mais pas le modifier, et le reste du monde ne peut pas y acc\u00e9der du tout. <\/p>\n\n\n\n Il est important de s\u2019assurer que tous aient seulement le niveau d\u2019acc\u00e8s aux fichiers et aux dossiers de votre site que vous voulez qu\u2019ils aient. Faites tr\u00e8s attention lorsque vous modifiez vos niveaux d\u2019autorisation. Choisir les mauvaises valeurs peut rendre votre site vuln\u00e9rable ou inaccessible.<\/p>\n\n\n\n Il est important de noter que WordPress est livr\u00e9 avec un \u00e9diteur de code int\u00e9gr\u00e9. Celui-ci permet aux utilisateurs de modifier le th\u00e8me et les fichiers de plugin directement \u00e0 partir de la zone d\u2019administration. <\/p>\n\n\n\n Cet outil est pratique quand vous en avez besoin. Il peut toutefois poser un grave risque de s\u00e9curit\u00e9 si votre site tombe entre de mauvaises mains. C\u2019est pourquoi vous devriez d\u00e9sactiver l\u2019\u00e9dition de fichiers avec un plugin WordPress de s\u00e9curit\u00e9 comme Sucuri.<\/p>\n\n\n\n Si vous \u00eates le seul utilisateur de votre site WordPress, vous n\u2019avez pas \u00e0 vous soucier de cette \u00e9tape. Il vous suffit de ne donnez \u00e0 personne d\u2019autre un compte sur votre site, et vous serez la seule personne qui peut faire des changements.<\/p>\n\n\n\n Cependant, il existe de nombreuses raisons d\u2019ajouter un autre compte utilisateur \u00e0 votre site. Vous pouvez laisser d\u2019autres auteurs contribuer au contenu. Il se peut aussi que vous ayez besoin de personnes pour vous aider \u00e0 modifier le contenu et \u00e0 g\u00e9rer votre site. <\/p>\n\n\n\n Cela peut \u00eatre b\u00e9n\u00e9fique, voire n\u00e9cessaire pour le succ\u00e8s de votre site web. Cependant, c\u2019est aussi un risque potentiel pour la s\u00e9curit\u00e9.<\/p>\n\n\n\n Plus vous laissez entrer de personnes dans votre site, plus les chances que quelqu\u2019un fasse une erreur, ou cause des probl\u00e8mes. C\u2019est pourquoi vous devriez maintenir le nombre d\u2019utilisateurs de votre site aussi bas que possible sans entraver sa capacit\u00e9 de croissance. Essayez tout particuli\u00e8rement de limiter le nombre d\u2019administrateurs et d\u2019autres r\u00f4les utilisateurs avec des privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n\n\n\n Tout le monde oublie son mot de passe parfois. Par d\u00e9faut, WordPress permet un nombre illimit\u00e9 de tentatives pour essayer de vous en rappeler. Mais est-ce vraiment une bonne id\u00e9e ? <\/p>\n\n\n\n Les attaques par force brute, ou les attaques o\u00f9 un pirate essaie un certain nombre de mots de passe, sont parmi les moyens les plus courants pour les pirates d\u2019acc\u00e9der \u00e0 des comptes priv\u00e9s. Si vous ne limiter pas les tentatives de connexion, un pirate ou un bot pourrait essayer des milliers de mots de passe l’un apr\u00e8s l’autre, sans cons\u00e9quences.<\/p>\n\n\n\n V\u00e9rifiez donc tout d’abord votre pare-feu d\u2019acc\u00e8s Web (WAF) pour limiter le nombre de tentatives de connexion qu\u2019un utilisateur peut faire. S’il est d\u00e9j\u00e0 configur\u00e9, une limite devrait d\u00e9j\u00e0 \u00eatre en place. Vous pouvez aussi choisir d’utiliser un plugin s\u00e9par\u00e9 pour cela. <\/p>\n\n\n\n Login Lockdown<\/a> et Limit Login Attempts Reloaded<\/a> sont deux bons choix d’extension pour ce faire. Ils enregistrent l\u2019adresse IP et l\u2019horodatage pour chaque tentative de connexion \u00e9chou\u00e9e. Cela vous permet de limiter le nombre de tentatives d\u2019\u00e9chec autoris\u00e9es dans un certain laps de temps, et de verrouiller les adresses IP qui d\u00e9passent cette limite. <\/p>\n\n\n\n Les deux plugins sont gratuits et efficaces. Login Lockdown est toutefois un peu plus simple et plus convivial pour les d\u00e9butants. Limit Login Attempts Reloaded est de son cot\u00e9 un peu plus robuste. Il permett non seulement des listes blanches et noires d’IP, mais il informe les administrateurs si le nombre de verrouillage est atteint.<\/p>\n\n\n\n Si vous avez plusieurs utilisateurs, c’est une bonne id\u00e9e de garder un \u0153il sur ce qu\u2019ils font sur votre site. Le suivi de l\u2019activit\u00e9 dans votre zone d\u2019administration WordPress permet de rep\u00e9rer lorsque d\u2019autres utilisateurs font des choses qu\u2019ils ne devraient pas faire. Cela peut aussi vous aider \u00e0 rep\u00e9rer lorsque des utilisateurs non autoris\u00e9s y ont acc\u00e8s.<\/p>\n\n\n\n Vous avez \u00e9galement besoin d\u2019un outil pour vous aider \u00e0 voir qui est derri\u00e8re diff\u00e9rentes activit\u00e9s du site. Par exemple, lorsque quelqu\u2019un apporte un changement non autoris\u00e9 ou une nouvelle installation suspecte. Pour cela, vous avez besoin d\u2019un autre plugin. <\/p>\n\n\n\n Simple History<\/a> est \u00e0 la hauteur de son nom. Il cr\u00e9e un journal simplifi\u00e9 et facile \u00e0 comprendre des changements et des \u00e9v\u00e9nements sur votre site.<\/p>\n\n\n\n Pour des fonctionnalit\u00e9s de suivi plus compl\u00e8tes, utilisez plut\u00f4t WP Security Audit Log<\/a>. Il suit \u00e0 peu pr\u00e8s tout ce qui se passe sur votre site et offre des compl\u00e9ments premium.<\/p>\n\n\n\n La page de connexion est l’entr\u00e9e la plus probable par laquelle les pirates acc\u00e9derons \u00e0 votre site Web. La prot\u00e9ger efficacement est donc un excellent moyen de d’augmenter la s\u00e9curit\u00e9 de votre site WordPress. <\/p>\n\n\n\n Pour ce faire, vous pouvez cr\u00e9er un fichier htaccess et ajouter un mot de passe \u00e0 votre page de connexion. Les pirates devront alors ouvrir une session, avant de pouvoir ouvrir une session. <\/p>\n\n\n\n Si vous h\u00e9bergez du contenu que tout le monde n\u2019a pas besoin de voir, vous pouvez prot\u00e9ger par mot de passe certaines parties de votre site. Vous pouvez alors les r\u00e9serv\u00e9es \u00e0 certains utilisateurs.<\/p>\n\n\n\n Vous pouvez aussi choisir d’ajouter une protection par mot de passe pour les articles et les autres pages, pour davantage de s\u00e9curit\u00e9.<\/p>\n\n\n\n Ajouter une protection par mot de passe \u00e0 votre page de connexion est un bon d\u00e9part. toutefois, il est encore mieux si les pirates ne peuvent tout simplement pas la trouver. <\/p>\n\n\n\n Changer l’url de vos pages wp-admin et wp-login est facile et efficace. Cela aide \u00e0 dissuader les pirates, qui auront de la difficult\u00e9 \u00e0 trouver votre page de connexion.<\/p>\n\n\n\n Il existe plusieurs plugins qui peuvent rediriger la page de connexion par d\u00e9faut vers une autre URL de votre choix. De nombreux plugins offrent cette fonctionnalit\u00e9 parmi d’autres. Si vous cherchez quelque chose de simple, essayez WPS Hide Login<\/a>. Il masque simplement et efficacement votre URL de connexion. <\/p>\n\n\n\n Apr\u00e8s le changement, n\u2019oubliez pas d\u2019ajouter votre nouvelle page de connexion \u00e0 vos favoris afin de pouvoir facilement la retrouver.<\/p>\n\n\n\n WordPress fonctionne gr\u00e2ce au langage PHP. Mettre \u00e0 jour WordPress ne suffit pas pour assurer la s\u00e9curit\u00e9 de votre site. Vous devez aussi vous assurer que vous utilisez la derni\u00e8re version de PHP.<\/p>\n\n\n\n Normalement, chaque version de PHP est support\u00e9e pendant au moins deux ans apr\u00e8s sa date de sortie. Cela signifie que les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 sont corrig\u00e9es par les ing\u00e9nieurs qui ont con\u00e7u le code.<\/p>\n\n\n\n Lorsque le code est p\u00e9rim\u00e9, le soutien n’est plus assur\u00e9. Il est alors temps de le mettre \u00e0 niveau. Sinon vous risquez d\u2019\u00eatre expos\u00e9 \u00e0 des risques de s\u00e9curit\u00e9, des ralentissements de performance et des bogues \u00e0 profusion.<\/p>\n\n\n\n Vous pouvez facilement voir quelle version de PHP vous utilisez actuellement \u00e0 partir de votre panneau de contr\u00f4le cPanel ou de votre tableau de bord WordPress. <\/p>\n\n\n\n Utiliser les param\u00e8tres par d\u00e9faut est une aubaine pour les pirates. Par exemple, WordPress utilise par d\u00e9faut wp_ comme pr\u00e9fixe pour toutes vos tables li\u00e9es. Elles sont ainsi faciles \u00e0 localiser. <\/p>\n\n\n\n Si vous utilisez l\u2019installateur en un clic, vous avez d\u00e9j\u00e0 un pr\u00e9fixe de lettres et de chiffres al\u00e9atoires. Tant qu\u2019il se termine par une barre (_), le syst\u00e8me est heureux. <\/p>\n\n\n\n Vous pouvez aussi changer les noms des r\u00e9pertoires et ajuster le fichier wp-config.php. Vous pouvez donc changer le pr\u00e9fixe de la base de donn\u00e9es manuellement, ou avec un service comme phpMyAdmin.<\/p>\n\n\n\n Les questions de s\u00e9curit\u00e9 sont souvent n\u00e9glig\u00e9es. Pourtant elles contribue \u00e0 renforcer votre s\u00e9curit\u00e9. Selon le plugin que vous choisissez, vous pourrez choisir parmi un choix de questions de s\u00e9curit\u00e9 existantes ou encore cr\u00e9er vos propres questions.<\/p>\n\n\n\n La s\u00e9curit\u00e9 par la dissimulation est une technique reconnue. Ce que les personnes malveillantes ne peuvent pas trouver, ils ne peuvent pas le pirater!<\/p>\n\n\n\n Masquez la version de WordPress vous utilisez ou m\u00eame le fait que vous utilisez WordPress en modifiant le code de votre en-t\u00eate. Si cela vous parait trop complexe, utilisez un plugin comme WPCode<\/a>. <\/p>\n\n\n\n Assurez-vous simplement de modifier le code et pas seulement les informations d\u2019affichage dans les param\u00e8tres de votre th\u00e8me. Les fragments de code ne reviendront alors qu’au moment de la prochaine mise \u00e0 jour du th\u00e8me.<\/p>\n\n\n\n Le hotlinking<\/em> est l\u2019acte de voler de la bande passante en utilisant des fichiers h\u00e9berg\u00e9s sur un site et les reliant \u00e0 un autre. <\/p>\n\n\n\n Par exemple, disons un site cr\u00e9e un contenu vid\u00e9o original, et un autre site Web veut le pr\u00e9senter sans permission. Le second pourrait li\u00e9 le contenu vi\u00e9do au lieu de l\u2019h\u00e9berger sur leurs propres serveurs. Il en co\u00fbterait ainsi au site original plus de bande passante, et donc plus d\u2019argent.<\/p>\n\n\n\n Pour emp\u00eacher le hotlinking<\/em>, vous pouvez choisir de rejeter certains domaines, d\u2019autoriser seulement certains domaines, ou de supprimer la possibilit\u00e9 de hotlink. Vous pouvez facilement le faire en apportant quelques modifications \u00e0 votre fichier htaccess. <\/p>\n\n\n\n Une attaque par d\u00e9ni de service distribu\u00e9 (ou DDoS) est un acte par lequel un pirate utilise plusieurs syst\u00e8mes pour envoyer un \u00e9norme volume de donn\u00e9es et submerger leur cible. <\/p>\n\n\n\n Cela peut ralentir et m\u00eame planter leur cible. En somme, imaginez un \u00e9norme embouteillage de votre sur le site web, emp\u00eachant le trafic l\u00e9gitime de pouvoir entrer.<\/p>\n\n\n\n La patience est une ressource rare sur internet. L\u2019utilisateur moyen laisse seulement 3 secondes \u00e0 une page pour charger avant de l’abandonner. Ainsi, le plus t\u00f4t vous pouvez identifier et r\u00e9soudre une attaque sur votre site, le mieux se sera.<\/p>\n\n\n\n La pr\u00e9vention d\u2019une attaque DDoS peut sembler intimidante, mais implique plusieurs mesures simples. L\u2019une des premi\u00e8res choses que vous devriez faire est de supprimer ou de d\u00e9sactiver tous les th\u00e8mes et plugins d\u00e9suets ou inutilis\u00e9s. <\/p>\n\n\n\n Les plugins sont incroyablement pratiques. Toutefois, pour pouvoir augmenter les fonctionnalit\u00e9s, ils doivent avoir acc\u00e8s \u00e0 votre site Web. Ils peuvent donc \u00eatre exploit\u00e9 pour y acc\u00e9der. <\/p>\n\n\n\n Le terme Malware<\/em> est souvent utilis\u00e9 pour d\u00e9finir un logiciel malveillant. Ce type de menace peut se cacher dans ce qui semble \u00eatre des applications s\u00fbres. Ainsi, les utilisateurs ignorent que leur ordinateur ou site Web a \u00e9t\u00e9 infect\u00e9.<\/p>\n\n\n\n L\u2019analyse des logiciels malveillants est une d\u00e9fense importante. Elle fonctionne en utilisant un logiciel anti-malware pour identifier et isoler les fichiers suspects jusqu\u2019\u00e0 ce que vous d\u00e9cidiez s\u2019ils doivent \u00eatre supprim\u00e9s. <\/p>\n\n\n\n Si une menace est d\u00e9tect\u00e9e, un bon scanner de logiciels malveillants supprimera toute trace de celui-ci de votre site ou appeil d\u00e8s que possible. Plusieurs plugins de pare-feu viennent avec l\u2019analyse de logiciels malveillants int\u00e9gr\u00e9e. Il vaut donc mieux vous assurez de v\u00e9rifier vos plugins WordPress de s\u00e9curit\u00e9 pour voir ce qu\u2019ils incluent \u00e0 ce niveau.<\/p>\n\n\n\n Si votre site est pirat\u00e9, vous passerez des heures, voire des jours, \u00e0 essayer de r\u00e9parer les dommages. Vous risquez de perdre d\u00e9finitivement des donn\u00e9es ou de voir vos renseignements personnels compromis,. Pire encore, les donn\u00e9es de vos clients pourraient \u00eatre compromises.<\/p>\n\n\n\n C\u2019est pourquoi vous devez mettre assez de temps et d\u2019\u00e9nergie pour vous assurer de renforcer la s\u00e9curit\u00e9 de votre site WordPress. Sinon, vous risquez de subir des cons\u00e9quences tr\u00e8s f\u00e2cheuses.<\/p>\n\n\n\n Nous esp\u00e9rons que cet article vous a plu et vous a \u00e9clair\u00e9 sur les mani\u00e8re d’augmenter la s\u00e9curit\u00e9 de votre site WordPress. Si c\u2019est le cas, nous vous invitons \u00e0 consulter nos autres autres articles et tutoriels<\/a>.<\/p>\n\n\n\n Vous y trouverez une foule d’astuces et d’informations \u00e0 propos de l\u2019h\u00e9bergement web et de la cr\u00e9ation de sites web.<\/p>\n\n\n\n Si vous \u00eates \u00e0 la recherche d’un h\u00e9bergement web pour votre site WordPress, nous vous invitons \u00e0 consulter les offres d’Ex2. Nos plans d’h\u00e9bergement WordPress vert<\/a> sont tr\u00e8s compl\u00e8tes et performantes, incluant tout ce dont votre site a besoin pour r\u00e9ussir. <\/p>\n\n\n\nAttaques par force brute <\/h3>\n\n\n\n
Script inter-sites (XSS) <\/h3>\n\n\n\n
Infections par des logiciels malveillants <\/h3>\n\n\n\n
Portes d\u00e9rob\u00e9es <\/h3>\n\n\n\n
20 conseils de s\u00e9curit\u00e9 WordPress<\/h2>\n\n\n\n
Utiliser un h\u00e9bergeur web de qualit\u00e9<\/h3>\n\n\n\n
Les mani\u00e8res dont un h\u00e9bergement Web peut am\u00e9liorer la s\u00e9curit\u00e9 WordPress:<\/h4>\n\n\n\n
\n
Enregistrez votre domaine en priv\u00e9<\/h3>\n\n\n\n
Modifier votre nom d\u2019utilisateur administrateur<\/h3>\n\n\n\n
Activer un pare-feu d\u2019application Web<\/h3>\n\n\n\n
Mettre en place l\u2019authentification \u00e0 deux facteurs<\/h3>\n\n\n\n
Utilisez un plugin pour mettre en place l’authentification \u00e0 deux facteurs<\/h4>\n\n\n\n
Soyez consciencieux dans le choix de vos plugins et th\u00e8mes<\/h2>\n\n\n\n
Soutien aux d\u00e9veloppeurs \u2013 Regardez comment le plugin ou le th\u00e8me a \u00e9t\u00e9 mis \u00e0 jour r\u00e9cemment. Si \u00e7a fait plus de six mois, il y a des chances que ce ne soit pas aussi s\u00fbr que \u00e7a pourrait l\u2019\u00eatre.
Facile \u00e0 faire \u2013 Installez de nouveaux plugins et th\u00e8mes un \u00e0 la fois, donc si quelque chose va mal, vous saurez quelle \u00e9tait la cause. Aussi, n\u2019oubliez pas de sauvegarder votre site avant d\u2019y ajouter quoi que ce soit.
Sources v\u00e9rifi\u00e9es \u2013 Obtenez vos plugins et th\u00e8mes de sources fiables, comme le th\u00e8me WordPress.org et les r\u00e9pertoires de plugin, ThemeForest et CodeCanyon, et des sites Web de d\u00e9veloppeurs fiables.<\/p>\n\n\n\nEffectuer les mises \u00e0 jour r\u00e9guli\u00e8res de WordPress<\/h3>\n\n\n\n
Configurez les autorisations de fichier<\/h3>\n\n\n\n
Les permissions de fichiers sont repr\u00e9sent\u00e9es par un num\u00e9ro \u00e0 trois chiffres dans WordPress. Chaque chiffre a une signification pr\u00e9cise. <\/p>\n\n\n\nCe qu’indique chacun des num\u00e9ros:<\/h4>\n\n\n\n
\n
WordPress recommande de configurer les dossiers \u00e0 un niveau d\u2019autorisation de 755 et les fichiers \u00e0 644. Ces lignes directrices sont assez s\u00fbres, bien que vous pouvez choisir n\u2019importe quelle combinaison que vous souhaitez. Rappelez-vous simplement qu\u2019il vaut mieux ne pas donner \u00e0 n’importe qui un acc\u00e8s plus vaste que n\u00e9cessaire. C’est particuli\u00e8rement vrai pour les fichiers de base.
Vous devez \u00e9galement garder \u00e0 l\u2019esprit que vos param\u00e8tres de permissions id\u00e9ales d\u00e9pendront quelque peu de votre service d\u2019h\u00e9bergement. <\/p>\n\n\n\nRemarque : <\/h4>\n\n\n\n
Maintenez le nombre d’utilisateurs de WordPress \u00e0 un minimum<\/h3>\n\n\n\n
Voici quelques autres pratiques exemplaires :<\/h4>\n\n\n\n
\n
Limiter les tentatives d\u2019ouverture de session<\/h3>\n\n\n\n
Effectuez un suivi de votre activit\u00e9 dans votre secteur administratif<\/h3>\n\n\n\n
Mot de passe pour prot\u00e9ger votre page d\u2019ouverture de session<\/h3>\n\n\n\n
Masquer votre page d\u2019ouverture de session<\/h3>\n\n\n\n
Mettre \u00e0 jour la version de PHP<\/h3>\n\n\n\n
Augmentez la s\u00e9curit\u00e9 de votre base de donn\u00e9es WordPress<\/h3>\n\n\n\n
Ajouter des questions de s\u00e9curit\u00e9<\/h3>\n\n\n\n
Masquer votre version WordPress<\/h3>\n\n\n\n
Pr\u00e9venir le hotlinking<\/h3>\n\n\n\n
Protection DDoS (D\u00e9sactiver XML RPC)<\/h3>\n\n\n\n
Analyse des logiciels malveillants<\/h3>\n\n\n\n
Pour conclure sur la s\u00e9curit\u00e9 WordPress<\/h2>\n\n\n\n