Création et optimisation de sites internet partout en France

10 conseils WordPress pour sécuriser votre site web

WordPress est le système de gestion de contenu (CMS) le plus populaire et alimente plus de 30 % des sites web. Cependant, à mesure qu’il se développe, les pirates informatiques en ont pris note et commencent à cibler spécifiquement les sites WordPress. Quel que soit le type de contenu fourni par votre site, vous ne faites pas exception. Si vous ne prenez pas certaines précautions, vous pourriez être piraté. Comme tout ce qui est lié à la technologie, vous devez vérifier la sécurité de votre site Web.

Dans ce tutoriel, nous allons partager nos 10 meilleurs conseils pour assurer la sécurité de votre site WordPress.

 

  1. Choisissez un bon hébergeur

Le moyen le plus simple de sécuriser votre site est de choisir un hébergeur qui offre plusieurs outils de sécurité.

Il peut être tentant de choisir un hébergeur bon marché, après tout, économiser de l’argent sur l’hébergement de votre site web signifie que vous pouvez le dépenser ailleurs dans votre organisation. Cependant, ne vous laissez pas tenter par cette idée. Cela peut, et c’est souvent le cas, provoquer des cauchemars en cours de route. Vos données pourraient être complètement effacées et votre url pourrait commencer à rediriger vers un autre site.

Payer un peu plus pour un hébergeur de qualité signifie que des outils supplémentaires de sécurité sont automatiquement attribuées à votre site web. Un avantage supplémentaire, en utilisant un bon hébergement WordPress, vous pouvez accélérer de manière significative votre site WordPress.

Bien qu’il existe de nombreuses sociétés d’hébergement, nous recommandons WPEngine. Ils offrent de nombreuses fonctions de sécurité, notamment des analyses quotidiennes des logiciels malveillants et l’accès à une assistance 24 heures sur 24, 7 jours sur 7, 365 jours par an. Pour mettre la cerise sur le gâteau, leur prix est également raisonnable.

 

  1. N’utilisez pas de thèmes crackés

Les thèmes premium de WordPress ont un aspect plus professionnel et disposent de plus d’options de personnalisation qu’un thème gratuit. Mais on pourrait dire que vous en avez pour votre argent. Les thèmes premium sont codés par des développeurs hautement qualifiés et sont testés pour passer plusieurs contrôles WordPress dès leur sortie de la boîte. Il n’y a aucune restriction sur la personnalisation de votre thème, et vous obtiendrez une assistance complète si quelque chose ne va pas sur votre site. Et surtout, vous bénéficierez de mises à jour régulières de votre thème.

Cependant, il existe quelques sites qui fournissent des thèmes invalides ou piratés. Un thème “cracké” est une version piratée d’un thème premium, disponible par des moyens illégaux. Ils sont également très dangereux pour votre site. Ces thèmes contiennent des codes malveillants cachés, qui peuvent détruire votre site Web et votre base de données ou enregistrer vos identifiants d’administrateur.

Même s’il peut être tentant d’économiser quelques dollars, évitez toujours les thèmes crackés

 

  1. Installez un plugin de sécurité WordPress

Vérifier régulièrement la sécurité de votre site Web à la recherche de logiciels malveillants est un travail fastidieux et, à moins que vous ne mettiez régulièrement à jour vos connaissances en matière de codage, vous ne vous rendrez peut-être même pas compte que vous êtes en présence d’un logiciel malveillant écrit dans le code. Heureusement, d’autres ont réalisé que tout le monde n’est pas un développeur et ont créé des plugins de sécurité WordPress pour vous aider. Un plugin de sécurité prend en charge la sécurité de votre site, recherche les logiciels malveillants et surveille votre site 24 heures sur 24 et 7 jours sur 7 pour vérifier régulièrement ce qui se passe sur votre site.

Sucuri.net est un excellent plugin de sécurité pour WordPress. Il offre un audit de l’activité de sécurité, une surveillance de l’intégrité des fichiers, une analyse à distance des logiciels malveillants, une surveillance des listes noires, un renforcement efficace de la sécurité, des actions de sécurité après le piratage, des notifications de sécurité et même un pare-feu pour le site Web (moyennant un supplément).

4) Utilisez un mot de passe fort

Les mots de passe sont un élément très important pour la sécurité des sites Web et sont malheureusement souvent négligés. Si vous utilisez un mot de passe simple, par exemple “123456, abc123,  vous devez immédiatement le changer. Si ce mot de passe est facile à retenir, il est aussi extrêmement facile à deviner. Un utilisateur expérimenté peut facilement craquer votre mot de passe et s’introduire dans le système sans trop de difficultés.

Il est important d’utiliser un mot de passe complexe, ou mieux encore, un mot de passe généré automatiquement avec une variété de chiffres, de combinaisons de lettres insensées et de caractères spéciaux comme % ou ^.

 

  1. Désactiver l’édition de fichiers

 

Lorsque vous configurez votre site WordPress, il existe une fonction d’édition de code dans votre tableau de bord qui vous permet de modifier votre thème et votre plugin. Vous pouvez y accéder en allant dans Apparence>Editeur. Une autre façon de trouver l’éditeur de plugin est d’aller sous Plugins>Editor.

Une fois que votre site est en ligne, nous vous recommandons de désactiver cette fonction. Si des pirates accèdent à votre panneau d’administration WordPress, ils peuvent injecter un code subtil et malveillant dans votre thème et votre plugin. Souvent, le code sera si subtil que vous ne remarquerez pas que quelque chose ne va pas jusqu’à ce qu’il soit trop tard.

Pour désactiver la possibilité de modifier les plugins et le fichier du thème, il suffit de coller le code suivant dans votre fichier wp-config.php.

define(‘DISALLOW_FILE_EDIT’, true) ;

 

  1. Installer le certificat SSL

 

De nos jours, le certificat SSL (Single Sockets Layer) est utile pour tous les types de sites Web. Au départ, le SSL était nécessaire pour sécuriser un site pour des transactions spécifiques, comme le traitement des paiements. Aujourd’hui, Google a reconnu son importance et accorde aux sites dotés d’un certificat SSL une place plus importante dans ses résultats de recherche.

Le SSL est obligatoire pour tous les sites qui traitent des informations sensibles, c’est-à-dire des mots de passe ou des détails de cartes de crédit. Sans certificat SSL, toutes les données entre le navigateur de l’utilisateur et votre serveur Web sont transmises en texte clair. Cela peut être lu par des pirates. En utilisant un certificat SSL, les informations sensibles sont cryptées avant d’être transférées entre le navigateur et votre serveur, ce qui les rend plus difficiles à lire et rend votre site plus sûr.

Pour les sites Web qui acceptent des informations sensibles, le prix moyen d’un SSL se situe entre 60 et 170 euros par an. Si vous n’acceptez aucune information sensible, vous n’avez pas besoin de payer pour un certificat SSL. Presque toutes les sociétés d’hébergement proposent un certificat SSL Let’s Encrypt gratuit que vous pouvez installer sur votre site.

 

  1. Changez votre URL de connexion WP

 

Par défaut, pour se connecter à WordPress, l’adresse est “tonsite.com/wp-admin”. En la laissant par défaut, vous pouvez être la cible d’une attaque par force brute visant à cracker votre combinaison nom d’utilisateur/mot de passe. Si vous acceptez que les utilisateurs s’inscrivent à des comptes d’abonnement, vous risquez également de recevoir un grand nombre d’inscriptions de spam. Pour éviter cela, vous pouvez modifier l’URL de connexion de l’administrateur ou ajouter une question de sécurité à la page d’inscription et de connexion.

Conseil de pro : vous pouvez protéger davantage votre page de connexion en ajoutant un plugin d’authentification à 2 facteurs à votre WordPress. Lorsque vous essayez de vous connecter, vous devrez fournir une authentification supplémentaire afin d’accéder à votre site – par exemple, il peut s’agir de votre mot de passe et d’un courriel (ou d’un texte). Il s’agit d’une fonction de sécurité renforcée qui empêche les pirates d’accéder à votre site.

Vous pouvez également vérifier quelles sont les adresses IP qui ont le plus grand nombre de tentatives de connexion échouées, puis vous pouvez bloquer ces adresses IP.

 

  1. Limitez les tentatives de connexion

 

Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent. Bien que cela puisse être utile si vous oubliez fréquemment les lettres majuscules, cela vous expose également à des attaques par force brute.

En limitant le nombre de tentatives de connexion, les utilisateurs peuvent essayer un nombre limité de fois jusqu’à ce qu’ils soient temporairement bloqués. Cela limite les risques de tentative de force brute, car le pirate est bloqué avant de pouvoir terminer son attaque.

Vous pouvez activer cette fonction facilement avec le plugin WordPress login limit attempts. Après avoir installé le plugin, vous pouvez modifier le nombre de tentatives de connexion via Paramètres> Tentatives de connexion limitées. 

 

  1. Masquer les fichiers wp-config.php et .htaccess

 

Bien qu’il s’agisse d’un processus avancé pour améliorer la sécurité de votre site, si vous êtes sérieux au sujet de votre sécurité, c’est une bonne pratique de cacher les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d’y accéder.

Nous recommandons vivement que cette option soit mise en œuvre par des développeurs expérimentés, car il est impératif de faire d’abord une sauvegarde de votre site et de procéder ensuite avec prudence. Toute erreur pourrait rendre votre site inaccessible.

Pour cacher les fichiers, après votre sauvegarde, il y a deux choses que vous devez faire :

Premièrement, allez dans votre fichier wp-config.php et ajoutez le code suivant ,

 

<Files wp-config.php>

order allow,deny

deny from all

 

</Files>

 

Avec la même méthode vous allez ajouter les lignes de code suivantes a votre fichier .htaccess 

 

<Files .htaccess>

 

order allow,deny

 

deny from all

 

</Files>

 

Bien que le processus en lui-même soit très facile, il est important de s’assurer que vous avez la sauvegarde avant de commencer au cas où quelque chose se passe mal dans le processus

 

  1. Mettez à jour votre version de WordPress

Garder votre WordPress à jour est une bonne pratique pour garder votre site web sécurisé. À chaque mise à jour, les développeurs apportent quelques changements, incluant souvent des mises à jour des fonctions de sécurité. En restant à jour avec la dernière version, vous contribuez à vous protéger contre les failles et les exploits pré-identifiés que les pirates peuvent utiliser pour accéder à votre site.

Il est également important de mettre à jour vos plugins et vos thèmes pour les mêmes raisons.

Par défaut, WordPress télécharge automatiquement les mises à jour mineures. Pour les mises à jour majeures, en revanche, vous devrez les mettre à jour directement à partir de votre tableau de bord d’administration de WordPress.

 

Conclusion

La sécurité de WordPress est l’une des parties cruciales d’un site web. Si vous ne maintenez pas votre sécurité WordPress, les pirates peuvent facilement attaquer votre site. Maintenir la sécurité de votre site Web n’est pas difficile et peut être fait sans dépenser un centime.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *