Comment sécuriser un site WordPress

Lancer votre propre site WordPress de nos jours est assez facile. Malheureusement, il ne faudra pas longtemps aux pirates pour commencer à cibler votre site.

La meilleure façon de sécuriser un site WordPress est de comprendre chaque point de vulnérabilité qui découle de l'exécution d'un site WordPress . Installez ensuite la sécurité appropriée pour bloquer les pirates à chacun de ces points.

Dans cet article, vous apprendrez comment mieux sécuriser votre domaine, votre connexion WordPress et les outils et plugins disponibles pour sécuriser votre site WordPress .

Créer un domaine privé

Il est trop facile de nos jours de trouver un domaine disponible(find an available domain) et de l'acheter à un prix très bas. La plupart des gens n'achètent jamais d'extensions de domaine pour leur domaine. Cependant, un module complémentaire que vous devriez toujours considérer est la protection de la vie privée(Privacy Protection) .

Il existe trois niveaux de base de protection de la confidentialité avec GoDaddy , mais ceux-ci correspondent également aux offres de la plupart des fournisseurs de domaine.

  • Basique(Basic) : Masquez votre nom et vos coordonnées du répertoire WHOIS . Ceci n'est disponible que si votre gouvernement vous autorise à masquer les informations de contact du domaine.
  • Complète(Full) : Remplacez vos propres informations par une autre adresse e-mail et des informations de contact pour dissimuler votre identité réelle.
  • Ultimate : Sécurité supplémentaire qui bloque l'analyse des domaines malveillants et inclut la surveillance de la sécurité du site Web pour votre site actuel.

Habituellement, la mise à niveau de votre domaine vers l'un de ces niveaux de sécurité nécessite simplement de choisir de mettre à niveau à partir d'une liste déroulante sur votre page de liste de domaine.

La protection de domaine de base(Basic) est assez bon marché (généralement autour de 9,99 $/an), et les niveaux de sécurité plus élevés ne sont pas beaucoup plus chers.

C'est un excellent moyen d'empêcher les spammeurs de supprimer vos informations de contact de la base de données WHOIS , ou d'autres personnes malveillantes qui souhaitent accéder à vos informations de contact.

Masquer(Hide) les fichiers wp-config.php et .htaccess

Lorsque vous installez WordPress(install WordPress) pour la première fois , vous devrez inclure l'ID administratif et le mot de passe de votre base de données WordPress SQL dans le fichier wp-config.php. 

Ces données sont cryptées après l'installation, mais vous souhaitez également empêcher les pirates de modifier ce fichier et de casser votre site Web. Pour ce faire, recherchez et modifiez le fichier .htaccess dans le dossier racine de votre site et ajoutez le code suivant au bas du fichier.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Pour empêcher les modifications de .htaccess lui-même, ajoutez également ce qui suit au bas du fichier.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Enregistrez le fichier et quittez l'éditeur de fichiers.

Vous pouvez également envisager de cliquer avec le bouton droit sur chaque fichier et de modifier les autorisations pour supprimer entièrement l'accès en écriture pour tout le monde.(Write)

Tout en faisant cela sur le fichier wp-config.php ne devrait pas causer de problèmes, le faire sur .htaccess pourrait causer des problèmes. Surtout si vous utilisez des plugins WordPress de sécurité qui peuvent avoir besoin de modifier le fichier .htaccess pour vous.

Si vous recevez des erreurs de WordPress , vous pouvez toujours mettre à jour les autorisations pour autoriser à nouveau l'accès en écriture(Write) sur le fichier .htaccess.

Modifier votre URL de connexion WordPress

Étant donné que la page de connexion par défaut de chaque site WordPress est votredomaine/wp-admin.php, les pirates utiliseront cette URL pour tenter de pirater votre site.

Ils le feront par le biais de ce que l'on appelle des attaques par « force brute » où ils enverront des variantes de noms d'utilisateur et de mots de passe typiques que de nombreuses personnes utilisent couramment. Les pirates espèrent avoir de la chance et trouver la bonne combinaison.

Vous pouvez arrêter complètement ces attaques en changeant votre URL de connexion WordPress(WordPress login URL) en quelque chose de non standard.

Il existe de nombreux plugins WordPress pour vous aider à le faire. (WordPress)L'un des plus courants est WPS Hide Login .

Ce plugin ajoute une section à l' onglet Général sous (General)Paramètres(Settings) dans WordPress.

Là, vous pouvez saisir l' URL de connexion de votre choix et sélectionner Enregistrer les modifications(Save Changes) pour l'activer. La prochaine fois que vous voudrez vous connecter à votre site WordPress , utilisez cette nouvelle URL .

Si quelqu'un essaie d'accéder à votre ancienne URL wp-admin , il sera redirigé vers la page 404 de votre site.

Note : Si vous utilisez un plugin de cache, assurez-vous d'ajouter votre nouvelle URL de connexion à la liste des sites à ne pas(not) mettre en cache. Assurez-vous ensuite de vider le cache avant de vous reconnecter à votre site WordPress .

Installer un plugin de sécurité WordPress

Il existe de nombreux plugins de sécurité WordPress(WordPress security plugins) parmi lesquels choisir. De tous, Wordfence est le plus téléchargé, pour une bonne raison.

La version gratuite de Wordfence comprend un puissant moteur d'analyse qui recherche les menaces de porte dérobée, le code malveillant dans vos plugins(malicious code in your plugins) ou sur votre site, les menaces d'injection MySQL , etc. Il comprend également un pare-feu pour bloquer les menaces actives telles que les attaques  DDOS .

Il vous permettra également d'arrêter les attaques par force brute en limitant les tentatives de connexion et en bloquant les utilisateurs qui font trop de tentatives de connexion incorrectes.

Il y a pas mal de paramètres disponibles dans la version gratuite. Plus qu'assez pour protéger les petits et moyens sites Web de la plupart des attaques.

Il existe également une page de tableau de bord utile que vous pouvez consulter pour surveiller les menaces et les attaques récentes qui ont été bloquées.

Utilisez le générateur de mot de passe WordPress(WordPress Password Generator) et 2FA

La dernière chose que vous voulez, c'est que les pirates devinent facilement votre mot de passe. Malheureusement, trop de gens utilisent des mots de passe très simples et faciles à deviner. Certains exemples incluent l'utilisation du nom du site Web ou du nom de l'utilisateur dans le mot de passe, ou l'absence de caractères spéciaux.

Si vous avez mis à niveau vers la dernière version de WordPress , vous avez accès à de puissants outils de sécurité par mot de passe pour sécuriser votre site WordPress

La première étape pour améliorer la sécurité de votre mot de passe consiste à accéder à chaque utilisateur de votre site, à faire défiler jusqu'à la section Gestion du compte(Account Management) et à sélectionner le bouton Générer un mot de passe.(Generate Password)

Cela générera un long mot de passe très sécurisé qui comprend des lettres, des chiffres et des caractères spéciaux. Enregistrez ce mot de passe dans un endroit sûr, de préférence dans un document sur un lecteur externe que vous pouvez déconnecter de votre ordinateur lorsque vous êtes en ligne.

Sélectionnez Se déconnecter partout ailleurs(Log Out Everywhere Else) pour vous assurer que toutes les sessions actives sont fermées.

Enfin, si vous avez installé le plugin de sécurité Wordfence , vous verrez un bouton Activer 2FA(Activate 2FA) . Sélectionnez cette option pour activer l'authentification à deux facteurs pour vos connexions utilisateur.

Si vous n'utilisez pas Wordfence , vous devrez installer l'un de ces plugins 2FA populaires.

Autres considérations de sécurité importantes(Important Security Considerations)

Il y a quelques autres choses que vous pouvez faire pour sécuriser complètement votre site WordPress .

Les plugins WordPress(WordPress plugins) et la version de WordPress elle-même doivent être mis à jour à tout moment. Les pirates tentent souvent d'exploiter les vulnérabilités des anciennes versions du code de votre site. Si vous ne mettez pas à jour ces deux éléments, vous laissez votre site en danger.

1. Sélectionnez régulièrement Plugins et Plugins installés(Installed Plugins) dans votre panneau d'administration WordPress . Passez en revue(Review) tous les plugins pour un statut indiquant qu'une nouvelle version est disponible.

Lorsque vous en voyez un qui est obsolète, sélectionnez mettre à jour maintenant(update now) . Vous pouvez également envisager de sélectionner Activer les mises à jour automatiques pour vos plugins. 

Cependant, certaines personnes hésitent à le faire car les mises à jour de plugins peuvent parfois casser votre site ou votre thème. C'est donc toujours une bonne idée de tester les mises à jour des plugins sur un site de test WordPress local(local WordPress test site) avant de les activer sur votre site en ligne.

2. Lorsque vous vous connectez à votre tableau de bord WordPress , vous verrez une notification indiquant que WordPress est obsolète si vous utilisez une version plus ancienne.

Encore une fois, sauvegardez le site et chargez-le sur un site de test local sur votre propre PC pour vérifier que la mise à jour de WordPress ne casse pas votre site avant de le mettre à jour sur votre site Web en direct.

3. Profitez des fonctions de sécurité gratuites de votre hébergeur. La plupart des hébergeurs offrent une variété de services de sécurité gratuits pour les sites que vous y hébergez. Ils le font parce que cela protège non seulement votre site, mais également la sécurité de l'ensemble du serveur. Ceci est particulièrement important lorsque vous êtes sur un compte d'hébergement partagé où d'autres clients ont des sites Web sur le même serveur.

Ceux-ci incluent souvent des installations de sécurité SSL gratuites(free SSL security) pour votre site, des sauvegardes gratuites(free backups) , la possibilité de bloquer les adresses IP malveillantes et même un scanner de site gratuit qui analysera régulièrement votre site à la recherche de tout code malveillant ou vulnérabilité.

Gérer un site Web n'est jamais aussi simple que d'installer WordPress et de simplement publier du contenu. Il est important de rendre votre site Web WordPress aussi sécurisé que possible. Tous les conseils ci-dessus peuvent vous aider à le faire sans trop d'effort.



About the author

Je suis un expert en informatique avec plus de 10 ans d'expérience dans l'industrie des logiciels et des navigateurs. J'ai conçu, construit et géré des installations complètes de logiciels, ainsi que développé et maintenu des navigateurs. Mon expérience me donne la capacité de fournir des explications claires et concises sur des sujets complexes - qu'il s'agisse du fonctionnement de Microsoft Office ou de la manière de tirer le meilleur parti de Mozilla Firefox. En plus de mes compétences en informatique, je suis également un écrivain adepte et je peux communiquer efficacement en ligne et en personne.



Related posts