Lancer votre propre site WordPress de nos jours est assez facile. Malheureusement, il ne faudra pas longtemps aux pirates pour commencer à cibler votre site.

La meilleure façon de sécuriser un site WordPress est de comprendre chaque point de vulnérabilité qui découle de l'exécution d'un site WordPress . Installez ensuite la sécurité appropriée pour bloquer les pirates à chacun de ces points.

Dans cet article, vous apprendrez comment mieux sécuriser votre domaine, votre connexion WordPress et les outils et plugins disponibles pour sécuriser votre site WordPress .

Créer un domaine privé

Il est trop facile de nos jours de trouver un domaine disponible^{(find an available domain)} et de l'acheter à un prix très bas. La plupart des gens n'achètent jamais d'extensions de domaine pour leur domaine. Cependant, un module complémentaire que vous devriez toujours considérer est la protection de la vie privée^{(Privacy Protection)} .

Il existe trois niveaux de base de protection de la confidentialité avec GoDaddy , mais ceux-ci correspondent également aux offres de la plupart des fournisseurs de domaine.

• Basique^(Basic) : Masquez votre nom et vos coordonnées du répertoire WHOIS . Ceci n'est disponible que si votre gouvernement vous autorise à masquer les informations de contact du domaine.
• Complète^(Full) : Remplacez vos propres informations par une autre adresse e-mail et des informations de contact pour dissimuler votre identité réelle.
• Ultimate : Sécurité supplémentaire qui bloque l'analyse des domaines malveillants et inclut la surveillance de la sécurité du site Web pour votre site actuel.

Habituellement, la mise à niveau de votre domaine vers l'un de ces niveaux de sécurité nécessite simplement de choisir de mettre à niveau à partir d'une liste déroulante sur votre page de liste de domaine.

La protection de domaine de base^(Basic) est assez bon marché (généralement autour de 9,99 $/an), et les niveaux de sécurité plus élevés ne sont pas beaucoup plus chers.

C'est un excellent moyen d'empêcher les spammeurs de supprimer vos informations de contact de la base de données WHOIS , ou d'autres personnes malveillantes qui souhaitent accéder à vos informations de contact.

Masquer^(Hide) les fichiers wp-config.php et .htaccess

Lorsque vous installez WordPress^{(install WordPress)} pour la première fois , vous devrez inclure l'ID administratif et le mot de passe de votre base de données WordPress SQL dans le fichier wp-config.php. 

Ces données sont cryptées après l'installation, mais vous souhaitez également empêcher les pirates de modifier ce fichier et de casser votre site Web. Pour ce faire, recherchez et modifiez le fichier .htaccess dans le dossier racine de votre site et ajoutez le code suivant au bas du fichier.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Pour empêcher les modifications de .htaccess lui-même, ajoutez également ce qui suit au bas du fichier.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Enregistrez le fichier et quittez l'éditeur de fichiers.

Vous pouvez également envisager de cliquer avec le bouton droit sur chaque fichier et de modifier les autorisations pour supprimer entièrement l'accès en écriture pour tout le monde.^(Write)

Tout en faisant cela sur le fichier wp-config.php ne devrait pas causer de problèmes, le faire sur .htaccess pourrait causer des problèmes. Surtout si vous utilisez des plugins WordPress de sécurité qui peuvent avoir besoin de modifier le fichier .htaccess pour vous.

Si vous recevez des erreurs de WordPress , vous pouvez toujours mettre à jour les autorisations pour autoriser à nouveau l'accès en écriture^(Write) sur le fichier .htaccess.

Modifier votre URL de connexion WordPress

Étant donné que la page de connexion par défaut de chaque site WordPress est votredomaine/wp-admin.php, les pirates utiliseront cette URL pour tenter de pirater votre site.

Ils le feront par le biais de ce que l'on appelle des attaques par « force brute » où ils enverront des variantes de noms d'utilisateur et de mots de passe typiques que de nombreuses personnes utilisent couramment. Les pirates espèrent avoir de la chance et trouver la bonne combinaison.

Vous pouvez arrêter complètement ces attaques en changeant votre URL de connexion WordPress^{(WordPress login URL)} en quelque chose de non standard.

Il existe de nombreux plugins WordPress pour vous aider à le faire. ^(WordPress)L'un des plus courants est WPS Hide Login .

Ce plugin ajoute une section à l' onglet Général sous ^(General)Paramètres^(Settings) dans WordPress.

Là, vous pouvez saisir l' URL de connexion de votre choix et sélectionner Enregistrer les modifications^{(Save Changes)} pour l'activer. La prochaine fois que vous voudrez vous connecter à votre site WordPress , utilisez cette nouvelle URL .

Si quelqu'un essaie d'accéder à votre ancienne URL wp-admin , il sera redirigé vers la page 404 de votre site.

Note : Si vous utilisez un plugin de cache, assurez-vous d'ajouter votre nouvelle URL de connexion à la liste des sites à ne pas^(not) mettre en cache. Assurez-vous ensuite de vider le cache avant de vous reconnecter à votre site WordPress .

Installer un plugin de sécurité WordPress

Il existe de nombreux plugins de sécurité WordPress^{(WordPress security plugins)} parmi lesquels choisir. De tous, Wordfence est le plus téléchargé, pour une bonne raison.

La version gratuite de Wordfence comprend un puissant moteur d'analyse qui recherche les menaces de porte dérobée, le code malveillant dans vos plugins^{(malicious code in your plugins)} ou sur votre site, les menaces d'injection MySQL , etc. Il comprend également un pare-feu pour bloquer les menaces actives telles que les attaques  DDOS .

Il vous permettra également d'arrêter les attaques par force brute en limitant les tentatives de connexion et en bloquant les utilisateurs qui font trop de tentatives de connexion incorrectes.

Il y a pas mal de paramètres disponibles dans la version gratuite. Plus qu'assez pour protéger les petits et moyens sites Web de la plupart des attaques.

Il existe également une page de tableau de bord utile que vous pouvez consulter pour surveiller les menaces et les attaques récentes qui ont été bloquées.

Utilisez le générateur de mot de passe WordPress^{(WordPress Password Generator)} et 2FA

La dernière chose que vous voulez, c'est que les pirates devinent facilement votre mot de passe. Malheureusement, trop de gens utilisent des mots de passe très simples et faciles à deviner. Certains exemples incluent l'utilisation du nom du site Web ou du nom de l'utilisateur dans le mot de passe, ou l'absence de caractères spéciaux.

Si vous avez mis à niveau vers la dernière version de WordPress , vous avez accès à de puissants outils de sécurité par mot de passe pour sécuriser votre site WordPress . 

La première étape pour améliorer la sécurité de votre mot de passe consiste à accéder à chaque utilisateur de votre site, à faire défiler jusqu'à la section Gestion du compte^{(Account Management)} et à sélectionner le bouton Générer un mot de passe.^{(Generate Password)}

Cela générera un long mot de passe très sécurisé qui comprend des lettres, des chiffres et des caractères spéciaux. Enregistrez ce mot de passe dans un endroit sûr, de préférence dans un document sur un lecteur externe que vous pouvez déconnecter de votre ordinateur lorsque vous êtes en ligne.

Sélectionnez Se déconnecter partout ailleurs^{(Log Out Everywhere Else)} pour vous assurer que toutes les sessions actives sont fermées.

Enfin, si vous avez installé le plugin de sécurité Wordfence , vous verrez un bouton Activer 2FA^{(Activate 2FA)} . Sélectionnez cette option pour activer l'authentification à deux facteurs pour vos connexions utilisateur.

Si vous n'utilisez pas Wordfence , vous devrez installer l'un de ces plugins 2FA populaires.

• Authentificateur Google^{(Google Authenticator)}
• Authentification à deux facteurs^{(Two Factor Authentication)}
• Authentification à deux facteurs Rublon^{(Rublon Two-Factor Authentication)}
• Authentification à deux facteurs Duo^{(Duo Two-Factor Authentication)}

Autres considérations de sécurité importantes^{(Important Security Considerations)}

Il y a quelques autres choses que vous pouvez faire pour sécuriser complètement votre site WordPress .

Les plugins WordPress^{(WordPress plugins)} et la version de WordPress elle-même doivent être mis à jour à tout moment. Les pirates tentent souvent d'exploiter les vulnérabilités des anciennes versions du code de votre site. Si vous ne mettez pas à jour ces deux éléments, vous laissez votre site en danger.

1. Sélectionnez régulièrement Plugins et Plugins installés^{(Installed Plugins)} dans votre panneau d'administration WordPress . Passez en revue^(Review) tous les plugins pour un statut indiquant qu'une nouvelle version est disponible.

Lorsque vous en voyez un qui est obsolète, sélectionnez mettre à jour maintenant^{(update now)} . Vous pouvez également envisager de sélectionner Activer les mises à jour automatiques pour vos plugins. 

Cependant, certaines personnes hésitent à le faire car les mises à jour de plugins peuvent parfois casser votre site ou votre thème. C'est donc toujours une bonne idée de tester les mises à jour des plugins sur un site de test WordPress local^{(local WordPress test site)} avant de les activer sur votre site en ligne.

2. Lorsque vous vous connectez à votre tableau de bord WordPress , vous verrez une notification indiquant que WordPress est obsolète si vous utilisez une version plus ancienne.

Encore une fois, sauvegardez le site et chargez-le sur un site de test local sur votre propre PC pour vérifier que la mise à jour de WordPress ne casse pas votre site avant de le mettre à jour sur votre site Web en direct.

3. Profitez des fonctions de sécurité gratuites de votre hébergeur. La plupart des hébergeurs offrent une variété de services de sécurité gratuits pour les sites que vous y hébergez. Ils le font parce que cela protège non seulement votre site, mais également la sécurité de l'ensemble du serveur. Ceci est particulièrement important lorsque vous êtes sur un compte d'hébergement partagé où d'autres clients ont des sites Web sur le même serveur.

Ceux-ci incluent souvent des installations de sécurité SSL gratuites^{(free SSL security)} pour votre site, des sauvegardes gratuites^{(free backups)} , la possibilité de bloquer les adresses IP malveillantes et même un scanner de site gratuit qui analysera régulièrement votre site à la recherche de tout code malveillant ou vulnérabilité.

Gérer un site Web n'est jamais aussi simple que d'installer WordPress et de simplement publier du contenu. Il est important de rendre votre site Web WordPress aussi sécurisé que possible. Tous les conseils ci-dessus peuvent vous aider à le faire sans trop d'effort.

How to Make a WordPress Site Secure

Launching your own WordPreѕs site these days is pretty easy. Unfоrtunately, it won’t take long for hackers to start targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 façons de trouver le mot de passe le plus sécurisé

• Votre application de messagerie est-elle vraiment sécurisée ?

• 3 façons de prendre un Photo or Video sur un chromebook

• Comment 08932008 ou Spying Software

• Plat Panel Display Technology Demystified: TN, IPS, VA, OLED et plus

• Ne peut pas Schedule un Uber à Advance? Voici de quoi faire

• Comment envoyer un Anonymous Text Message qui ne peut pas Be Traced Back à vous

• Comment 08498087 à Word, Google Docs and Outlook

• Comment faire en 6 Wired Printer Wireless Toute Different ​​façons

• Comment Post Un article sur Linkedin (et Best Times à Post)

• Comment diviser un Clip dans Adobe Premiere Pro

• Comment scinder le Screen sur un chromebook

• 8 Ways pour développer votre Facebook Page Audience

• Qu'est-ce que Discord Streamer Mode and How pour le mettre en place

• Votre Computer Randomly Turn sur lui-même?

• 10 Best Ways à Child Proof Your Computer

• Comment prendre un Screenshot sur Steam

• OLED vs MICROLED: Devriez-vous attendre?

• Comment désactiver un Facebook Account au lieu de la supprimer

• DVI vs HDMI vs DisplayPort - Qu'est-ce que vous devez savoir