Cependant, au fur et à mesure de sa croissance, les pirates en ont pris note et commencent à cibler spécifiquement les sites WordPress. Quels que soient les types de contenu fournis par votre site, vous ne faites pas exception.
Si vous ne prenez pas certaines précautions, vous pourriez être piraté. Comme tout ce qui concerne la technologie, vous devez vérifier la sécurité de votre site Web.
Dans ce didacticiel, nous partagerons nos 10 meilleurs conseils pour sécuriser votre site Web WordPress.
Sommaire
8 choses essentielles à faire pour sécuriser son site web WordPress
1) Choisir un fournisseur d’hébergement fiable
Le moyen le plus simple de sécuriser votre site est d’utiliser un fournisseur d’hébergement qui fournit un service de qualité.
Il peut sembler tentant de choisir un fournisseur d’hébergement bon marché, après tout, économiser de l’argent sur l’hébergement de votre site Web signifie que vous pouvez le dépenser ailleurs au sein de votre organisation. Cependant, ne vous laissez pas tenter par cette voie.
Cela peut causer et provoque souvent des choses négatives. Vos données pourraient être complètement effacées et votre URL pourrait commencer à être redirigée ailleurs.
Payer un peu plus pour une société d’hébergement de qualité signifie que des couches de sécurité supplémentaires sont automatiquement attribuées à votre site Web. Un avantage supplémentaire, en utilisant un bon hébergement WordPress, vous pouvez considérablement accélérer votre site WordPress.
2) Opter pour un thème premium
Les thèmes premium WordPress ont l’air plus professionnels et ont plus d’options personnalisables qu’un thème gratuit. Mais on pourrait dire que vous en avez pour votre argent. Les thèmes Premium sont codés par des développeurs hautement qualifiés et sont testés pour passer plusieurs contrôles WordPress dès la sortie de la boîte.
Il n’y a aucune restriction sur la personnalisation de votre thème et vous bénéficierez d’une assistance complète en cas de problème sur votre site. Surtout, vous obtiendrez des mises à jour régulières des thèmes, mais il existe quelques sites qui fournissent des thèmes annulés ou fissurés.
La version piratée d’un thème premium, disponible via des moyens illégaux, sont également très dangereux pour votre site.
Ces thèmes contiennent des codes malveillants cachés, qui pourraient détruire votre site Web et votre base de données ou enregistrer vos informations d’identification d’administrateur.
Bien qu’il puisse être tentant d’économiser quelques dollars, évitez toujours les thèmes piratés.
3) Mettre en place des plugins de sécurité
C’est un travail fastidieux de vérifier régulièrement la sécurité de votre site Web à la recherche de logiciels malveillants, et à moins que vous ne mettiez régulièrement à jour vos connaissances sur les pratiques de codage, vous ne réaliserez peut-être même pas que vous regardez un logiciel malveillant écrit dans le code.
Heureusement, d’autres ont réalisé que tout le monde n’est pas développeur et ont mis en place des plugins de sécurité WordPress pour les aider.
Un plugin de sécurité s’occupe de la sécurité de votre site, scanne les logiciels malveillants et surveille votre site 24/7 pour vérifier régulièrement ce qui se passe sur votre site.
Malcare est un excellent plugin de sécurité WordPress. Il offre un audit des activités de sécurité, une surveillance de l’intégrité des fichiers, une analyse à distance des logiciels malveillants, une surveillance de la liste noire, un renforcement efficace de la sécurité, des actions de sécurité post-piratage, des notifications de sécurité et même un pare-feu de site Web (pour une prime).
4) Avoir un mots de passe complexe
Si vous utilisez un mot de passe simple, par exemple «123456, abc123, mot de passe», vous devez immédiatement changer votre mot de passe. Bien que ce mot de passe puisse être facile à retenir, il est également extrêmement facile à deviner.
Un utilisateur avancé peut facilement déchiffrer votre mot de passe et entrer sans trop de tracas.
Il est important que vous utilisiez un mot de passe complexe, ou mieux encore, un mot de passe généré automatiquement avec une variété de chiffres, de combinaisons de lettres absurdes et de caractères spéciaux comme “%” ou “^”.
5) Empêcher la modification du code de votre site
Lorsque vous configurez votre site WordPress, il existe une fonction d’éditeur de code dans votre tableau de bord qui vous permet de modifier votre thème et votre plugin.
Il est accessible en allant sur Apparence> Editeur. Une autre façon de trouver l’éditeur de plugin est de passer sous Plugins> Editeur. Une fois votre site en ligne, nous vous recommandons de désactiver cette fonctionnalité.
Si des pirates informatiques accèdent à votre panneau d’administration WordPress, ils peuvent injecter un code subtil et malveillant dans votre thème et votre plugin. Souvent, le code sera si subtil que vous ne remarquerez que rien ne va pas jusqu’à ce qu’il soit trop tard.
Pour désactiver la possibilité d’éditer les plugins et le fichier de thème, collez simplement le code suivant dans votre wp-config.php file.define (‘DISALLOW_FILE_EDIT’, true).
6) Ajouter une certification SSL
Aujourd’hui, une certification SSL (Single Sockets Layer) est bénéfique pour tous les types de sites Web.
Initialement, SSL était nécessaire pour sécuriser un site pour des transactions spécifiques, comme le traitement des paiements. Aujourd’hui, Google a reconnu son importance et fournit aux sites avec un certificat SSL une place plus pondérée dans ses résultats de recherche.
Le SSL est obligatoire pour tous les sites qui traitent des informations sensibles, à savoir les mots de passe ou les détails de carte de crédit. Sans certificat SSL, toutes les données entre le navigateur Web de l’utilisateur et votre serveur Web sont fournies en texte brut. Cela peut être lisible par les pirates.
En utilisant un SSL, les informations sensibles sont cryptées avant d’être transférées entre leur navigateur et votre serveur, ce qui rend la lecture plus difficile et rend votre site plus sécurisé.
Pour les sites Web qui acceptent des informations sensibles, le prix SSL moyen est d’environ 70 $ à 199 $ par an.
Si vous n’acceptez aucune information sensible, vous n’avez pas besoin de payer pour le certificat SSL. Presque toutes les sociétés d’hébergement proposent un certificat SSL Let’s Encrypt gratuit que vous pouvez installer sur votre site.
7) Changer l’URL de connexion à votre dashboard administrateur
Par défaut, pour vous connecter à WordPress, l’adresse est «yoursite.com/wp-admin».
En le laissant par défaut, vous pouvez être la cible d’une attaque par force brute pour déchiffrer votre combinaison nom d’utilisateur / mot de passe.
Si vous acceptez que les utilisateurs s’inscrivent à des comptes d’abonnement, vous pouvez également recevoir de nombreuses inscriptions de spam. P
our éviter cela, vous pouvez modifier l’URL de connexion de l’administrateur ou ajouter une question de sécurité à la page d’inscription et de connexion.
Conseil pro: Vous pouvez protéger davantage votre page de connexion en ajoutant un plugin d’authentification à 2 facteurs à votre WordPress. Lorsque vous essayez de vous connecter, vous devrez fournir une authentification supplémentaire afin d’accéder à votre site – par exemple, il peut s’agir de votre mot de passe et d’un e-mail (ou texte). Il s’agit d’une fonction de sécurité améliorée pour empêcher les pirates d’accéder à votre site.
Astuce de pro 2: Vous pouvez également vérifier quelles adresses IP ont les tentatives de connexion les plus infructueuses, puis vous pouvez bloquer ces adresses IP. Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent.
Bien que cela puisse aider si vous oubliez fréquemment les lettres majuscules, cela vous ouvre également aux attaques par force brute.
En limitant le nombre de tentatives de connexion, les utilisateurs peuvent essayer un nombre limité de fois jusqu’à ce qu’ils soient temporairement bloqués. Les limites de votre chance d’une tentative de force brute lorsque le pirate est verrouillé avant de pouvoir terminer son attaque.
Vous pouvez l’activer facilement avec un plugin de tentatives de limite de connexion WordPress. Après avoir installé le plugin, vous pouvez modifier le nombre de tentatives de connexion via Paramètres> Tentatives de limite de connexion. Si vous souhaitez activer les tentatives de connexion sans plugin, vous pouvez également le faire. Bien qu’il s’agisse d’un processus avancé pour améliorer la sécurité de votre site, si vous êtes sérieux au sujet de votre sécurité, il est recommandé de masquer les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d’y accéder.
Nous recommandons fortement que cette option soit mise en œuvre par des développeurs expérimentés, car il est impératif de faire d’abord une sauvegarde de votre site, puis de procéder avec prudence. Toute erreur peut rendre votre site inaccessible.
Pour masquer les fichiers, après votre sauvegarde, il y a deux choses que vous devez faire: Premièrement, allez sur votre wp-config.php et ajoutez le code suivant, order allow, denydeny from all Dans une méthode similaire, vous ajouterez le code suivant à votre fichier .htaccess, order allow, Denydeny from all.
Bien que le processus lui-même soit très simple, il est important de s’assurer que vous avez la sauvegarde avant de commencer au cas où quelque chose ne va pas dans le processus.
8) Mettre régulièrement votre site web à jour
Garder votre WordPress à jour est une bonne pratique pour garder votre site Web sécurisé. Avec chaque mise à jour, les développeurs apportent quelques modifications, souvent des mises à jour des fonctionnalités de sécurité.
En restant à jour avec la dernière version, vous vous évitez d’être la cible de failles et d’exploits pré-identifiés que les pirates peuvent utiliser pour accéder à votre site.
Il est également important de mettre à jour vos plugins et thèmes pour les mêmes raisons. WordPress télécharge automatiquement les mises à jour mineures. Cependant, pour les mises à jour majeures, vous devrez le mettre à jour directement à partir de votre tableau de bord d’administration WordPress.
Conclusion
La sécurité WordPress est l’une des parties cruciales d’un site Web. Si vous ne maintenez pas votre sécurité WordPress, les pirates peuvent facilement attaquer votre site. Maintenir la sécurité de votre site Web n’est pas difficile et peut être fait sans dépenser un centime. Certaines de ces solutions sont destinées aux utilisateurs avancés, mais si vous avez des questions.
