WordPress est le système de gestion de contenu (CMS) le plus populaire et alimente plus de 30 % des sites web. Cependant, à mesure qu’il se développe, les pirates informatiques en ont pris note et commencent à cibler spécifiquement les sites WordPress.

10 conseils WordPress pour sécuriser votre site web

Quel que soit le type de contenu fourni par votre site, vous ne faites pas exception. Si vous ne prenez pas certaines précautions, vous pourriez être piraté. Comme tout ce qui est lié à la technologie, vous devez vérifier la sécurité de votre site Web.
Dans ce tutoriel, nous allons partager nos 10 meilleurs conseils pour assurer la sécurité de votre site WordPress.

1. Choisissez un bon hébergeur

Le moyen le plus simple de sécuriser votre site est de choisir un hébergeur qui offre plusieurs niveaux de sécurité.
Il peut sembler tentant de choisir un hébergeur bon marché, car après tout, économiser de l’argent sur l’hébergement de votre site web signifie que vous pouvez le dépenser ailleurs dans votre organisation.

Cependant, ne vous laissez pas tenter par cette voie. Cela peut, et c’est souvent le cas, provoquer des cauchemars en cours de route. Vos données pourraient être complètement effacées et votre url pourrait commencer à rediriger vers un autre site.

Payer un peu plus pour un hébergeur de qualité signifie que des couches supplémentaires de sécurité sont automatiquement attribuées à votre site web. Un avantage supplémentaire, en utilisant un bon hébergement WordPress, vous pouvez accélérer de manière significative votre site WordPress.

Bien qu’il existe de nombreuses sociétés d’hébergement, nous recommandons DigitalOcean.HostGator ou Bluehost.

Ils offrent de nombreuses fonctions de sécurité, notamment des analyses quotidiennes des logiciels malveillants et l’accès à une assistance 24 heures sur 24, 7 jours sur 7, 365 jours par an. Pour mettre la cerise sur le gâteau, leurs prix est également raisonnable.

Lecture complémentaire : Avis DigitalOcean (2022) : Le Meilleur Hébergement cloud au monde

2. N’utilisez pas de thèmes nuls :

Les thèmes premium de WordPress ont un aspect plus professionnel et offrent plus d’options de personnalisation qu’un thème gratuit. Mais on pourrait dire que vous en avez pour votre argent. Les thèmes premium sont codés par des développeurs hautement qualifiés et sont testés pour passer plusieurs contrôles WordPress dès leur sortie de la boîte.

Il n’y a aucune restriction sur la personnalisation de votre thème, et vous obtiendrez une assistance complète si quelque chose ne va pas sur votre site. Et surtout, vous bénéficierez de mises à jour régulières de votre thème.
Cependant, il existe quelques sites qui fournissent des thèmes invalides ou piratés.

Un thème nulled ou cracked est une version piratée d’un thème premium, disponible par des moyens illégaux. Ils sont également très dangereux pour votre site. Ces thèmes contiennent des codes malveillants cachés, qui peuvent détruire votre site Web et votre base de données ou enregistrer vos identifiants d’administrateur.


Même s’il peut être tentant d’économiser quelques dollars, évitez toujours les thèmes invalides.

Lecture complémentaire : Divi WordPress : Est-il un des meilleurs thèmes ? Test et verdict !

3. Installez un plugin de sécurité WordPress

Vérifier régulièrement la sécurité de votre site Web à la recherche de logiciels malveillants est une tâche fastidieuse et, à moins que vous ne mettiez régulièrement à jour vos connaissances en matière de codage, vous ne vous rendrez peut-être même pas compte que vous êtes en présence d’un logiciel malveillant écrit dans le code.

Heureusement, d’autres ont réalisé que tout le monde n’est pas un développeur et ont créé des plugins de sécurité WordPress pour vous aider. Un plugin de sécurité prend en charge la sécurité de votre site, recherche les logiciels malveillants et surveille votre site 24 heures sur 24 et 7 jours sur 7 pour vérifier régulièrement ce qui se passe sur votre site.

Wordfence Security est un excellent plugin de sécurité pour WordPress. Il offre un audit de l’activité de sécurité, une surveillance de l’intégrité des fichiers, une analyse à distance des logiciels malveillants, une surveillance des listes noires, un renforcement efficace de la sécurité, des actions de sécurité après le piratage, des notifications de sécurité et même un pare-feu pour les sites Web.

4. Utilisez un mot de passe fort

Les mots de passe sont un élément très important de la sécurité des sites Web et sont malheureusement souvent négligés. Si vous utilisez un mot de passe simple, par exemple “123456, abc123, password”, vous devez immédiatement le changer. Si ce mot de passe est facile à retenir, il est aussi extrêmement facile à deviner. Un utilisateur expérimenté peut facilement craquer votre mot de passe et s’introduire dans le système sans trop de difficultés.
Il est important d’utiliser un mot de passe complexe, ou mieux encore, un mot de passe généré automatiquement avec une variété de chiffres, de combinaisons de lettres insensées et de caractères spéciaux comme % ou ^.

5. Désactiver l’édition de fichiers

Lorsque vous configurez votre site WordPress, il existe une fonction d’édition de code dans votre tableau de bord qui vous permet de modifier votre thème et votre plugin. Vous pouvez y accéder en allant dans Apparence>Editeur. Une autre façon de trouver l’éditeur de plugin est d’aller sous Plugins>Editor.

Une fois que votre site est en ligne, nous vous recommandons de désactiver cette fonction. Si des pirates accèdent à votre panneau d’administration WordPress, ils peuvent injecter un code subtil et malveillant dans votre thème et votre plugin. Souvent, le code sera si subtil que vous ne remarquerez pas que quelque chose ne va pas jusqu’à ce qu’il soit trop tard.

Pour désactiver la possibilité de modifier les plugins et le fichier du thème, il suffit de coller le code suivant dans votre fichier wp-config.php.
define(‘DISALLOW_FILE_EDIT’, true) ;

Désactiver l'édition de fichiers  wordpress

6. Installer un certificat SSL

De nos jours, le certificat SSL (Single Sockets Layer) est utile pour tous les types de sites Web. Au départ, le SSL était nécessaire pour sécuriser un site pour des transactions spécifiques, comme le traitement des paiements.

Aujourd’hui, cependant, Google a reconnu son importance et accorde aux sites dotés d’un certificat SSL une place plus importante dans ses résultats de recherche.

Le SSL est obligatoire pour tous les sites qui traitent des informations sensibles, c’est-à-dire des mots de passe ou des détails de cartes de crédit. Sans certificat SSL, toutes les données entre le navigateur de l’utilisateur et votre serveur Web sont transmises en texte clair.

Cela peut être lu par des pirates. En utilisant un certificat SSL, les informations sensibles sont cryptées avant d’être transférées entre le navigateur et votre serveur, ce qui les rend plus difficiles à lire et rend votre site plus sûr.

7. Modifiez votre URL de connexion à WP

Par défaut, pour se connecter à WordPress, l’adresse est “yoursite.com/wp-admin”. En laissant cette adresse par défaut, vous risquez d’être la cible d’une attaque par force brute visant à craquer votre combinaison nom d’utilisateur/mot de passe.

Si vous acceptez que les utilisateurs s’inscrivent à des comptes d’abonnement, vous risquez également de recevoir un grand nombre d’inscriptions de spam. Pour éviter cela, vous pouvez modifier l’URL de connexion de l’administrateur ou ajouter une question de sécurité à la page d’inscription et de connexion.

  • Conseil de pro : vous pouvez protéger davantage votre page de connexion en ajoutant un plugin d’authentification à 2 facteurs à votre WordPress. Lorsque vous essayez de vous connecter, vous devrez fournir une authentification supplémentaire afin d’accéder à votre site – par exemple, il peut s’agir de votre mot de passe et d’un courriel (ou d’un texte). Il s’agit d’une fonction de sécurité renforcée qui empêche les pirates d’accéder à votre site.
  • Conseil de pro 2 : Vous pouvez également vérifier quelles sont les adresses IP qui ont le plus grand nombre de tentatives de connexion échouées, puis vous pouvez bloquer ces adresses IP.

8. Limiter les tentatives de connexion

Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent. Bien que cela puisse être utile si vous oubliez fréquemment les lettres majuscules, cela vous expose également à des attaques par force brute.

En limitant le nombre de tentatives de connexion, les utilisateurs peuvent essayer un nombre limité de fois jusqu’à ce qu’ils soient temporairement bloqués. Cela limite les risques de tentative de force brute, car le pirate est bloqué avant de pouvoir terminer son attaque.

Vous pouvez activer cette fonction facilement avec le plugin WordPress login limit attempts. Après avoir installé le plugin, vous pouvez modifier le nombre de tentatives de connexion via Paramètres> Tentatives de connexion limitées. Si vous souhaitez activer les tentatives de connexion sans plugin, vous pouvez également le faire. Le tutoriel complet est ici.

10 conseils WordPress pour sécuriser votre site web

Lecture complémentaire : 10+ Meilleurs thèmes WordPress pour les cabinets de conseil et de consulting

9. Masquer les fichiers wp-config.php et .htaccess

Bien qu’il s’agisse d’un processus avancé pour améliorer la sécurité de votre site, si vous êtes sérieux au sujet de votre sécurité, c’est une bonne pratique de cacher les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d’y accéder.

Nous recommandons vivement que cette option soit mise en œuvre par des développeurs expérimentés, car il est impératif de faire d’abord une sauvegarde de votre site et de procéder ensuite avec prudence. Toute erreur pourrait rendre votre site inaccessible.

Pour cacher les fichiers, après votre sauvegarde, il y a deux choses que vous devez faire :
Premièrement, allez dans votre fichier wp-config.php et ajoutez le code suivant ,

ordre allow,deny
deny from all

De manière similaire, vous ajouterez le code suivant à votre fichier .htaccess,

ordre allow,deny
refuser de tous

Bien que le processus en lui-même soit très facile, il est important de s’assurer que vous avez la sauvegarde avant de commencer au cas où quelque chose se passe mal dans le processus.

10. Mettez à jour votre version de WordPress

Garder votre WordPress à jour est une bonne pratique pour assurer la sécurité de votre site Web. À chaque mise à jour, les développeurs apportent quelques changements, qui incluent souvent des mises à jour des fonctions de sécurité. En restant à jour avec la dernière version, vous contribuez à vous protéger contre les failles et les exploits pré-identifiés que les pirates peuvent utiliser pour accéder à votre site.

Il est également important de mettre à jour vos plugins et vos thèmes pour les mêmes raisons.
Par défaut, WordPress télécharge automatiquement les mises à jour mineures. Pour les mises à jour majeures, en revanche, vous devrez les mettre à jour directement à partir de votre tableau de bord d’administration de WordPress.

Conclusion

La sécurité de WordPress est l’une des parties cruciales d’un site web. Si vous ne maintenez pas votre sécurité WordPress, les pirates peuvent facilement attaquer votre site. Maintenir la sécurité de votre site Web n’est pas difficile et peut être fait sans dépenser un centime. Certaines de ces solutions sont destinées aux utilisateurs avancés, mais si vous avez des questions, AmDee se tient à votre disposition. Envoyez-nous un message ou tweetez-nous.

Lectures complémentaires :

Sébastian Magni est un Spécialiste du SEO et Inbound Marketing chez @LCM

0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
1 Commentaire
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires