Comment sécuriser votre site Web : 10 conseils de sécurité WordPress | JustLearnWP.com
Publié: 2019-11-13WordPress alimente désormais des millions de sites Web. Il est très facile de créer plus de 30 types de sites Web différents avec WordPress, il est facile de démarrer avec WordPress.
Mais l'inconvénient de la popularité est qu'elle en fait une cible plus importante pour les pirates. Dans cet article, je vais énumérer quelques bonnes pratiques pour rendre WordPress plus sûr et plus sûr. Vous apprendrez comment rendre votre site Web sécurisé et sécurisé avec quelques bonnes pratiques et plugins WordPress.
WordPress lui-même est un système de gestion de contenu très sécurisé et sûr. Les développeurs WordPress publient la nouvelle version tous les quelques mois. Mais parfois, les pirates peuvent accéder à votre site Web basé sur WordPress.
Les laboratoires Sophos ont découvert que 30 000 nouveaux sites Web sont piratés chaque jour et vous pouvez lire Comment récupérer un site Web WordPress piraté ? pour apprendre plus.
Les versions obsolètes de WordPress, les thèmes et les plugins peuvent être très dangereux. Parfois, les plans d'hébergement partagé bon marché peuvent également causer des dommages. Un mot de passe faible et un nom d'utilisateur facile à deviner ou trop commun sont également une raison de piratage réussi.
10 meilleurs conseils de sécurité WordPress pour sécuriser votre site Web
Voici quelques bonnes pratiques que vous devez absolument suivre pour augmenter la sécurité de votre site WordPress.
1. Utilisez la dernière version de WordPress
La version obsolète de WordPress est très dangereuse. Installez toujours la dernière version de WordPress. Téléchargez la dernière version de WordPress à partir du site Web officiel de WordPress. Si vous avez plusieurs sites Web basés sur WordPress, mettez-les à jour régulièrement.
2. Désactivez la fonction d'édition de fichiers PHP à partir du tableau de bord WordPress.
La plupart des utilisateurs auront besoin d'accéder à la zone d'administration de WordPress, mais ils n'auront pas toujours besoin d'accéder aux fichiers de plug-in ou aux fichiers de thème.
Si vous souhaitez empêcher tout utilisateur d'avoir accès à la modification du thème WordPress ou des fichiers de plug-in dans la zone d'administration de WordPress. Vous pouvez ajouter la ligne de code suivante au fichier wp-config.php pour empêcher quiconque d'accéder au mode d'édition de fichier dans WordPress.
define( 'DISALLOW_FILE_EDIT', true);
3. Activer l'authentification à deux facteurs
L'authentification WordPress à deux facteurs peut rendre votre site Web plus sécurisé et plus sûr. Il existe de nombreux plugins gratuits disponibles pour activer l'authentification à deux facteurs.
La vérification en deux étapes peut rendre votre site Web WordPress plus résistant aux attaques par force brute, même si votre nom d'utilisateur et votre mot de passe WordPress sont compromis, la connexion à votre site Web ne sera pas possible sans le code à six chiffres.
Vous pouvez installer Google Authenticator pour WordPress. C'est un plugin gratuit. Ce plugin utilise l'application Google Authenticator disponible dans Google Playstore.
4. Désactivez la connexion au tableau de bord pour vos clients/abonnés
Il existe diverses raisons pour lesquelles vous pourriez vouloir éloigner les gens de votre tableau de bord. Par exemple, sur un site d'adhésion, vous pouvez désactiver l'accès au panneau WP-Admin.
De nombreux plugins gratuits sont disponibles. WP Masquer le tableau de bord et supprimer l'accès au tableau de bord vous permet de restreindre l'accès au tableau de bord aux administrateurs uniquement ou aux utilisateurs disposant d'une capacité spécifique et de masquer le menu Tableau de bord, la section Options personnelles et le lien Aide.
Lectures complémentaires : Comment récupérer un site WordPress piraté ?
5. Modifier l'URL de connexion au tableau de bord
Si possible, modifiez l'URL de connexion au tableau de bord, par défaut, il s'agit de www.votresite.com/wp-admin, remplacez-la par autre chose. Il existe un certain nombre de plugins WordPress disponibles pour cette tâche.
Renommer wp-login.php est un plugin gratuit populaire pour changer wp-login.php en tout ce que vous voulez. Ce plugin gratuit est également compatible avec tous les plugins qui s'accrochent au formulaire de connexion, y compris BuddyPress, bbPress, Limit Login Attempts et User Switching.
Peter's Login Redirect est un plugin gratuit et populaire. Ce plugin gratuit redirige les utilisateurs vers différents emplacements après la connexion et la déconnexion.
6. Hébergez votre site sur des serveurs dédiés
Choisir un bon hébergement Web est vraiment important. Il existe des milliers de fournisseurs d'hébergement Web disponibles, mais tous n'offrent pas un excellent service. Si vous êtes sérieux au sujet de votre activité de blogging, choisissez un bon fournisseur d'hébergement avec des serveurs dédiés.
7. Limitez le nombre de tentatives de connexion
Brute Force Attack vise à être le type de méthode le plus simple pour accéder à un site : il essaie encore et encore les noms d'utilisateur et les mots de passe jusqu'à ce qu'il entre. Il existe de nombreux plugins gratuits pour limiter les tentatives de connexion sur votre site WordPress.
Le plugin WP Limit Login Attempts limite le taux de tentatives de connexion et bloque temporairement l'IP. Il détecte les bots par vérification captcha.
Limiter les tentatives par BestWebSoft vous permet de limiter le taux de tentatives de connexion par IP et de créer une liste blanche et une liste noire.
8. Stockez le fichier wp-config.php un niveau au-dessus de l'installation de WordPress
Oui! Vous pouvez déplacer le fichier wp-config.php dans le répertoire au-dessus de votre installation WordPress. Cela signifie que pour un site installé à la racine de votre espace web, vous pouvez stocker wp-config.php en dehors du dossier webroot.
Vous pouvez lire Le conseil de sécurité WordPress le plus simple de tous les temps ! sur SitePoint pour en savoir plus.
9. Activer HTTPS pour toutes les connexions et wp-admin
HTTPS est généralement synonyme de paniers d'achat et de services bancaires par Internet, mais en réalité, il doit être utilisé chaque fois qu'un utilisateur transmet des informations sensibles au serveur Web et vice-versa.
Pour vous assurer que les informations d'identification de connexion sont chiffrées pendant le transit vers le serveur Web, définissez la constante suivante dans wp-config.php.
define('FORCE_SSL_LOGIN', true);
Pour vous assurer que les données sensibles en transit (telles que les cookies de session) sont cryptées lors de l'utilisation du panneau d'administration de WordPress, définissez la constante suivante dans wp-config.php.
define('FORCE_SSL_ADMIN', true);
Pour en savoir plus, vous pouvez visiter la page WordPress Administration Over SSL.
Vous pouvez également utiliser le plugin WP Force SSL pour rediriger tout le trafic de HTTP vers HTTPS vers toutes les pages de votre site Web WordPress.
10. Choisissez judicieusement les thèmes tiers et les plugins
Rappelez-vous toujours qu'il n'y a aucune raison de conserver des thèmes et des plugins inutilisés. Pourquoi ouvrir votre site à des problèmes alors que vous n'utilisez même pas de thèmes et de plugins.
Téléchargez et installez toujours des plugins de développeurs et de places de marché de confiance. Supprimez tous les thèmes obsolètes et inutiles. Nous avons créé une liste des meilleurs endroits pour acheter des thèmes WordPress premium auprès de développeurs et de places de marché de confiance.
Le répertoire de thèmes WordPress est le meilleur endroit pour trouver des thèmes gratuits et si vous souhaitez utiliser des thèmes premium, achetez toujours auprès de développeurs et de marchés réputés.
Lectures complémentaires : Comment choisir un thème WordPress gratuit ou premium parfait
Derniers mots
Je sais que ce n'est pas la liste complète, mais j'ai essayé de partager quelques conseils rapides et meilleures pratiques. Vous pouvez également lire ce guide détaillé sur la sécurité de WordPress chez Kinsta. N'hésitez pas à partager vos réflexions dans les commentaires ci-dessous.