Sécurité WordPress : 8 étapes pour sécuriser votre site Web contre les pirates

La sécurité des sites Web est un problème sérieux, mais beaucoup ne savent peut-être pas à quel point cela peut être grave. Lorsque vous apprenez que pas moins de 50 000 sites Web uniques sont piratés quotidiennement, vous commencerez à avoir une idée de ce problème.

Le problème est que la majorité des sites Web fonctionnent aujourd'hui sur la plate-forme WordPress. Cela signifie qu'un grand pourcentage des sites Web tombant sur les pirates sont basés sur WordPress.

Alors que WordPress lui-même a fait de son mieux pour s'assurer que les sites exécutés sur leur CMS sont sûrs, des erreurs peuvent se produire. Dans cet article, nous allons parler de la façon de s'assurer que cela n'arrive pas.

Avant cela, cependant…

Pourquoi avez-vous besoin de la sécurité WordPress en premier lieu ?

Selon le sujet de votre site Web, de nombreux problèmes peuvent survenir lorsque quelqu'un enfreint votre sécurité. Certains d'entre eux sont :

• Téléchargement d'un logiciel malveillant – Un pirate peut télécharger un logiciel malveillant sur les serveurs de votre site Web pour différentes raisons.

Ils pourraient l'utiliser pour récolter des données et des informations sur votre site Web et sur la façon dont vous le gérez pour une raison ou une autre. Ils pourraient même faire en sorte qu'un tel logiciel malveillant se télécharge automatiquement sur les ordinateurs de vos visiteurs.

Cela détruit non seulement votre bonne volonté avec les visiteurs du site Web, mais place également votre site Web sur la liste noire. Il serait presque impossible de regagner votre réputation lorsque cela se produit.

• Vol d'informations sur les utilisateurs - Si votre site Web est tel qu'il stocke des informations sur les utilisateurs (profils contenant des noms, date de naissance, âge, sexe, etc.), cela sera important pour les pirates.

Ils peuvent récolter ces données et les vendre sur le Web noir, à des sociétés d'exploration de données ou à d'autres personnes intéressées. Cela a constitué une violation des données que les utilisateurs vous ont soumises en toute confiance et rompt votre promesse de protéger leurs données.

• Voler des informations financières - Ceci est très courant sur les sites Web WordPress utilisés pour gérer une boutique en ligne. Parfois, il peut ne pas s'agir d'un site Web strictement basé sur le commerce électronique, mais d'un site Web qui vend une offre ou l'autre.

Lorsque cela se produit, les pirates ont tout ce dont ils ont besoin pour arnaquer tous ceux qui ont déjà soumis leurs informations de carte de crédit/de paiement sur votre site Web. Outre le fait que cela mettra beaucoup de vos clients mal à l'aise, ils ne seront pas ravis d'acheter à nouveau chez vous s'ils savent que l'infraction vient de vous.

• Manipulation de vos revenus - Votre site Web pourrait générer des revenus à partir de sources d'affiliation, de flux publicitaires et bien plus encore. Si un pirate informatique y accède, il peut modifier les détails de votre affilié/annonce/source de revenus et détourner vos ventes de son côté.

Ils pourraient même modifier vos comptes destinataires et obtenir vos revenus sur leurs propres comptes.

Bien sûr, ce ne sont là que quelques-unes des choses qui pourraient mal tourner lorsque votre site Web WordPress n'est pas aussi sécurisé que possible. Il existe de nombreuses autres raisons pour lesquelles les pirates pourraient vouloir accéder à votre site Web. Il vous incombe donc de vous assurer qu'ils ont du mal à le faire.

Sécuriser votre site WordPress

Vous voulez retirer votre site Web de la liste des cibles faciles pour les pirates ? Voici certaines choses que vous pouvez faire :

1. Sécurisez votre page de connexion

Avant que votre site Web ne puisse être piraté, le pirate doit accéder à la page d'administration. Si vous optez pour les paramètres par défaut de WordPress, tout ce qu'ils ont à faire est d'ajouter un / wp-admin ou /wp-login.php à la fin de votre nom de domaine et ils se trouvent sur la page d'administration.

Sans même le savoir, vous leur avez facilité une étape.

Pour contourner ce problème, personnalisez votre page de connexion pour qu'elle n'apparaisse qu'avec une adresse spécialement désignée. De cette façon, vous pouvez rester hors de la grille pour la plupart des pirates.

2. Mettre en place des verrouillages de sites Web

Les attaques par force brute prospèrent grâce à la possibilité d'essayer plusieurs mots de passe jusqu'à ce qu'ils obtiennent le bon. Cela donne aux pirates la liberté d'essayer de nombreuses combinaisons possibles avant de pénétrer dans votre tableau de bord.

Un moyen simple de contrer cela consiste à spécifier le nombre de tentatives infructueuses qu'un utilisateur peut avoir avant d'être bloqué hors de la zone d'administration.

La meilleure partie de ce mouvement est que vous êtes également averti lorsqu'une telle activité est enregistrée, ce qui vous aide à garder un navire plus serré. De nombreux plugins de pare-feu et de sécurité WordPress qui vous permettent de le faire.

Cela vaut peut-être le coup d'oeil.

3. Choisissez un bon hébergeur

Ne faites pas partie de ceux qui croient que les sociétés d'hébergement relativement chères vous font payer pour le nom de la marque. Le plus souvent, ce sont eux qui vous offrent plusieurs couches de sécurité par rapport aux options les moins chères.

Outre les avantages supplémentaires liés au paiement de ces dollars supplémentaires, vous bénéficiez également d'une meilleure sécurité pour tous vos efforts. Si vous n'avez aucune idée sur le choix du bon hébergement, vous pouvez suivre notre guide ultime sur la façon de choisir un hébergement WordPress.

4. Éloignez-vous des thèmes annulés

WordPress contient une multitude de thèmes payants et gratuits à utiliser sur votre site Web. Ces thèmes ont été conçus et codés par des développeurs hautement qualifiés qui savent ce qu'ils font. Les thèmes ont également été testés par WordPress pour s'assurer qu'ils sont conformes aux normes de configuration.

Cependant, certains sites Web proposent gratuitement une version fissurée/annulée des thèmes payants. Cela peut sembler une bonne affaire jusqu'à ce que vous appreniez que le thème fissuré contient du code malveillant qui pourrait gravement nuire à votre site Web. Consultez notre guide sur la façon de choisir un thème parfait pour votre site.

5. Désactiver l'édition de fichiers

Par défaut, votre site WordPress dispose d'une fonction d'éditeur de code qui vous permet d'apporter des modifications au thème et aux plugins. Vous pouvez le trouver en accédant au tableau de bord de l' éditeur sous Apparences ou Plugins .

Lorsque des pirates accèdent à votre site, ils peuvent y insérer des codes malveillants - et vous ne le saurez même pas avant qu'il ne soit trop tard.

La meilleure façon de contrer de telles attaques jusqu'à ce que vous trouviez que quelque chose ne va pas est de désactiver la possibilité de modifier les plugins et le thème.

6. Mettez à jour votre site Web

L'une des choses les plus simples que vous puissiez faire pour protéger votre site Web WordPress est de vous assurer qu'il reste mis à jour de temps en temps.

Lorsqu'une nouvelle mise à jour arrive, cela signifie que les développeurs ont trouvé une faille qu'ils ont jugée suffisamment importante pour être corrigée. Ne pas combler cet écart vous rendra vulnérable à la faille qu'ils ont vue, ce qui permettra à quelqu'un qui sait contourner une telle faille de vous exploiter facilement.

Il en va de même pour les plugins ainsi que pour PHP - ils peuvent également être mis à jour et doivent être mis à jour dès que vous recevez la notification. Voici notre guide sur la mise à niveau d'un site WordPress vers la dernière version de PHP.

Attention, avant de faire toute mise à jour sur votre site WordPress, il est fortement recommandé de créer une sauvegarde de l'ensemble de votre site.

7. Désactivez la fonctionnalité XML-RPC

Le déploiement de WordPress s'accompagne d'une inclusion automatique de la fonctionnalité XML-RPC.

Ce serait méchant avec cet ajout si on ne regardait pas ses bons côtés. Après tout, c'est ce qui facilite la connexion transparente de votre compte WordPress à vos applications mobiles et de bureau.

Cependant, cela permet également aux attaques par force brute de se produire à un rythme beaucoup plus rapide.

Par exemple, un pirate informatique n'aurait pas besoin de deviner 500 mots de passe lorsque cette fonctionnalité est activée. Il leur suffit de faire une cinquantaine de requêtes avec la fonction system.multicall et ils pourront essayer des milliers de mots de passe dans le même laps de temps.

La solution simple à cela serait de désactiver la fonctionnalité, surtout si vous ne l'utilisez pas.

8. Déconnectez les utilisateurs inactifs

Ce n'est pas à chaque fois qu'un pirate a besoin d'accéder à votre site Web à partir d'un emplacement distant. Si vous avez plusieurs utilisateurs sur votre site Web, un tel pirate peut simplement flâner jusqu'à ce que l'utilisateur quitte son ordinateur.

C'est pourquoi vous ne devez jamais laisser quelqu'un rester inactif trop longtemps dans la zone du tableau de bord. Si vous avez observé de nombreux sites Web bancaires et financiers, il s'agit du même modèle qu'ils utilisent pour protéger les données de leurs utilisateurs.

L'un des moyens d'y parvenir consiste à installer le plug-in Idle User Logout. Configurez-le pour indiquer le temps que vous souhaitez que chaque utilisateur passe inactif avant de devoir se reconnecter, et vous êtes prêt à partir.

Après tout ce qui a été dit, il est bon de se préparer au pire. Bien que vous deviez avoir implémenté ce qui précède, assurez-vous de sauvegarder votre site Web de temps en temps, vous pouvez le faire facilement en utilisant un plugin de sauvegarde gratuit comme notre plugin de sauvegarde WPvivid. De cette façon, vous pouvez toujours restaurer à partir du dernier point de sauvegarde si quelque chose se passe.

Nous ne l'espérons pas pour vous, cependant.

Vous avez d'autres conseils que vous utilisez pour sécuriser votre site Web WordPress que nous n'avons pas mentionnés ici ? Faites-nous en part dans les commentaires.

Cet article a couvert les étapes les plus essentielles pour la protection WordPress, nous avons également créé un guide ultime sur la façon de sécuriser un site WordPress sous tous les aspects dont vous pourriez également avoir besoin.