WordPress Security : Le guide ultime pour sécuriser un site WordPress

La cybercriminalité atteint un niveau record avec des pirates et des logiciels malveillants qui se déchaînent dans le vaste paysage en ligne. Google met sur liste noire plus de 20 000 sites Web pour avoir des logiciels malveillants et plus de 50 000 sites Web comme sites Web de phishing potentiels - chaque semaine ! Laissez les chiffres s'enfoncer un instant. Et donc, aux fins de cette lecture, nous avons élaboré un guide complet pour vous aider à améliorer votre sécurité WordPress.

Vous voyez, si votre site Web ne respecte pas les meilleures pratiques de sécurité, vous laisserez votre site et tout son contenu susceptibles d'être piratés. Mais ce n'est pas seulement votre contenu qui est en jeu, car les sites Web non sécurisés sont également pénalisés par les algorithmes de recherche de Google.

Les pirates et les logiciels malveillants ne sont pas seulement dangereux pour le contenu de votre site Web, ils constituent également une menace pour les personnes visitant votre site Web. Et donc, si vous ne respectez pas les consignes de sécurité de base – ce qui est d'ailleurs très simple à faire – Google vous rétrogradera sur le SERP (Search Engine Results Page).

Heureusement, les utilisateurs de WordPress ont accès à des plugins dédiés et à une interface ultra-intuitive qui peuvent aider à augmenter considérablement votre sécurité WordPress. Donc, sans vous faire attendre plus longtemps, voici nos 10+ meilleures façons d'améliorer votre sécurité WordPress :

Les 10 meilleures façons d'améliorer votre sécurité WordPress

1. Installez les plugins de sauvegarde

Le concept ici est assez simple - il vaut mieux être en sécurité maintenant que désolé plus tard !

En sauvegardant votre contenu en ligne et votre base de données, tout est conservé en toute sécurité, même dans le cas malheureux de devenir la proie de pirates et de logiciels malveillants. Cela fait de l'installation d'un plugin de sauvegarde le premier chapitre WordPress security 101 et le place en haut de la liste des priorités.

Un plugin de sauvegarde comme notre plugin de sauvegarde WPvivid peut effectuer des sauvegardes de routine automatiques de l'ensemble de votre site Web WordPress, y compris la base de données. Vous pouvez le configurer pour programmer les sauvegardes de manière hebdomadaire ou quotidienne. Les données sauvegardées sont généralement stockées sur une plate-forme de stockage en nuage distincte, soit fournie par le plug-in lui-même, soit parmi les différentes plates-formes déjà existantes telles que Google Drive, Amazon S3, Dropbox, etc.

Désormais, si ultérieurement votre site tombe en panne à cause de logiciels malveillants ou de pirates informatiques, toutes vos données seront toujours accessibles et vous pourrez restaurer les sauvegardes sur votre site Web pour le remettre dans son état de fonctionnement antérieur. N'oubliez pas de dissimuler les vulnérabilités de sécurité que les pirates ou les logiciels malveillants ont utilisées pour accéder à votre site Web afin que cela ne se reproduise plus.

Cela étant dit, si vous recherchez des recommandations sur le plugin de sauvegarde en plus de notre plugin de sauvegarde WPvivid à utiliser pour améliorer votre sécurité WordPress, voici quelques options :

• UpDraftPlus
• BackWPup

2. Installez un plugin de pare-feu pour surveiller votre site WordPress

Semblable au logiciel de pare-feu que vous avez configuré sur votre ordinateur de bureau/portable, un plug-in de pare-feu surveillera le trafic entrant et empêchera les menaces de sécurité courantes d'atteindre votre site Web WordPress.

Les plugins se réfèrent généralement à une base de données composée de signatures malveillantes et d'adresses IP sur liste noire pour analyser les menaces potentielles sur votre site Web et les bloquer immédiatement.

Comme vous pouvez le voir, c'est aussi simple que d'installer un plugin WordPress mais améliore votre sécurité WordPress en empêchant les pirates, les logiciels malveillants, les vers et les virus d'entrer sur votre site Web.

3. Définir un mot de passe fort pour la connexion administrateur

Lorsque vous y réfléchissez, l'accès à votre tableau de bord WordPress n'est pas si important. Il est de notoriété publique que l'ajout de "/wp-admin" à la fin de l'URL d'un site WordPress amène l'utilisateur à la page de connexion de l'administrateur. Ici, la seule chose qui limite l'accès au backend du site Web est simplement de deviner le nom d'utilisateur et le mot de passe.

Maintenant, puisque le nom d'utilisateur "admin" est presque toujours associé à un site Web WordPress, la seule chose que le pirate doit faire est de deviner le mot de passe et il aura alors un accès direct à tout le contenu et les données de votre site Web. Une chose effrayante à imaginer n'est-ce pas?

Avec tout cela en considération, l'amélioration de sécurité WordPress la plus évidente que vous puissiez utiliser est de rendre votre mot de passe extrêmement complexe et difficile à déchiffrer, même par la force brute. Cela inclut la création de mots de passe plus longs avec au moins 10-12 caractères. N'oubliez pas non plus d'utiliser des majuscules, des minuscules, des chiffres et des caractères spéciaux dans votre mot de passe.

Et juste pour ne pas l'oublier vous-même, écrivez-le quelque part où vous savez qu'il sera sûr et sécurisé.

4. Personnalisez le nom d'utilisateur de l'administrateur

Semblable à la modification du mot de passe de votre connexion administrateur WordPress, vous devriez également envisager de modifier le nom d'utilisateur par défaut facilement prévisible - admin. Alors maintenant, le pirate doit déchiffrer le mot de passe avec le nom d'utilisateur correct pour accéder au backend de votre site, ce qui augmente de manière exponentielle votre sécurité WordPress.

Mais cela étant dit, changer le nom d'utilisateur par défaut de l'administrateur est quelque peu difficile. Tout d'abord, vous devez vous connecter à votre backend WordPress > Utilisateur > Ajouter un nouvel utilisateur , puis créer un nouvel utilisateur (avec le nouveau nom d'utilisateur) avec le rôle d'utilisateur défini sur - Administrateur . Une fois cela fait, connectez-vous avec le nouveau compte d'utilisateur et supprimez le compte d'utilisateur "admin" par défaut, forçant les pirates non seulement à déchiffrer le mot de passe correct, mais également votre nouveau nom d'utilisateur. Alternativement, vous pouvez gérer et modifier les rôles d'utilisateur à l'aide d'un plug-in d'éditeur de rôle d'utilisateur.

5. Personnalisez l'URL de connexion

Jusqu'à présent, nous avons expliqué comment rendre difficile pour les pirates de deviner vos informations d'identification de connexion au backend WordPress. Mais, une tactique de sécurité WordPress encore meilleure serait de refuser complètement l'accès des pirates à votre écran de connexion.

Comme mentionné précédemment, l'URL par défaut de la page de connexion principale de votre site Web implique l'URL de votre site Web suivie de "/wp-admin". Cependant, saviez-vous que vous pouvez personnaliser la dernière partie de l'URL de connexion de votre site Web avec n'importe quelle chaîne alphanumérique différente que vous pouvez imaginer, comme - "/ zero-hackers-allowed".

Cependant, notez qu'il ne s'agit pas d'une fonctionnalité par défaut du CMS (Content Management System), et vous devrez installer un plugin WordPress comme WPS Hide Login pour vous aider. Une fois installé et activé, le plugin vous permettra de changer l'URL de connexion afin que les pirates ne puissent pas accéder facilement à la page wp-login.php et au répertoire wp-admin.

À l'heure actuelle, non seulement nous avons rendu difficile pour les pirates de deviner la bonne combinaison de mot de passe et de nom d'utilisateur pour accéder à notre site, mais nous avons également efficacement masqué la page de connexion des regards indiscrets. Comme vous pouvez l'imaginer, cela augmente considérablement la sécurité de votre WordPress et rend les attaques par force brute pratiquement impossibles.

6. Définir un mot de passe fort pour l'utilisateur de la base de données

Si votre site Web compte plusieurs utilisateurs, dont certains ont un accès direct à votre base de données ou à d'autres informations sensibles, assurez-vous qu'ils définissent des mots de passe forts pour leurs comptes. Les pirates sont également susceptibles d'essayer d'accéder à votre site Web en exploitant les autres utilisateurs de votre site Web. Dans cet esprit, toute extrémité libre est une vulnérabilité potentielle et une menace pour la sécurité.

Vous pouvez obliger les utilisateurs à attribuer un mot de passe fort à leurs comptes en suivant les étapes mentionnées précédemment. Alternativement, vous pouvez utiliser des plugins tiers pour forcer les utilisateurs à créer un mot de passe fort pour terminer leur processus de création de compte.

7. Activer SSL (HTTP vers HTTPS)

SSL, abréviation de Secure Sockets Layer, est le protocole de sécurité standard sur Internet qui crée une connexion cryptée entre le client et le serveur. Une fois activé, vous remarquerez que le texte HTTP au début de votre URL est remplacé par HTTPS ou HTTP sécurisé. En activant un certificat SSL, vous empêchez les pirates de siphonner des données pendant leur transmission entre le serveur et le client.

Google prend également la certification SSL très au sérieux. Par exemple, les sites Web qui sont toujours sur HTTP sont affichés comme "non sécurisés" sur le navigateur Google Chrome. De plus, ils sont également pénalisés par leur algorithme de moteur de recherche. En revanche, le HTTPS des sites Web certifiés SSL est attribué par le moteur de recherche. Par conséquent, nous avons mis l'installation d'un SSL comme première étape pour référencer un nouveau blog WordPress.

Ces deux points devraient être une raison suffisante pour vous d'installer un certificat SSL sur votre site Web - surtout si vous considérez que ce n'est pas si compliqué. Tout d'abord, la plupart des services d'hébergement Web populaires incluent un certificat SSL gratuit. Et au cas où vous n'en auriez pas eu gratuitement, vous pouvez le faire facilement en utilisant Let's Encrypt .

Vous avez même accès à un plugin WordPress SSL dédié – Really Simple SSL pour transformer HTTP en HTTPS et améliorer votre sécurité WordPress.

8. Déplacer wp-config vers un niveau supérieur au répertoire racine

Par défaut, wp-config.php se trouve dans le même dossier que votre blog/site WordPress. Cela peut être un cauchemar pour la sécurité car le fichier contient le nom d'utilisateur, le mot de passe, les clés d'authentification WordPress et d'autres données sensibles de votre base de données MySQL.

Si quelqu'un met la main sur ce fichier, il a alors un contrôle total sur chaque détail de votre site Web. C'est pourquoi même le codex WordPress recommande aux utilisateurs de déplacer wp-config.php du répertoire racine par défaut vers un dossier de niveau supérieur qui n'a pas d'accès public.

Cela peut être facilement réalisé en incluant l'extrait de code suivant dans le dossier .htaccess :

 <fichiers wp-config.php>

ordonner autoriser, refuser

refuser de tous

</fichiers>

Comme vous pouvez le voir, cela implique de jouer avec les fichiers de base de votre site Web WordPress, et il est donc conseillé de faire une sauvegarde avant de poursuivre cette étape.

9. Empêcher de répertorier le répertoire avec .htaccess lorsqu'un dossier n'a pas de fichier index.php

La liste des répertoires, également connue sous le nom de navigation dans les répertoires, permet à tout utilisateur de visualiser le contenu de dossiers individuels (répertoires) sur votre site Web. Comme vous pouvez l'imaginer, cela pose de grands problèmes de sécurité, car les pirates peuvent parcourir sans effort tous vos différents fichiers et localiser les vulnérabilités potentielles pour pénétrer dans votre site Web.

Désormais, pour défendre le CMS WordPress, certains répertoires contiennent des fichiers index.php que le serveur exécute/charge instantanément lorsque quelqu'un entre dans le dossier. Cela empêche les spectateurs de parcourir vos répertoires et d'accéder à la structure de votre site.

Mais que se passe-t-il si le fichier index.php n'est pas présent ?

Même dans ce cas, les problèmes peuvent être facilement résolus en apportant une modification mineure au fichier .htaccess. Tout ce que vous avez à faire est simplement d'ajouter la ligne suivante à la fin du .htaccess et de l'enregistrer.

 Options Tous -Index

Une fois cela fait, si un utilisateur essaie d'accéder à l'un de vos répertoires qui n'a pas de fichier index.php, il affichera une erreur 403 accès interdit ou 404 page introuvable à l'utilisateur.

10. Mettez régulièrement à jour WordPress

WordPress est immensément populaire, alimentant plus de 30% de tous les sites Web sur le World Wide Web. Cela fait du CMS la cible privilégiée des pirates et des acteurs malveillants. Ils sont toujours occupés à trouver des failles de sécurité et des failles dans le code qu'ils peuvent exploiter pour accéder aux données de votre site.

De même, l'équipe de développement de WordPress recherche également activement des bogues et des failles de sécurité, afin de pouvoir les corriger avant que les pirates ne les exploitent. Par conséquent, la mise à niveau vers la dernière version de WordPress ne consiste pas simplement à accéder à de nouvelles fonctionnalités et fonctionnalités, mais également à s'assurer que le code ne présente pas de failles que les pirates pourraient exploiter.

Maintenant, une fois qu'une nouvelle mise à jour de WordPress est publiée, le monde entier, y compris les pirates, peut en apprendre davantage sur les vulnérabilités de sécurité qui étaient présentes dans la version précédente. Si vous tardez à mettre à niveau votre site rapidement vers la dernière itération, les pirates peuvent tirer parti des vulnérabilités de sécurité désormais connues de votre site, ce qui rend votre sécurité WordPress beaucoup plus faible qu'auparavant. En outre, étant donné que WordPress est construit avec PHP, il est également important de mettre à niveau votre site WordPress vers la dernière version de PHP pour améliorer les performances et la sécurité de votre site Web. N'oubliez pas de faire une sauvegarde complète de votre site avant de faire une mise à jour !

11. Supprimer le numéro de version de WordPress

Bien que vous deviez toujours mettre à jour votre site Web WordPress dès qu'une nouvelle mise à jour du CMS est publiée, mais parfois, ce n'est pas la meilleure décision que vous puissiez prendre. Certaines raisons possibles du retard de la mise à niveau du site peuvent être dues à une mise à jour boguée, à des problèmes de compatibilité avec vos plugins et thèmes actuels, etc.

Cependant, comme nous venons de le dire, le report de la mise à niveau vous expose à une pléthore de menaces de sécurité et de tentatives de piratage. Mais cela peut être évité si vous pouvez supprimer le numéro de version WordPress de votre site Web. C'est pourquoi les pirates ne sauront pas de manière imminente que votre site fonctionne sur une version plus ancienne, ce qui réduit vos chances d'être exploité par les failles de sécurité nouvellement découvertes.

Maintenant, pour supprimer le numéro de version WordPress de votre site Web, vous devez vous diriger vers le fichier functions.php et entrer l'extrait de code suivant :

 fonction remove_wordpress_version() {
revenir '';
}
add_filter('the_generator', 'remove_wordpress_version');

Cela supprimera le numéro de version de WordPress de votre fichier principal et de votre flux RSS, en veillant à ce qu'il n'y ait aucun moyen pour les pirates de deviner quelle version de WordPress vous utilisez.

En conclusion

Voici donc quelques-uns de nos conseils et astuces recommandés pour améliorer votre sécurité WordPress. Nous espérons que vous avez trouvé cette lecture utile et qu'elle a été une ressource utile pour rendre votre site plus sûr et sécurisé.

Comme vous pouvez le constater, la plupart des améliorations peuvent être apportées en suivant simplement une ou deux étapes de base et en installant des plugins de sécurité. Maintenant, il y a certains aspects techniques dont vous devez également vous occuper. Cependant, vous n'avez pas à vous en préoccuper si vous débutez avec votre blog/site Web WordPress.

Mais au fur et à mesure que votre site grandit, sachez que les pirates feront plus d'efforts pour s'introduire et causer des problèmes. En tant que tel, tenez-vous toujours au courant des dernières tendances en matière de sécurité, sans oublier de couvrir toutes les étapes techniques décrites ci-dessus, comme le déplacement de votre fichier wp-config et le mot de passe protégeant votre base de données.

Avec tout cela en contexte, les utilisateurs expérimentés sont encouragés à se pencher sur la conversation et à ajouter leurs tactiques personnelles pour s'assurer que leur site est exempt de pirates et de logiciels malveillants. Vos collègues lecteurs bénéficieront grandement de vos informations et cela pourrait les aider à protéger leur site contre les cybermenaces potentielles.

Au cas où vous seriez également intéressé, voici notre guide complet sur la façon de monétiser un blog.