Comment sécuriser votre site WordPress - 9 conseils | JustLearnWP.com

Publié: 2020-01-13

WordPress est sans aucun doute le CMS le plus populaire au monde, avec environ la moitié de la part de marché mondiale. Ce n'est pas une surprise étant donné qu'il existe depuis longtemps, et qu'il possède de nombreuses fonctionnalités excellentes que les développeurs adorent.

Cela dit, sa popularité signifie également qu'il est une cible des cyber-attaquants qui s'attaquent aux sites WordPress qui ne sont pas bien protégés. Alors, ne soyez pas la prochaine victime des attaques ciblées par WordPress ! Alors, que faire pour se protéger des pirates. Ne t'en fais pas! Nous avons compilé quelques étapes clés que vous devez suivre pour renforcer votre sécurité WordPress.

Utiliser SSL

SSL signifie Secure Socket Layer et c'est un protocole qui implémente la sécurité client-serveur sur les sites Web et sécurise les données entre le serveur et les navigateurs. Vous pouvez activer la sécurité SSL en installant ce qu'on appelle un certificat SSL. De cette façon, vous serez en mesure de vous protéger, vous et vos utilisateurs, en particulier si votre site traite des données sensibles telles que les informations de carte de crédit, etc.

Let's Encrypt offre des certificats SSL gratuits.

Il existe de nombreux types de certificats SSL que vous pouvez acheter en fonction de votre site Web WordPress. Par exemple, vous pouvez acheter un SSL multi-domaine qui sécurise le domaine principal de votre site ainsi que d'autres domaines et sous-domaines sous celui-ci. L'essentiel est que vous devez acheter le bon SSL pour votre site Web WordPress.

Focus sur le thème et la sécurité des plugins

L'un des moyens les plus simples pour un attaquant d'infiltrer votre site WordPress consiste à utiliser des thèmes et des plugins. Il y a des fonctionnalités que nous aimons avec l'architecture WordPress et malheureusement certains des thèmes sympas et des plugins WordPress ne sont pas gratuits.

Certains développeurs malhonnêtes piratent souvent ces thèmes et plugins donnant un accès gratuit à la communauté. Cela semble être une bonne affaire ? Ce n'est peut-être pas le cas.

La plupart des versions piratées peuvent constituer un risque potentiel pour votre site Web WordPress. Ce n'est pas un casse-tête que les développeurs malhonnêtes procèdent à l'ingénierie inverse de ces produits et vous ne pouvez certainement pas croire qu'ils voudront simplement vous le remettre gratuitement sans y cacher du code malveillant.

En règle générale, vous devez faire attention aux plugins et aux thèmes, qu'ils soient gratuits ou payants. Voici quelques conseils de sécurité à garder à l'esprit lorsqu'il s'agit de plugins et de thèmes WordPress :

  1. Installez uniquement des thèmes et des plugins provenant de sources fiables (plus ils ont d'avis, mieux c'est)
  2. Mettez à jour vos thèmes et plugins chaque fois que de nouvelles versions sont publiées
  3. Désactiver et désinstaller les plugins et thèmes obsolètes

Sécurisez vos mots de passe WordPress

La sécurité des mots de passe est un autre aspect de la sécurité de WordPress qui est souvent ignoré. Il s'agit souvent d'étapes simples comme changer fréquemment vos mots de passe, utiliser des mots de passe longs difficiles à deviner, etc.

En fait, un type d'attaque courant utilisé contre les sites Web WordPress est ce que l'on appelle une attaque par force brute. C'est là qu'un attaquant essaie de deviner vos mots de passe de connexion et ce sera certainement plus facile si vos mots de passe sont faciles à déchiffrer.

  1. Définissez des mots de passe expirants pour les applications sensibles comme la banque
  2. Définissez des sessions pour les utilisateurs de votre site WordPress
  3. Ajouter une couche d'authentification

L'ajout de couches d'authentification est un autre moyen de réduire les risques d'accès de pirates à votre site par le biais d'attaques telles que la force brute. En d'autres termes, vous ne voulez pas que quelqu'un accède à votre site en cassant simplement vos mots de passe et c'est tout !

Vous pouvez ajouter une autre couche de défi pour le rendre encore plus difficile. Un bon exemple est ce que l'on appelle l'authentification à deux facteurs (2FA) où vous pouvez ajouter quelque chose comme une vérification par SMS en plus de la combinaison normale nom d'utilisateur/e-mail-mot de passe.

Modifier votre page de connexion WordPress

Une autre façon de réduire les attaques par force brute et les attaques comme le déni de service (DOS) est de changer vos pages de connexion WordPress par défaut, ce qui rend plus difficile pour les pirates d'essayer d'attaquer votre site.

HideMyWP est un plugin de sécurité très puissant et populaire qui offre de nombreuses fonctionnalités pour sécuriser votre site WordPress.

Changer votre page de connexion WordPress est assez simple. Trouvez simplement un plugin qui personnalise l'URL de connexion, installez-le sur votre WordPress et vous êtes prêt à partir.

Filtrer le trafic vers votre site WordPress

Vous pouvez également protéger votre site Web WordPress en filtrant le trafic, en particulier ceux qui semblent suspects. Par exemple, vous pouvez bloquer le trafic provenant d'endroits où vous n'attendez aucun visiteur.

Vous pouvez limiter les adresses IP pouvant accéder à vos pages de connexion et de tableau de bord WordPress. Encore une fois, il existe de nombreux outils qui peuvent aider à créer de telles règles et restrictions, comme l'utilisation de plugins de pare-feu, l'utilisation du défi CAPTCHA, etc.

Sécurisez vos fichiers et votre base de données WordPress

Un hébergeur tiers aidera à sécuriser votre site au niveau de l'hébergement, mais vous aurez encore du travail à faire sur votre site pour sécuriser vos fichiers WordPress. Par exemple, vous devez vous assurer que les autorisations de fichier sont correctes pour éviter les failles de sécurité. Voici d'autres moyens de sécuriser vos fichiers WordPress et votre base de données :

  1. Changer le préfixe de la base de données par défaut
  2. Désactivez l'exécution des fichiers PHP pour empêcher l'exécution de code malveillant sur le backend,
  3. Désactiver la navigation dans les répertoires
  4. Masquer les fichiers wp-config.php et .htaccess

Attribuer des privilèges d'utilisateur appropriés

Chaque utilisateur de votre équipe doit se voir attribuer des privilèges en fonction de ses rôles. De cette façon, vous empêchez uniquement les vulnérabilités ciblant vos utilisateurs WordPress. Les privilèges WordPress de haut niveau ne doivent être attribués qu'aux utilisateurs qui peuvent assumer et protéger cette responsabilité.

Sauvegardez votre site WordPress

Enfin, sauvegardez régulièrement votre site pour vous assurer de disposer d'un point de récupération en cas de situation indésirable. Il existe des plug-ins de sauvegarde tiers, un hébergeur Web, un service de maintenance de site Web et des moyens manuels qui vous aideront à effectuer des sauvegardes régulières.

JetPack est l'un des meilleurs plugins pour sauvegarder et sécuriser votre site Web, s'il offre de nombreuses fonctionnalités et Backup en fait partie. Installez Jetpack et utilisez les fonctionnalités de sauvegarde.

Un sinistre peut frapper votre site Web à tout moment, tout comme un temps d'arrêt peut se traduire par une perte d'activité, raison pour laquelle vous devez effectuer des sauvegardes fréquentes. Il est judicieux de programmer de préférence des sauvegardes automatiques pour vous faciliter la tâche.

Dernières pensées

Nous avons couvert certaines des étapes de sécurité de base que vous devez suivre pour sécuriser votre site WordPress, protégeant ainsi votre entreprise. Il n'y a certainement pas tout, mais cela devrait vous aider à lancer le bal en termes de sécurité WordPress.