7 étapes pour sécuriser votre site WordPress

Accueil » Tutoriels » 7 étapes pour sécuriser votre site WordPress
7 étapes pour sécuriser votre site WordPress

Lorsqu’on parle de sécurité WordPress, de nombreuses choses peuvent être faites pour sécuriser votre site Web et empêcher les pirates et les vulnérabilités d’affecter votre présence en ligne.

WordPress est l’une des plateformes les plus populaires pour les blogs et les sites Web auto-hébergés et alimente plus de 40,3% de tous les sites Web sur le Web.

Avec les différents thèmes et plugins qui existent, il n’est pas surprenant que des vulnérabilités existent et affectent continuellement les sites Web.

La dernière chose que vous souhaitez est de découvrir un jour que votre site Web a été piraté. Pour vous aider à éviter que cela ne se produise, nous partagerons plusieurs astuces et techniques que vous pouvez utiliser pour sécuriser votre site Web WordPress et rester protégé.

Sécurisé son site WordPress en 2021

Il est très important de se rappeler que WordPress est un logiciel open source. Cela signifie que n’importe qui peut examiner le code qui fait fonctionner WordPress. Bien sûr, oui, les pirates analysent toujours ce code pour trouver des exploits potentiels, mais il en va de même des équipes de sécurité de WordPress, ainsi que des développeurs bénévoles.

La  plupart des failles de sécurité ne sont même pas causées par une vulnérabilité dans le code de WordPress. Ils se produisent parce que trop souvent les personnes ne gardent pas leur site WordPress et les plugins installés à jour.

Si vous suivez de bonnes pratiques de sécurité, il y a de fortes chances que votre site se porte bien.

1) Investissez dans un hébergement WordPress solide

Chaque hébergeur devrait prendre la sécurité très au sérieux. Il est essentiel que vous choisissiez un hébergeur sur lequel vous pouvez compter pour votre entreprise. Les recherches que vous effectuez avant de choisir un hébergeur doivent absolument inclure des enquêtes sur la façon dont ils gèrent les événements de sécurité.

Vous devez rechercher un hébergeur avec les services de base suivants :

  • Serveur à jour. Utilisation de LiteSpeed, NGINX, Apache ou IIS, ils doivent exécuter les dernières versions, corrigées. S’ils proposent toujours PHP 5, vous devriez probablement chercher ailleurs. La première version de PHP qu’ils devraient offrir est PHP 7.0 et PHP 8.0 devrait également être disponible pour vous. Il en va de même pour d’autres logiciels, comme MySQL, MariaDB, cPanel, Plesk et le système d’exploitation du serveur.
  •  Pare-feu et autres défenses de sécurité. Il existe littéralement des centaines de façons dont votre fournisseur d’hébergement peut sécuriser ses serveurs. S’ils possèdent leurs propres serveurs, ils peuvent par exemple, mettre des contrôles stricts sur la manière dont une personne peut physiquement accéder à ce serveur. Ils devraient également utiliser des pare-feu et d’autres mécanismes de défense, comme la détection d’intrusion pour empêcher les utilisateurs non autorisés d’entrer.
  • Applications de surveillance et/ou de suppression de logiciels malveillants – Vous devez sélectionner un hôte qui s’efforce de détecter et de prévenir les infections de logiciels malveillants, et propose éventuellement un service complet d’analyse et de suppression des logiciels malveillants. Lors de vos recherches, vous devez vous renseigner sur la politique à suivre lorsque l’hôte détecte un compte infecté par des logiciels malveillants et s’il propose tels ou tels services.

2) Installer et utiliser un (bon) certificat SSL

Un certificat SSL crypte les données transmises entre l’utilisateur et votre site Web. Ceci est ESSENTIEL pour les sites Web où vos utilisateurs soumettent des informations de paiement pour acquérir des articles dans votre magasin.

Bien sûr, si vous gérez un blog et que vous ne vendez rien, vous pouvez vous en tirer avec un certificat SSL Let’s Encrypt qui est gratuit.

Les certificats SSL ont permis d’ancrer la confiance dans la population en raison de leur sécurité, et encore plus avec le célèbre Green Bar SSL, alias un certificat SSL EV, car ils certifient que ces entreprises sont vérifiées et authentifiées par un fournisseur de sécurité de confiance.

3) Gardez toujours votre version WordPress & plugins à jour

Un site, un plugin ou un thème WordPress obsolète est une passerelle potentielle pour les attaques vers votre site Web.

Heureusement, une mise à jour récente d’une version majeure de WordPress permet d’utiliser l’interface graphique pour automatiser des choses comme les mises à jour automatiques pour les thèmes et les plugins, ainsi que WordPress lui-même.

4) Utilisez des noms d’utilisateur et mots de passe plus intelligents

En ce qui concerne la sécurité des utilisateurs, l’utilisation de bonnes pratiques de sécurité est vraiment essentielle pour sécuriser vos identifiants de connexion. Évitez d’utiliser un nom d’utilisateur comme « admin » et choisissez toujours un mot de passe complexe. Au lieu d’utiliser Admin pour l’administrateur WordPress, utilisez votre nom, ou une variante de celui-ci, ou un nom d’utilisateur aléatoire.

Assurez-vous de choisir un mot de passe complexe. Google a quelques bons conseils sur la façon dont vous pouvez choisir un mot de passe sécurisé . Vous pouvez utiliser un gestionnaire de mots de passe également.

Si vous gérez plusieurs sites WordPress, il est prudent d’utiliser des mots de passe différents.

Si vous souhaitez stocker vos mots de passe localement, sur votre ordinateur, vous pouvez utiliser un outil gratuit tel que KeePass.

5) Utiliser l’authentification à deux facteurs (2FA)

Profitez de l’authentification à deux facteurs pour sécuriser complètement votre connexion WordPress. L’authentification à deux facteurs implique une deuxième étape du processus de connexion. Il s’agit d’un SMS ou d’un code généré par une plateforme de gestion de code d’authentification comme Google Authenticator (OTP). L’authentification à deux facteurs est un moyen efficace à 100% pour empêcher les attaques par force brute sur votre panneau d’administration WordPress.

6) Désactiver l’éditeur de plugin

WordPress est livré avec un ensemble d’ éditeurs de plugins et de thèmes très faciles à atteindre . Ces éditeurs, bien que très pratiques si vous souhaitez modifier votre thème/plugins permettent un accès direct au code de votre site. Si quelqu’un compromet un compte d’utilisateur disposant de privilèges suffisants, il aurait un accès direct pour effectuer facilement des modifications malveillantes sur votre site.

La plupart des utilisateurs de WordPress n’auront jamais besoin de toucher aux éditeurs de plugins et de thèmes. Si vous êtes le type d’utilisateur qui aime bricoler et faire du codage personnalisé, il est aussi simple de réactiver les éditeurs de plugins et de thèmes que de les désactiver. C’est une ligne de code dans votre wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Faire cela ne sera pas la fin pour arrêter un pirate informatique, mais cela confondra les pirates informatiques moins expérimentés et les arrêtera net.

7) Cachez votre version WordPress

Une autre bonne pratique consiste à masquer votre version d’installation de WordPress. Quelqu’un qui vérifie le code source de votre site peut facilement révéler la version de WordPress que vous utilisez.

Ajoutez simplement le code suivant à votre fichier functions.php :

fonction wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

Veuillez noter que la modification du code source du fichier WordPress functions.php pourrait casser votre site si elle n’est pas effectuée correctement. Si vous ne vous sentez pas à l’aise de le faire, n’hésitez pas à nous demander.

Conclusion

Comme vous pouvez le voir, il existe différentes manières d’améliorer votre sécurité WordPress, il est donc important de prendre au sérieux la sécurité de votre site et de trouver le temps pour mettre en œuvre certaines de ses pratiques de sécurité.

Si vous connaissez d’autres conseils de sécurité WordPress qui pourraient vous aider, n’hésitez pas à nous le faire savoir dans les commentaires.

0 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Newsletter

Abonnez-vous à notre Newsletter pour rester informé des derniers tutoriels