TechBlogSD - Tout pour le développement WordPress et WEB
Instructions WEB et WordPress, actualités, revues de thèmes et plugins

Guide de sécurité WordPress – 28 conseils pour protéger votre site

0

WordPress alimente plus de 35% des sites Web sur Internet. En raison de la grande popularité et de la nature open source, les sites WordPress sont l’une des principales cibles des pirates et des logiciels malveillants. Votre site WordPress pourrait être une cible facile pour les attaquants en raison d’un simple nom d’utilisateur d’administrateur, de mots de passe simples et d’un thème ou de plugins obsolètes. Mais ne vous inquiétez pas, il est facile de protéger votre site en suivant quelques étapes simples. Voici un guide de sécurité WordPress étape par étape pour les débutants afin de comprendre divers aspects de la protection de votre site contre les attaquants et les vulnérabilités.

Connexe : Téléchargez le guide de sécurité WordPress au format PDF.

Guide de sécurité WordPress

  1. Protégez votre ordinateur et votre mobile des virus
  2. Utiliser un hébergement sécurisé
  3. Gardez votre installation à jour
  4. Utilisez des mots de passe forts
  5. Pas de nom d’utilisateur administrateur
  6. Gestion sécurisée des rôles
  7. Utilisez des thèmes et des plugins fiables
  8. Désactiver l’éditeur de thème et de plugin dans l’interface d’administration
  9. Bloquer l’exécution de PHP à partir du tableau de bord
  10. Arrêtez l’attaque par force brute
  11. Bloquer les utilisateurs, IP et bots suspects
  12. Désactiver la navigation dans les répertoires
  13. Désactiver la version WordPress
  14. Changer le préfixe de table de base de données
  15. Modifier l’URL d’administration de WordPress
  16. Utiliser les autorisations de fichier correctes
  17. Suivre les modifications apportées aux fichiers
  18. Utiliser les paramètres de base du pare-feu
  19. Refuser l’accès au fichier journal
  20. Désactiver XMLPRC et les pingbacks
  21. Traiter les données sensibles en toute sécurité
  22. Eviter les SPAM
  23. Sauvegarde périodique du site
  24. Scannez le site pour les logiciels malveillants
  25. Surveiller les erreurs 404
  26. Protégez les fichiers «wp-config.php» et «.htaccess »
  27. Fournir un accès tiers sécurisé
  28. Utiliser le plugin de sécurité

1 Gardez votre ordinateur et votre mobile en sécurité

Guide de sécurité WordPress - 28 conseils pour protéger votre site

La création d’un site Web nécessite de nombreuses ressources telles que des documents, des images, des scripts, des fichiers et des vidéos. Vous devrez peut-être disposer d’un ordinateur portable et d’un mobile dédiés pour continuer à créer votre contenu. Surtout sur la plate-forme WordPress auto-hébergée, l’accès à distance au serveur via FTP est requis la plupart du temps à des fins de dépannage et de téléchargement. Par conséquent, installez un antivirus sur votre ordinateur et analysez les fichiers régulièrement. N’oubliez pas de scanner les fichiers du plugin et du thème avant de les télécharger sur votre site WordPress.

Le téléchargement d’un seul script ou fichier avec un code malveillant sur votre serveur gâchera tout votre dur labeur. Votre société d’hébergement interdira probablement également votre compte pour avoir causé des problèmes au serveur. De plus, assurez-vous d’accéder à votre tableau de bord WordPress uniquement via une connexion WiFi sécurisée et évitez les réseaux publics pour protéger vos données.

2 Hébergement sécurisé

L’installation de WordPress nécessite un hébergement payant qui doit être acheté auprès de l’une des sociétés d’hébergement. En tant que nouvel utilisateur de WordPress, vous aurez peut-être tendance à dépenser moins d’argent et finirez par acheter un hébergement mutualisé bon marché pour votre site. Vous regretterez sans aucun doute votre décision de choisir une mauvaise société d’hébergement tôt ou tard. Lorsque vous êtes sur un serveur partagé, il est important que tous les sites de ce serveur fonctionnent en toute sécurité.

Il est courant que des centaines voire des milliers de sites partagent une seule adresse IP de serveur. Lorsqu’un site sur votre serveur est piraté, il y a plus de possibilités que l’ensemble du serveur soit piraté et vous serez également affecté. Il y a eu de nombreux cas dans le passé, des milliers de sites sur un serveur ont été piratés car le pirate informatique pouvait arrêter le serveur via la vulnérabilité d’un seul site Web.

WordPress recommande quelques sociétés d’hébergement sécurisées comme Bluehost, SiteGround et DreamHost. Cependant, vous devez vérifier auprès de l’entreprise avant d’acheter un plan d’hébergement.

Guide de sécurité WordPress - 28 conseils pour protéger votre site

Hébergement recommandé WordPress

Assurez-vous que votre site peut être complètement sauvegardé périodiquement et que la sauvegarde est stockée en dehors du serveur. Du point de vue de la sécurité, stocker la sauvegarde sur le même serveur n’est vraiment d’aucune utilité lorsque le serveur lui-même est attaqué.

3 Restez à jour

WordPress a trois composants principaux à mettre à jour fréquemment.

  • Thème
  • Plugins
  • Fichiers WordPress de base

Étant donné que les menaces peuvent évoluer au fil du temps, ces trois composants doivent être mis à jour vers les versions les plus récentes et sécurisées. Il est fortement recommandé d’activer la mise à jour automatique pour vos versions de WordPress afin que tous les correctifs de sécurité soient automatiquement installés sans votre intervention. Assurez-vous également de mettre à jour les thèmes et les plugins sur votre serveur d’hébergement afin qu’ils soient sécurisés et à jour.

En savoir plus sur le fonctionnement de WordPress.

4 Définir un mot de passe fort

Généralement, les utilisateurs installent WordPress via les services d’installation en un clic proposés par les sociétés d’hébergement. Ce processus dure moins de 5 minutes et il est possible que vous ne fournissiez pas un mot de passe très fort pendant ce processus d’installation rapide, en particulier lorsque vous le faites pour la première fois. De plus, la plupart des utilisateurs oublient de mettre à jour le mot de passe après la configuration initiale et certains utilisateurs avisés utilisent même le mot de passe comme « mot de passe ».

Le site WordPress auto-hébergé a besoin de beaucoup de mots de passe pour différentes raisons. Assurez-vous d’avoir des mots de passe forts pour tous vos comptes et protégez les informations d’identification des personnes inconnues.

  • Mot de passe de connexion pour le panneau d’administration WordPress
  • Mot de passe de connexion au compte FTP
  • Mot de passe de votre base de données
  • Mots de passe pour différents utilisateurs sur votre site comme administrateur, éditeurs, contributeurs, etc.
  • Votre mot de passe de connexion à votre compte d’hébergement
  • Mot de passe pour l’ accès à cPanel et phpMyadmin

Vous pouvez également utiliser l’authentification à deux facteurs pour vous connecter à votre tableau de bord WordPress. Cela permet d’avoir deux mots de passe, par exemple un pour la connexion initiale au tableau de bord et un mot de passe supplémentaire sera envoyé à votre mobile pour la connexion finale. Modifiez immédiatement le mot de passe si vous constatez que quelque chose ne va pas sur votre site. Utilisez notre outil gratuit de génération de mot de passe pour créer un mot de passe complexe et vérifier la force de votre mot de passe à l’aide de notre outil gratuit de vérification de la force du mot de passe.

Connexe : Téléchargez le guide de sécurité WordPress au format PDF.

5 Changer le nom d’utilisateur de l’administrateur

Semblable aux mots de passe, c’est une habitude pour la plupart d’entre nous de fournir un nom d’utilisateur simple comme « admin ». La première tentative que tout bot ou pirate informatique essaiera de se connecter à votre site est avec le nom d’utilisateur « admin » et le mot de passe comme « mot de passe ». Une fois l’installation terminée, WordPress ne vous permettra pas de modifier le nom d’utilisateur. Donc, fournissez un nom d’utilisateur et un mot de passe complexes lors de l’installation afin que les pirates et les bots ne puissent pas le deviner facilement.

En savoir plus sur la façon de changer admin votre nom d’utilisateur.

Vous pouvez conserver le surnom et le nom d’affichage différents du nom d’utilisateur pour empêcher les pirates de trouver le nom d’utilisateur de l’administrateur. De même, essayez de garder vos noms d’utilisateur d’administrateur, d’éditeur et de contributeur différents. Sinon, il est facile pour les pirates de trouver le nom d’utilisateur de l’administrateur sur votre site avec la page des archives de l’auteur.

6 Utiliser la gestion sécurisée des rôles

WordPress propose de nombreux rôles pour classer les personnes qui gèrent votre site. Administrateur, éditeur, contributeur, abonné sont quelques-uns des rôles que vous pouvez attribuer. Lorsque la fonction d’inscription est activée sur votre site, assurez-vous d’offrir un abonné ou aucun rôle aux nouveaux utilisateurs qui s’inscrivent.

Guide de sécurité WordPress - 28 conseils pour protéger votre site

Activer le rôle d’abonné pour les nouveaux utilisateurs

Il est nécessaire de fournir vos informations d’identification d’administrateur pour obtenir certains assistants pour vos plugins commerciaux ou votre thème. Créez toujours un utilisateur administrateur distinct et fournissez-le uniquement dans une zone privée des forums d’assistance qui ne peut pas être vue par les autres utilisateurs. N’oubliez pas de supprimer l’utilisateur une fois votre requête résolue.

7 Utilisez un thème et des plugins fiables

WordPress compte 57 milliers de plugins gratuits disponibles dans le référentiel au moment de la rédaction de cet article. Outre ces plugins gratuits, il existe un nombre équivalent de plugins premium et gratuits proposés par divers sites Web tiers. De même, un grand nombre de thèmes gratuits et premium sont à votre disposition.

Différents types de plugins gratuits et payants tentent toujours les débutants d’installer et d’essayer sur leur site WordPress. L’abondance de thèmes et de plugins peut constituer une énorme menace pour la sécurité de votre site. Il n’y a aucune garantie que ces plugins et thèmes seront maintenus et mis à jour pour se protéger des dernières vulnérabilités. N’achetez ou n’installez pas de plugins et de thèmes à partir de ressources peu fiables et gardez toujours l’habitude de tester les plugins et les thèmes sur votre site de développement avant de les déployer sur le site en direct. Optez toujours pour une version premium pour obtenir une assistance appropriée au lieu d’opter pour des versions gratuites.

Outre la sécurité, l’installation de plus de plugins réduira également la vitesse de chargement de votre page. Supprimez donc les plugins inutiles et réduisez le moins possible la taille de la liste.

Connexe : Comment configurer votre blog WordPress avec Bluehost ?

8 Désactiver l’édition de fichiers à partir du panneau d’administration

WordPress vous permet de modifier les fichiers PHP de thème et de plugin directement depuis le panneau d’administration. Lorsqu’une personne a un accès non autorisé à votre panneau d’administration, elle peut facilement injecter du code malveillant à partir du tableau de bord sans accéder au répertoire racine du serveur. Assurez-vous donc de supprimer l’accès éditeur pour protéger vos données des personnes accédant à votre panneau d’administration.

Ajoutez le code ci-dessous dans votre fichier "wp-config.php" pour désactiver les options de plugin et d’éditeur de thème dans l’interface d’administration.

define('DISALLOW_FILE_EDIT',true);

En savoir plus sur la façon de modifier le fichier wp-config.php sur votre installation WordPress.

9 Empêcher l’exécution de fichiers PHP

Les pirates exécutent des fichiers PHP sur votre site pour déclencher une action indésirable. Vous pouvez bloquer les utilisateurs exécutant des fichiers PHP depuis votre interface d’administration à partir de n’importe quelle adresse IP autre que la vôtre. Pour activer le blocage de l’exécution de PHP, créez un fichier « .htaccess » et placez-le dans les dossiers « /wp-content/plugins/ » et « /wp-content/themes/ » avec le contenu suivant :

<Files *.php > deny from all allow from "Your IP address" </Files>

dix Se protéger des attaques par force brute

L’attaque par force brute est le moyen d’essayer de se connecter à votre site en devinant le nom d’utilisateur et le mot de passe. Tout site WordPress peut être connecté à l’aide de l’URL – "votresite.com/wp-admin/" ou "votresite.com/wp-login.php/". Il y a des milliers de mauvais robots qui essaieront de se connecter à votre site WordPress car l’URL de connexion est connue de tous.

Il est essentiel de conserver un nom d’utilisateur et un mot de passe d’administrateur solides pour que les robots ne puissent pas deviner. D’un autre côté, des milliers de robots sur votre page de connexion augmenteront l’utilisation du processeur et de la RAM de votre serveur. Cela conduira votre hébergeur à bannir votre compte, en particulier sur l’environnement d’hébergement partagé.

Il existe de nombreux plugins de sécurité disponibles pour WordPress pour protéger les attaques par force brute par une ou une combinaison des méthodes suivantes.

  • Activez le nombre maximal de tentatives de connexion afin que l’utilisateur soit verrouillé après quelques tentatives. En tant qu’administrateur, vous recevrez une notification concernant le verrouillage avec le nom d’utilisateur et les détails IP.
  • Utilisez captcha sur les formulaires de connexion et d’inscription pour protéger les tentatives de connexion automatique des bots.
  • Lorsque des robots malveillants connus tentent de se connecter, ils seront redirigés vers le serveur localhost pour éviter de se charger sur votre serveur.
  • Modifiez l’URL de votre connexion au panneau d’administration.
  • Garder une liste blanche pour permettre uniquement à ces adresses IP d’accéder à la page de connexion. Toutes les autres adresses IP se verront refuser l’accès à votre page de connexion.
  • Prévention de connexion basée sur les cookies qui permet uniquement aux personnes ayant un cookie spécial défini sur leur navigateur de se connecter à votre site.
  • Utilisation de la technique du pot de miel pour insérer un champ caché sur la page de connexion. Comme les robots ont tendance à remplir tous les champs de la page de connexion, ils peuvent facilement être empêchés d’accéder à votre site.

Découvrez en détail comment empêcher les attaques par force brute sur le site WordPress.

11 Bloquer les utilisateurs suspects, les bots et la liste noire IP

Un autre aspect important de la sécurité est de surveiller les utilisateurs et les robots accédant à votre site. Comme la plupart des services d’hébergement payants sont basés sur la limite de trafic, il est nécessaire de surveiller les robots automatisés qui explorent votre site. Vous pouvez trouver les détails du trafic en utilisant l’un des outils de statistiques disponibles dans votre compte d’hébergement comme "Awstats". Les utilisateurs individuels, le nom de l’agent utilisateur des robots et les adresses IP peuvent être bloqués pour protéger votre site.

Vous pouvez aussi facilement bloquer toutes les adresses IP autres que la vôtre en créant un fichier «.htaccess» et le placer dans le dossier «/wp-admin/» avec le code suivant :

order deny,allow allow from "Your IP address" deny from all

Si vous accédez au panneau d’administration à partir de plusieurs adresses IP, autorisez plusieurs adresses IP en ajoutant plusieurs commandes allow comme ci-dessous :

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Vous pouvez également bloquer tout le pays en utilisant des plugins de blocage de pays.

12 Désactiver la navigation dans les répertoires

La navigation dans les répertoires permet à tout utilisateur de parcourir la structure de répertoires de votre site. Par exemple, n’importe qui peut ouvrir le dossier "/wp-content/plugins/" sur le navigateur et vérifier tous les plugins installés sur votre site. Lorsqu’un pirate informatique sait qu’il existe un plugin problématique sur votre site, ce sera une porte d’entrée facile pour détourner votre site.

La navigation dans les répertoires peut être désactivée en ajoutant la directive ci-dessous dans le fichier ".htaccess" situé dans le répertoire racine de votre serveur.

Options All -Indexes

Apprenez à modifier le fichier .htaccess dans le site WordPress.

13 Désactiver la version WordPress

Les sites WordPress affichent la version de WordPress qu’il utilise dans le code source des pages. Vous pouvez cliquer avec le bouton droit de la souris et afficher le code source de votre site WordPress sur le navigateur pour trouver les informations de version comme ci-dessous :

<meta name="generator" content="WordPress 5.5" />

Idéalement, il n’est pas nécessaire de masquer cette balise méta-générateur si vous effectuez rapidement une mise à jour vers la dernière version. Il est recommandé de masquer ces informations de version si vous n’utilisez pas la dernière version ou si vous ne mettez pas à jour périodiquement.

Les anciennes versions de WordPress présentent de nombreuses vulnérabilités connues qui sont corrigées au fil du temps. Les pirates peuvent utiliser ces informations de version pour trouver les sites utilisant d’anciennes versions et peuvent facilement injecter ces vulnérabilités. Outre la balise meta Generator, WordPress affiche également le numéro de version dans la plupart des feuilles de style et des fichiers de script en suffixant la chaîne « /?ver=5.5″. Utilisez des plugins de sécurité pour supprimer complètement les informations de version de tous les codes sources.

Offre SEO : Optimisez votre site avec Semrush Pro spécial essai gratuit de 14 jours.

14 Modifier le préfixe de la table de la base de données

Lorsque vous installez WordPress, vous serez invité à saisir le préfixe pour les tables de votre base de données MySQL. WordPress ajoute par défaut «wp_» à toutes les tables de base de données en tant que préfixe. Par exemple, tout le contenu textuel de votre site WordPress est stocké dans la table «wp_posts ». Cela facilite le travail des pirates pour injecter du code malveillant dans vos tables de base de données directement via un accès inapproprié.

Généralement, l’installation en un clic des sociétés d’hébergement Web ajoute toujours un préfixe complexe à votre base de données WordPress. Mais lors de l’ installation manuelle de WordPress, si vous avez fourni un préfixe simple, nous vous recommandons de le changer maintenant. Vous pouvez modifier le préfixe de la table de la base de données à l’aide de l’un des plug-ins de sécurité, car la modification manuelle est plutôt une tâche difficile pour les débutants.

En changeant le préfixe, vous améliorez la protection de votre base de données car les pirates ne peuvent pas deviner les noms de table corrects.

15 Modifier l’URL de connexion WordPress

La modification de l’URL de connexion réduira les attaques par force brute, car aucun bot ni aucun pirate informatique ne trouve le moyen de se connecter à votre site. Des plugins comme iThemes Security et All in one WP security et firewall offrent un moyen facile de modifier l’URL de connexion. Vous pouvez conserver l’URL quelque chose comme " http://yoursitename.com/dontattack1me4/ " contenant des caractères alphanumériques pour la rendre plus sécurisée.

16 Utilisation des autorisations de fichier correctes

Chaque fichier et dossier de votre installation WordPress est livré avec une autorisation de fichier définie. Cela permet de décider qui peut lire, écrire ou exécuter certains fichiers sur le site. En général, les fichiers tels que "wp-config.php" et ".htaccess" doivent être protégés avec les autorisations appropriées afin que le groupe public ne puisse pas accéder à ces fichiers.

Guide de sécurité WordPress - 28 conseils pour protéger votre site

Modifier l’autorisation de fichier à l’aide de FileZilla

Les autorisations de fichiers par défaut définies par WordPress sont généralement suffisantes pour protéger vos données. Mais le problème se pose lorsque vous installez des plugins et des thèmes qui vont changer ou créer de nombreux dossiers sur votre installation. C’est une bonne pratique d’analyser votre site et de vous assurer d’avoir les autorisations correctes pour tous les dossiers importants.

17 Suivi des modifications apportées aux fichiers

Les pirates injectent du code malveillant dans votre système de fichiers et affichent leur contenu à la place du vôtre à l’ouverture du site. Il est donc judicieux de garder une trace des modifications apportées aux fichiers importants de votre site. En règle générale, tous les fichiers principaux avec l’extension .php (comme « wp-config.php ») ne doivent être modifiés par personne à votre insu.

Vous pouvez réaliser ce suivi de fichier en utilisant l’un des plugins de sécurité. Ces plugins vous permettent de choisir un répertoire et des fichiers spécifiques sur votre site à suivre.

18 Utiliser les paramètres de base du pare-feu

Il existe des paramètres de pare-feu de base et avancés pour améliorer la sécurité de votre site WordPress. Généralement, ces contrôles sont ajoutés dans le fichier « .htaccess » et empêchent les pirates et les robots d’accéder à votre site. Certains des paramètres de pare-feu pour améliorer la sécurité de WordPress incluent :

  • Refuser l’accès aux fichiers «wp-config.php» et «.htaccess ».
  • Limiter la taille de téléchargement du fichier
  • Supprimer la signature du serveur

19 Refuser l’accès au fichier journal

Le dépannage des problèmes WordPress nécessite une analyse qualifiée de la situation. WordPress vous permet d’activer la journalisation de débogage afin qu’il soit facile de savoir ce qui se passe lorsque l’action est déclenchée sur votre site. Une fois le débogage activé, le fichier «debug.log» sera stocké sous «/wp-content/debug.log ». Il s’agit d’un fichier important à protéger des pirates afin d’éviter que des informations sensibles ne soient divulguées. Assurez-vous de désactiver le débogage une fois le dépannage terminé et supprimez les fichiers journaux.

Vous pouvez également désactiver l’accès du navigateur au fichier "debug.log" et continuer à accéder via FTP.

20 Désactiver XMLPRC et les pingbacks

Lorsque vous surveillez le trafic vers votre site, vous serez surpris de voir le nombre de bots essayant d’accéder à la page «/xmlprc.php ». Il existe de nombreuses possibilités pour les pirates d’utiliser l’API XMLPRC pour supprimer votre site, y compris des vulnérabilités telles que DoS ou Denial of Service.

Outre les problèmes de piratage, il est nécessaire de protéger l’accès à la page «xmlprc.php» pour réduire la charge sur votre serveur d’hébergement. Assurez-vous que vous n’utilisez pas la fonction XMLPRC sur votre site WordPress et désactivez-la pour protéger votre site des pirates.

Avertissement : Notez que certains plugins et applications comme l’application WordPress iOS utilisent cette API XMLPRC. Si vous désactivez le service, l’application ou le plug-in ne fonctionnera pas.

Semblable à XMLPRC, les pingbacks peuvent également créer des problèmes de sécurité pour votre site. Vous pouvez désactiver les pingbacks depuis le panneau d’administration et améliorer la protection des données de votre site.

Guide de sécurité WordPress - 28 conseils pour protéger votre site

Désactiver les pingbacks dans WordPress

21 Traiter les données sensibles en toute sécurité

Dans le monde de la sécurité WordPress, le piratage ne signifie pas nécessairement toujours le piratage du site ou du serveur. La plupart du temps, le piratage est effectué pour voler des données sensibles telles que les informations de courrier électronique et de carte de crédit disponibles sur le site. Utilisez HTTPS sur les pages de collecte de données via des formulaires, en particulier si les données sont de nature sensible comme les détails financiers, le numéro de sécurité sociale, etc. et envoyez les données via des serveurs de messagerie sécurisés pour vous protéger des pirates. Surtout si vous avez une boutique en ligne, il est obligatoire d’utiliser SSL et d’appliquer le protocole HTTPS pour les transactions financières.

N’utilisez pas robots.txt pour masquer des pages et des répertoires importants des moteurs de recherche. Tout le monde peut voir votre fichier robots.txt sur le navigateur et accéder aux pages cachées. L’utilisation de directives « .htaccess » peut aider à mieux contrôler, mais discutez avec le développeur de plugins ou un expert si vous ne comprenez pas comment les données sont stockées et transférées.

Généralement, les données collectées à partir des formulaires sont stockées dans des tables personnalisées de la base de données et utilisées à différentes fins. Par conséquent, assurez-vous qu’aucune autre personne n’a accès à votre compte d’hébergement et lisez les tables de la base de données.

22 Prévenir le spam

Bien que le spam ne soit pas du piratage, un pirate peut être un spammeur pour vérifier les vulnérabilités de votre site via des commentaires ou des formulaires.

  • Assurez-vous d’utiliser des plugins de prévention du spam comme Akismet pour protéger votre site contre les spammeurs.
  • Si nécessaire, vous pouvez utiliser le captcha sur les formulaires de commentaire, de connexion, d’inscription et de contact.
  • Bloquez les commentaires ne provenant pas de votre domaine pour empêcher les robots de générer automatiquement des commentaires provenant de l’extérieur de votre site.

23 Avoir une sauvegarde périodique du site

De Outlook, la sécurité et la sauvegarde porteront sur deux sujets différents. Mais la vérité est qu’ils sont interdépendants en tant que deux étapes d’une seule activité. Lorsqu’un site est piraté, la première chose dont vous avez besoin est d’avoir une sauvegarde sécurisée pour restaurer le contenu.

  • Assurez-vous d’avoir une sauvegarde périodique des fichiers du site et de la base de données.
  • Stockez votre sauvegarde en dehors du serveur d’hébergement.
  • Protégez votre sauvegarde contre les accès non autorisés de la même manière que la protection de votre site en ligne.
  • Testez et confirmez que la sauvegarde fonctionne et peut être restaurée en cas d’urgence.
  • Vérifiez auprès de votre hébergeur que le contenu complet du site est sauvegardé et qu’il peut vous aider à restaurer en cas de sinistre.

Sauvegardez votre site régulièrement afin qu’il puisse être restauré en cas d’urgence. Téléchargez également la sauvegarde sur votre ordinateur local et éloignez-la de votre serveur d’hébergement. La sauvegarde locale vous aidera à restaurer votre site lorsque votre serveur est infecté.

Remarque : vous pouvez créer un environnement de développement WordPress local à l’aide de tout autre logiciel MAMP et sauvegarder périodiquement votre site en direct sur un ordinateur local.

24 Rechercher les logiciels malveillants

Un logiciel malveillant ou un logiciel malveillant est un morceau de code que le pirate insère dans votre code habituel. Il peut être difficile pour vous de trouver des logiciels malveillants sur un site, car il est difficile de différencier le code malveillant. Analysez régulièrement votre site à la recherche de logiciels malveillants à l’aide de services de sécurité payants pour vous assurer que le contenu de votre site est sécurisé. La plupart des sociétés d’hébergement et des plugins de sécurité offrent une fonction d’analyse des logiciels malveillants et envoient l’état de l’analyse à votre courrier électronique.

Lorsque votre site est infecté par un logiciel malveillant ou que tout autre problème de sécurité WordPress se produit, la première chose que vous remarquerez est une baisse du trafic. Comme les robots des moteurs de recherche comme Googlebot sont très intelligents, ils peuvent détecter le code malveillant et rétrograder votre classement de recherche pour protéger les utilisateurs. Vous pouvez utiliser les outils de sécurité disponibles dans la console de recherche Google et confirmer que votre site peut être consulté en toute sécurité.

Guide de sécurité WordPress - 28 conseils pour protéger votre site

Vérifiez les problèmes de sécurité dans la console de recherche Google

25 Surveillance des erreurs 404

Les robots automatisés tenteront d’accéder à des pages inexistantes sur votre site, ce qui entraînera une erreur 404. La surveillance de l’erreur 404 vous donnera une idée de qui essaie d’accéder aux URL anciennes ou inexistantes sur votre site.

Par exemple, un bot ou un utilisateur essaie d’accéder à une page inexistante «…/paiement/» doit être bloqué. Cela indique que le bot ou l’utilisateur essaie de deviner les pages cachées potentielles de votre site pour obtenir des données sensibles.

Connexe : Guide de référencement WordPress pour améliorer le classement des recherches.

26 Protéger les fichiers WP-config et .htaccess

« Wp-config.php» est le fichier de configuration contenant des informations importantes telles que le nom de la base de données et le mot de passe de votre site WordPress. Le fichier peut être accessible via FTP ou via un compte d’hébergement en utilisant des options telles que « Gestionnaire de fichiers ». La plupart des plugins de sécurité ajoutent des paramètres dans ce fichier de configuration pour contrôler le comportement. Il est fortement recommandé d’avoir la sauvegarde de votre fichier "wp-config.php" avant de définir des paramètres sur les plugins liés à la sécurité.

De même, le fichier «.htaccess» situé dans le répertoire racine de votre site est le fichier clé utilisé pour les mesures de sécurité. Assurez-vous d’avoir une sauvegarde avant de modifier le fichier via des plugins de sécurité.

27 Fournir un accès tiers sécurisé

Lorsque vous achetez un thème ou un plugin sur un site Web tiers, il peut être nécessaire de leur fournir un accès administrateur pour le dépannage. Suivez les directives ci-dessous lorsque vous traitez avec des développeurs tiers :

  • Vérifiez tous les aspects du dépannage et confirmez la nécessité de partager les informations d’identification d’accès administrateur.
  • Ne partagez jamais votre propre accès administrateur à des sites Web tiers.
  • Créez un nouveau nom d’utilisateur avec un accès administrateur et fournissez-leur.
  • Lorsque vous offrez un accès FTP, veillez à limiter l’accès uniquement au dossier ou au domaine requis.
  • Lors de la suppression d’un compte FTP, veillez à ne supprimer que le compte et non les données associées au compte FTP. Supprimer à tort un compte FTP avec les données associées effacera votre contenu en quelques secondes.

28 Utiliser les plugins de sécurité WordPress

La mise en œuvre de toutes les mesures de sécurité décrites ci-dessus sera une tâche ardue pour les propriétaires de sites. Heureusement, il existe de nombreux plugins de sécurité WordPress gratuits et premium offrant ces fonctionnalités sous forme de package. Vous pouvez soit utiliser des plugins gratuits comme All in One WP Security and Firewall, soit des plugins partiellement gratuits comme iThemes security / Wordfence. La plupart des points mentionnés ci-dessus sont proposés sous forme de package dans ces plugins de sécurité et facilitent votre travail.

Vous trouverez ci-dessous quelques-uns des plugins de sécurité populaires et nous vous recommandons fortement de tester celui qui convient à vos besoins avant de l’installer sur le site en direct.

Plugins de paquet de sécurité

Ces plugins offrent la plupart des fonctionnalités de sécurité sous forme de bundle.

  • iThemes Security (anciennement Better WP Security)
  • Sécurité Wordfence
  • Sécurité pare-balles
  • Sécurité et pare-feu WordPress tout en un

Plugins de protection par mot de passe

  • Forcer des mots de passe forts
  • Expiration du mot de passe WordPress

Protection contre la force brute

  • Solution de sécurité de connexion
  • Verrouillage de la connexion
  • Renommer wp-login.php
  • Module de protection Jetpack.
  • Administrateur WP de verrouillage
  • Clef—Authentification à deux facteurs
  • Authentificateur Google

Plugin HTTPS

  • WordPress HTTPS (SSL)

Sécurité des e-mails

  • WP Mail SMTP

Derniers mots

Bien que la liste soit longue, il est nécessaire de suivre tous ces conseils de sécurité WordPress pour protéger votre site. Comme mentionné, vous pouvez utiliser n’importe quel plugin gratuit ou premium pour implémenter la plupart de ces fonctions. De plus, nous vous recommandons de garder la sécurité comme habitude de faire des sauvegardes régulières et de maintenir votre site avec des mises à jour en temps opportun.

Source d’enregistrement: webnots.com
Leave A Reply

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'acceptePlus de détails