Comment securise son site WordPress

Comment Sécuriser sont site WordPress ?

Il n’y a pas de moyen infaillible de sécuriser complètement votre site, mais vous pouvez prendre quelques mesures simples pour renforcer la sécurité et mener une bonne lutte. Cet ebook vous apprendra pourquoi les sites WordPress sont piratés en premier lieu, puis vous guidera à
travers 11 façons simples d’augmenter la sécurité. Prêt ? Renforçons votre site ! Pourquoi les sites sont-ils piratés ? Pour vous aider à comprendre comment assurer la sécurité de votre site, il est important de comprendre d’abord pourquoi les pirates attaquent les sites Web en premier lieu. Surtout si vous ne gérez qu’un blog personnel ou une petite boutique de commerce électronique, personne ne devrait vouloir s’en mêler, n’est-ce pas ?

Eh bien, pas nécessairement. Les pirates s’attaquent aux sites Web pour trois raisons
principales :
– Utiliser votre site pour envoyer des spams.
– Voler l’accès à vos données, liste de diffusion, informations de carte de
crédit, etc.
– Ils veulent que votre site télécharge des logiciels malveillants sur les ordinateurs de vos
utilisateurs ou sur le vôtre.

Pourquoi ciblent-ils spécifiquement WordPress ?

La réponse courte – parce que c’est populaire. Mettez-vous dans l’état d’esprit d’un hacker juste une seconde. Si vous souhaitez prendre lecontrôle de nombreux sites Web à vos propres fins néfastes, passeriez-vous tout votre temps à essayer de trouver des failles sur une plate-forme utilisée uniquement par 500 sites Web, ou essaieriez-vous de casser la plate-forme avec des centaines de millions de sites ? Parce que WordPress est si largement utilisé, c’est une cible incroyablement populaire pour les pirates. Le noyau de WordPress est très sécurisé, ce qui le rend assez difficile à pirater. Mais comme tout le monde peut coder des outils supplémentaires pour WordPress, tels que des thèmes et des plugins, il est possible que toutes les extensions ne respectent pas les mêmes normes de révision de code que le noyau WordPress. Il est possible qu’un plugin très populaire ait des failles de sécurité qui peuvent affecter des milliers de sites WordPress. Ne vous inquiétez pas cependant. La nature open-source du code est aussi ce qui le rend fort. C’est ce qui permet aux white hacker de trouver des exploits et de les signaler facilement afin que les failles puissent être corrigées. C’est ce qui permet aux développeurs d’aider à améliorer la sécurité au fil du temps. C’est ce qui permet à des tiers de créer des solutions de sécurité encore plus solides qui peuvent être installées directement sur WordPress. L’essentiel est que votre site WordPress pourrait être piraté à tout moment (c’est vrai pour n’importe quel site). Mais il y a plusieurs choses que vous pouvez faire pour augmenter la sécurité et rendre un peu plus difficile pour les pirates de gâcher les choses. Voici une liste de certaines de ces façons supplémentaires d’améliorer la sécurité de votre site, en commençant par les plus élémentaires (et essentielles), en passant par les options les plus avancées qui peuvent ne pas être nécessaires ou pratiques pour tout le monde.

01. Utilisez des noms d’utilisateur et des mots de passe intelligents

Cela semble évident, mais de nombreux utilisateurs de WordPress négligent cette mesure de sécurité vitale. Votre nom d’utilisateur et votre mot de passe sont pour WordPress ce que le verrouillage de votre porte d’entrée est pour la sécurité de votre domicile, et peu importe la qualité de votre système de sécurité si vous laissez la porte ouverte àquiconque.
En ce qui concerne le nom d’utilisateur, évitez de choisir quelque chose de typique comme « admin » ou le nom de votre site. Ce sera la première chose qu’un pirate essaiera de deviner. La même règle empirique s’applique au mot de passeÿ; ne choisissez rien d’évident. Si votre mot de passe WordPress est vraiment court, quelque chose de lisible, utilisé sur plusieurs sites, ou même juste quelque chose que quelqu’un pourrait deviner, il y’ a de fortes chances qu’il soit plus fort. Si vous avez du mal à vous souvenir d’un mot de passe aléatoire (ou si vous voulez être plus sûr), vous pouvez toujours essayer d’utiliser un outil tel que 1Password ou LastPass.

0.2 Gardez les thèmes, les plugins et WordPress à jour

Les mises à jour peuvent être difficiles à suivre, surtout si vous avez de nombreux plugins installés sur votre site WordPress. Mais il est essentiel que vous essayiez. Les thèmes et les plugins peuvent parfois présenter des failles de sécurité, qui sont corrigées par le développeur dès qu’elles sont découvertes. Il est important de mettre à jour régulièrement car de nombreux robots malveillants recherchent spécifiquement des plugins et des thèmes obsolètes avec des vulnérabilités connues. De plus, les mises à jour corrigent souvent d’autres bogues et améliorent la convivialité, c’est donc une victoire pour tous !
Et lors de l’installation de nouveaux plugins, assurez- vous de vérifier s’ils ont des problèmes connus et non résolus. Vous n’avez pas à abandonner un plugin qui a un historique de vulnérabilités – la plupart des meilleurs plugins en montreront quelques-uns mais c’est certainement quelque chose à noter lors de la comparaison des options. En plus de mettre à jour régulièrement vos thèmes et plugins, il est crucial de rester au courant des mises à jour principales de WordPress. En fait, wordpress.org le recommande pour la protection de la sécurité. Si une mise à jour est prête, vous verrez une notification dans le tableau de bord WordPress. Ou si vous êtes sur un hébergeur WordPress géré, les mises à jour principales de WordPress seront effectuée automatiquement – vous n’avez pas du tout à vous en soucier !

Inquiet des mises à jour ?

Testez d’abord les mises à jour dans un environnement intermédiaire!
Vous pouvez tester en toute sécurité les mises à jour de thèmes, de plugins et de WordPress avant de les exécuter sur le site de production en créant une zone de test (sous domaine) ! C’est un excellent moyen de voir exactement quels changements se produiront
et de s’assurer que tout fonctionne comme prévu. Ensuite, lorsque vous êtes prêt, il vous suffit de pousser les modifications en production en un seul clic

0.3 Désinstaller les plugins et  thèmes inactifs

Même les plugins et les thèmes désactivés peuvent présenter des vulnérabilités et, d’ailleurs, peuvent toujours utiliser les ressources de votre serveur. Il est préférable de simplement désinstaller tous les plugins ou thèmes qui ne sont pas constamment actifs.
Si cette idée vous stresse, rappelez-vous simplement : vous pouvez toujours réinstaller des thèmes ou des plugins plus tard si vous en avez besoin.

0.4 Ajouter un Capcha

Il existe plusieurs variantes de Captcha, mais l’idée est la même entre les plugins et les méthodes : obliger tout visiteur du site qui essaie de remplir un formulaire à prouver d’abord qu’il est humain. Alors qu’il s’agissait autrefois d’une option gênante et peu pratique, Captcha s’est considérablement amélioré ces dernières années. De plus, il protège toutes sortes de formulaires sur votre site, il fait donc double emploi en aidant à arrêter les pirates et à prévenir le spam.Il est conseillé d’utiliser la V3 ou la V2 de recaptcha Google

0.5 Limitez le nombre de tentatives de connexion

Une tactique pour certains pirates consiste à essayer continuellement de deviner votre nom d’utilisateur et votre mot de passe pour franchir la porte d’entrée de votre site, également connue sous le nom d’attaques par force brute. Il existe différents plugins qui aideront à empêcher cela en bloquant une adresse Internet de faire d’autres tentatives après qu’une limite spécifiée de tentatives est atteinte. Ceci est très efficace pour rendre une attaque par force brute difficile, voire impossible à réaliser Plugin conseiller : (Limit Login Attempts). .

0.6 Ajouter un certificat SSL

SSL, ou Secure Sockets Layer, est un protocole utilisé pour sécuriser et chiffrer les communications entre ordinateurs. En d’autres termes, cela aide à garder les informations sensibles sur votre site incroyablement sécurisées. Cela inclut des choses comme les mots de passe, les informations de carte de crédit, les informations d’identification bancaires… essentiellement toute information que votre site stock et que vous (et vos utilisateurs) voudriez garder en sécurité. Let’s Encrypt (plugin Really SSL) offre à tous les utilisateurs la possibilité d’installer SSL sur leurs sites. Inutile de faire des allers-retours entre votre société d’hébergement et un fournisseur tiers – désormais, vous pouvez obtenir une gestion et un cryptage WordPress de classe mondiale sous un même toit.

Bien que cela ne soit pas techniquement nécessaire pour tous les sites, c’est incroyablement bénéfique (et essentiellement requis) pour tout site WordPress collectant des informations utilisateur sensibles. Mais même si ce n’est pas le cas, un certificat SSL aide toujours à sécuriser les transmissions de votre site et renforce la confiance avec votre Il est signalé visuellement par le petit cadenas vert dans la barre d’adresse de votre navigateur. Une autre grande raison d’ajouter un certificat SSL à votre site WordPress est le référencement. Google a annoncé qu’il signalera les sites qui stockent des mots de passe ou des informations de carte de crédit sans SSL comme non sécurisés, dans le cadre d’un plan à long terme visant à marquer tous les sites, qui collectent des informations ou non, comme non sécurisés. En d’autres termes, si votre site n’a pas de certificat SSL installé, cela pourrait sérieusement nuire à votre trafic et à vos conversions.

0.7 Ajouter une authentification à deux facteurs

Une autre façon d’empêcher les tentatives de connexion par force brute consiste à configurer une authentification à deux facteurs. Remarque : Déplacer votre écran de connexion WordPress signifie que vous devrez partager la nouvelle URL de connexion avec toute personne qui se connecte à WordPress sur votre site, sinon elle ne pourra pas accéder à la zone d’administration. Cette méthode nécessite deux vérifications – un mot de passe et un code d’autorisation envoyé sur votre téléphone ou par e-mail – pour vous connecter. L’authentification à deux facteurs prend un peu de temps pour s’y habituer, mais cela en vaut vraiment la peine à long terme !

0.8 Déplacez votre écran de connexion WordPress

De nombreux hacks WordPress proviennent de robots malveillants qui sont programmés pour parcourir le Web à la recherche de sites WordPress. Une fois qu’ils en auront trouvé un, ils ajouteront « /wp-admin » à la fin de l’URL du site pour accéder à l’écran de connexion et tenteront de forcer leur entrée. Le plugin Rename wp-login.php vous permet de changer l’emplacement de votre écran de connexion de « /wp-admin » à ce que vous voulez. Vous pouvez utiliser quelque chose comme « /mysitelogin » ou « /open-ses ame » ou tout ce que votre cœur désire ! Quoi que vous choisissiez, tout utilisateur qui essaie d’utiliser l’ancien lien « /wp-admin » ne verra qu’un message d’erreur, ce qui aidera à arrêter les bots et les pirates potentiels dans leur élan.

Remarque : Déplacer votre écran de connexion WordPress signifie que vous devrez partager la nouvelle URL de connexion avec toute personne qui se connecte à WordPress sur votre site, sinon elle ne pourra pas accéder à la zone d’administration

0.9 Utiliser Cloudflare

C’est plus une option avancée, et certainement pas celle dont tout le monde a besoin, mais CloudFlare est un service externe qui agit comme une sorte de « filtre » entre vos serveurs et vos utilisateurs. CloudFlare offre de nombreuses options de sécurité et de performances, dont plusieurs sont disponibles sur leur plan gratuit. Bien que la plupart des sites n’aient pas à s’inquiéter des attaques DDOS, CloudFlare est excellent pour les empêcher, car l’adresse IP de votre serveur sera effectivement masquée. CloudFlare propose également une variété d’autres options de sécurité, notamment le blocage d’adresses IP ou de régions spécifiques.

10. Sauvegardez régulièrement votre site

La sauvegarde régulière de votre site est une mesure de sécurité qui vous facilitera la vie si des pirates s’introduisent sur votre site. En ayant une copie récente de votre site, vous pourrez facilement restaurer votre contenu avant qu’il ne soit compromis et ne serez pas coincé dans la position d’essayer de comprendre ce qu’il faut faire ensuite. Plugin conseillé : updraftPlus

 

Confiez-moi votre projet

Un projet en vue ?