Tech

Comment sécuriser WordPress ?

WordPress est utilisé par 24% des sites dans le monde entier. Ce qui représente des millions de pages web ! Face à son succès, ce CMS est souvent la cible des hackers. Mais heureusement, il existe des mesures rapides pour maximiser la sécurité de votre site sous WordPress.

Sommaire
1. Sauvegardez régulièrement la base de données 2. Installer un plugin antivirus 3. Supprimer un compte administrateur 4. Modifier l’adresse de connexion 5. Vérifiez régulièrement les mises à jour 6. Masquer la version de WordPress utilisée 7. Empêcher la navigation dans les dossiers8 Utiliser un certificat SSL pour chiffrer les données9 Limiter les tentatives de connexion avec un plugin de sécurité10 Renforcer les mots de passe des utilisateurs11 Utiliser un pare-feu pour bloquer les attaques de force brute

1. Sauvegardez régulièrement la base de données

Tous les sites disposent d’une base de données dans laquelle le contenu est stocké. Il est essentiel d’archiver régulièrement ces données, en cas de problèmes sur le site.

À lire aussi : Comment se servir de CapTvty ?

Idéalement, nous vous recommandons d’effectuer une sauvegarde hebdomadaire. Assurez-vous d’enregistrer la date du jour d’archivage dans le dossier de sauvegarde. En cas d’erreur, de piratage ou de perte du site, vous serez en mesure de tout réintégrer rapidement et facilement.

Pour éviter d’être forcé de le faire manuellement, il existe des plugins gratuits pour sauvegarder facilement votre base de données.

À voir aussi : Comment se connecter à Mobdro ?

2. Installer un plugin antivirus

Comme il y a un antivirus à installer sur votre ordinateur, vous pouvez également ajouter un plugin antivirus pour assurer la sécurité de votre WordPress.

Vous aurez le choix entre iThemes Security, considéré aujourd’hui comme l’une des meilleures extensions de sécurité, All In One WP Security & Firewall, Wordfence Security ou WP Antivirus Site Protection.

3. Supprimer un compte administrateur

Pour vous connecter à votre administration WordPress, l’ID admin est fourni par défaut. Il est donc massivement utilisé par les pirates pour accéder à votre site. Évitez de les rendre plus faciles et créez un identifiant personnel insupportable avant de supprimer le compte d’administrateur.

4. Modifier l’adresse de connexion

Pour réduire le risque de piratage, il est également recommandé de modifier votre adresse de connexion. Par défaut, WordPress vous propose my-site.com/wp-admin. Cela rend plus facile pour les pirates de travailler à nouveau !

Vous pouvez modifier cette URL en modifiant le fichier .htaccess ou en utilisant une extension telle que l’URL de connexion personnalisée. Cette deuxième solution est parfaite pour les personnes qui connaissent peu ou pas de code du tout.

5. Vérifiez régulièrement les mises à jour

Pour protéger votre WordPress ou blog, vous devez faire des mises à jour régulières. Dès qu’une mise à jour est disponible, suivez nos conseils pour mettre à jour votre site WordPress avant de l’installer.

Cette politique est valide pour le CMS, mais aussi pour tous les plugins. De nouveaux défauts sont révélés régulièrement, ce qui conduit les développeurs à proposer souvent des correctifs. Une extension obsolète pose donc un risque important…

Quant aux mises à jour de votre plugin de sécurité, elles sont plus que essentielles ! Ceux-ci comprennent de nouveaux virus ou des méthodes de piratage.

6. Masquer la version de WordPress utilisée

Pour chaque version de WordPress, il existe des vulnérabilités que les pirates informatiques exploiteront volontiers. Pour compliquer un peu la mission de ces intrus, n’oubliez pas de cacher la version de WordPress que vous utilisez.

Le changement se fait sur deux niveaux : dans le fichier function.php, ainsi que dans le fichier readme.html. Ce dernier est situé à la racine de votre WordPress et doit être retiré !

7. Empêcher la navigation dans les dossiers

Sur un site WordPress par défaut, les dossiers sont accessibles à tous. Il est donc impératif de bloquer leur accès afin de mieux les protéger. Pour ce faire, vous devez modifier les conditions d’accès via votre .htaccess ou opter pour un plugin comme Hide My WordPress.

Sécuriser votre site WordPress est essentiel pour votre entreprise. Nous vous recommandons fortement d’utiliser le développeur WordPress sur Encoder, pour vous aider à sécuriser votre site Web autant que possible.

4.3 / 5 ( 9 votes )

8 Utiliser un certificat SSL pour chiffrer les données

Utiliser un certificat SSL pour chiffrer les données

Un certificat SSL (Secure Sockets Layer) est une clé de cryptage qui permet de sécuriser les échanges entre votre site WordPress et vos utilisateurs. En optant pour cette solution, vous garantissez que chaque donnée transmise sur votre site est protégée contre tout piratage informatique.

Pour utiliser un certificat SSL, vous devez l’acheter auprès d’une autorité de certification reconnue telle que Let’s Encrypt ou Comodo. Vous pouvez aussi vérifier si votre hébergeur propose déjà ce service gratuitement via des partenariats avec ces autorités.

L’installation du certificat peut être effectuée manuellement en modifiant le fichier .htaccess ou par le biais d’un plugin tel que Really Simple SSL. Assurez-vous toujours que toutes les URLs sont correctement configurées après l’installation du certificat.

Cela dit, il faut noter qu’il existe plusieurs types de certificats SSL, dont chacun offre plus ou moins de sécurité et demande plus ou moins d’autorisations administratives à obtenir. Il faut donc évaluer ses besoins en matière de sécurité avant d’en choisir un pour un site web WordPress.

/ 5(11 votes)

9 Limiter les tentatives de connexion avec un plugin de sécurité

Limiter les tentatives de connexion avec un plugin de sécurité

Les attaques par force brute sont très courantes sur WordPress. Cela consiste à essayer toutes les combinaisons possibles d’identifiants et de mots de passe jusqu’à ce que l’accès soit accordé. Pour éviter cela, il est recommandé d’utiliser un plugin qui limite le nombre de tentatives de connexion.

Certains plugins populaires tels que Wordfence, iThemes Security et Jetpack proposent cette fonctionnalité en plus d’autres options pour renforcer la sécurité du site web.

Il faut être prudent lors du choix des plugins car certains peuvent ralentir considérablement votre site ou causer des conflits avec d’autres extensions installées. Avant toute installation, assurez-vous que le plugin choisi a une bonne réputation auprès des utilisateurs ainsi qu’une compatibilité avérée avec votre version actuelle de WordPress.

/ 5 (11 votes)

10 Renforcer les mots de passe des utilisateurs

Des mots de passe complexes et uniques sont une première ligne de défense importante contre les attaques. Les utilisateurs devraient être encouragés à utiliser des combinaisons d’au moins huit caractères, comprenant des majuscules, des minuscules, des chiffres et des symboles.

Il ne faut pas stocker les mots de passe en clair dans votre base de données WordPress. Si un pirate informatique réussit à accéder à cette dernière, tous vos comptes d’utilisateurs seront en danger.

Pour éviter cela, il est recommandé d’utiliser le cryptage pour stocker les mots de passe. Le protocole standard actuel est Bcrypt, qui utilise un algorithme puissant pour chiffrer les données sensibles.

Vous pouvez aussi ajouter une couche supplémentaire en mettant en place la vérification en deux étapes pour vos utilisateurs. Cela signifie qu’un code unique sera envoyé sur leur téléphone portable ou leur adresse e-mail avant qu’ils ne puissent se connecter avec succès.

/ 5 (11 votes)

11 Utiliser un pare-feu pour bloquer les attaques de force brute

Il existe différentes façons d’empêcher les attaques de force brute sur WordPress. L’une des meilleures méthodes consiste à utiliser un pare-feu.

Cet outil permet de bloquer automatiquement les adresses IP qui tentent de se connecter plusieurs fois sans succès. De nombreux plugins de sécurité, comme Wordfence ou Sucuri, intègrent cette fonctionnalité. Vous pouvez aussi opter pour une solution externe telle que Cloudflare ou Akamai.

Le pare-feu peut aussi être configuré pour limiter le nombre de connexions simultanées autorisées à votre site Web. Cela empêchera les robots informatiques d’envoyer des centaines (voire des milliers) de requêtes en même temps, ce qui pourrait surcharger vos serveurs et rendre votre site inaccessible aux visiteurs légitimes.

Pour ceux qui préfèrent une approche plus manuelle, il est possible d’utiliser la liste noire des adresses IP. Cette liste contient toutes les adresses IP que vous souhaitez bloquer et peut être mise à jour régulièrement en fonction des dernières menaces identifiées.

Choix de la rédaction

Recherche

Les immanquables

Lost your password?