Un guide complet étape par étape sur la sécurité de WordPress

La sécurité de WordPress se concentre sur la protection de votre site, de vos visiteurs et de vos données contre les logiciels malveillants et les pirates. Maintenant, ne vous trompez pas. WordPress est une plate-forme sécurisée, et les pirates ne réussissent à pénétrer à travers les fonctionnalités de sécurité de la plate-forme qu'en raison de mauvaises politiques de mot de passe ou de vulnérabilités de sécurité.

Lorsque vous les atténuez, vous réduisez considérablement les risques de piratage de votre site. Alors, comment pouvez-vous atténuer les vulnérabilités de sécurité sur votre site WordPress ?

Installer une solution de sauvegarde

Votre première défense contre une attaque WordPress est de sauvegarder vos données. La dure vérité est que rien n'est absolument sûr. Si les sites Web Fortune 500 peuvent être piratés, votre site est également susceptible.

Bien que la mise en place d'une solution de sauvegarde ne signifie pas que votre site ne sera pas piraté, cela protège simplement vos données. Lorsque vous sauvegardez, vous pouvez immédiatement restaurer votre site et vos données si votre site devait être piraté. Vous trouverez différents plugins de sauvegarde WordPress pour des packages gratuits et payants.

Nous vous recommandons de configurer une sauvegarde en temps réel, afin que vos données puissent être sauvegardées quotidiennement et automatiquement. De plus, assurez-vous d'effectuer une sauvegarde régulière vers un emplacement distant sur un cloud, tel que Dropbox, Amazon ou d'autres clouds privés.

Activer le WAF (pare-feu d'application Web)

L'utilisation d'un pare-feu d'application Web est la méthode la plus simple pour protéger votre site Web contre les logiciels malveillants. Un WAF bloque le trafic malveillant avant même qu'il n'arrive sur votre site. Voici les pare-feux d'applications Web que vous pouvez envisager :

• Pare-feu de site Web de niveau DNS : lorsque cette option est activée, elle achemine le trafic de votre site via un serveur proxy cloud et envoie uniquement le trafic authentique à votre serveur Web.

• Application Level Firewall : ces plugins évaluent le trafic lorsqu'il arrive sur votre serveur avant de charger les scripts WordPress sur votre site. Entre les deux, le pare-feu de niveau DNS est le plus efficace pour minimiser la charge de votre serveur à la fois.

Migrez votre site WordPress vers SSL/HTTPS

Secure Socket Layer (SSL) est un protocole de sécurité qui crypte les données transmises entre votre site et les navigateurs des utilisateurs. Le cryptage rend difficile pour une personne autorisée de fouiner sur votre site pour voler des informations. Lorsque vous activez SSL, votre site commence à supprimer HTTP et à utiliser HTTPS.

Le symbole indiquant que votre site utilise HTTPS est un cadenas placé à côté de l'adresse du site dans le navigateur Web. Il suffit de mentionner que les certificats SSL ont un coût supplémentaire et sont émis par les autorités de certification.

Cependant, vous pouvez choisir d'utiliser les certificats SSL gratuits offerts par Let's Encrypt, qui est pris en charge par Facebook, Google Chrome et Mozilla, entre autres. De plus, de nombreuses sociétés d'hébergement proposent désormais un certificat SSL gratuit dans le cadre du package d'hébergement de votre site WordPress.

Utiliser un service d'entretien

L'avantage d'utiliser un service de maintenance est qu'il offre plus que la sécurité de WordPress. Avec un tel service, vous n'avez pas à vous soucier des problèmes de backend liés à votre site Web.

De la sécurité à la sauvegarde et autres problèmes de maintenance, votre fournisseur de services de maintenance s'en occupera. Vous pouvez vous concentrer sur votre entreprise tout en laissant les professionnels s'occuper de la sécurité de votre site en permanence.

Comment faire de la sécurité WordPress avec le codage

Si vous avez des compétences de base en codage et que vous souhaitez garder un œil sur votre sécurité WordPress par vous-même, cette partie est pour vous. Voici les étapes pour vous aider à maintenir votre sécurité WordPress avec quelques connaissances en codage.

Changez votre nom d'utilisateur par défaut de "Admin

Le nom d'utilisateur par défaut pour l'administrateur WordPress était "admin". Cela permet aux pirates de déterminer facilement votre nom d'utilisateur et d'attaquer brutalement votre site. Bien que WordPress ait changé cela et exige que vous choisissiez un nom d'utilisateur unique lors de l'installation de WordPress, la plupart des installateurs WordPress en 1 clic utilisent toujours "Admin" comme nom d'utilisateur par défaut.

Si vous rencontrez ce problème lors de l'installation de votre WordPress à partir d'une société d'hébergement Web, vous devez résoudre le problème. WordPress ne prend pas en charge la modification des noms d'utilisateur. Cependant, vous pouvez créer un nouveau nom d'utilisateur administrateur en supprimant l'ancien.

Comment supprimer un ancien nom d'utilisateur administrateur et en créer un nouveau

Vous pouvez créer un nouveau nom d'utilisateur avec le rôle d'utilisateur administrateur. Vous devrez peut-être créer une nouvelle adresse e-mail car vous ne pouvez pas utiliser celle que vous avez utilisée lors de la création du compte existant. Suivez les étapes ci-dessous pour créer un nouveau nom d'utilisateur administrateur avec une nouvelle adresse e-mail.

Étape 1 : Cliquez sur « Utilisateurs » et remplissez le court formulaire.

Étape 2 : Déconnectez-vous de votre compte WordPress et connectez-vous avec le compte utilisateur nouvellement créé.

Étape 3 : Accédez à la page "Utilisateurs" puis "Tous les utilisateurs" et cliquez sur le lien "Supprimer" sous l'ancien nom d'utilisateur.

Étape 4 : WordPress vous demandera si vous souhaitez supprimer tout contenu créé par l'ancien utilisateur. Cliquez sur "Attribuer tout le contenu à" et sélectionnez le nouveau nom d'utilisateur que vous avez créé.

Étape 5 : Cliquez sur "Confirmer la suppression" pour supprimer l'ancien compte. C'est tout ce qu'il faut pour changer votre ancien nom d'utilisateur en un nouveau.

Désactiver l'édition de fichiers

WordPress dispose d'un éditeur de code intégré qui permet aux utilisateurs de modifier des thèmes et des fichiers de plug-in via la zone d'administration. Cette fonctionnalité peut constituer un risque majeur pour la sécurité si elle tombe entre de mauvaises mains. Par conséquent, il est préférable de le désactiver. Pour faire ça, suit les étapes suivantes:

Étape 1 : Ajoutez le code ci-dessous dans votre fichier wp-config.php

• // Interdire la modification du fichier

• définir( 'DISALLOW_FILE_EDIT', true );Réduire les tentatives de connexion

Les utilisateurs peuvent se connecter à leur tableau de bord WordPress librement et sans restriction. Lorsque vous faites cela, votre site Web WordPress devient vulnérable aux attaques par force brute. Il devient facile pour les pirates de déchiffrer vos mots de passe via plusieurs connexions avec différentes combinaisons.

Vous devez résoudre ce problème en limitant le nombre de tentatives après un échec de connexion. Pour faire ça, suit les étapes suivantes:

• Installez et activez le plugin Login LockDown

• Visitez "Paramètres" puis la page "Login LockDown" pour configurer

• Suivez les invites pour terminer le processus et vous êtes prêt à partir.

Dernières pensées

Avec ces étapes, vous pouvez augmenter considérablement votre sécurité WordPress et prévenir les attaques. Si cela ressemble à quelque chose que vous ne voudriez pas passer du temps à faire, nous vous recommandons d'utiliser un service de maintenance WordPress. Cela soulagera le stress et vous pouvez être assuré qu'une équipe de professionnels gère votre site.