12 façons vitales d'augmenter la sécurité de WordPress

WordPress est l'un des créateurs de sites Web les plus populaires au monde. Il est utilisé par des millions de personnes, y compris certaines des plus grandes marques et organisations au monde.

Cependant, une grande responsabilité s'accompagne d'un grand pouvoir, ce qui implique de s'assurer que votre site WordPress est aussi sécurisé que possible. Plusieurs sites WordPress de haut niveau ont été piratés ces dernières années, il est donc essentiel de prendre des mesures pour protéger votre site.

Une étude de Sucuri a révélé que 43 % des sites WordPress sont vulnérables aux attaques.

Voici quelques façons d'augmenter la sécurité de WordPress.

Gardez WordPress à jour

L'une des choses les plus importantes que vous puissiez faire pour augmenter la sécurité de WordPress est de maintenir votre site WordPress à jour.

Cela signifie mettre à jour WordPress lui-même, ainsi que tous les thèmes et plugins que vous avez installés. De nouvelles versions de WordPress sont publiées régulièrement et chaque nouvelle version inclut des correctifs de sécurité pour les vulnérabilités qui ont été découvertes.

Pour mettre à jour WordPress, accédez à la page Tableau de bord > Mises à jour et cliquez sur le bouton « Mettre à jour maintenant ».

Il est également important de mettre à jour vos thèmes et plugins. La plupart des développeurs de thèmes et de plugins publient régulièrement des mises à jour pour corriger les vulnérabilités de sécurité.

Vous pouvez mettre à jour vos thèmes et plugins à partir de la page Tableau de bord > Mises à jour ou installer le plugin WP Updates Notifier, qui vous enverra un e-mail lorsque des mises à jour seront disponibles.

Masquer le numéro de version de WordPress

À mesure que WordPress est devenu plus populaire, les pirates l'ont de plus en plus ciblé.

L'une des choses qu'ils recherchent est le numéro de version de WordPress, qui est affiché dans le code source de chaque site WordPress. Les pirates peuvent cibler des vulnérabilités spécifiques en sachant quelle version de WordPress vous utilisez. De plus, certains plugins de sécurité WordPress ne fonctionneront qu'avec des versions spécifiques de WordPress.

Il est donc essentiel de masquer votre numéro de version WordPress. La plupart des thèmes WordPress ont une option pour le faire, ou vous pouvez installer un plugin comme WP-Hardening Plugin.

Vous pouvez également le masquer manuellement en collant ce code dans votre fichier functions.php :

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Utilisez un mot de passe fort

Un autre moyen important d'augmenter la sécurité de WordPress consiste à utiliser un mot de passe fort.

Un mot de passe fort doit comporter au moins huit caractères et inclure un mélange de lettres majuscules et minuscules, de chiffres et de symboles. L'utilisation d'un mot de passe différent pour chaque site Web que vous visitez est également essentielle. De cette façon, vos autres comptes seront en sécurité si un site est piraté. Vous pouvez utiliser un gestionnaire de mots de passe comme LastPass ou KeePass pour vous aider à générer et à mémoriser des mots de passe forts.

Une étude de recherche menée par Imperva a révélé que l'utilisation d'un mot de passe fort est le moyen le plus efficace de prévenir les attaques par force brute, un hack WordPress courant.

Utilisez un site Web générateur de mots de passe pour générer un mot de passe très fort. Voici quelques-uns des meilleurs générateurs de mots de passe :

• Dernier passage
• Norton
• 1Mot de passe

Utiliser l'authentification à deux facteurs

L'authentification à deux facteurs (également connue sous le nom de vérification en deux étapes) est une couche de sécurité supplémentaire qui peut aider à protéger votre site WordPress.

Avec l'authentification à deux facteurs, vous devez entrer votre mot de passe et un deuxième code, généralement généré par une application sur votre smartphone. De cette façon, même si quelqu'un parvient à deviner votre mot de passe, il ne pourra pas se connecter à moins d'avoir également votre smartphone.

WordPress n'inclut pas l'authentification à deux facteurs par défaut, mais vous pouvez installer un plugin comme Google Authenticator ou Duo Security.

N'oubliez pas, cependant, que l'authentification à deux facteurs ne fonctionnera pas si vous perdez votre smartphone, il est donc essentiel d'avoir une méthode de secours, comme une adresse e-mail ou un numéro de téléphone alternatif.

Limiter les tentatives de connexion

Une autre façon d'augmenter la sécurité de WordPress consiste à limiter les tentatives de connexion.

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, ce qui donne aux pirates amplement l'occasion de deviner votre mot de passe. En limitant les tentatives de connexion, vous pouvez aider à prévenir les attaques par force brute. Certains plugins vous permettent de le faire, tels que Limiter les tentatives de connexion et Verrouiller la connexion.

Les recherches de Wordfence montrent que la limitation des tentatives de connexion peut bloquer 99,99 % des attaques par force brute.

Choisissez également un plugin qui ne verrouille pas les utilisateurs légitimes, tels que vous-même, si vous oubliez votre mot de passe.

Utiliser SSL

SSL (Secure Sockets Layer) est un protocole qui crypte les données transmises entre un site Web et le navigateur Web d'un utilisateur. Cela signifie que si quelqu'un essaie d'intercepter les données, il ne pourra pas les lire. Dans le passé, les sites Web de commerce électronique utilisaient principalement SSL pour protéger les informations de carte de crédit.

Mais de nos jours, de plus en plus de sites WordPress utilisent SSL pour protéger les données sensibles, telles que les identifiants de connexion et les formulaires de contact. Vous pouvez ajouter SSL à votre site WordPress de différentes manières. Par exemple, certaines sociétés d'hébergement Web proposent des certificats SSL gratuits, ou vous pouvez acheter un certificat auprès d'une société comme Symantec ou Comodo. Une fois que vous avez un certificat SSL, vous devrez installer et activer le plugin WordPress SSL.

Restreindre l'accès à votre répertoire de plugins

Le répertoire des plugins WordPress est un dossier sur votre serveur qui contient tous les plugins que vous avez installés sur votre site.

Par défaut, n'importe qui peut accéder à ce dossier et voir quels plugins il utilise. Et si un pirate sait quels plugins vous utilisez, il peut cibler toutes les vulnérabilités de ces plugins. Il est donc essentiel de restreindre l'accès au répertoire de votre plugin. Vous pouvez le faire en ajoutant une simple ligne de code à votre fichier .htaccess.

Si vous n'êtes pas à l'aise pour éditer des fichiers sur votre serveur, vous pouvez installer un plugin comme iThemes Security, qui ajoutera le code pour vous. Si vous modifiez votre fichier .htaccess, assurez-vous de créer une sauvegarde avant d'apporter des modifications.

Modifier le nom d'utilisateur de l'administrateur

Lorsque vous installez WordPress, le nom d'utilisateur par défaut de l'administrateur est « admin ». Ce n'est pas très sûr car il est facile pour les pirates de deviner.

Ainsi, l'une des premières choses à faire après l'installation de WordPress est de changer le nom d'utilisateur de l'administrateur. Vous pouvez créer un nouvel utilisateur avec des privilèges d'administrateur, puis supprimer l'ancien utilisateur "admin". Ou, vous pouvez installer un plugin comme WP Security Scan, qui analysera votre site pour tous les paramètres non sécurisés, y compris le nom d'utilisateur administrateur par défaut.

Après avoir changé le nom d'utilisateur de l'administrateur, déconnectez-vous de votre compte WordPress et reconnectez-vous avec le nouveau nom d'utilisateur. Beaucoup de gens oublient de le faire et se demandent pourquoi ils ne peuvent pas accéder à leur site WordPress.

Utilisez CAPTCHA ou reCAPTCHA sur votre écran de connexion

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est un test de défi-réponse utilisé pour s'assurer que seuls les humains peuvent accéder à un site Web ou effectuer certaines actions. reCAPTCHA est une version de CAPTCHA appartenant à Google. Il est plus sécurisé que le CAPTCHA traditionnel car il utilise des techniques avancées d'analyse des risques pour empêcher les logiciels automatisés de se livrer à des activités abusives sur votre site Web. Pour ajouter CAPTCHA ou reCAPTCHA à votre écran de connexion WordPress, vous pouvez installer un plugin comme WP-reCAPTCHA.

Une fois le plugin installé et activé, vous devrez créer un compte gratuit avec reCAPTCHA. Vous recevrez ensuite une clé de site et une clé secrète, que vous devrez entrer dans les paramètres du plugin.

Déconnecter automatiquement les utilisateurs inactifs

Lorsque vous êtes connecté à votre site WordPress, vous pouvez rester connecté indéfiniment, même si vous fermez la fenêtre du navigateur ou que vous vous éloignez de votre ordinateur. Ce n'est pas très sécurisé car cela signifie que toute personne ayant accès à votre ordinateur peut également accéder à votre site WordPress.

Vous pouvez installer un plugin comme Idle User Logout pour résoudre ce problème. Ce plugin déconnectera automatiquement les utilisateurs inactifs pendant une certaine période.

Par exemple, vous pouvez le configurer pour déconnecter les utilisateurs qui n'ont pas été actifs pendant 15 minutes. De cette façon, même si quelqu'un a accès à votre ordinateur, il ne pourra pas rester connecté à votre site WordPress. Un plugin est essentiel si vous avez un ordinateur partagé ou utilisez le Wi-Fi public.

Utilisez SFTP pour vous connecter à votre serveur

Lorsque vous vous connectez à votre site WordPress, vous vous connectez à votre serveur.

Par défaut, la plupart des gens se connectent à leur serveur en utilisant FTP (File Transfer Protocol). Mais FTP est un protocole non sécurisé car il ne crypte pas vos données. Cela signifie que toute personne surveillant la connexion peut voir votre nom d'utilisateur et votre mot de passe.

Ainsi, l'utilisation de SFTP (Secure File Transfer Protocol) est essentielle. SFTP est un protocole sécurisé qui crypte vos données, il est donc beaucoup plus difficile pour quelqu'un d'intercepter votre connexion et de voler vos informations d'identification. Pour utiliser SFTP, vous devrez générer une paire de clés SSH et ajouter la clé publique à votre serveur. La plupart des fournisseurs d'hébergement ont des instructions sur la façon de procéder.

Surveiller les logiciels malveillants

Un malware est un logiciel malveillant qui peut infecter votre site WordPress et causer de nombreux problèmes.

Par exemple, les logiciels malveillants peuvent rediriger vos visiteurs vers d'autres sites Web ou afficher des publicités sur votre site sans votre permission. Les logiciels malveillants peuvent également voler des informations sensibles comme les mots de passe et les numéros de carte de crédit. Il est donc important d'analyser régulièrement votre site WordPress à la recherche de logiciels malveillants et de supprimer ceux que vous trouvez. Il existe plusieurs façons de procéder. Par exemple, vous pouvez utiliser un plugin comme Wordfence Security, qui analysera votre site à la recherche de logiciels malveillants et supprimera automatiquement tout ce qu'il trouvera.

Alternativement, vous pouvez utiliser un service comme Sucuri SiteCheck, qui analysera votre site et vous fournira ensuite un rapport sur tout logiciel malveillant qu'il trouvera.

Conclusion

Ce ne sont que quelques-unes des nombreuses façons dont vous pouvez augmenter la sécurité de WordPress. En prenant ces mesures, vous pouvez aider à protéger votre site WordPress contre les pirates et autres utilisateurs malveillants. Beaucoup de ces conseils sont faciles à mettre en œuvre, il n'y a donc aucune excuse pour ne pas agir. N'oubliez pas que votre site WordPress n'est aussi sûr que vous le faites. Alors, s'il vous plaît, n'attendez pas qu'il soit trop tard pour commencer à penser à la sécurité. Agissez maintenant et contribuez à la sécurité de votre site WordPress.