Comment sécuriser votre site WordPress

WordPress héberge 35% des sites Web du monde Internet. Et comme on dit "Une plus grande puissance vient avec de plus grandes responsabilités", WordPress a aussi des tonnes de choses à prendre en charge. Avec l'empreinte croissante de WordPress sur les marchés du Web, les pirates ont pris note, ciblant spécifiquement les sites WordPress. Quels que soient le contenu et les services fournis par votre site, sans les bonnes précautions de sécurité, vous courez toujours des risques.

Votre effort pour lancer un site efficace est vain s'il trouve un moyen de se nuire. Le piratage sur Internet et les attaques aléatoires sont parfois si prévisibles que votre site peut planter en une fraction de seconde. Il est donc toujours sage de sécuriser votre WordPress de la meilleure façon possible. Voici quelques conseils pour sécuriser votre site WordPress.

1. Mettez régulièrement à jour WordPress, les thèmes et les plugins

Chaque mise à jour signifie quelques modifications qui incluent souvent des mises à jour des fonctionnalités de sécurité. La mise à jour de votre WordPress, de vos thèmes et de vos plugins avec la dernière version vous protège des failles pré-identifiées et exploite les pirates.

Heureusement, WordPress télécharge automatiquement toutes les mises à jour mineures. Mais vous devrez effectuer d'autres mises à jour à partir du tableau de bord d'administration de WordPress pour les versions majeures.

2. Changer le préfixe de table WordPress

L'installation de WordPress avec le préfixe par défaut, c'est-à-dire "wp_", rend les données de votre site sujettes aux attaques par injection SQL. Donc, la première chose à faire est de changer votre wp_ en quelque chose comme wpmy_ ou wpnew_ ou même quelque chose d'aléatoire.

Mais si vous avez installé votre site Web WordPress avec le préfixe wp_, utilisez des plugins pour le changer. Des plugins comme Change Table Prefix, iThemes Security et WP-DB Manager font le travail en un seul clic.

3. Changez le nom d'utilisateur "admin" par défaut

N'utilisez jamais et jamais le nom d'utilisateur "admin" pour votre compte administrateur. N'importe lequel de ces noms d'utilisateur faciles à deviner ouvre facilement la porte aux pirates. Si le nom d'utilisateur est si facilement prévisible, tout ce dont ils ont besoin est le mot de passe. Vous ne souhaitez pas leur faciliter la tâche, n'est-ce pas ?

WordPress ne vous permet pas de modifier les noms d'utilisateur par défaut. Il existe donc plusieurs façons de modifier le nom d'utilisateur : créez un nouveau nom d'utilisateur administrateur et effacez l'ancien, utilisez le plug-in Username Changer ou mettez à jour le nom d'utilisateur à partir de phpMyAdmin.

4. Ajouter des authentifications à deux facteurs

Avec le module d'authentification à deux facteurs, l'utilisateur donne ses informations de connexion pour deux composants différents et l'administrateur du site Web peut décider quels sont ces deux éléments, c'est-à-dire un mot de passe normal suivi d'une question, d'un code, d'un ensemble de caractères OU Fournir un code secret sur votre téléphone à l'aide de l'application Google Authenticator.

Cela signifie que seule la personne qui utilise votre téléphone peut se connecter à votre site. Tout d'abord, installez et activez le plug-in d'authentification à deux facteurs, puis cliquez sur le lien « Authentification à deux facteurs » dans la barre latérale d'administration de WordPress.

Certains plugins que vous pouvez utiliser pour implémenter l'authentification à deux facteurs :

• Google Authenticator - Authentification à deux facteurs WordPress (2FA, MFA)
• Authentification à deux facteurs
• Authentification à deux facteurs Duo

5. Installer le certificat SSL

Single Sockets Layer, communément appelé SSL, était auparavant utilisé pour sécuriser des transactions spécifiques telles que le traitement des paiements. Mais maintenant, comme Google a reconnu l'importance de SSL, les sites fournis avec un certificat SSL ont une valeur de déplacement dans les résultats de recherche.

Une bonne société d'hébergement propose un certificat SSL Let's Encrypt gratuit. Sinon, pour les sites Web qui acceptent des informations sensibles, ils doivent payer le prix SSL d'environ 70 à 199 dollars par an. SSL est obligatoire pour la page Web qui traite des informations sensibles, sinon les données entre votre serveur Web et le navigateur Web de l'utilisateur sont fournies en texte brut qui peut être lisible par les pirates.

6. Installez un plugin de sécurité WordPress

Il peut être fastidieux de vérifier régulièrement la sécurité de votre site. Et même dans ce cas, vous ne remarquerez peut-être pas le logiciel malveillant à moins que vous ne soyez régulièrement mis à jour avec les pratiques de codage récentes. Heureusement, il existe quelques plugins de sécurité WordPress conçus pour faire le travail à votre place.

Un plugin de sécurité WordPress recherche les logiciels malveillants pour prendre en charge la sécurité de votre site et surveille votre site 24h/24 et 7j/7. Les développeurs préfèrent le plug-in de sécurité Wordfence en tant que pare-feu de point de terminaison et scanner de logiciels malveillants. Il évalue efficacement l'état de sécurité total de tous vos sites Web en une seule vue.

7. Protégez votre wp-config.php

Vous pouvez protéger votre wp-config.php en masquant votre fichier wp-config.php. Cela empêche les pirates d'accéder à votre site. Bien que cette procédure soit fortement recommandée pour les développeurs expérimentés, elle peut être mouvementée pour les nouveaux arrivants.

Tout d'abord, sauvegardez tous vos fichiers puis ajoutez le code suivant à votre fichier .htaccess :

 # protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>

8. Renommez votre URL de connexion

"votresite.com/wp-admin" est la connexion par défaut d'un site. Une telle connexion est ciblée pour une attaque brute pour casser la combinaison nom d'utilisateur et mot de passe ou vous pouvez obtenir des enregistrements de spam.

Il est donc sage de modifier l'URL de connexion de l'administrateur. Vous pouvez également ajouter un plug-in d'authentification ou une question de sécurité à la page d'inscription et de connexion. De plus, vérifiez les adresses IP des tentatives de connexion les plus infructueuses et bloquez-les.?

9. Choisissez une bonne société d'hébergement

La publicité brillante pour le fournisseur d'hébergement bon marché est toujours tentante. Mais cela provoque souvent des cauchemars sur la route. Des cas où votre URL est redirigée ailleurs ou vos données sont complètement effacées ont été notés.

Si dépenser quelques dollars de plus peut simplement assurer la sécurité de votre site, n'hésitez pas. Écoutez, je comprends que vous vouliez un démarrage économique. Mais si une bonne société d'hébergement peut créer des couches de sécurité supplémentaires pour votre site Web, pourquoi pas ?

10. Faites attention aux autorisations de fichiers

WordPress permet à différents fichiers d'être accessibles en écriture par le serveur Web. Mais une telle autorisation d'accès en écriture à vos fichiers est dangereuse. Il est sage de limiter vos autorisations de fichiers pour assouplir ces limitations lorsque vous devez autoriser l'accès en écriture. Protégez les fichiers importants contre les excès des autres.

11. Sauvegardez régulièrement votre site

Vous pouvez avoir une centaine de façons de protéger votre site Web WordPress, mais il y a toujours des chances que les données soient effacées. Donc, en fin de compte, la meilleure façon est de conserver une sauvegarde hors site ailleurs. Avec les données de sauvegarde, vous pouvez facilement restaurer votre site Web WordPress à tout moment.

Vous pouvez utiliser des plugins comme UpdraftPlus, VaultPress, BlogVault, BackWPup, etc.

Pour résumer :

La sécurisation de votre WordPress est un élément crucial pour avoir un site Web. Vous pouvez être victime d'histoires où un pirate informatique draine toutes les informations personnelles et efface les données. Mais maintenir la sécurité de votre site n'est pas si simple que vous ayez adopté de simples astuces de protection. Suivez simplement attentivement la procédure ci-dessus et vous pourrez facilement sécuriser votre site Web WordPress.

Oh, assurez-vous simplement de sauvegarder votre fichier avant même d'apporter la moindre modification.