Conseils essentiels pour garder votre site WordPress sécurisé

Publié: 2016-02-19

Avouons-le! Personne n'aime se faire pirater son site Web ou son profil social. Mais voici deux scénarios différents. Laissez-moi tout vous expliquer.

Se faire pirater un profil social signifie perdre des données personnelles et, surtout, les mettre entre de mauvaises mains. Désormais, si vous pouvez récupérer le compte, seuls vous ou vos proches seront affectés.

Mais dans un autre cas, lorsque votre site Web est piraté, vous perdez d'abord le profil authentique que vous avez créé en tant que blogueur ou spécialiste du marketing en ligne, ce qui affecte également vos revenus.

Je suppose que le premier scénario est assez simple et clair pour vous, mais le second contient beaucoup de choses en dessous. Ne vous inquiétez pas, nous arriverons à WordPress et je partagerai quelques conseils pour le rendre complètement sécurisé, mais nous devons d'abord comprendre les bases et être sur la même page.

Table des matières

Après les effets des piratages de sites Web

Méthodes essentielles pour sécuriser votre site WordPress
- #1 Gardez WordPress à jour
- #2 Utilisez un mot de passe administrateur fort
- #3 Supprimer la version de WordPress
- # 4 Utilisez un hôte meilleur et fiable
- #5 Gardez toujours une sauvegarde à jour
Des moyens super puissants pour protéger WordPress
- #1 Gardez un œil sur les plugins
- #2 Limitez les tentatives de connexion
- #3 Gardez la page de connexion cachée
- #4 Utilisez des thèmes qui s'exécutent sur du code validé
- #5 Définir les autorisations de fichier/répertoire
- À vous

Après les effets des piratages de sites Web

Commençons d'abord par la liste de diffusion. Chaque blogueur est dans la création de listes de diffusion, ce qui crée une confiance entre les lecteurs et apporte également plus de trafic et de conversion. Maintenant, une fois que votre site Web est piraté, ce coupable inconnu peut noter votre liste et envoyer du contenu malveillant ou peut-être celui qui essaie de leur vendre le mauvais article (ce que vous n'auriez jamais fait). Très bientôt, le fournisseur d'accès saura que l'e-mail attaché à votre domaine envoie des e-mails de spam et il vous bloquera. À l'avenir, chaque fois que vous envoyez un nouveau courrier, il va directement dans le dossier Spam, que personne n'ose ouvrir.

Venons-en maintenant au deuxième scénario, où cela affecte l'argent que gagne votre blog. Eh bien, une fois que vous perdez le profil authentique parmi vos abonnés par e-mail, ils ne croiront plus en vos paroles et cesseront d'acheter ce que vous avez recommandé et de compter l'argent jusqu'à présent. De plus, si le site Web tombe en panne, le trafic diminue, ce qui fait que les revenus touchent le sol.

Enfin, vous travaillez peut-être trop fort pour vous remettre de ces deux pertes majeures et une troisième surviendra simultanément. Au moment où le site a été piraté, vous commencez à investir le temps crucial du mauvais côté. Oui, pour trouver ce qui n'allait pas, puis essayer tout ce que vous pouvez pour le réparer et minimiser les dommages. Maintenant, je suppose que je n'ai pas besoin de vous rappeler à quel point le temps est précieux pour nous tous.

Conseils essentiels pour garder votre site WordPress sécurisé

Afin d'assurer la sécurité et de maintenir votre site Web, vos efforts, vos revenus et votre temps sur la bonne voie, vous devez comprendre un fait. Ce fait est attaché à chaque site Web WordPress, c'est-à-dire que WordPress est une plate-forme open source.

Même s'il n'était pas disponible gratuitement, un hacker expert aurait pu le pirater, mais le rendre disponible en open source rend son travail simple et direct. Pourtant, les développeurs derrière le script WordPress ont travaillé dur pour garder les choses solides afin qu'elles ne ressemblent pas à un morceau de gâteau pour de mauvaises mains.

Peu d'étapes que vous pouvez suivre pour renforcer l'installation de WordPress sont extrêmement simples et semblent évidentes et elles sont une preuve complète pour protéger votre site contre les pirates ou les attaques normales. Mais, je partagerai également quelques méthodes de premier ordre que vous pouvez appliquer et minimiser les risques de piratage.

Remarque - Aucun site Web unique sur Internet n'est entièrement protégé contre le piratage. Vous devez comprendre ce fait ! Mais, si vous renforcez la protection, vous demandez au moins à ce pirate quelque part d'utiliser le meilleur de sa méthode et de ses efforts.

Méthodes essentielles pour sécuriser votre site WordPress

Basé sur la ténacité, je divise les méthodes. Alors, commençons par les plus évidentes. Vous pouvez aussi les appeler les incontournables.

#1 Gardez WordPress à jour

Comme je l'ai dit plus haut, l'équipe derrière le script WordPress est déjà consciente des inconvénients du service de sécurité et tient à ce que son produit reste sûr. Pour ce faire, ils travaillent toujours à l'amélioration de leur produit et publient régulièrement des mises à jour techniques et de sécurité.

Gardez WordPress à jour

Maintenant, il est de votre devoir de maintenir votre site Web à jour avec chaque nouvelle version. Vous pouvez ignorer une mise à jour technique mineure, mais s'il s'agit d'une mise à jour de sécurité, il est fortement recommandé de prendre des mesures. Pour info, avant de prendre la décision, assurez-vous que tous les plugins que vous utilisez sont compatibles avec cette nouvelle version.

#2 Utilisez un mot de passe administrateur fort

Quiconque a été initié aux bases de WordPress et au tableau de bord derrière sait que l'on peut accéder facilement à la partie back-end en passant par la page de connexion /wp-admin. Maintenant, vous ne pouvez pas changer ce fait, mais ce que vous pouvez faire, c'est utiliser un mot de passe fort qui est difficile à deviner et encore plus difficile à prédire par un logiciel à travers certains algorithmes (oui, il y a beaucoup de choses disponibles pour faire de telles prédictions). Vous devez également supprimer l'utilisateur Admin par défaut et en créer un nouveau avec un nom unique et un mot de passe fort pour l'accompagner.

Quand je dis "fort", je veux dire que vous devez créer un mot de passe avec une combinaison de lettres minuscules, de grosses lettres, de chiffres et de caractères spéciaux. De nos jours, WordPress lui-même suggère un mot de passe fort qui est généré par le système mais difficile à retenir pour les humains. Donc, créez votre propre mot de passe fort et mémorisez-le ou utilisez le système proposé et gardez-le en sécurité et essayez de le mémoriser.

#3 Supprimer la version de WordPress

Ensuite, chaque installation de WordPress présente la version exacte utilisée. Vous pouvez afficher la version du script utilisé sur n'importe quel site Web qui ne l'a pas encore masqué. Maintenant, une fois qu'un pirate connaît la version de WordPress, il devient trop facile pour lui de commencer le travail de publication. D'un autre côté, si la version n'est pas confirmée, il doit faire beaucoup de recherches pour d'abord trouver la version, puis commencer à attaquer les vulnérabilités qui l'accompagnent.

Ainsi, pour supprimer la version de WordPress, qui n'affecte en rien la fonctionnalité, vous devez soit utiliser un plugin nommé Remove Version, soit suivre les instructions partagées par Jeff Starr sur son blog.

# 4 Utilisez un hôte meilleur et fiable

Si vous avez choisi un hébergeur dont personne n'a jamais entendu parler et qui n'offre pas un service de qualité répondant aux standards de l'industrie, alors vous avez fait un mauvais choix dès le départ. Maintenant, vous devez d'abord effectuer une sauvegarde complète de votre site Web, à la fois du front-end et de la base de données, puis le transférer vers un hôte meilleur et fiable.

Si votre budget est trop bas, vous pouvez choisir entre Bluehost, iPage, ASmallOrange, etc., mais si votre budget vous permet d'aller plus loin, vous pouvez choisir DreamHost, InMotion, SiteGround ou tout autre nom connu de votre choix. Garder un bon hôte au backend garantit une sécurité de premier ordre pour le serveur sur lequel réside votre site Web, ainsi qu'un garde dédié pour empêcher les choses de se gâter. En bref, n'optez jamais pour un hôte dont vous ne trouvez pas de bonnes critiques.

#5 Gardez toujours une sauvegarde à jour

Comme mentionné dans mon dernier point, il est nécessaire de conserver une sauvegarde de la version mise à jour du site Web. De cette façon, même si le pirate accède à votre site Web, vous pouvez tout supprimer du serveur et actualiser le site Web à l'aide de la sauvegarde de la dernière meilleure version.

Ce n'est pas une façon de protéger le site Web, mais cela aide sûrement à maintenir le site en vie après la catastrophe. De plus, le site WordPress est confronté à de nombreux problèmes techniques et, dans ces cas, votre site Web peut tomber en panne. Ainsi, avoir une sauvegarde de la dernière meilleure version peut vous aider à rester du meilleur côté.

Des moyens super puissants pour protéger WordPress

Ensuite, voici les meilleures méthodes que vous pouvez suivre pour éloigner le site WordPress des attaques de piratage.

#1 Gardez un œil sur les plugins

Les plugins sont la méthode la plus simple pour injecter un code malveillant dans le site Web et le pire est que si cela se produit, cela sera fait par vos mains. Pour vous éviter de nuire à votre site, vous devez vérifier les avis et les pages de support de chaque plugin installé (ou sur le point d'être installé à l'avenir).

Gardez un œil sur les plugins

On ne peut pas faire grand-chose sans plugins et donc, ils agissent comme un grand pro pour le script mais en raison de cet effet secondaire, ils sont également comptés parmi les inconvénients. Vous pouvez lire les avantages et les inconvénients de WordPress dans le rapport détaillé publié par David Lockie. Il a été publié il y a deux ans, mais les points qu'il a mentionnés sont toujours valables.

#2 Limitez les tentatives de connexion

Il existe des plugins pour vous aider à y parvenir et c'est une sorte de moyen professionnel de protéger votre site Web. Un mécanisme, mieux connu sous le nom d'attaque par force brute, est disponible qui parcourt toutes les combinaisons de mots de passe possibles d'un site Web et atteint finalement le résultat. Cela fonctionne très facilement et l'utilisateur n'a même pas besoin de regarder l'écran pendant que cette méthode déchiffre votre mot de passe, car c'est totalement automatique.

Alors, comment protéger votre site Web contre Brute Force Attack ? Eh bien, l'inconvénient de cette méthode est qu'elle essaie tous les identifiants de connexion possibles. Vous pouvez utiliser cet inconvénient à votre avantage en limitant les tentatives de connexion. Par défaut, WordPress autorise une infinité de tentatives de connexion à un site. Mais, en utilisant certains plugins, vous pouvez limiter ces nombres et les ramener à 5 ou 10. Une fois qu'un utilisateur a franchi la limite, empêchez cet utilisateur d'accéder au site pendant une journée entière ou peut-être quelques heures. De cette façon, Brute Force Attack nécessitera des efforts plus longs pour faire le crack. Vous pouvez vérifier ce plugin Login LockDown qui me semble bien.

#3 Gardez la page de connexion cachée

Il s'agit d'une autre méthode pour déguiser le pirate informatique et aider votre site Web à rester en sécurité. Si le pirate n'essaie pas de pirater le serveur et cherche simplement à pirater par la porte dérobée de WordPress, c'est-à-dire la page de connexion, vous pouvez compliquer son travail en déplaçant la page de connexion ailleurs.

Garder la page de connexion masquée

Cela peut être réalisé par un simple plugin Lockdown WP Admin qui propose même de mettre l'authentification HTTP sur la page de connexion. De plus, le plugin n'affecte jamais aucun autre code de connexion ou de sécurité du noyau WordPress et le fait toujours avec précision.

#4 Utilisez des thèmes qui s'exécutent sur du code validé

Tout comme je vous ai dit de choisir un serveur fiable et de vérifier les plugins, vous devez vérifier et utiliser des thèmes validés. Les thèmes sont la deuxième façon d'injecter un code malveillant dans le système central et il est donc fortement recommandé d'utiliser uniquement les produits authentiques et de les obtenir de sources fiables. Dans le cas d'un thème gratuit, utilisez toujours le catalogue WordPress.org ou vous pouvez en obtenir des payants ou gratuits de MyThemeShop, StudioPress, ThemeForest, ElegantThemes et tout autre acteur majeur de la ville.

#5 Définir les autorisations de fichier/répertoire

Eh bien, si vous examinez en profondeur le gestionnaire de fichiers côté serveur, vous trouverez un système d'autorisation de fichier ou de répertoire. Ces codes simples verrouillent ou maintiennent l'accès ouvert, selon les paramètres définis. Vous devez les comprendre et mettre un verrou personnalisé sur vos fichiers et répertoires. Vous pouvez trouver une couverture détaillée sur le même ici.

Dernier conseil - " N'accédez jamais au site sur le réseau inconnu."

Celui-ci est une astuce simple qui peut enfin protéger non seulement votre site Web, mais également les données personnelles de votre ordinateur portable ou de votre smartphone. Ne vous connectez jamais à une connexion inconnue qui n'utilise aucun type de cryptage. Dans le cas de l'utilisation du Wi-Fi public, limitez toujours l'utilisation aux applications de nécessité et ne pensez jamais à accéder à votre site Web.

À vous

Enfin, c'est entre vos mains que vous devez suivre les méthodes exactes pour rendre le site aussi sécurisé que possible. Je comprends que suivre toutes ces étapes n'est pas un travail d'une journée et nécessite beaucoup de connaissances techniques, mais vous pouvez facilement trouver un guide dédié pour vous aider ou des vidéos sur YouTube. À l'avenir, nous ferons de notre mieux pour proposer des guides distincts sur les méthodes que vous pensez difficiles à suivre. Faites-nous part de vos réflexions et de vos commentaires dans la section des commentaires ci-dessous.