Comment protéger votre site WordPress contre les pirates

Publié: 2021-12-30

Comment protéger mon site WordPress des pirates ? Si c'est une question que vous vous posez trop souvent, vous n'êtes pas seul. Grâce à la popularité de la plate-forme WordPress, les sites Web WordPress sont toujours plus exposés aux attaques et aux piratages. Heureusement, il existe des moyens éprouvés et fiables de protéger les sites WordPress contre les pirates . Et non, vous n'avez pas besoin d'être un expert WordPress pour les appliquer sur votre site.

Dans cet article, nous partageons avec vous 14 étapes que vous pouvez suivre pour sécuriser votre site WordPress contre les pirates. Commençons.

Comment protéger un site WordPress des pirates ?

Peu importe la taille ou le domaine de votre site Web, aucun site Web n'est à l'abri des pirates qui sont toujours à la recherche de moyens de diffuser leur réseau malveillant plus largement sur Internet. Qu'il s'agisse de déployer des scripts automatisés pour "explorer" votre site WordPress et détecter toute vulnérabilité, ou de les utiliser pour accéder à votre compte WordPress, aucune partie de votre site Web n'est à l'abri des pirates.

La protection WordPress contre les pirates signifie essentiellement protéger chaque partie de votre site Web contre les logiciels malveillants, les attaques par force brute et autres menaces. Les 14 mesures de sécurité que nous sommes sur le point de partager offrent une base solide pour que vous puissiez faire exactement cela :

1. Utilisez un hébergeur sécurisé

Un serveur d'hébergement et un environnement sécurisés sont un élément essentiel pour protéger votre site WordPress. Assurez-vous que votre société d'hébergement donne la priorité à la protection de ses sites hébergés contre les piratages grâce à des services tels que des sauvegardes régulières, une protection par pare-feu et une analyse des logiciels malveillants.

Si vous êtes actuellement hébergé sur un hôte partagé, envisagez de migrer vers un hôte cloud ou un hôte géré qui offre une meilleure garantie d'un environnement sécurisé.

2. Utilisez des mots de passe forts

Les mots de passe forts sont probablement la mesure la plus simple pour protéger WordPress des pirates et pour arrêter les attaques par force brute. Évitez strictement l'utilisation de mots de passe comme "123456" ou "mot de passe" qui sont faciles à deviner. Au lieu de cela, assurez-vous que chaque mot de passe comporte au moins 10 à 12 caractères et contient un mélange d'alphabets, de chiffres et de caractères spéciaux.

Utiliser un mot de passe fort

Si vous avez de nombreux utilisateurs, vous pouvez utiliser des outils de gestion de mots de passe comme 1Password ou LastPass pour générer et stocker automatiquement des mots de passe plus forts pour chaque utilisateur.

3. Activer l'authentification à deux facteurs (2FA)

Bien que des informations d'identification de connexion solides soient toujours efficaces pour arrêter les attaques par force brute, une couche supplémentaire de protection de la page de connexion est disponible à l'aide de l'authentification à deux facteurs (ou 2FA). Cette mesure garantit que même si les utilisateurs "malveillants" peuvent deviner les identifiants de connexion corrects, ils doivent également saisir le code de vérification correct qui est envoyé uniquement à l'appareil de l'utilisateur "authentique".

Authentification à deux facteurs

Pour implémenter 2FA, il vous suffit d'installer et d'activer un plugin 2FA comme Google Authenticator.

4. Limiter les tentatives de connexion

Pour réussir à obtenir une entrée de compte, les attaques par force brute tentent à plusieurs reprises de deviner les informations d'identification correctes de l'utilisateur. Par défaut, les sites WordPress autorisent un nombre illimité de tentatives de connexion. Cependant, cela ne doit pas vous empêcher de limiter le nombre de tentatives de connexion à 3 ou 4.

Limiter les tentatives de connexion

Tout ce dont vous avez besoin est d'installer l'outil CAPTCHA qui affiche l'écran CAPTCHA après plusieurs tentatives de connexion infructueuses. Cet outil est également efficace pour déterminer si un utilisateur « humain » ou un « bot » tente d'accéder au compte de connexion.

5. Changez votre nom d'utilisateur par défaut « admin »

Pour une utilisation facile, WordPress attribue initialement un administrateur par défaut pour chaque nouveau compte WordPress. Cet administrateur est utile dans la phase initiale pour configurer votre site Web WordPress et créer des utilisateurs supplémentaires. Cependant, l'utilisation du nom d'utilisateur « admin » comporte son lot de problèmes de sécurité.

Pour rendre plus difficile les attaques par force brute, remplacez ce nom d'utilisateur par un nom d'utilisateur plus unique et difficile à deviner. La meilleure façon est de créer un nouvel administrateur (avec un nom d'utilisateur plus fort), puis de supprimer l'utilisateur "admin" par défaut.

6. Gardez votre noyau, vos plugins et vos thèmes à jour

La majorité des vulnérabilités de WordPress résultent d'une version obsolète de Core WordPress ou de plugins et de thèmes installés. Les pirates recherchent constamment des versions de logiciels plus anciennes, qu'ils peuvent exploiter à leur avantage. La meilleure protection contre les pirates consiste à maintenir votre site WordPress à jour avec la dernière version.

Vous pouvez appliquer des mises à jour régulières à partir du compte d'hébergement WordPress - ou activer les mises à jour automatiques. Il y a un avantage supplémentaire à maintenir votre site à jour. La plupart des mises à jour de thèmes et de plugins WordPress contiennent des améliorations de vitesse et de performances qui pourraient rendre votre site Web WordPress plus rapide et plus fluide.

7. Sauvegardez régulièrement votre site Web

Bien qu'il ne s'agisse strictement pas d'une mesure de sécurité pouvant protéger WordPress contre le piratage , une stratégie de sauvegarde et de restauration solide vous permet de minimiser les temps d'arrêt et la perte de revenus. Si vous exploitez un site de commerce électronique, une sauvegarde garantit que vous ne courez pas le risque de temps d'arrêt ou de perte d'enregistrements ou de transactions client.

Bien que vous puissiez effectuer des sauvegardes manuelles du site Web des fichiers de votre site Web principal et de la base de données, l'utilisation d'un plugin de sauvegarde WordPress comme BlogVault ou BackupBuddy peut vous faire gagner du temps car ils automatisent et planifient l'ensemble du processus de sauvegarde. Si tu

8. Ajouter un certificat SSL

Lorsque vous ajoutez un certificat SSL à votre site, vous migrez essentiellement votre site Web vers le protocole HTTP sécurisé (ou HTTPS) à partir du protocole HTTP moins apprécié. HTTPS crypte toutes les données transmises entre votre site Web et votre utilisateur pour leur sécurité et la vôtre.

HTTPS et SSL

Comment passer au HTTPS ? Ajoutez un certificat SSL, qui peut être obtenu auprès de votre hébergeur ou en utilisant un plugin SSL comme Let's Encrypt.

9. Désactiver l'édition de fichiers

Avec l'éditeur de fichiers WordPress, les pirates peuvent prendre le contrôle du site Web et exécuter du code PHP « nuisible » sur le site. Cela peut constituer une menace pour la sécurité lorsqu'un compte administrateur est compromis. La meilleure solution consiste à désactiver l'édition de fichiers en ajoutant le code suivant au fichier wp-config.php de votre système WordPress :

 define( 'DISALLOW_FILE_EDIT', true );

10. Restreindre l'accès au site et les rôles des utilisateurs

L'accès illimité au site Web pour tous les utilisateurs peut constituer un risque WordPress majeur, en particulier pour le tableau de bord de l'administrateur. La bonne partie est que vous pouvez désormais restreindre l'accès aux pages Web sélectionnées en fonction des rôles d'utilisateur. Pour ce faire, vous devez installer le plugin "Restrict Content Pro" et configurer les pages où vous souhaitez un accès utilisateur limité.

11. Désactiver la navigation dans le répertoire

Les pirates utilisent la fonction de navigation dans les répertoires WordPress pour trouver des fichiers qui pourraient avoir des vulnérabilités. De plus, cette fonctionnalité peut être utilisée pour copier vos fichiers WordPress ou en savoir plus sur la structure des dossiers. La meilleure solution consiste à désactiver la navigation dans les répertoires afin qu'elle ne puisse pas être utilisée à mauvais escient par des pirates. Cela peut être fait en ajoutant la ligne de code suivante à la fin de votre fichier .htaccess dans votre dossier d'installation :

Options -Index

12. Désactivez l'exécution PHP.

De leur côté, les pirates peuvent insérer du code malveillant et les exécuter à l'aide de fichiers PHP. Vous pouvez améliorer la sécurité de votre site WordPress en désactivant l'exécution de ses fichiers PHP. Pour désactiver l'exécution de PHP, ouvrez le fichier .htaccess dans le dossier « uploads » de votre installation WordPress et ajoutez le code suivant :

 <Files *.php> deny from all </Files>

13. Utilisez un plugin de sécurité WordPress

Bien que les étapes décrites jusqu'à présent fassent un excellent travail pour vous protéger contre les menaces connues, il peut être difficile de suivre les pirates et leurs méthodes innovantes. L'un des moyens les plus efficaces de protéger votre site Web contre des attaques encore inconnues ou rares, ou même plusieurs types de logiciels malveillants, consiste à investir dans un plugin WordPress dédié pour la sécurité.

Les plugins de sécurité WordPress tels que MalCare et Wordfence peuvent détecter des logiciels malveillants encore moins connus et vous pouvez planifier et automatiser l'ensemble du processus d'analyse des logiciels malveillants. MalCare dispose même d'un processus de suppression des logiciels malveillants en un clic, vous n'avez donc pas besoin de faire appel à un support technique externe pour nettoyer votre site.

Malcare

14. Activer un pare-feu WordPress

S'il existe un autre moyen simple de protéger un site WordPress contre les pirates, c'est de leur rendre difficile l'accès à votre site. Les pare-feu agissent comme la dernière ligne de défense contre les requêtes IP "suspectes" faites par les pirates. Il agit plus comme un agent de sécurité permettant ou empêchant les personnes d'entrer dans votre maison ou votre bureau.

Foyer

Les pare-feu gardent une trace des « bonnes » et des « mauvaises » adresses IP et autorisent ou bloquent automatiquement les requêtes qui en sont faites.

La plupart des plugins de sécurité comme MalCare et Sucuri ont un pare-feu intégré pour bloquer tout le trafic malveillant.

Pourquoi devriez-vous protéger votre site WordPress des pirates ?

Savoir comment protéger un site WordPress des pirates n'est plus quelque chose que vous pouvez remettre à plus tard. Tout simplement parce qu'un piratage impacte plus que votre présence sur le Web ou votre classement SEO. Une attaque de malware ou de force brute réussie, même pendant quelques heures, peut sérieusement nuire à vos revenus et saper l'autorité de votre marque.

Selon le type d'attaque, un piratage WordPress peut provoquer tout ou partie des problèmes ci-dessous :

  • Défiguration complète de la page d'accueil de votre site Web avec des publicités "pop-up" nuisibles
  • Utilisation abusive de vos efforts de référencement qui pourrait faire en sorte que votre site Web soit classé pour les mots-clés indésirables
  • Les visiteurs sont redirigés vers d'autres sites Web non sollicités vendant des produits contrefaits ou des produits pharmaceutiques interdits
  • Courriels de spam ou de « hameçonnage » envoyés à vos clients à l'aide d'une adresse e-mail professionnelle authentique
  • Violations de données entraînant la perte de précieux dossiers clients, de détails de transactions financières et d'autres données sensibles

Nous espérons que cet article vous aidera avec des conseils et des stratégies afin que vous sachiez exactement comment protéger un site WordPress contre les logiciels malveillants et les piratages.

Que pensez-vous des 14 mesures de sécurité dont nous avons parlé ? Y en a-t-il que vous ajouteriez à cette liste ? Faites le nous savoir dans les commentaires.

Saasland