Comment sécuriser le site WordPress, guide étape par étape pour sécuriser votre site WordPress

Les gens ont tendance à croire à tort que tout ce qui est gratuit et open source est moins sécurisé. Mais la vérité est que les communautés open source telles que celles derrière WordPress sont très importantes et assurez-vous de tenir WordPress à jour de toutes les dernières pratiques de sécurité et contrôles de qualité. Il vous suffit de suivre les bonnes pratiques et de prendre les précautions nécessaires. Vous devez avoir une connaissance claire de Comment sécuriser un site WordPress pour protéger votre site Web.

Commençons par un guide étape par étape sur la façon de sécuriser un site WordPress, puis vous pourrez lire la suite pour plus de conseils supplémentaires pour garantir un site Web sûr.

Guide sur la façon de sécuriser le site WordPress

Avant de commencer à apprendre le savoir-faire pour sécuriser un site WordPress, comprenez pourquoi il est nécessaire en premier lieu. Comme toute activité liée à un site Web, la sécurité nécessite du temps, des efforts et des ressources. Prendre cela au sérieux et allouer les ressources nécessaires est totalement gratifiant, car ne pas le faire causera plusieurs dommages à la réputation de votre marque et à la croissance de votre entreprise.

Selon un rapport, plus de 70% des installations WordPress sont sujettes aux attaques sur plus de 40 000 sites Web WordPress répertoriés dans le top 1 million du classement Alexa.

Un site Web attaqué peut entraîner des transactions commerciales manquées, une perte de confidentialité, une perte de temps d'ordinateur et peut entraîner de lourdes pertes financières. Considérez les récentes attaques de rançongiciels qui ont obligé de nombreuses entreprises à payer leurs piquets de grève pour récupérer leurs données des pirates.

C'est pourquoi l'objectif principal des mesures de sécurité doit être la prévention plutôt que la réaction. Vous devez utiliser les bons outils et pratiques afin de ne laisser aucune place aux logiciels malveillants et aux cyberattaques pour profiter de vous.

Étape 1 : Gardez votre WordPress à jour.

WordPress est soutenu par une communauté de développement croissante qui s'assure de continuer à fournir des correctifs de sécurité et des solutions pour couvrir une vulnérabilité découverte. Vous pouvez obtenir ces mises à jour lorsque vous mettez régulièrement à jour votre WordPress.

Pour la plupart des mises à jour mineures, vous pouvez définir les paramètres WordPress pour activer les mises à jour automatiques. Assurez-vous de mettre à jour votre version de WordPress vers la dernière version dès qu'une nouvelle version est lancée.

Les dernières versions ne vous offrent pas seulement une sécurité mise à jour ; ils vous fournissent également les dernières fonctionnalités et améliorations par rapport à vos fonctionnalités existantes. Les mises à jour de WordPress sont essentielles au bon fonctionnement du site et sont cruciales pour la sécurité et la stabilité de votre site.

Conseil de pro : WordPress 5.5 est sorti, mettez à jour votre site Web avec la dernière version maintenant.

Étape 2 : Mettre à jour les plugins et les thèmes

Outre le cœur de WordPress, vous devez également mettre à jour tous les plugins et thèmes que vous utilisez régulièrement.

Vous utilisez peut-être un certain nombre de plugins et de thèmes tiers, dont certains peuvent avoir une mauvaise maintenance. Essayez de remplacer ces plugins par de meilleures alternatives qui garantissent des mises à jour régulières et des fonctionnalités de sécurité. Les plugins obsolètes peuvent contenir des vulnérabilités dont vous n'êtes peut-être pas au courant. Si votre site exécute un plugin que vous n'utilisez pas actuellement, désactivez-le.

Effectuez un audit mensuel de tous vos plugins disponibles et choisissez de ne conserver que ceux qui sont nécessaires.

Étape 3 : Utilisez des mots de passe forts

Il existe plusieurs comptes d'utilisateurs tels que le compte d'arrêt, le compte d'administrateur WordPress, les comptes FTP, les comptes de base de données, etc. que vous gérez lors de l'exécution d'un site WordPress. Chacun de ces comptes nécessitera un identifiant de messagerie et un mot de passe fort pour sécuriser l'utilisation autorisée.

Choisissez donc des adresses e-mail personnalisées spécifiques à cet effet et utilisez des mots de passe forts. Il peut être difficile de se souvenir de tous les mots de passe, mais c'est une mesure nécessaire pour assurer la sécurité. Vous pouvez essayer d'utiliser un gestionnaire de mots de passe pour vous aider à gérer tous vos mots de passe.

Étape 4 : Établissez les niveaux d'accès appropriés

Lorsque vous exécutez un site WordPress en équipe ou que plusieurs auteurs invités écrivent sur votre site, assurez-vous d'attribuer des rôles et des capacités d'utilisateur appropriés à chaque utilisateur.

Comprenez les rôles disponibles dans WordPress et créez des comptes d'utilisateurs en fonction du rôle attribué uniquement.

Étape 5 : Choisissez une plateforme d'hébergement sécurisée

C'est probablement la partie la plus importante de la sécurité de WordPress. Un bon partenaire d'hébergement doit être en mesure de fournir des mesures de sécurité appropriées pour éviter toute fuite de données et toute cyberattaque. Voici quelques qualités d'une bonne plateforme d'hébergement que vous devriez vérifier lors de votre choix.

• Capacités de surveillance continue du réseau pour détecter toute activité suspecte.
• Outils pour bloquer les attaques DDOS
• Fournir des serveurs de secours en cas de panne de courant ou de cyberattaque en cours.
• Matériel et logiciels à jour pour corriger toute vulnérabilité connue
• Plan de reprise après sinistre et d'urgence approprié pour protéger les données en cas d'accident ou d'incident.

Les plans d'hébergement partagé sont plus risqués que les serveurs d'hébergement dédiés car vous partagerez les ressources du serveur avec d'autres clients. Cela peut vous mettre dans un état vulnérable à la contamination intersite où un site voisin peut être utilisé pour pirater votre site.

Quelque chose à garder à l'esprit, certains fournisseurs d'hébergement Web proposent en plus de leur protection de serveur de base des addons de sécurité payants comme Sitelock.

Globalement, pour une meilleure sécurité, essayez d'opter pour un plan d'hébergement WordPress infogéré.

Étape 6. Avoir une solution de sauvegarde en place

Gardez toujours une sauvegarde à jour pour vous aider en cas d'attaque ou d'accident majeur. Les sauvegardes permettent une restauration plus rapide de votre site WordPress et un retour à un état correct. Il existe de nombreuses versions gratuites et payantes des plugins WordPress qui vous permettent d'effectuer des sauvegardes et de les stocker en toute sécurité dans un emplacement distant.

Le stockage dans un emplacement distant est beaucoup plus sûr que les sauvegardes effectuées sur votre compte d'hébergement. Vous pouvez utiliser tous les services de stockage en nuage comme Amazon et Dropbox.

Sauvegardez votre site une fois par jour et configurez-le pour une sauvegarde automatique. Vous pouvez augmenter ou diminuer la fréquence de sauvegarde en fonction de la fréquence de vos mises à jour.

Étape 7. Utilisez les plugins de sécurité WordPress

Installez un bon plugin de sécurité qui vous aidera à auditer et à surveiller les activités de votre site. Les plugins de sécurité peuvent également vous aider à suivre chaque interaction de votre site avec des canaux tiers et à détecter toute activité suspecte ou tentative de piratage de votre site.

Par exemple, des activités telles que les tentatives de connexion infructueuses et les attaques de robots peuvent être surveillées et bloquées au bon moment à l'aide de plugins de sécurité. Vous pouvez également effectuer une analyse des logiciels malveillants, des vérifications de l'intégrité des fichiers et d'autres tâches liées à la sécurité à l'aide de plug-ins de sécurité. Faites des recherches sur les meilleurs plugins de sécurité disponibles qui correspondent à vos besoins et commencez à les utiliser.

Conseil de pro : Certains des plugins de sécurité que vous pouvez utiliser sont Sucuri, Wordfence Security, Defender et VaultPress.

Étape 8. Activer le pare-feu d'application Web

Les pare-feu vous aident à fournir un système de défense pour empêcher tout trafic malveillant d'accéder à votre site. Vous devez utiliser deux niveaux de pare-feu.

• Pare-feu de site Web de niveau DNS

Ce pare-feu acheminera vos requêtes Web via des serveurs proxy cloud et n'autorisera que le trafic légitime à atteindre votre site.

• Pare-feu au niveau de l'application

Ce pare-feu examinera la demande côté serveur et laissera vos scripts s'exécuter uniquement s'il s'avère qu'il s'agit d'une demande authentique. Mais ce type de pare-feu peut augmenter la charge du serveur.

Étape 9. Basculez vers https

Les sites HTTPS sont bien plus sécurisés que les sites HTTP normaux car ils n'acceptent que les connexions sécurisées basées sur le cryptage. La couche de socket SSL crypte chaque transfert de données entre votre site Web et le navigateur, ce qui rend difficile pour les pirates d'accéder à votre site Web.

Les prix des certificats SSL émis par des autorités privées commencent à 80 $ par an. Vous pouvez également opter pour des certificats gratuits délivrés dans le cadre du programme Let's Encrypt.

Conseils sur la façon de sécuriser le site WordPress

Tout ce qui a été discuté ci-dessus était le truc très basique, dont vous devez vous occuper pour la sécurité. Voici quelques suggestions et conseils supplémentaires pour créer un site Web étroitement sécurisé.

Utilisez un ID utilisateur personnalisé.

Abandonnez le nom d'utilisateur habituel de l'administrateur pour quelque chose de plus personnel et difficile à deviner pour les pirates. Heureusement, WordPress vous oblige désormais à sélectionner un nom d'utilisateur personnalisé pour votre compte. Mais lorsque vous effectuez des installations en un clic, le nom d'utilisateur par défaut est défini sur admin, et vous devrez donc installer WordPress pour définir manuellement un nom d'utilisateur personnalisé approprié. Si vous avez déjà configuré admin comme nom d'utilisateur, créez un nouveau nom d'utilisateur administrateur et supprimez l'ancien. Vous pouvez utiliser un plugin ou la page phpMyAdmin pour cette tâche.

Désactiver l'édition de fichiers

Pour désactiver l'éditeur de code intégré dans WordPress, vous devez modifier le fichier wp-config.php. Définissez 'DISALLOW_FILE_EDIT' sur vrai. Cette fonctionnalité peut également être activée en renforçant votre compte WordPress via un plugin de sécurité.

Lorsqu'un script n'est pas tenu de s'exécuter à partir de certains répertoires, vous pouvez les désactiver en toute sécurité. Par exemple, vous pouvez désactiver l'exécution du fichier PHP en ajoutant des entrées pertinentes au fichier htaccess

Limiter les tentatives de connexion

Cela peut être configuré en utilisant un plugin de sécurité qui peut surveiller les tentatives de connexion infructueuses à partir d'un compte et le bloquer pendant une période définie. Cela aide à prévenir les attaques par force brute.

Renforcez vos connexions en utilisant l'authentification à deux facteurs. L'authentification à deux facteurs nécessite un processus de connexion en deux étapes où, en plus d'un mot de passe, un message de vérification unique ou un mot de passe est envoyé à l'adresse mobile ou e-mail de l'utilisateur. Vous devez également penser à la sécurité de votre page de connexion. Votre URL de connexion WordPress est l'un des endroits les plus vulnérables.

Vous pouvez également utiliser des applications d'authentification pour fournir une couche de protection solide à chaque tentative de connexion.

Personnalisez les conventions de dénomination des bases de données.

Par défaut, les tables de base de données dans WordPress commencent par un préfixe wp_, ce qui peut permettre aux pirates de deviner les noms des tables. Essayez de remplacer ces préfixes par une dénomination plus personnalisée qui offrira une protection supplémentaire

Ajoutez une protection par mot de passe supplémentaire au niveau du serveur pour freiner toute tentative d'attaque DOS.

Désactivez l'indexation et la navigation dans les répertoires.

Lorsque les pirates peuvent rechercher dans vos répertoires et fichiers, ils peuvent identifier toute vulnérabilité et essayer d'en tirer parti. Ce réglage peut être fait en modifiant le fichier htaccess.

Désactivez XML-RPC. XML RPC a été ajouté à partir de WordPress 3.5 afin d'optimiser le traitement des demandes. Mais cela peut agir comme une porte dérobée pour faciliter les attaques par force brute par des pirates. Donc, si vous n'avez aucune utilité pour XML-RPC dans votre site, assurez-vous de le désactiver en modifiant le fichier htaccess ou en utilisant un pare-feu.

Déconnectez les utilisateurs inactifs après une période d'inactivité.

Vous pouvez utiliser le plugin de déconnexion inactif pour déconnecter automatiquement les utilisateurs inactifs.

Ajoutez des questions de sécurité à votre écran de connexion pour un niveau d'authentification supplémentaire.

Exécuter des analyses

Exécutez régulièrement des analyses de logiciels malveillants et, si des logiciels malveillants ou des fichiers indésirables sont détectés, assurez-vous de les nettoyer. Réparer un site Web piraté peut être une tâche délicate. Il est préférable d'engager un professionnel de la sécurité ou un webmaster chevronné pour s'en occuper. Si vous essayez de le faire vous-même, assurez-vous de bien rechercher, de sauvegarder les fichiers importants et de commencer à réparer votre site.

Choisissez une bonne société d'hébergement qui dispose de plusieurs couches de sécurité.

Lorsque vous exploitez un site Web qui implique des données client sensibles, vous devez investir pour sécuriser les données. Alors ne soyez pas tenté de choisir des plans d'hébergement moins chers qui manquent de mesures de sécurité. Faites de la sécurité la principale préoccupation lors du choix de votre plateforme d'hébergement.

Obtenez vos thèmes et plugins à partir de sources vérifiées. Les thèmes et plugins gratuits peuvent sembler tentants, mais sans maintenance et support appropriés, ces plugins ou thèmes obsolètes peuvent contenir des blocs de code vulnérables qui peuvent compromettre la sécurité de votre site.

De plus, masquez les fichiers principaux de WordPress comme htaccess et wp-config.

Emballer

N'oubliez pas les principes clés de la sécurisation de tout logiciel : limitez l'accès et configurez les niveaux d'autorisation appropriés. De plus, contient et protège les composants critiques d'une base de données. Assurez-vous de mettre à jour votre système régulièrement et de conserver des sauvegardes dans un emplacement distant sûr. Et utilisez toujours des plugins et des thèmes provenant uniquement de sources fiables.

Utilisez des mots de passe forts, ne partagez pas vos mots de passe, restreignez les privilèges des utilisateurs et surveillez régulièrement l'activité du site. Utilisez des outils de sécurité pour vous aider à surveiller et à prendre des mesures proactives pour sécuriser votre site.

Enfin, n'oubliez pas de signaler tout problème de sécurité et de demander l'aide du support technique pour une enquête plus approfondie. N'hésitez pas à faire appel à des experts pour régler les problèmes de sécurité.

Alors oui, c'est tout de mon côté, j'espère que vous comprenez comment sécuriser un site WordPress.