Comment sécuriser votre site wordpress

Publié: 2020-05-01

Chaque créateur de site WordPress doit se préoccuper de la sécurité de son site, Google blackliste (blacklist) plus de 10 000 sites chaque jour, car ces sites ont été infectés par des malwares.

Malheureusement, cela n'arrive pas qu'aux autres. Plus tôt vous en serez conscient, mieux ce sera pour vous.

Même si le noyau WordPress est très sécurisé grâce à une centaine de développeurs, il n'en demeure pas moins qu'il reste vulnérable, car il est très ciblé par les hackers car environ 25% des sites web sont réalisés avec WordPress.

En tant que webmaster, vous pouvez faire beaucoup de choses pour augmenter la sécurité de votre site WordPress.

C'est pourquoi j'ai décidé d'écrire cet article dans l'espoir qu'il soit le plus simple et le plus clair possible.

Vous verrez qu'il existe de nombreuses mesures que vous pouvez prendre pour empêcher votre site d'être infecté ou détruit par un pirate.

Bien que ces mesures n'élimineront pas complètement les risques, elles les réduiront considérablement.

Si votre site Web est déjà infecté par des logiciels malveillants, nous vous recommandons de suivre ces étapes, cela vous guidera dans la suppression des logiciels malveillants de votre site.

Alors, commençons.

Besoin d'aide pour garder votre site web 100% sécurisé ? Réservez votre appel avec WP Buffs maintenant et bénéficiez d'une réduction de 10 à 20 % !

Visitez les passionnés de WP

1 : Mettre à jour WordPress et ses thèmes et plugins.

WordPress est régulièrement mis à jour, les thèmes et les plugins de qualité aussi. Ceci est crucial pour la sécurité et la stabilité de votre site.

1 : Mettre à jour WordPress et ses thèmes et plugins.
par Freepik

2 : Renforcez vos mots de passe pour sécuriser WordPress

L'attaque la plus courante est le vol de mot de passe en raison d'un mot de passe relativement faible.

Vous pouvez considérablement compliquer la tâche d'un pirate informatique en renforçant votre mot de passe WordPress, mais aussi ceux lors de la connexion à votre compte FTP, votre base de données, votre hébergeur, vos emails, etc.

Beaucoup d'entre vous n'aiment pas utiliser un mot de passe trop complexe de peur de l'oublier. Dans ce cas, je vous conseille d'utiliser un « gestionnaire de mots de passe ».

Un gestionnaire de mots de passe stockera tous vos mots de passe dans un cloud sécurisé et vous permettra de les gérer avec un seul mot de passe.

Il y en a beaucoup, mais je recommande LastPass , il est facile à utiliser et gratuit.

3 : Installez un plugin de sauvegarde

3 : Installez un plugin de sauvegarde
par Freepik

La sauvegarde de votre site est un bon moyen de réparer tout dommage qu'un pirate aurait pu causer à votre site.

En cas d'attaque, un plugin de sauvegarde vous permettra de restaurer votre site dans un état antérieur à l'attaque.

Il existe de nombreux plugins de sauvegarde pour WordPress, mais ils ne sont pas tous créés égaux. Il doit être simple d'utilisation, permettre de sauvegarder l'intégralité de votre site, faire des sauvegardes automatiques régulières et bien sûr pouvoir enregistrer vos sauvegardes en dehors des serveurs de votre hébergeur (disque dur, cloud, etc.).

En voici trois qui répondent à tous les critères ci-dessus. Tous les trois ont une version gratuite et payante.

  • Courant ascendantPlus
  • Copain de sauvegarde
  • Duplicateur

4 : Installer un plugin de sécurité

Après avoir vu les sauvegardes, l'étape suivante consiste à installer un plugin de sécurité qui surveille en permanence votre site et suit toute activité suspecte qui pourrait s'y dérouler.

  • Analyse anti-malware
  • Détection de corruption de fichiers
  • Bloquer des utilisateurs
  • Etc

Plugin recommandé :

  • Wordfence (version gratuite et payante)
  • Sécurité iThemes (version gratuite et payante)
  • Sucuri

5 : Choisissez un thème de qualité

Un thème WordPress de qualité est un thème sécurisé qui ne présente aucune vulnérabilité connue, qui est régulièrement mis à jour, qui répond aux normes de codage appropriées et qui est compatible avec votre version de WordPress mais aussi avec d'autres éléments de votre site, comme les plugins.

Avoir un thème qui répond à tous ces critères vous aidera non seulement à éviter les bugs, les erreurs de compatibilité et tout un tas de problèmes similaires, mais cela limitera également les possibilités d'attaque, car votre site WordPress aura moins de vulnérabilités de sécurité à exploiter. Évitez donc à tout prix les thèmes annulés.

Voici quelques thèmes que j'utilise souvent et que je recommande les yeux fermés :

  • Le thème : Oceanwp (gratuit).
  • Les thèmes : ThemeIsle (gratuit et payant).
  • Le thème : Divi (payant).
  • Le thème : extra (payant).
  • Le thème : Générer de la presse (gratuite et payante).
  • Le thème : Astra (gratuit et payant).

6 : Modifier le nom d'utilisateur WordPress

Si lors de l'installation des versions récentes de WordPress il est possible de choisir un autre nom que le fameux « admin » ce n'était pas le cas auparavant. Cependant, il est toujours préférable pour un administrateur de ne pas laisser un nom d'utilisateur connu. Bien entendu, dans ce cas, vous ne devez pas poster d'article ni répondre aux commentaires avec le pseudo de votre administrateur.

Il existe différentes méthodes pour changer votre nom d'utilisateur dans WordPress :

  • La méthode manuelle.
  • Utiliser un plugin

Lisez cet article pour voir les 2 méthodes en détail (tutoriels).

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7 : Ajouter deux facteurs d'identification (Two Factor Authentication)

Cette option oblige un utilisateur à s'identifier par deux méthodes différentes. La méthode classique avec nom d'utilisateur et mot de passe et une deuxième méthode, qui consiste à recevoir un code sur un appareil autre que l'ordinateur que vous utilisez habituellement.

Si vous utilisez Wordfence , iThemes Security ou UpdraftPlus , ils fournissent tous cette fonctionnalité de sécurité.

8 : Déconnexion automatique des utilisateurs inactifs dans WordPress ?

Il est courant qu'un utilisateur s'éloigne de son écran pendant un certain temps en restant connecté à WordPress, ce qui peut présenter un risque pour la sécurité. Quelqu'un peut détourner sa session, changer son mot de passe ou changer son compte.

La solution consiste à installer un plugin qui se chargera de déconnecter un utilisateur inactif après un laps de temps déterminé.

Pour ce faire je vous conseille le plugin « Inactive Logout » il est gratuit, très simple à configurer et fait bien son travail.

Une fois installé, allez dans « Paramètres » dans le tableau de bord WordPress et cliquez sur « Déconnexion inactive » pour configurer le plugin

Là, il vous suffit de stipuler le temps d'inactivité avant que la déconnexion n'ait lieu et un message à afficher lorsque cela se produit, cliquez sur « enregistrer les modifications » pour terminer.

9 : Ajoutez une question de sécurité pour vous connecter à WordPress

L'ajout d'une question de sécurité à l'écran de connexion WordPress réduira considérablement la probabilité qu'une personne non autorisée puisse accéder à votre compte.

Vous pouvez ajouter une ou plusieurs questions de sécurité en installant le plug-in : WP Security Question

10 : Modifier l'URL de connexion

Par défaut, l'URL de connexion à WordPress est toujours la même : https://www.votrenom.com/wp-admin (je mets .com mais ça peut être .net ou une autre extension).

Pour compliquer la tâche d'un éventuel hacker qui voudrait lancer une attaque « Brute Force » sur votre site, vous pouvez modifier l'URL de connexion.

Voir ce plugin : WPS Hide Login.

11 : Scanner WordPress pour les virus ou les logiciels malveillants et les éventuelles vulnérabilités de sécurité et autres vulnérabilités

Si vous n'avez pas installé de plugin de sécurité sur votre WordPress et que vous constatez une baisse brutale du trafic ou une dégradation de votre classement dans les moteurs de recherche, il est urgent de faire une analyse complète de votre site.

Dans ce cas deux options :

Soit vous décidez d'installer un plugin de sécurité et de lancer une analyse immédiatement, soit vous lancez une analyse en ligne sur l'un des sites ci-dessous. Ils sont tous gratuits et très faciles à utiliser.

Entrez simplement l'adresse de votre site et lancez l'analyse.

  • https://wpsec.com/
  • https://app.upguard.com/webscan
  • https://www.virustotal.com/gui/home/upload

12 : Désinfectez votre site

Si vous avez installé un plugin de sécurité, il est peu probable que vous ayez été infecté. Mais beaucoup d'entre vous n'y pensent toujours pas.

Tout d'abord, il faut bien comprendre qu'il est beaucoup plus facile de prévenir une infection de votre site WordPress que de le désinfecter.

Nettoyer un site WordPress peut prendre du temps et vous devrez souvent faire appel à un professionnel, surtout si vous n'avez pas fait de sauvegarde complète de votre site.

Les pirates installent des portes dérobées sur les sites infectés et s'ils ne sont pas traités correctement, votre site Web sera probablement à nouveau piraté.