La liste de contrôle de sécurité – 4 choses à considérer avant de lancer votre site WordPress

Que vous créiez votre propre site Web en utilisant nos meilleurs thèmes WordPress professionnels ou que vous demandiez à quelqu'un d'autre de le faire pour vous, la sécurité de votre site doit toujours rester en haut de votre liste de priorités.

Mais, comme de nombreux propriétaires de sites le savent douloureusement, le maintien d'un site opérationnel ne se résume pas à l'ajout de contenu, au traitement des commandes et à l'exécution du plan marketing.

Les failles de sécurité peuvent être ennuyeuses, telles que les e-mails SPAM via des formulaires de contact, ou coûteuses, comme dans les cas où votre site est hors ligne et incapable de générer des revenus.

À l'extrémité la plus extrême du spectre, une faille de sécurité peut même conduire à des résultats dangereux, exposant des informations et compromettant davantage la sécurité en ligne de vos visiteurs.

Heureusement, garder un site Web sûr et sécurisé n'a pas besoin d'être coûteux ou de prendre du temps. Des dizaines de milliers d'autres propriétaires de sites Web font de la sécurité de leur site la priorité absolue et, sur le marché libre, cela signifie une multitude de plugins et de services parmi lesquels choisir.

Ils se combinent pour maintenir votre site en ligne et maintenir la confiance des visiteurs, peu importe ce que les mauvais acteurs peuvent envoyer dans votre direction. Cet article décrit spécialement la liste de contrôle de sécurité avant de lancer un site Web.

Voici quatre considérations importantes à prendre en compte avant de mettre votre site en ligne. Ils s'appliquent également même si vous êtes déjà en ligne, car ils sont faciles à déployer sur des sites existants - et en matière de sécurité des sites, mieux vaut tard que jamais !

La liste de contrôle de sécurité – 4 choses à considérer avant de créer un site Web WordPress

1. Commencez avec un plugin de sécurité tout-en-un

Comme mentionné dans l'introduction, à une époque où il existe un plugin WordPress pour tout, la sécurité du site n'allait jamais manquer.

Selon Security Week, 18,5 millions de sites Web sont infectés par des logiciels malveillants à tout moment. La même source poursuit en disant que le site Web moyen est attaqué 44 fois par jour.

C'était en 2018, et avec une moyenne d'un demi-million de nouveaux sites lancés chaque jour, les chiffres sont impossibles à ignorer.

Les nouveaux propriétaires de sites peuvent potentiellement commettre l'erreur de supposer que leur site ne présente aucun intérêt pour un attaquant potentiel. Cependant, il convient de considérer que personne ne veut gérer un site que personne ne visite.

Que vous ajoutiez votre URL à des documents imprimés, optimisiez votre contenu pour les moteurs de recherche ou criiez sur le lancement sur les réseaux sociaux, l'objectif est généralement d'attirer l'attention de votre public cible. Malheureusement, ce faisant, il est inévitable que votre site soit également exposé aux bots.

Pour la plupart, les failles de sécurité des sites Web sont rarement manuelles. Ceux qui sont prêts à investir du temps et des efforts pour entrer dans le backend d'un site alors qu'ils ne devraient généralement pas identifier de cibles spécifiques.

Au lieu de cela, la majeure partie des violations, en particulier sur les sites plus petits et plus récents, proviennent de bots et de scripts. Ils utilisent les mêmes moteurs de recherche que les utilisateurs et exécutent souvent les mêmes schémas d'attaque relativement basiques avec lesquels ils ont réussi dans le passé.

L'avantage des modèles est qu'ils sont faciles à identifier lorsque quelqu'un sait ce qu'il recherche. Les développeurs derrière les plugins de sécurité populaires sont les personnes idéales pour le travail, et ils analysent ces tentatives pour assurer une protection robuste.

Wordfence, iThemes Security et Sucuri sont tous des choix extrêmement populaires, et ils proposent chacun des options gratuites et payantes.

Bien sûr, la mise à niveau payante en vaut souvent la peine, mais si vous avez un budget limité ou si vous voulez attendre de voir comment un site fonctionne avant d'investir davantage, les versions gratuites sont infiniment mieux que rien.

2. Assurez-vous d'avoir installé le cryptage SSL sur le site

L'une des choses les plus importantes de la liste de contrôle de sécurité est le cryptage SSL. Certains propriétaires de sites peuvent avoir l'impression que l'installation du cryptage SSL est un défi technique. Cependant, les hébergeurs Web facilitent désormais au maximum la configuration de cette fonctionnalité sur un site Web WordPress.

Certains hébergeurs rendent cela possible en un seul clic et garantissent que votre certificat reste valide à perpétuité. Au pire, il suffit de suivre quelques instructions et de copier et coller quelques clés de sécurité. Plus important encore, cela vaut la peine d'être fait.

Comme couvert plus en détail par Kaspersky , un certificat SSL garantit que les connexions entre les sites Web et les visiteurs sont sécurisées.

Autrefois uniquement considéré comme essentiel pour ceux qui traitent les transactions financières sur leurs sites Web, SSL est désormais pratiquement une norme à part entière et se traduit par une protection HTTPS pour toutes les communications.

En effet, si un site prétend dans son code disposer d'un certificat mais semble faire des erreurs dans sa légitimité, les navigateurs comme Google Chrome afficheront une pleine page d'avertissement, conseillant à un visiteur potentiel de rebrousser chemin.

Bien sûr, de nombreux utilisateurs utiliseront également un VPN pour protéger leurs communications avec un site, mais ce n'est pas une excuse pour renoncer à la protection HTTPS.

Bien qu'il existe une nette différence entre HTTPS et un VPN, le premier est au propriétaire du site à mettre en œuvre, tandis que le second est une couche de protection supplémentaire de la part du visiteur.

La législation en ligne évolue rapidement et la confidentialité en ligne est un sujet brûlant depuis plusieurs années. En tant que propriétaire d'un site Web, un individu a la responsabilité de faire ce qu'il peut pour protéger les informations des utilisateurs.

Cela ne doit pas nécessairement être coûteux ou techniquement intensif, mais un propriétaire de site responsable doit au moins s'assurer qu'il a pris des précautions raisonnables pour protéger les données.

L'intégration SSL est une étape cruciale pour ce faire. Une telle précaution est également considérée comme un facteur de classement par Google, et en ajouter un peut entraîner une légère amélioration des performances de recherche.

3. Protégez la page de connexion

À moins qu'il n'y ait des défauts plus graves dans la conception d'un site Web ou qu'une attaque plus ciblée soit en cours, comme un DDOS (Distributed Denial-of-Service), la plupart des attaquants potentiels ont besoin d'accéder à la zone d'administration principale d'un WordPress. l'installation de causer de graves dommages.

Un inconvénient mineur de WordPress est que la page de connexion par défaut est généralement la même sur tous les sites, avec '/wp-admin/' ajouté au domaine principal.

Les bots et scripts que nous avons mentionnés précédemment sont conditionnés pour tenter d'accéder à cette page en standard. Une solution rapide pour réduire leur puissance consiste simplement à le déplacer.

Vous avez l'avantage de pouvoir le mettre en signet, le noter ou le modifier aussi souvent que vous le souhaitez. S'il était déplacé vers un emplacement aléatoire, une attaque automatisée aurait autant de difficulté à trouver la page qu'à trouver le mot de passe.

De nombreux plugins de sécurité mentionnés précédemment permettent aux utilisateurs de modifier leur page de connexion par défaut en quelques clics. Il est également possible de coder manuellement le changement à l'aide de CSS et de plugins indépendants comme LoginPress.

Lors de cette étape, il est également logique de revérifier vos informations d'identification. Avant qu'un site ne soit mis en ligne, il est tentant de rendre la procédure de connexion aussi transparente et simple que possible.

Cependant, lorsqu'un site s'ouvre sur le monde, il est tout aussi attrayant de rendre la vie plus difficile aux attaquants potentiels.

Assurez-vous d'utiliser un mot de passe fort pour chaque compte avec des privilèges de connexion - et enregistrez-les éventuellement avec un gestionnaire de mots de passe tel que LastPass ou RoboForm . Essayez également d'éviter les noms de connexion évidents - 'admin', 'editor' et le nom du site doivent tous être évités.

N'oubliez pas que le nom ajouté aux messages ne doit pas nécessairement être le même que le nom utilisé pour se connecter, donc pas de soucis pour le rendre visible publiquement.

4. Organisez des sauvegardes régulières

Si la sécurisation d'un site WordPress était un travail rapide, facile et infaillible, personne ne prendrait la peine de mener à bien les dizaines de millions d'attaques automatisées qui ont lieu chaque jour.

Mais, malheureusement, il y a parfois des failles de sécurité, alors que ces scripts sont particulièrement chanceux pour les autres. Par conséquent, il est logique de conserver des sauvegardes régulières de votre site et, surtout, de les conserver ailleurs que sur le serveur.

Les sauvegardes combattent également l'un des éléments les plus souvent négligés de la sécurisation d'un site Web - l'erreur de l'utilisateur. Même les propriétaires de sites Web les plus expérimentés se trompent, et un simple clic erroné peut facilement compromettre des défenses par ailleurs robustes.

Prendre l'habitude de sauvegarder régulièrement minimise également les dommages dans les cas au-delà de la sécurité. Les sites qui tombent en panne et deviennent irrécupérables sont rares et peu préoccupants, mais lorsqu'un changement de code spécifique peut supprimer un grand site Web, il peut souvent être plus facile d'annuler les modifications que de prendre du temps pour identifier le problème.

Cela peut signifier perdre quelques jours de collecte et de publication de données, mais c'est souvent un petit prix à payer en échange d'un site Web sans compromis.

Sans surprise, les plugins sont souvent la meilleure solution ici encore une fois. La sauvegarde Updraft Plus est incontestablement la plus populaire.

Bien qu'il y ait certainement une courbe d'apprentissage pour en tirer le meilleur parti, le plugin se compare bien à ses homologues de sécurité en offrant des versions gratuites et payantes, la première faisant un excellent travail sur les nouveaux sites.

De plus, il peut être configuré pour sauvegarder des sites entiers, puis les envoyer par e-mail ou les stocker dans l'un des nombreux comptes de stockage en nuage.

Dans l'ensemble, un excellent site Web WordPress n'attire pas seulement l'attention et intègre un contenu incroyable, mais place la sécurité d'eux-mêmes et de leurs visiteurs en tête de liste des priorités.

L'article porte sur la liste de contrôle de sécurité avant le lancement de votre nouveau site Web. Avec autant de plugins qui sont tout aussi faciles à utiliser et à configurer que les nôtres, même les novices virtuels de WordPress peuvent créer un site sécurisé et prêt à être lancé.