Façons de sécuriser votre blog WordPress

WordPress a la réputation de ne pas être sécurisé. La plupart des propriétaires de sites Web pensent que la nature open source de la plate-forme la rend vulnérable à toutes les attaques et failles de sécurité. Cependant, c'est loin d'être le cas. La plupart des failles de sécurité de WordPress proviennent d'une erreur humaine. Par conséquent, vous pouvez sécuriser n'importe quel site Web WordPress si vous prenez simplement les mêmes précautions que vous le feriez avec n'importe quelle plate-forme. Bien qu'aucune plate-forme ne soit parfaite, vous pouvez sécuriser votre blog WordPress si vous suivez quelques précautions.

Protéger la page de connexion pour empêcher les attaques par force brute

La page de connexion WordPress est la fonctionnalité la plus attaquée de la plateforme. C'est la porte d'accès au backend d'administration de votre site Web. Pour cette raison, les pirates tentent de forcer brutalement leur chemin à travers. Bien que vous deviez utiliser une page de connexion personnalisée, si vous devez utiliser ce que WordPress vous offre, vous pouvez sécuriser votre blog de la manière suivante.

Ajouter une fonctionnalité de verrouillage et bannir des utilisateurs

Les plugins de verrouillage empêchent les attaques par force brute en verrouillant le site après avoir détecté des tentatives de connexion infructueuses répétitives. Vous recevrez alors un avis pour ces connexions non autorisées. Alors que la plupart des plugins de sécurité offrent cette fonctionnalité, vous en voulez un qui vous permet également d'interdire l'adresse IP de l'attaquant.

Utiliser l'authentification à 2 facteurs

L'authentification à 2 facteurs (2FA) est également une mesure de sécurité très efficace. Il utilise la connexion en utilisant deux composants différents. En tant que propriétaire du site Web, vous décidez quels sont ces composants. Vous avez la possibilité d'utiliser un mot de passe et une question secrète, un code, des caractères ou des applications mobiles d'authentification telles que l'application Google Authenticator.

Créer des identifiants de messagerie au lieu de noms d'utilisateur

Les adresses e-mail sont uniques, ce qui les rend difficiles à prévoir. WordPress nécessite une adresse e-mail unique pour chaque compte. Il est donc logique de l'utiliser également comme identifiant de compte.

Renommer votre URL de connexion

Si vous ne pouvez pas ajouter de plugin à votre installation, vous pouvez toujours simplement changer l'adresse Web de la page de connexion. C'est une fonctionnalité simple qui rendra immédiatement votre site Web 99% plus sécurisé.

Mots de passe sécurisés

Changer et utiliser des mots de passe forts sont toujours de bons conseils pour tout site Web, WordPress ou autre. En fait, vous devriez utiliser cette pratique avec tous vos comptes, et pas seulement avec votre propre site Web. Changer régulièrement de mot de passe est logique.

Déconnecter les utilisateurs inactifs

Lorsque les utilisateurs laissent votre site ouvert sur leurs écrans, ils constituent une menace pour la sécurité. Tout le monde peut s'arrêter et modifier les informations. Ils peuvent même modifier le compte de l'utilisateur ou détourner l'intégralité du site Web. Vous pouvez éliminer cette menace en les déconnectant simplement automatiquement après un délai défini.

Sécuriser le tableau de bord d'administration de WordPress

Alors que la page de connexion est la plus attaquée, les pirates veulent vraiment votre tableau de bord d'administration. Ainsi, vous devez en faire la partie la plus protégée de votre site Web.

Sécuriser le répertoire Wp-Admin

Par conséquent, la plupart de vos efforts de sécurité WordPress devraient impliquer le répertoire « /wp-admin ». Pour commencer, vous devez protéger le dossier par mot de passe. Vous devrez peut-être soumettre deux mots de passe pour accéder au tableau de bord, mais c'est un petit prix à payer pour la sécurité supplémentaire.

Utiliser le cryptage SSL

SSL (Secure Socket Layer) est toujours un bon choix. C'est également une exigence de référencement si vous souhaitez que Google et d'autres moteurs de recherche majeurs répertorient votre site Web. Vous devriez obtenir un certificat SSL pour votre blog dès que possible. C'est aussi un excellent moyen de sécuriser votre espace d'administration.

Restreindre l'utilisation de votre compte utilisateur

Vous n'avez besoin que du nombre de comptes d'utilisateurs dont vous avez besoin. Vous ne voulez jamais donner à plusieurs personnes l'accès à votre tableau de bord d'administration. Ce privilège ne devrait aller qu'à ceux qui en ont réellement besoin pour maintenir votre blog. Même dans ce cas, vous souhaitez toujours restreindre l'accès d'une manière ou d'une autre.

Faire en sorte que les identifiants de messagerie au lieu des noms d'utilisateur utilisent un nom d'utilisateur administrateur différent

Tout comme la page de connexion, tout le monde connaît le compte "admin" par défaut de WordPress. Les gens ont juste besoin de deviner votre mot de passe pour cela, et ils sont sur votre site Web. Vous pouvez arrêter cela en modifiant le nom d'utilisateur du compte administrateur.

Surveillez vos fichiers

Enfin, vous devez toujours surveiller vos fichiers pour les modifications non autorisées via des plugins tels que Wordfence.

Sécuriser la base de données

S'ils ne peuvent pas entrer par la porte d'entrée, les pirates essaieront par la porte arrière. Les données de votre site Web sont dans une base de données. Sécurisez-le autant que possible.

Modifier le préfixe de table

Pour suivre les informations de votre site, WordPress attribue un préfixe à toutes les tables de base de données qu'il crée. Vous devriez changer cela en quelque chose d'unique. Le préfixe par défaut rend votre site vulnérable aux attaques par injection SQL.

Sauvegardes régulières

Vous ne pouvez jamais parfaitement sécuriser votre blog, mais vous pouvez vous assurer que vous pouvez toujours le restaurer à la normale. Vous avez juste besoin de sauvegardes régulières hors site.

Mots de passe de base de données forts

Comme pour vos comptes d'utilisateurs, vous souhaitez un mot de passe fort pour votre compte de base de données.

Journaux de surveillance et d'audit

WordPress et MySQL enregistrent tout. Si vous avez besoin de voir ce qui est arrivé à votre site Web, vous pouvez consulter ces fichiers journaux. De cette façon, vous saurez ce qui a changé et qui a fait les changements.

Sécurisez votre serveur

Votre solution d'hébergement de site Web peut offrir une infrastructure réseau sécurisée, mais vous ne devez jamais les écouter complètement ; il sera important d'examiner la sécurisation de vos données d'utilisateur et la manière dont ils accèdent à vos fichiers privés. Assurez-vous toujours que votre site Web est aussi sécurisé que possible.

Wp-config.php sécurisé

Ce fichier contient les paramètres par défaut de votre site Web et les informations de la base de données. Il s'agit donc du fichier le plus important du répertoire racine de votre site. Par conséquent, vous voulez qu'il soit impossible d'y accéder.

Interdire l'édition de fichiers

Toute personne ayant accès à votre tableau de bord WordPress peut modifier vos fichiers WordPress, y compris vos plugins et vos thèmes. Vous pouvez arrêter cela en définissant le "define('DISALLOW_FILE_EDIT', true);" drapeau dans le fichier wp-config.

Utiliser l'accès FTP sécurisé

Vous ne devez utiliser SFTP ou SSH que pour télécharger des fichiers sur votre site. Le FTP sécurisé garantit que vos transferts de fichiers sont toujours sécurisés. Si votre hôte le fournit déjà, c'est très bien. Cependant, vous pouvez le faire manuellement si nécessaire.

Autorisations de répertoire sécurisé

De mauvaises autorisations entraînent des violations. Par conséquent, vous souhaitez les rescrire à ce qui est nécessaire au fonctionnement de votre site Web. En règle générale, vous souhaitez définir les autorisations de votre répertoire sur "755" et vos fichiers sur "644".

Désactiver la liste des répertoires

Sur la plupart des serveurs Web, si un répertoire n'a pas de index.html ou une autre page "par défaut" enregistrée, le serveur produira une liste complète des répertoires si quelqu'un accède au répertoire. Vous devez désactiver cette option manuellement dans le fichier .htaccess de votre site Web.

Bloquer les liens dynamiques

Le hotlinking vous permet de copier et de publier des images et des médias d'un site Web à un autre. Bien qu'il rende le partage possible, il vole également la bande passante du serveur d'origine. Vous pouvez augmenter les performances du site et réduire vos frais d'hébergement simplement en bloquant cette fonctionnalité sur votre site.

Protégez-vous contre les attaques DDoS

Les attaques DDoS sont l'attaque liée au serveur la plus courante sur n'importe quel site Web. Les attaquants utilisent plusieurs programmes et systèmes pour surcharger votre serveur. Bien qu'il garde vos fichiers sécurisés, il peut planter votre site s'il n'est pas résolu.

Autres moyens de sécuriser votre blog WordPress

Ce ne sont là que quelques-unes des façons dont vous pouvez sécuriser votre blog ou votre site Web WordPress. Alors que de nouvelles menaces émergent, le groupe de développement WordPress et les développeurs du monde entier relèvent le défi de protéger vos données et vos pages. Il vous suffit de maintenir votre installation, vos thèmes et vos plugins WordPress à jour avec leurs dernières versions. D'autres moyens incluent l'utilisation de l'hébergement WordPress géré, le masquage de vos numéros de version et le fait de rester informé de tout développement en matière de sécurité dans la communauté WordPress. La communauté vous offre la possibilité de poser des questions et d'obtenir des réponses que vous ne pouvez pas obtenir à partir d'un simple article de blog. Avec ces conseils, vous pouvez être assuré que votre site Web est aussi sécurisé et sécurisé que possible.