15 astuces de sécurité WordPress pour sécuriser votre site Web WordPress

Il y a eu tellement de nouvelles sur les sites Web WordPress piratés ces derniers temps. Et, de nombreuses personnes ont commencé à remettre en question la sécurité de WordPress en raison des récentes attaques.

Par conséquent, si vous possédez un site Web WordPress, vous devez agir sur ces 15 techniques de sécurité WordPress que je vais vous apprendre dans ce guide.

Avant de nous lancer directement, laissez-moi vous avertir à l'avance.

Pendant que vous êtes ici occupé à lire cet article, un script kiddie pourrait essayer de pirater votre site Web (WordPress ou non).

Sérieusement?

Oui.

« Pourquoi certains mecs perdraient leur temps avec moi ? Ce n'est pas comme si j'étais une grande entreprise.

Eh bien, je ne veux pas augmenter vos inquiétudes, mais les pirates aiment les petits sites Web car ils sont une cible facile.

Pourquoi la sécurité des sites Web est-elle si compliquée ?

D'accord, quelqu'un essaie de s'introduire dans mon site Web, mais pourquoi devrais-je m'en soucier ? Surtout que j'ai une sauvegarde de tout. Je pourrais simplement supprimer WordPress et le réinstaller.

Votre question est valable. Mais que se passe-t-il si le pirate a accédé à votre sauvegarde et à votre hébergeur ?

De plus, il existe d'autres risques si un pirate informatique prend le contrôle de votre site Web, certains d'entre eux sont…

1. Les pirates pourraient voler vos informations et celles de vos visiteurs et les utiliser à des fins illégales.
2. Si vous commencez tout juste à recevoir des visiteurs, les temps d'arrêt vous affecteront à long terme.
3. Les gens commenceront à remettre en question la qualité de votre site Web.
4. Les attaquants peuvent publier quelque chose d'offensant ou d'illégal sur votre site Web, pour lequel vous pourriez avoir à faire face à des conséquences (légales ou autres).

Mais, pourquoi quelqu'un ferait-il tout son possible pour donner du fil à retordre à un petit site Web comme le mien ?

1. Un petit site Web est facile à pirater.
2. Les pirates testent leurs outils sur de petits sites Web pour un projet plus important.
3. Ils peuvent utiliser votre hébergeur pour envoyer des spams.
4. Les intrus utilisent les ressources de petits sites Web pour attaquer les "grands". Votre serveur Web peut faire partie d'un botnet pour les attaques DDoS.
5. Les pirates peuvent utiliser votre site Web pour diffuser des logiciels malveillants. Des milliers de petits sites Web sont un bon moyen de diffuser des logiciels malveillants, car les propriétaires de petits sites Web ne peuvent pas se permettre d'experts en sécurité pour vérifier la sécurité.
6. Les pirates peuvent utiliser votre site Web pour augmenter le trafic et le classement Google de leur propre site Web en publiant des backlinks.

Par conséquent, même si vous commencez tout juste à créer un site Web, vous devez faire très attention à la sécurité. Il ne s'agit pas seulement de vous. Votre négligence peut également affecter les autres (attaque DDoS).

WordPress a été piraté, devriez-vous rechercher d'autres plateformes ?

Tout d'abord, aucun système (site Web ou ordinateur personnel) n'est sécurisé. Les gens ont même trouvé des moyens de pirater des systèmes à espace d'air (ordinateurs isolés).

Quelle que soit la plate-forme que vous choisissez, les pirates trouveront un moyen d'y pénétrer.

La raison pour laquelle tant de sites Web WordPress sont piratés est que WordPress est très populaire. Environ 27% des sites Web utilisent WordPress, et cela ne cesse de croître. Ainsi, WordPress est devenu une mine d'or pour les pirates et les spammeurs.

Les cyberpunks attaquent systématiquement WordPress car s'ils parviennent à trouver une vulnérabilité, ils pourraient prendre le contrôle de 27 % d'Internet.

Une autre raison pour laquelle les sites WordPress sont piratés est qu'il s'agit d'un environnement ouvert. Les utilisateurs peuvent coder et modifier eux-mêmes les sites Web. Ils peuvent ajouter des plugins tiers.

Alors, devriez-vous trouver un autre CMS pour votre site Web ?

Non.

Le problème n'est pas avec le code de base de WordPress, ce sont les plugins et les thèmes que vous installez. Mais alors, comme je l'ai dit plus tôt, aucun système n'est complètement sécurisé.

Si WordPress lui-même n'était pas sûr, pourquoi 27 % du Web l'utiliseraient-ils ?

De nombreux bénévoles prennent un soin particulier à maintenir le système de base et le référentiel WordPress. Les thèmes et plugins disponibles dans le référentiel WordPress sont testés de manière approfondie pour leur sécurité et leur fiabilité.

De plus, l'équipe WordPress s'attaque très habilement à tous les problèmes de sécurité. Ils publient constamment des mises à jour avec des correctifs de sécurité. Ainsi, vous pouvez faire confiance à WordPress pour votre site Web.

Cependant, vous, en tant que propriétaire de site Web, devez également redoubler de prudence. Vous devez toujours surveiller régulièrement votre site Web.

Voici 15 mesures de sécurité WordPress que vous devez suivre pour minimiser le risque de piratage de votre site Web !

Conseil de pro : sauvegardez toujours vos fichiers WordPress, y compris la base de données, avant d'apporter des modifications à vos fichiers et d'installer des plugins de sécurité.

Remarque : Certains des liens de ce guide sont des liens d'affiliation. Nous gagnons un certain montant de commission si vous achetez des services/produits via les liens, sans frais supplémentaires pour vous. Cela étant dit, nous ne recommandons pas les produits qui ne valent pas la peine.

1. Utilisez un nom d'utilisateur et un mot de passe uniques

Lorsque vous installez WordPress, WordPress crée automatiquement un nom d'utilisateur appelé « admin ». Je pense que c'est une fonctionnalité intéressante car elle m'évite la tâche fastidieuse d'entrer mon propre nom d'utilisateur. Je peux me concentrer sur d'autres choses vraiment importantes. Merci WordPress !

Je sais je sais. C'est une excuse stupide. Mais avez-vous changé le nom d'utilisateur "admin" par défaut lors de l'installation de WordPress ? Bienvenue au club!

Lorsque les pirates essaient de se connecter à votre panneau d'administration, ils essaient d'abord "admin" comme nom d'utilisateur.

Quel est le problème avec le nom d'utilisateur lorsque vous avez un mot de passe fort ?

Eh bien, je sais qu'avoir un mot de passe fort est une bonne chose. Mais, si vous utilisez toujours "admin" comme nom d'utilisateur, vous réduisez de moitié l'effort du pirate. Les permutations sont réduites.

Les pirates peuvent simplement essayer la combinaison de différents mots de passe puisqu'ils connaissent déjà votre nom d'utilisateur.

Mais, le problème, c'est que vous ne pouvez pas changer les noms d'utilisateur dans WordPress !

Bien que vous puissiez installer un plugin pour changer le nom d'utilisateur, je ne recommande pas d'utiliser des plugins pour des tâches simples.

Par conséquent, créez simplement un nouvel utilisateur avec des privilèges administratifs, puis supprimez l'ancien utilisateur administrateur. Ne vous inquiétez pas, WordPress vous demandera ce que vous voulez faire avec les publications que l'utilisateur a créées.

Lors de la création d'un nouvel utilisateur, utilisez un nom d'utilisateur qui n'est pas trop évident, comme « myname » ou « mysitename ».

Quant au mot de passe, la règle simple est que votre mot de passe doit être complexe , long et unique .

Complexe : votre mot de passe doit contenir au moins 1 chiffre, 1 lettre majuscule et 1 caractère spécial.

Long : votre mot de passe doit comporter au moins 10 caractères.

Unique : votre mot de passe ne doit pas contenir de mots ou d'expressions courants. Et, vous devez utiliser des mots de passe différents pour chaque site Web.

Après avoir appliqué les règles de mot de passe ci-dessus, votre mot de passe devrait ressembler à ceci : LTwYgrsewDhw@ertzK9#M!K%

C'est un mot de passe fort. Mais le problème, c'est que nous sommes des êtres humains, et c'est difficile à retenir.

Par conséquent, utilisez des outils comme LastPass et KeePass. Ils sont gratuits et vous pouvez les utiliser sur plusieurs appareils.

Si vous pensez toujours que vous pouvez vous en sortir avec des mots de passe simples parce que vous êtes créatif, j'espère que cela vous fera changer d'avis.

2. Utilisez l'authentification à deux facteurs

Vous avez maintenant utilisé un nom d'utilisateur unique et un mot de passe fort pour votre panneau d'administration WordPress.

Super!

C'est un pas vers une meilleure sécurité WordPress.

Mais, quelle que soit leur force, les mots de passe peuvent être cassés ! Les pirates utilisent des attaques par force brute (nous en reparlerons plus tard) pour pénétrer votre site Web. Une forte attaque par force brute peut déchiffrer n'importe quel mot de passe.

C'est pourquoi vous devriez commencer à utiliser l'authentification à deux facteurs sur votre site Web. Cela renforcera la sécurité.

L'authentification à deux facteurs nécessite que vous saisissiez un code de sécurité en plus du nom d'utilisateur et du mot de passe pour vous connecter. Une fois que vous avez activé l'authentification à deux facteurs, vous recevrez un code (à usage unique) sur votre smartphone. Vous ne pourrez vous connecter qu'après avoir entré le code.

Je sais, c'est un problème, mais, rappelez-vous, mieux vaut prévenir que guérir. À moins que les gourous de la sécurité ne trouvent des options de connexion ADN, deux facteurs constituent la meilleure méthode de sécurité.

Malheureusement, WordPress n'a pas de paramètres intégrés pour ajouter une authentification à deux facteurs. Vous devrez utiliser un plugin appelé Google Authenticator.

Si vous n'êtes pas familier avec la vérification en 2 étapes de Google, Evanto tuts+ propose d'excellents tutoriels sur l'utilisation de l'authentificateur de facteur Google 2 avec WordPress.

3. Vérifiez l'utilisateur en tant qu'humain

Les pirates utilisent des botnets pour attaquer les systèmes avec force brute. Et, une façon de vraiment donner du fil à retordre aux pirates consiste à utiliser un formulaire reCAPTCHA.

Généralement, les botnets ne peuvent pas valider le reCAPTCHA, les pirates doivent donc essayer manuellement d'entrer les noms d'utilisateur et les mots de passe. Ça, mon ami, c'est une douleur dans le… vous savez où.

Mais, l'ancien reCAPTCHA, celui qui utilise du texte déformé, n'est pas efficace. Nous avons tous été là quand vous avez dû faire une supposition folle sur certaines lettres.

Pour rendre l'expérience reCAPTCHA plus conviviale et répulsive pour les robots, Google a introduit le nouveau "No CAPTCHA reCAPTCHA". Le nouveau reCAPTCHA invisible peut même détecter automatiquement un humain.

Vous pouvez ajouter le reCAPTCHA sur votre formulaire de connexion, de commentaire et/ou d'inscription WordPress manuellement ou en utilisant un plugin No CAPTCHA reCAPTCHA.

Mais, d'abord, vous devez obtenir votre clé reCAPTCHA auprès de Google. Après avoir obtenu les clés, entrez-les dans vos codes si vous le faites manuellement, ou dans les paramètres du plugin si vous utilisez un plugin.

4. Mettre à jour WordPress

Vous devez toujours mettre à jour WordPress. Les mises à jour de WordPress ne servent pas uniquement à ajouter des fonctionnalités. Les mises à jour sont publiées, surtout, pour corriger les bogues et les failles de sécurité.

Mais que se passe-t-il si je rencontre des problèmes de compatibilité avec mes thèmes et plugins après avoir mis à jour WordPress ? Eh bien, généralement, les bons thèmes et plugins publient des mises à jour dès que le cœur de WordPress est mis à jour.

Si les plugins ou les thèmes que vous utilisez n'ont pas été mis à jour, il est temps de leur trouver des alternatives.

La majorité des sites Web piratés utilisent WordPress, des plugins ou des thèmes obsolètes. Les versions obsolètes des plugins peuvent mettre votre site Web en danger.

Alors, mettez à jour vos thèmes et plugins dès que possible ! S'il n'y a pas de mises à jour disponibles, modifiez-les. Vous pouvez trouver de nombreux thèmes et plugins à jour dans le référentiel WordPress.

Vous pouvez également essayer nos thèmes WordPress. Nous les mettons à jour régulièrement afin que vous n'ayez pas à vous soucier des problèmes de sécurité des thèmes.

Comment mettre à jour WordPress

La mise à jour de WordPress est facile. WordPress affiche automatiquement des notifications sur le tableau de bord s'il y a des mises à jour pour le système principal, les thèmes ou les plugins.

Allez dans Tableau de bord> Mises à jour et cliquez sur les boutons de mise à jour.

Vous pouvez également activer les mises à jour automatiques afin que votre WordPress principal, vos plugins et vos thèmes se mettent automatiquement à jour pour les versions mineures. Vous recevrez une notification par e-mail lorsque votre site Web sera automatiquement mis à jour.

5. Désactiver l'édition de fichiers

Vous pouvez facilement personnaliser votre site Web avec l'éditeur de code intégré dans WordPress.

Cependant, imaginez que des pirates aient réussi à se connecter à votre site Web. Désormais, ils peuvent également modifier facilement votre site Web à l'aide de l'éditeur. Par conséquent, il est prudent de désactiver l'édition de WordPress via l'éditeur.

Pour désactiver l'éditeur, sauvegardez d'abord votre WordPress. Ensuite, localisez le fichier wp-config.php sur le back-end de votre site Web. Vous pouvez trouver wp-config.php dans le dossier racine de votre site Web avec d'autres dossiers comme wp-admin et wp-content .

Vous pouvez utiliser le client FTP pour vous connecter au back-end du site Web. Ou, si vous avez accès à cPanel, vous pouvez utiliser le gestionnaire de fichiers disponible dans cPanel.

Maintenant, ajoutez la ligne de code suivante dans le fichier wp-config.php et enregistrez le fichier

Une fois le fichier mis à jour, vous ne pourrez plus modifier les modèles de thème à l'aide du tableau de bord WordPress. Vous pouvez toujours modifier les thèmes en utilisant FTP ou le gestionnaire de fichiers de cPanel.

6. Limiter les tentatives de connexion

Lorsque vous installez WordPress, WordPress vous demande si vous souhaitez installer ou non le plugin de limitation des tentatives de connexion.

Limiter les tentatives de connexion est un excellent moyen de protéger votre site Web contre les attaques par force brute.

Les pirates essaieront de se connecter à votre site Web avec différentes combinaisons de connexion. Cependant, si vous activez la limitation des tentatives de connexion, vous autorisez les utilisateurs à essayer de se connecter uniquement un certain nombre de fois, après quoi l'utilisateur est bloqué.

Si vous avez oublié de cocher cette option lors de l'installation de WordPress, ne vous inquiétez pas. Vous pouvez trouver le plugin dans le référentiel WordPress.

Accédez à Plugins> Ajouter un nouveau dans le menu de votre tableau de bord WordPress. Recherchez "Loginizer", puis installez et activez le plugin.

Après avoir activé le plugin, accédez à Loginizer Security> Brute Force dans le menu d'administration de WordPress pour configurer la protection de connexion.

7. Protection contre les attaques par force brute

Les pirates utilisent des attaques Brute Force pour accéder au panneau d'administration ou aux comptes FTP de votre site Web. Fondamentalement, une attaque par force brute est une méthode d'essai et d'erreur. C'est comme essayer différentes combinaisons de touches pour ouvrir une serrure. Les intrus peuvent utiliser des botnets pour automatiser les attaques.

Pour éviter que votre site Web ne devienne la cible d'attaques par force brute, suivez les instructions 1, 2, 3 et 6.

Vous pouvez également modifier l'URL de connexion par défaut (www.mywebsite.com/wp-admin/) afin que les pirates aient du mal à trouver le formulaire de connexion en premier lieu.

Vous pouvez créer une URL de connexion personnalisée à l'aide d'un plugin appelé All In One WordPress Security & Firewall. Après avoir installé le plugin, accédez à la section Brute Force pour activer l'URL de connexion personnalisée. Ce plugin a tellement de fonctionnalités que vous n'aurez même pas besoin d'autres plugins de sécurité WordPress si vous installez celui-ci.

8. Protection contre les attaques DDoS

Avec autant d'appareils connectés à Internet, la fréquence des attaques DDoS a augmenté.

DDoS est une méthode pour inonder un site Web/service avec un faux trafic dans le but de faire tomber le service. Les pirates utilisent des systèmes infectés (qui contiennent des logiciels malveillants) pour effectuer des attaques DDoS. En 2016, les pirates ont froissé DYN en mettant hors ligne de nombreux sites Web célèbres comme Twitter, Amazon, Reddit et Netflix.

Par conséquent, vous devez toujours être prêt à faire face aux attaques DDoS.

En suivant les mesures de sécurité mentionnées ci-dessus (1, 2, 3, 4, 6 et 7), vous êtes déjà prêt pour les attaques DDoS.

En plus de cela, je recommanderais également d'utiliser des services cloud comme CloudFlare ou MaxCDN. Ils peuvent vous aider à atténuer les attaques DDoS.

De même, la mise en cache de votre site Web peut également vous aider à protéger votre site Web contre la surcharge de trafic. Vous pouvez mettre en cache votre site Web à l'aide de plugins comme WP Super Cache.

9. Rechercher les logiciels malveillants et les supprimer

Puisque vous lisez si attentivement mes conseils de sécurité (j'espère vraiment que vous l'êtes), laissez-moi vous dire quelque chose de plus effrayant, si vous n'avez pas encore paniqué !

Les hackers sont sournois ! Ils ont peut-être déjà placé des logiciels malveillants sur vos fichiers Web.

Par conséquent, vous devez analyser votre serveur Web à la recherche de fichiers malveillants dès que possible ! Et, retirez-les.

Comment faire ça?

Branchez un plugin de sécurité. Sucuri Security est le meilleur plugin gratuit pour détecter et supprimer les logiciels malveillants sur WordPress.

Si vous n'aimez pas ajouter de plugins ou si vous souhaitez effectuer une analyse complète côté serveur, abonnez-vous à Sucuri. Ce service vous coûte.

Si vous ne pouvez pas vous permettre Sucuri (je sais que c'est cher), il y a une autoroute. Parce que je vous ai prêché sur tous ces trucs techniques, je pense que vous méritez une friandise.

Voici comment analyser et supprimer gratuitement les logiciels malveillants de votre site Web !

Tout d'abord, téléchargez le dossier public_html depuis votre serveur à l'aide d'un client FTP de votre choix. Ensuite, analysez le dossier téléchargé à l'aide d'un logiciel antivirus (Norton, Kaspersky ou autre) sur votre ordinateur. Assurez-vous que le programme antivirus est à jour.

Après cela, remplacez l'ancien fichier public_html par celui qui vient d'être nettoyé en utilisant FTP. Aussi simple que ça !

10. Bon hébergeur

L'hébergeur joue un rôle important, très important, dans la sécurité du site.

Un bon hébergeur vous fournit une assistance et des outils pour lutter contre les attaques DDoS, les attaques Brute-Force et les logiciels malveillants. Par conséquent, je recommande l'hébergement SiteGround car ils maintiennent la sécurité en priorité.

Généralement, un plan d'hébergement partagé est plus vulnérable car le serveur est partagé avec d'autres sites Web. Les pirates peuvent utiliser d'autres sites Web sur le même serveur pour attaquer votre site Web sur un hébergement partagé. Ce concept est appelé contamination intersite.

Il est souvent considéré comme préférable d'obtenir un hébergement dédié ou un hébergement VPS, mais ils sont chers. En tant que débutant, vous n'avez peut-être pas le budget pour cela.

Cela signifie-t-il que vous vous risquez ? Non. Même l'hébergement mutualisé peut être protégé.

Une bonne société d'hébergement Web comme SiteGround installe des pare-feu comme ModSecurity, même dans les plans d'hébergement partagé. En outre, ils limitent le nombre de sites Web sur un serveur et analysent régulièrement les serveurs à la recherche de logiciels malveillants.

De même, si votre hébergeur peut vous fournir Sucuri Security, c'est un plus.

11. Choisissez judicieusement les plugins et le thème

Eh bien, choisissez judicieusement les plugins et les thèmes. C'est tout ce que vous devez savoir sur ce sujet.

La possibilité d'installer des plugins et des thèmes tiers est ce qui rend WordPress vulnérable aux pirates.

Les plugins et les thèmes WordPress disponibles sur le référentiel WordPress sont sûrs. Mais si vous devez ajouter manuellement des plugins ou des thèmes, vérifiez toujours les logiciels malveillants, à l'aide d'un logiciel antivirus, avant de les télécharger sur votre WordPress.

De plus, avant d'installer des plugins ou des thèmes, vérifiez les avis et la dernière date de mise à jour.

12. Supprimer les thèmes et plugins inutiles/obsolètes

Gardez toujours votre WordPress propre.

Si vous n'utilisez actuellement aucun plugin ou thème et qu'ils sont obsolètes, supprimez-les. Ils pourraient inviter des pirates.

De même, allez à l'arrière de WordPress et vérifiez si vous avez des fichiers inutiles en les comparant aux fichiers WordPress par défaut.

Ou, vous pouvez simplement faire une nouvelle installation de WordPress.

Tout d'abord, sauvegardez vos bases de données et WordPress. Ensuite, supprimez WordPress. Et, installez un nouveau WordPress mis à jour.

Assurez-vous d'informer vos visiteurs lors de la maintenance en affichant une page de maintenance.

13. Sécurisez .htaccess et wp-content.php

Seul le Tout-Puissant sait ce que les pirates peuvent faire s'ils accèdent à votre fichier .htaccess ou wp-content.php.

Donc, vous devez toujours masquer les fichiers .htaccess et wp-content.php. Même si vous ne savez pas coder, vous pouvez facilement sécuriser .htaccess et wp-content.php en insérant quelques codes dans le fichier .htaccess.

Veuillez conserver une sauvegarde du fichier .htaccess avant d'y apporter des modifications.

Localisez le fichier .htaccess à la racine de votre site Web et ajoutez-y les lignes de code suivantes.

Code pour cacher wp-config.php

Code pour masquer le fichier .htaccess

14. Masquer les informations sensibles

Assurez-vous de supprimer (ou au moins de renommer) le fichier readme.html après avoir installé WordPress. Le fichier Lisez-moi indiquera aux pirates quelle version de WordPress vous utilisez.

Aussi, si vous avez créé un fichier phpinfo.php ou i.php, je vous recommande de le supprimer ou de le renommer. Ce fichier contient toutes les informations sur votre serveur.

De plus, désactivez l'indexation des répertoires. Les attaquants peuvent voir la structure de vos dossiers et fichiers grâce à la navigation dans les répertoires. Vous n'avez pas besoin d'être technophile pour le faire. Accédez simplement au fichier .htaccess et ajoutez le code suivant à la fin du fichier.

15. Gardez une longueur d'avance et restez à jour

Les pirates ont toujours une longueur d'avance sur tous les experts en sécurité. En fait, un expert en sécurité ne serait même pas au courant d'une faille de sécurité jusqu'à ce que quelqu'un s'introduit dans un système.

Par conséquent, tenez-vous toujours informé et mis à jour sur les nouvelles et les problèmes de sécurité. Suivez les entreprises de sécurité sur Twitter ou Facebook, ou abonnez-vous même à leurs newsletters.

Kerbsonsecurity est un excellent blog pour vous tenir au courant des problèmes de sécurité.

Conclusion

Rendez le jeu de devinettes difficile pour les pirates !

Vous ne pouvez pas empêcher les pirates de pirater. Tout ce que vous pouvez faire est de vous préparer aux attaques.

Les gentils travaillent dur pour protéger WordPress des pirates, mais des erreurs se produisent.

Conservez toujours une sauvegarde de votre site Web, juste au cas où des pirates informatiques prendraient le contrôle de votre site Web. Conservez la sauvegarde dans un ou plusieurs endroits sûrs (plusieurs endroits si possible).

Enfin, suivez les 15 conseils susmentionnés pour sécuriser un site WordPress. Et tenez-vous au courant, thèmes, plugins et WordPress !

Que la force soit avec toi.