Les huit meilleurs conseils de sécurité WordPress

Les huit meilleurs conseils de sécurité WordPress

17 décembre 2018 Non Par David

Comment faire pour sécuriser votre site WP ?

Alors qu’un hacker déterminé tentera de nombreuses façons d’accéder à un site Web, il existe plusieurs manières de leur rendre la tache plus difficile. Les conseils qui vont suivre sont très importants si vous exploitez un site Web qui collecte des renseignements sur vos utilisateurs, en particulier des renseignements personnels et surtout des données de carte de crédit.

1. Gardez vos installations à jour

Assurez-vous toujours que votre installation WordPress est à jour. La communauté derrière WordPress est extrêmement active et lorsque des problèmes de sécurité surgissent, WP n’hésite pas à lancer une nouvelle version.

Dans l’interface d’administration, vous verrez toujours des notifications de WP indiquant qu’une nouvelle version est disponible et vous verrez également quand des mises à jour sont disponibles pour vos plugins.

Méfiez-vous du fait que la mise à jour de WP provoque l’arrêt de vos Plugins. Par conséquent, après une mise à jour de WP, il est fortement recommandé de garder un œil sur votre installation, d’autant que les mises à jour de Plugin ne seront pas loin derrière.

2. Évitez d’utiliser le nom d’utilisateur Admin

“Admin” est le nom d’utilisateur par défaut du compte Administrateur WordPress. La majorité des attaques d’utilisateurs qui veulent accéder à votre site Web utilisera le nom “admin”. Dès votre première utilisation, modifiez-le en une combinaison plus longue de lettres et de chiffres.

3. Utilisez un mot de passe compliqué et sans signification

Actuellement, les mots de passe sont relativement faciles à deviner, parce que les gens n’y accordent pas beaucoup d’importance. Pour décourager les tentatives des pirates informatiques, utilisez un long mot de passe en associant des majuscules, des minuscules, des chiffres et autres caractères spéciaux et surtout veillez à le modifier très régulièrement.

Purpl3Pengu1n! pourrait être un exemple, mais à vous d’être créatif pour trouver votre propre variation unique.

4. Implémentez des plugins de sécurité

Il existe un certain nombre de plugins de sécurité WordPress disponibles et il est intéressant d’investir dans la mise en œuvre de quelques-uns d’entre eux, pour s’assurer que votre site Web soit aussi sûr que possible. Entre autres plugins :

  • Better WP Security
  • Secure WordPress
  • IQ Block Country
  • Wordfence Security

Utiliser un plugin qui cache toute indication des versions de WordPress et cela rendra le travail des hackers un peu plus dur.

5. Faites régulièrement des sauvegardes de votre site

La sauvegarde régulière de votre site Web est un moyen essentiel de vous aider à vous remettre sur les rails en cas de piratage. Il est vrai que les sociétés d’hébergement sauvegarderont le serveur sur lequel votre site est normalement hébergé, mais la prudence étant de mise, il est toujours conseillé de prendre les devants et de procéder à vos propres sauvegardes au cas où.

Ceci est primordial si vous procédez à une mise à jour de l’application principale WP ou des plugins que vous utilisez. Cherchez un plugin qui vous permettra de sauvegarder manuellement votre base de données en ligne, de l’implémenter et de la copier dans un endroit sûr, une fois que chaque sauvegarde est terminée.

Si par malheur, vous avez été piraté et que vous n’avez ni le temps, ni les compétences nécessaires pour enquêter et supprimer les modifications  incriminées de votre code, vous pouvez tout copier et utiliser votre copie de la base de données pour remplacer ce qui existe, dans le cas où l’intégrité des données a été compromise.

6. Modifiez les préfixes de table

Si vous installez WordPress vous-même, c’est un processus relativement facile à mettre en place. Mais de la même manière que les utilisateurs conservent le nom d’utilisateur “admin” par défaut, ils évitent également de modifier le préfixe de table par défaut.

Par défaut, toutes les tables créées à partir de l’installation auront le préfixe “wp_”

Etant donné que le même fichier d’installation est utilisé pour toute installation WP, il n’est pas difficile pour les pirates d’utiliser wp_ dans leur première tentative pour accéder à votre site.

Comme avec le compte Admin, rendez leur la vie plus difficile en changeant cette valeur par défaut et essayez de la rendre moins évidente.

Important : Protégez votre wp-config.php à tout prix !

Votre fichier wp-config contient tous les détails importants de la connexion à la base de données de votre site. Même si vous n’êtes pas un utilisateur puissant de WP, vous pouvez ajouter ce niveau de sécurité assez facilement à votre site Web.

7. Ouvrez un éditeur de texte

Pour ajouter une sécurité supplémentaire à votre site, ouvrez un éditeur de texte comme Notepad (sur Windows) ou Textedit (sur Mac). Le processus est assez simple :

  • D’abord, copiez et collez ces lignes

Order allow, deny
Deny from all

dans votre éditeur, puis enregistrer le fichier au format .htaccess

  • Envoyez ensuite ce fichier par FTP à la racine de votre site Web.

N.B : Le fichier .htaccess peut déjà exister sur votre site web si vous avez configuré des permaliens, etc. Dans ce cas, remplacez l’étape de création d’un nouveau fichier .htaccess et copiez-le depuis votre site web, éditez-le pour ajouter les lignes ci-dessus et  copiez-le enfin sur le site.

8. Scannez votre site

Avec un plugin tel que WP Security Scan, vous pouvez surveiller régulièrement votre site Web, lancer régulièrement des scans pour vérifier que tout semble en bon état et faire des suggestions sur les problèmes potentiels tels que les autorisations de fichiers. En conjonction avec les autres plugins mentionnés dans cet article, c’est une façon judicieuse de tout garder en forme et de vous rassurer. Et si vous remarquez que quelqu’un a découvert votre nom d’utilisateur administrateur, changez-le et modifiez votre mot de passe en même temps.