Comment sécuriser WordPress
23 façons pour sécuiser Wordpress

23 astuces pour Sécuriser votre Site WordPress

Mis à jours 25 juin 2023

J’ai entendu de nombreux propriétaires de site web se plaindre de la sécurité de leur site WordPress. L’idée est qu’un script open source est vulnérable à toutes attaques de piratages. Est-ce vrai ? Ainsi, si oui, comment sécurisez-vous votre site WordPress ?

Heureusement, dire qu’aucune sécurité n’existe sur WordPress est un mythe. Au contraire, les sites web sous WordPress sont beaucoup plus sécurisés que ceux qui sont créés avec d’autres plateformes.

Aujourd’hui, je vous présente quelques astuces simples et efficaces qui peuvent vous aider à sécuriser encore plus votre site WordPress.

Après avoir mis en œuvre ces pratiques et suivis les recommandations de sécurité sur WordPress, les risques de piratage de votre site WordPress seront réduits.


I. Protégez la page de connexion et bloquez les attaques par Force Brute

Tout le monde connaît l’URL de la page de connexion par défaut de WordPress. Les pirates utilisent souvent les attaques par Force Brute sur cette page étant donné qu’elle est le point d’accès au panneau d’administration du site web. Ajoutez simplement /wp-login.php ou /wp-admin/ à la fin de votre nom de domaine et c’est parti.

Ce que je vous recommande, c’est de personnaliser l’URL de la page de connexion et même l’interaction avec cette page. C’est la première chose que je fais lorsque je commence à sécuriser mon site Web.

Pourquoi ? Parce que c’est généralement la faute de l’utilisateur si son site a été piraté. Il y a certaines responsabilités que vous devez assumer en tant que propriétaire d’un site web.

La question clé est donc la suivante : que faites-vous pour éviter que votre site ne soit pas piraté ? Protéger la page de connexion et bloquer les attaques par force brute est l’une des meilleures choses que vous puissiez faire.

Voici quelques suggestions pour sécuriser la page de connexion de votre site WordPress :

1. Ajouter une fonction de verrouillage du site et bloquer les utilisateurs mal intentionnés

Une fonction de verrouillage pour les tentatives de connexion infructueuses peut empêcher d’énormes attaques par force brute. Chaque fois qu’il y a une tentative de piratage avec des mots de passe erronés et répétitifs, le site est verrouillé et vous êtes informé de cette activité non autorisée.

J’ai découvert que le plugin iThemes Security est l’un des meilleurs plugins qui proposent cette fonctionnalité, et je l’utilise depuis un certain temps. Le plugin a beaucoup à offrir à cet égard. Le plugin dispose également de plus de 30 autres dispositifs de sécurité impressionnants pour WordPress.  

Le plugin iThemes Security pour bloquer les utilisateurs mal intentionnés

Avec ces dispositifs, vous pouvez paramétrer un certain nombre de tentatives de connexion infructueuses avant que le plugin ne bloque l’adresse IP de l’attaquant.

2. Utilisez l’authentification à deux facteurs

L’ajout d’un module d’authentification à deux facteurs (A2F) sur la page de connexion est une autre bonne mesure pour mieux sécuriser votre blog WordPress. L’utilisateur fournit donc des informations de connexion pour deux composants différents. Le propriétaire du site web décide de ce que ces deux facteurs peuvent être.

Il peut s’agir d’un mot de passe normal suivi d’une question secrète, d’un code secret, d’un ensemble de caractère, ou plus populaire, l’application Google Authenticator. Un code secret sera envoyé sur votre téléphone. Ainsi, seule la personne qui a reçu le code d’activation sur son mobile peut se connecter à votre site.

Je préfère utiliser un code secret lors de la mise en place d’A2F sur l’un de mes sites web. Le plugin Google Authenticator m’aide à l’installer en quelques clics.

Plugin Google Authenticator pour authentification à deux facteurs dans WordPress

3. Utilisez votre adresse e-mail pour vous connecter

Par défaut, vous devez saisir votre nom d’utilisateur pour vous connecter à WordPress. L’utilisation d’une adresse e-mail au lieu d’un nom d’utilisateur est une approche plus sécurisée.

Les raisons sont assez évidentes. Les noms d’utilisateur sont faciles à prévoir, contrairement aux adresses e-mail.

Utilisez votre email pour se connecter à votre Site WordPress

De plus, tout compte utilisateur sur WordPress est créé avec une adresse e-mail unique, ce qui en fait un identifiant valide pour la connexion.

Plusieurs plugins de sécurité pour WordPress vous permettent de configurer la page de connexion pour qu’elle n’accepte que les adresses e-mail pour se connecter.

4. Renommez votre URL de connexion

Changer l’URL de connexion est facile. Par défaut, la page de connexion de WordPress est accessible via wp-login.php ou wp-admin ajouté à l’URL principale du site.

Lorsque les pirates connaissent l’URL directe de votre page de connexion, ils peuvent essayer de forcer l’accès à partie d’administration de votre site. Ils tentent de se connecter avec leur GWDb (Guess Work Database, c’est-à-dire une base de données de noms d’utilisateur et de mots de passe devinés) en utilisant un nom d’utilisateur « admin » et un mot de passe « m@tdepasse@** » par exemple. Des millions de ces combinaisons sont possibles.

À ce stade, nous avons déjà limité les tentatives de connexion des utilisateurs en remplaçant les noms d’utilisateur par leurs adresses e-mail. Nous pouvons maintenant remplacer l’URL de connexion et nous débarrasser des 99% des attaques directes par force brute.

Cette petite astuce empêche un utilisateur non autorisé d’accéder à la page de connexion. Seule une personne possédant l’URL exacte peut le faire. Encore une fois, le plugin iThemes Security peut vous aider à modifier vos URL de connexion. Comme ceci :

  • Remplacez wp-login.php par quelque chose d’unique tel que connexion-perso.php
  • Remplacez /wp-admin/ par quelque chose d’unique tel que /connexion-perso/
  • Remplacez /wp-login.php?action=register par quelque chose d’unique tel que nouveau-compte Item 1

5. Mettez à jours vos mots de passe

Modifier vos mots de passe et changez-les régulièrement pour protéger votre site WordPress. Rendez-les encore plus forts en ajoutant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.

Beaucoup de personnes optent pour des phrases secrètes longues. En fait, il est presque impossible pour les hackeurs de les deviner, toutefois c’est plus faciles à retenir qu’un tas de chiffres et de lettres aléatoires.

D’accord, nous savons tous que ce qui précède est ce que nous « devrions » faire, mais ce n’est pas toujours quelque chose pour lequel nous avons le temps. C’est là que certains gestionnaires de mots de passe de qualité entrent en jeu.

Ils généreront non seulement des mots de passe sûrs pour vous, mais les stockeront ensuite dans un coffre-fort sécurisé. Cela vous évitera d’avoir à vous en souvenir. Il existe de bien meilleurs gestionnaires de mots de passe sur internet tels que LastPass et Bitwarden.

6. Déconnectez automatiquement les utilisateurs inactifs sur votre site

Les utilisateurs qui laissent le panneau wp-admin de votre site ouvert sur leurs écrans peuvent constituer une grave menace pour la sécurité de WordPress. Cela ouvre la porte aux personnes curieuses pour modifier les informations de votre site web. En fait, non seulement elle peut modifier le compte utilisateur d’une personne ou même casser complètement votre site.

Vous pouvez l’éviter en vous assurant que votre site déconnecte les utilisateurs après qu’ils ont été inactifs pendant un certain temps.

Vous pouvez configurer cela en utilisant un plugin comme BulletProof Security. Ce plugin vous permet de définir un délai personnalisé pour les utilisateurs inactifs, après quoi ils seront automatiquement déconnectés.

BulletProof  Sécurité pour déconnecter les utilisateurs non actifs

II. Paramètres à partir le tableau de bord d’administration

Pour un pirate, la partie la plus intrigante d’un site web est le tableau de bord d’administration, qui est, en effet, la section la plus protégée de toutes. Par conséquent, attaquer la partie la plus forte est le vrai défi. Si cela est accompli, il donne aux pirates une victoire morale et l’accès cause d’énormes dégâts.

Voici ce que vous pouvez faire pour sécuriser le tableau de bord d’administration de votre site WordPress :

7. Protégez le répertoire wp-admin

Le répertoire wp-admin est le cœur de tout site WordPress. Par conséquent, votre site sera totalement hors service au cas où un fichier de celui-ci est endommagé ou corrompu.

Une façon possible d’éviter cela est de le protéger par un mot de passe. Avec une telle mesure de sécurité, le propriétaire du site peut accéder au tableau de bord en soumettant deux mots de passe. L’un protège la page de connexion et l’autre sécurise la zone d’administration de WordPress.

La configuration de ceci implique généralement la modification de votre configuration d’hébergement via cPanel. Pourtant, ce n’est pas trop difficile à faire si vous suivez les bonnes étapes.

Étape 1 : Connecter-vous à cPanel

Étape 2 : Cliquer sur l’icône « Gestionnaire de fichiers »

Cliquez sur Gestionnaire de fichiers dans cPanel

Étape 3 : Sélectionner le dossier « wp-admin » ensuite cliquer sur bouton droit de votre souris. Une petite fenêtre s’ouvrira. Sélectionner l’option « Protéger avec un mot de passe »

Cliquer  sur sécuriser wp-admin avec un mot de passe

8. Utilisez un SSL pour crypter les données

L’implémentation d’un certificat SSL (Secure Socket Layer) est une initiative intelligente pour sécuriser le panneau d’administration. SSL garantit un transfert de données sécurisé entre les navigateurs des utilisateurs et le serveur, ce qui rend difficile pour les pirates d’interrompre la connexion ou d’usurper vos informations.

Obtenir un certificat SSL pour votre site WordPress est simple. Vous pouvez en acheter un auprès d’une société tiers ou vérifier si votre hébergeur Web fournit un SSL gratuitement.

J’utilise le certificat SSL open source gratuit de Let’s Encrypt sur la plupart de mes sites. Tout bon hébergeur comme SiteGround propose un certificat SSL Let’s Encrypt gratuit avec ses packages d’hébergement.

Protégez votre site WordPress avec un certificat SSL  Gratuit Let's Encrypt

Le certificat SSL affecte également le classement de votre site web sur Google. En effet, Google promet un bonus SEO pour les sites utilisant SSL. Cela signifie plus de trafic. Maintenant, qui ne veut pas de ça ?

9. Ajoutez des comptes d’utilisateurs avec précaution

Si vous gérez un blog WordPress multi-auteur, vous devez vous attendre à ce que plusieurs personnes accèdent à votre panneau d’administration. Cela pourrait rendre votre site WordPress plus vulnérable aux menaces de sécurité.

Vous pouvez utiliser un plugin comme Force Strong Passwords si vous voulez vous assurer que les mots de passe créés par les utilisateurs soient bien sécurisés. Ce n’est qu’une mesure de précaution, mais c’est mieux que d’avoir plusieurs utilisateurs avec des mots de passe faibles.

Extension Force Strong Passwords pour obliger les utilisateurs à utiliser de forts mots de passe

10. Modifiez le nom d’utilisateur « admin »

Lors de l’installation de WordPress, vous ne devez jamais utiliser « admin » comme nom d’utilisateur pour votre compte administrateur principal. Un tel nom d’utilisateur facile à deviner est accessible aux pirates. Tout ce dont ils ont besoin, c’est de trouver le mot de passe, puis tout votre site tombe entre de mauvaises mains.

Je ne peux pas vous dire combien de fois j’ai parcouru les journaux de mon site web et trouvé des tentatives de connexion avec le nom d’utilisateur « admin ».

Mais comment faire pour changer le nom d’utilisateur « admin » ? Il y a 2 façons de le faire. Avec ou sans plugin.

a. Modifier manuellement le nom d’utilisateur « admin » dans WordPress

Cette méthode est très facile à effectuer. N’importe qui peut le faire tout de suite pour avoir un nom d’utilisateur administrateur plus sécurisé pour le site WordPress.

La logique principale consiste à ajouter un nouvel utilisateur et à attribuer un rôle d’administrateur. Ensuite, supprimer l’administrateur par défaut et à attribuer tout le contenu de l’ancien administrateur à celui nouvellement ajouté. Voici comment faire :

1. Ajouter un nouvel utilisateur

Connectez-vous à votre tableau de bord. Dans le menu de gauche, passez la souris sur Utilisateurs et choisissez Ajouter nouveau.

Cliquer sur ajouter un nouvel utilisateur dans WordPress

2. Enregistrer un nouvel utilisateur

Remplissez toutes les informations requises. Vous devez lui donner un nom d’utilisateur plus difficile à retenir (c’est notre objectif). Dans le menu déroulant Rôle, choisissez Administrateur pour que ce nouvel utilisateur ait le droit d’administrateur. Appuyez ensuite sur Ajouter un nouvel utilisateur.

Ajouter un nouvel administrateur dans WordPress

3. Déconnectez-vous du compte administrateur

Passez la souris en haut à droite de la page pour vous déconnecter.

Se déconnecter du compte admin par défaut

4. Connectez-vous avec le nouveau compte utilisateur

Connectez-vous à nouveau à votre tableau de bord, mais avec votre nouveau compte utilisateur.

Se connecter avec le nouvel compte administrateur

5. Supprimez l’administrateur par défaut

Choisissez d’afficher la section Tous les utilisateurs dans les utilisateurs. Passez la souris sur l’administrateur par défaut et cliquez sur Supprimer.

Supprimer le compte admin par défaut dans WordPress

6. Confirmez la suppression

Pour enregistrer tout le contenu que vous avez créé précédemment avec l’ancien compte administrateur, cochez Attribuer tout le contenu à. Et dans le menu déroulant, choisissez le nouveau nom d’utilisateur administrateur.

Attribuer tout le contenu de l'ancien admin WordPress au nouvel admin

Enfin, confirmez la suppression.

11. Surveillez vos fichiers

Si vous souhaitez une sécurité supplémentaire pour WordPress, surveillez les modifications apportées aux fichiers de votre site web via des plugins comme Wordfence ou encore iThemes Security.

WordFence pour bien sécuriser votre site WordPress

III. Sécurisez la base de données

Toutes les données et informations de votre site sont stockées dans la base de données (exemple : MySQL). Il est crucial d’en prendre soin. Voici quelques mesures que vous pouvez prendre pour la rendre plus sûre :

12. Modifiez le préfixe des tables de votre base de données

Si vous avez déjà installé WordPress, vous connaissez le préfixe wp_ des tables utilisés par votre base de données. Je vous recommande de le changer en quelque chose d’unique.

L’utilisation du préfixe par défaut rend votre base de données exposée aux attaques par injection SQL. De telles attaques peuvent être évitées en remplaçant wp_ par un autre terme. Vous pouvez le modifier par mst2_ ou th2020_par exemple.

Si vous avez déjà installé votre site WordPress avec le préfixe par défaut, vous pouvez utiliser quelques plugins pour le changer. Des plugins comme WP-DBManager ou Brozzme DB Prefix & Tools Addons peuvent s’en occuper avec un simple clic sur un bouton.

Assurez-vous de faire une sauvegarde complète de votre site avant de faire quoi que ce soit dans la base de données.

WP-DBManager pour changer le préfixe de la base de données WOrdPress

13. Effectuez régulièrement des sauvegardes

Peu importe la sécurité de votre site WordPress, il y a toujours des améliorations à apporter. Mais en fin de journée, garder une sauvegarde hors site quelque part est peut-être le meilleur moyen, quoi qu’il arrive.

Si vous avez une sauvegarde, vous pouvez restaurer votre site WordPress dans un état de fonctionnement à tout moment. Bien sûr, il existe des plugins qui peuvent faire cela à votre place.

Si vous recherchez une solution premium, je vous recommande Updraftplus. Je l’ai configuré pour créer des sauvegardes chaque semaine. Ensuite, en cas de problème, je peux facilement restaurer le site en un seul clic.

Certains grands sites web effectuent des sauvegardes toutes les heures, mais pour la plupart des organisations, c’est une exagération totale. Sans oublier, vous devez vous assurer que la plupart de ces sauvegardes sont supprimées dès qu’il y a une nouvelle. Chaque fichier de sauvegarde prend de la place sur votre disque. Cela dit, je recommanderai des sauvegardes hebdomadaires ou mensuelles pour la plupart des organisations.

UpdraftPlus pour sauvegarder et restaurer WordPress

14. Définissez des mots de passe forts pour votre base de données

Un mot de passe fort pour l’utilisateur principal de la base de données est indispensable car WordPress l’utilise pour accéder à cette base.

Comme toujours, utilisez des majuscules, des minuscules, des chiffres et des caractères spéciaux pour générer tout mot de passe. Les phrases secrètes sont également excellentes. Je recommande encore une fois LastPass pour la génération et le stockage de mots de passe aléatoires. Secure Password Generator est un outil gratuit et rapide pour la création de mots de passe forts.

Secure Password Genrator pour création de mot de passe solide

15. Surveillez vos journaux d’audit

Lorsque vous lancez un multisite WordPress ou gérez un site web multi-auteur, il est essentiel de comprendre le type d’activité de chaque utilisateur. Vos rédacteurs et contributeurs peuvent changer les mots de passe, mais il y a d’autres choses que vous voudrez restreindre.

Par exemple, les changements de thèmes et de widgets ne sont évidemment réservés qu’aux administrateurs.

Lorsque vous consultez le journal d’audit, vous pouvez vous assurer que vos administrateurs et contributeurs n’essaient pas de modifier quelque chose sur votre site sans votre approbation préalable.

Audit log pour surveiller les activités des utilisateurs sur WordPress

Le plug-in WP Security Audit Log fournit une liste complète de cette activité, ainsi que des notifications et des rapports par e-mail. Aussi simple, le journal d’audit peut vous aider à voir qu’un rédacteur a des problèmes de connexion. Le plugin peut également révéler une activité malveillante de l’un de vos utilisateurs.

Extension WordPress : Wp Security Audit Log

IV Sécuriser l’environnement d’hébergement Web

Presque tous les hébergeurs prétendent fournir un environnement optimisé pour WordPress, mais nous pouvons encore aller plus loin :

16. Protégez le fichier wp-config.php

Le fichier wp-config.php contient les informations cruciales sur l’installation de WordPress, et c’est le fichier le plus important du dossier racine (root) de votre site. Le protéger signifie sécuriser le cœur de votre blog WordPress.

Avec cette pratique, briser la sécurité de votre site est ainsi une tâche difficile pour les pirates puisque le fichier wp-config.php leur est inaccessible.

De plus, le processus de protection est vraiment facile. En fait, il y a 2 façons pour le faire. La première est de protéger le fichier wp-config.php via le .htaccess. La deuxième est de le déplacer ailleurs sur votre serveur.

a. Protection de wp-config.php via le fichier .htaccess

  1. Connectez-vous à votre site Web à l’aide d’un client FTP et téléchargez le fichier .htaccess situé dans le répertoire racine de votre site Web. Il est important d’utiliser SFTP de FTPES pour crypter la communication entre votre ordinateur et vos serveurs.
  2. À l’aide d’un éditeur de texte tel que le Notepad, ouvrez le fichier .htaccess.
  3. Copiez ce qui suit dans votre .htaccess pour refuser l’accès à votre fichier wp-config.php. Vous pouvez copier le texte ci-dessous au bas de votre fichier .htaccess, après toutes les autres entrées.
# protection wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Astuce de sécurité WP: Si vous utilisez le Notepad pour modifier les fichiers .htaccess, assurez-vous que lors de l’enregistrement de vos modifications, choisissez « Enregistrer sous le type ». Vous devez enregistrer le fichier .htaccess sous forme de « Tous les fichiers ». De cette façon, Notepad n’ajoute pas d’extension .txt à votre .htaccess fichier.

Une fois que vous avez ajouté le texte ci-dessus à votre fichier .htaccess WordPress, téléchargez-le à la racine de votre site Web pour remplacer l’ancien.

b. Déplacer le fichier WordPress wp-config.php

Prenez simplement votre fichier wp-config.php et déplacez-le à un niveau supérieur de votre dossier racine.

Maintenant, la question est, si vous le mettez ailleurs, comment le serveur y accède-t-il ? Dans l’architecture WordPress actuelle, les paramètres du fichier de configuration sont définis au plus haut de la liste des priorités. Ainsi, même s’il est mis dans un dossier au-dessus du répertoire racine, WordPress peut toujours le voir.  Si vous rencontrez des difficultés, vous pouvez contacter votre hébergeur de site WordPress  pour plus de conseils.

17. Désactivez l’édition des fichiers

Si un utilisateur a un accès administrateur au tableau de bord, il peut modifier tous les fichiers qui font partie de l’installation de WordPress. Cela inclut tous les plugins et thèmes.

Si vous désactivez la modification des fichiers, personne ne pourra modifier aucun des fichiers et même si un pirate obtient un accès administrateur à votre tableau de bord.

Pour que cela fonctionne, ajoutez ce qui suit au fichier wp-config.php (à la fin) :

define('DISALLOW_FILE_EDIT', true);

18. Définissez des permissions sur les dossiers

Des permissions incorrectes sur les dossiers peuvent être fatales, surtout si vous travaillez dans un environnement d’hébergement partagé.

Dans une telle situation, la modification des fichiers et des permissions sur les dossiers est un moyen sûr pour sécuriser le site web WordPress au niveau de l’hébergement. La définition des permissions sur les dossiers à « 755 » et sur les fichiers à « 644 » protège l’ensemble du système de fichiers et dossiers, sous-dossiers et fichiers individuels.

Cela peut être fait manuellement via le gestionnaire de fichiers à l’intérieur de votre panneau de contrôle d’hébergement. C’est également possible via le terminal (connecté avec SSH) en lançant la commande « chmod ».

Pour en savoir plus, vous pouvez lire sur le schéma de permissions appropriées pour WordPress.

19. Désactiver l’affichage des répertoires  via .htaccess

Si vous créez un nouveau répertoire au sein de votre site web WordPress et que vous n’y mettez pas le fichier index.html, vous serez peut-être surpris de constater que vos visiteurs peuvent obtenir une liste complète de tout ce qui se trouve dans ce répertoire.

Par exemple, si vous créez un répertoire appelé « donnees », vous pouvez tout voir dans ce répertoire en tapant simplement http://www.exemple.com/donnees/ sur votre navigateur. Aucun mot de passe ou quoi que ce soit n’est nécessaire.

Vous pouvez éviter cela en ajoutant la ligne de code suivante dans votre fichier .htaccess :

Options All -Indexes

20. Bloquer tous les hotlinking

Supposons que vous cibliez une image en ligne et que vous souhaitiez la partager sur votre site web. Tout d’abord, vous avez besoin d’une autorisation ou de payer pour cette image, sinon il y a de fortes chances que ce soit illégal.

Mais si vous obtenez l’autorisation, vous pouvez directement extraire l’URL de l’image et l’utiliser pour placer la photo dans votre article. Le principal problème ici c’est que l’image est affichée sur votre site, mais hébergée sur le serveur d’un autre site.

De ce point de vue, vous n’avez aucun contrôle sur le maintien ou non de la photo sur le serveur. Mais, il est également important de s’apercevoir que d’autres personnes pourraient faire de même pour votre site web.

Si vous essayez de sécuriser votre site WordPress, le hotlinking est essentiellement une autre personne qui prend votre photo et vole la bande passante de votre serveur pour afficher l’image sur son propre site web. En fin de compte, la vitesse de votre site WordPress risque de souffrir en plus de l’augmentation des frais reliés à la bande passante.

Bien qu’il existe certaines techniques manuelles pour empêcher le hotlinking, la méthode la plus simple consiste à trouver un plugin de sécurité WordPress pour faire le travail. Par exemple, le plug-in All in One WP Security and Firewall comprend des outils intégrés pour bloquer tous les hotlinking.

L'extension WordPress All in one WP Security empêche le Hotlinking

21. Comprendre et se protéger contre les attaques DDoS

Une attaque DDoS est un type d’attaque courant contre la bande passante de votre serveur, où l’attaquant utilise plusieurs programmes et systèmes pour surcharger votre serveur. Bien qu’une attaque comme celle-ci ne mette pas en péril les fichiers de votre site, elle est destinée à planter votre site pendant une longue période si elle n’est pas résolue.

Habituellement, vous n’entendez pas parler des attaques DDoS que lorsque cela arrive à de grandes entreprises comme GitHub ou Target. Elles sont menées par ceux qui sont appelés des cyber-terroristes, donc le but pourrait être simplement de faire des ravages.

Cela dit, vous n’avez pas besoin d’être une entreprise 500 fois fortuné pour être à risque.

Si cela vous inquiète, nous vous recommandons de souscrire aux plans premium de Sucuri ou Cloudflare. Ces solutions disposent d’un pare-feu d’applications web pour analyser la bande passante utilisée et bloquer complètement les attaques DDoS.

Vous pouvez consulter notre liste des hébergeurs dotés de mécanismes de lutte contre les attaques DDos


V. Sécurisez les thèmes et les plugins

Les thèmes et les plugins sont des ingrédients essentiels pour tout site WordPress. Par contre, ils peuvent également poser de graves menaces pour sa sécurité. Voyons comment nous pouvons sécuriser vos thèmes et plugins WordPress de la bonne façon :

22. Mise à jour régulière

Tout bon logiciel est pris en charge par ses développeurs et est mis à jour de temps en temps. Ces mises à jour sont destinées à corriger des bogues et comportent parfois des correctifs de sécurité essentiels. WordPress et ses plugins ne sont pas différents.

Ne pas mettre à jour vos thèmes et plugins peut entraîner des problèmes. De nombreux hackers s’Avent très bien que plusieurs propriétaires sont trop paresseux lorsqu’il s’agit de mettre à jours leurs plugins et thèmes. Le plus souvent, ces pirates exploitent des bogues qui ont déjà été corrigés.

Donc, si vous utilisez un produit de WordPress, mettez-le à jour régulièrement. Plugins, thèmes, tout. La bonne nouvelle, est que WordPress déploie automatiquement les mises à jour pour ses utilisateurs, vous recevrez donc un e-mail vous informant de la mise à jour et des informations sur les correctifs sur votre tableau de bord.

Quant aux plugins, ils doivent être mis à jour manuellement en allant dans Plugins de votre tableau de bord. Lorsqu’un plugin a une nouvelle version, il vous en informe et fournit un lien pour mettre à jour maintenant.

Mettre à jour les extensions WordPress

Comme alternative, vous pouvez opter pour un plan d’hébergement WordPress administré. Outre les nombreuses autres fonctionnalités et améliorations de votre sécurité WordPress, l’hébergement clés en main de qualité propose des mises à jour automatiques pour tous les éléments de votre site WordPress.

Certains fournisseurs d’hébergement administré incluent, SiteGround et Infomaniak.

23. Supprimez votre numéro de version WordPress

Votre numéro de version WordPress actuel peut être trouvé très facilement. Il se situe essentiellement juste dans la source de votre site. Vous pouvez également le voir au bas de votre tableau de bord (mais cela n’a pas d’importance en soi, lorsque vous essayez de sécuriser votre site WordPress).

La version de WordPress utilisée

Voici le problème: si les pirates savent quelle version de WordPress vous utilisez, il leur est plus facile de concevoir une attaque parfaite.

Vous pouvez masquer le numéro de la version WordPress avec presque tous les plugins de sécurité WordPress que j’ai mentionnés ci-dessus.

Pour une approche plus manuelle (et pour supprimer également le numéro de version des flux RSS), pensez à ajouter la fonction suivante dans votre fichier functions.php :

function th_enlever_version() {
return '';
}
add_filter('the_generator', 'th_enlever_version');

Réflexions finales sur la façon de sécuriser votre site WordPress

Si vous êtes un débutant, c’était beaucoup à prendre. Cependant, tout ce que j’ai mentionné dans cet article est une des bonnes pratiques. Plus vous vous souciez de votre sécurité WordPress, plus il est difficile pour un hacker de s’introduire.

Par ailleurs, la performance d’un site web est probablement tout aussi importante que la sécurité. Fondamentalement, sans un site web qui se charge rapidement, vos visiteurs n’auront jamais la possibilité de consulter votre contenu. Le visiteur moyen d’un site web n’attendra que 2 secondes avant d’être frustré et de partir.

Jacques Tremblay
Suivez moi

Check Also

Migration wordpress

Transférer WordPress vers un nouvel hébergeur Web

Mis à jours 14 septembre 2020 Migrer un site WordPress vers un nouvel hébergeur ou …

Share via
Copy link
Powered by Social Snap