10 conseils pour bien sécuriser wordpress


, Mis à jour le 23 juin, 2018

10 conseils pour bien sécuriser wordpress

Depuis qu'il a été introduit il y a plus de deux décennies, WordPress a développé et est maintenant devenu le système de gestion de contenu le plus populaire au monde. Aujourd'hui, plus d'un quart des sites existants sont exécutés sur WordPress.

Pourtant, depuis des temps immémoriaux, plus une chose est populaire, plus on veut en tirer parti pour des moyens néfastes. Il suffit de regarder Microsoft Windows et le nombre massif de logiciels malveillants, de virus et d'autres exploits conçus pour cibler ce système d'exploitation spécifique.

 

versions-wordpress-vulnerables

Pourquoi votre blog WordPress est une cible précieuse ?

Dans le cas où vous vous demandez pourquoi un pirate voudrait contrôler votre blog WordPress, il y a plusieurs raisons. Ce sont :

  • Voler vos données comme la liste d’e-mail ou des informations de carte de crédit
  • L'utiliser pour envoyer discrètement des spams
  •  Ajouter votre site à un botnet qu'ils pourront utiliser plus tard

Heureusement, WordPress est une plateforme qui vous offre une multitude d'opportunités pour vous défendre. En effet, voici quelques conseils de base que vous pouvez faire pour vous aider à bien sécuriser votre site WordPress.

Astuce n°1. Bien choisir un nom d'utilisateur admin

Par expérience, la plupart des tentatives de piratage de sites tentent de se connecter avec trois choix principaux de noms d'utilisateur. Les deux premiers sont toujours 'admin' ou 'administrateur', tandis que le troisième est généralement basé sur votre nom de domaine.

Par exemple, si votre site est foudurois25.com, le pirate peut essayer de se connecter avec 'foudurois25'.

nom-utilisateur-wordpress

Astuce n°2. Assurez-vous d'utiliser un mot de passe fort

À l'heure actuelle, vous penseriez probablement que les gens voudraient utiliser des mots de passe complexes et puissants pour protéger leur compte. En effet, il y en a encore beaucoup qui pensent que le mot de passe est un outil excellent.

Un mot de passe fort doit :

  • Inclure un caractère spécial (!, @, #, $, etc)
  • Inclure des caractères en majuscules et en minuscules
  • Être alphanumérique (A-Z et a-z)
  • Contenir au moins 8 caractères

Plus votre mot de passe est aléatoire, plus il sera sécurisé. Essayez ce générateur de mot de passe aléatoire si vous avez du mal à en trouver un. https://passwordsgenerator.net/

Astuce n°3. Mettre en place un reCaptcha

reCAPTCHA

reCaptcha a été conçu pour empêcher les outils automatisés de fonctionner sur un site. Bien sûr, étant donné la complexité des outils de piratage d'aujourd'hui, ceux-ci peuvent être facilement contournés, mais au moins il y a cette couche supplémentaire de sécurité.

Il existe un certain nombre de plugins reCaptcha que vous pouvez installer et utiliser.

Astuce n°4. Utiliser l'authentification à deux facteurs (2FA)

2FA est une méthode d'authentification qui nécessite une vérification de votre connexion. Par exemple, une fois connecté avec votre nom d'utilisateur et votre mot de passe, le système peut envoyer un SMS sur votre téléphone mobile ou vous envoyer un e-mail avec un code que vous devez entrer pour vérifier votre identité.

Cette méthode d'authentification offre une bonne protection et est utilisée par de nombreuses banques et institutions financières d’aujourd'hui. Encore une fois, ce problème de sécurité peut être facilement résolu avec un plugin 2FA.

Regardez comment miniOrange (un plugin 2FA) fonctionne avec la connexion WordPress dans la vidéo suivante.

Astuce n°5. Renommez l’URL de votre connexion

La plupart des pirates tentent de se connecter via la page de connexion WordPress par défaut, qui est généralement quelque chose comme sample.com/wp-admin.

Pour ajouter une autre couche de protection, modifiez rapidement et sans effort l'URL de la page de connexion avec un outil tel que WPS Hide Login.

Astuce n°6. Protégez votre répertoire wp-admin

repertoire-protege-par-mot-de-passe

Le répertoire wp-admin est la clé de votre installation WordPress. Comme protection supplémentaire, le mot de passe protège ce répertoire.

Pour ce faire, vous devez vous connecter au panneau de configuration de votre compte d'hébergement. Que vous utilisiez cPanel ou Plesk, l'option que vous devez rechercher est « Répertoires protégées par un mot de passe ».

Astuce n°7. Utiliser SSL pour chiffrer les données

connexion-criptee-ssl

Autre que le site lui-même, vous devrez également protéger la connexion entre vous et le serveur et c'est là que SSL entre en jeu pour crypter vos communications. Avec une connexion cryptée, les pirates ne seront pas en mesure d'intercepter les données (y compris votre mot de passe) lorsque vous communiquez avec votre serveur.

En outre, il est également recommandé d'implémenter le protocole SSL, car les moteurs de recherche pénalisent de plus en plus les sites qu'ils considèrent « non sécurisés ».

Lisez notre tutoriel sur comment installer un Certicat SSL sur Wordpress.

Astuce n°8. Assurez-vous que TOUS vos logiciels sont à jour

Peu importe la qualité ou le prix des logiciels, il y aura toujours de nouvelles failles qui pourraient les laisser ouverts à l'exploitation. WordPress ne fait pas exception et l'équipe publie constamment des versions plus récentes avec des correctifs et des mises à jour.

Les pirates cherchent presque toujours à tirer parti de la faille et une exploitation connue et non corrigée vous attirera des ennuis. Cela vaudra deux fois plus que les plugins qui sont souvent créés par des entreprises beaucoup plus petites et qui utilisent moins de ressources.

Si vous utilisez des plugins, assurez-vous que les mises à jour sont publiées régulièrement ou envisagez d'en trouver un avec des fonctionnalités similaires maintenues à jour.

Cela dit, il n’est PAS recommandé d'utiliser les mises à jour automatiques de WordPress et de Plugin, surtout si vous utilisez un site en ligne. Certaines mises à jour peuvent causer des problèmes, que ce soit en interne ou par conflit avec d'autres plugins et paramètres.

Idéalement, créez un environnement de test qui reflète votre site en ligne et testez les mises à jour. Une fois que vous êtes sûr que tout fonctionne bien, vous pouvez appliquer la mise à jour sur le site en ligne.

Les panneaux de contrôle tels que Plesk vous permettent de créer un clone du site à cette fin.

Astuce n°9. Utiliser un réseau de distribution de contenu (CDN)

Bien que cela n'empêche pas votre site d'être piraté, il permet de réduire les attaques malveillantes contre celui-ci. Certains hackers visent à faire tomber les sites web, les rendant inaccessibles au public. Un CDN aidera à amortir les contrecoups d'une attaque par déni de service distribué sur votre site.

De plus, il vous aide également à accélérer votre site en mettant en cache certains contenus. Pour explorer cette option, prenons CloudFlare à titre d'exemple. CloudFlare offre des services CDN à plusieurs niveaux de tarification, de sorte que vous pouvez même utiliser les fonctionnalités de base gratuitement. https://www.cloudflare.com

Astuce n°10. Sauvegarde, sauvegarde et sauvegarde !

Peu importe les mesures de sécurité ou la prudence, les accidents se produisent. Épargnez-vous de cela et des centaines d'heures de travail en s'assurant simplement que vous avez des services de sauvegarde adéquats mis en place.

Normalement, votre hébergeur aurait au moins quelques fonctionnalités de sauvegarde de base, mais si vous êtes paranoïaque, assurez-vous de toujours effectuer vos propres sauvegardes indépendantes. La sauvegarde n'est pas aussi simple que de copier certains fichiers, mais aussi de prendre en compte les informations contenues dans votre base de données.

Recherchez une solution de sauvegarde qui a fait ses preuves. Même un petit investissement vaut la peine pour résoudre les problèmes en cas d'urgence. Une solution comme BackupBuddy peut vous aider à tout sauvegarder, y compris votre base de données en une seule fois.

Astuce Bonus : Votre hébergeur compte !

Bien que traditionnellement, les sociétés d'hébergement Web nous ont simplement offert de l'espace pour héberger nos sites Web, les temps les ont changés. Les fournisseurs d'hébergement Web, reconnaissant le besoin urgent d'une sécurité accrue, ont intensifié leurs activités, de nombreux fournisseurs offrant des services à valeur ajoutée pour compléter leur hébergement Web.

Prenez par exemple Planethoster, l'un des noms les plus connus dans ce domaine. En plus des fonctionnalités Cloudflare de base, Planethoster (au prix de 6 euros /mois) est également livré avec la protection anti-spam, la suppression automatique des logiciels malveillants, les sauvegardes automatisées, la confidentialité du domaine et plus encore.

Le fournisseur d'hébergement WordPress géré, WpEngine, construit des pare-feu matériels et surveille activement leurs serveurs pour détecter les attaques de logiciels malveillants et les attaques DDoS grâce à son système personnalisé.

Si cela ne vous est pas encore arrivé, il est fortement conseillé de vérifier les fonctionnalités de sécurité proposées par votre hébergeur et de les comparer avec les fonctionnalités actuellement disponibles.

Que faire maintenant ?

Avant de commencer à rechercher sur Internet différentes solutions de sécurité, prenez une grande respiration.

Même si vous mettez en œuvre autant de solutions de sécurité que vous pouvez trouver, êtes-vous sûr de votre sécurité ?

C’est là qu’un outil comme Security Ninja vous aide à explorer votre site pour trouver des failles.

security-ninja

Il y a des bonnes raisons d'utiliser un outil comme Security Ninja, mais disons qu’il est recommandé de l’utiliser à plusieurs étapes dans vos démarches pour sécuriser votre site.

Tout d'abord, lancez-le sur votre site web "tel quel" - avant de faire des changements. Laissez le plugin analyser votre site pour vous donner les résultats.

Ensuite, en fonction de ces résultats, travaillez sur la sécurité de votre site. Security Ninja effectue plus de 50 tests pour examiner vos outils de protection. Même après avoir effectué vos modifications, exécutez-le à nouveau (et chaque fois qu'il y a des modifications ou des mises à jour de plugin) juste pour tester votre site.

Si cela semble un peu trop de travail pour vous, Security Ninja est également livré avec une foule de modules supplémentaires (version pro, 29 $ pour un seul site). Ces derniers peuvent vous aider à résoudre les problèmes rencontrés.

Certaines autres caractéristiques clés de ces modules comprennent :

  • Lister des mises à jour automatiques, pas besoin de maintenance ou de travail manuel
  • Corriger les erreurs de mises à jour automatiques de WP
  • Scanner les fichiers noyau WP pour identifier les fichiers problématiques
  • Restaurer les fichiers modifiés en un clic
  • Interdire 600 millions d'adresses IP malveillantes collectées sur des millions de sites attaqués
  • Protéger le formulaire de connexion contre les attaques par force brute

Conclusion

Alors que tout cela peut paraître un peu trop pour un utilisateur moyen de WordPress, toutes ces étapes (et plus) sont nécessaires.


comments powered by Disqus




Les avis des clients

Avis des utilisateurs


Faites entendre votre voix. Passez en revue votre fournisseur d'hébergement Web - bon ou mauvais.


une réactivité que je n'est trouvé nul par ailleurs... J'en suis bluffé!! Un problème, une question, la réponse intervient en moins de 2 minutes. Un réel plus pour moi qui il y a 3 ans débutait avec de très maigres base dans ce domaine. Le site a été opérationnel de suite, le suivi se fait par l' …

Dumont à propos Ex2hosting

Montrer une autre revue
Lire les avis Ex2hosting



Plans d'hébergement




Les plans d'hébergement de 60 sociétés d'hébergement partout dans le monde


Meilleur hébergeurs web

# hébergeur web prix action

1

Infomaniak France

6.75 EURO

Ajouter un Avis
Visiter

2

Hostpapa France

2.95 EURO

Ajouter un Avis
Visiter

3

Greengeeks

4.95 USD

Ajouter un Avis
Visiter

4

Siteground

6.95 USD

Ajouter un Avis
Visiter

5

Planethoster France

5.99 EURO

Ajouter un Avis
Visiter

6

Ex2hosting

3.99 EURO

Ajouter un Avis
Visiter

7

Bluehost

6.95 USD

Ajouter un Avis
Visiter






Hébergeurs par avis de clients

Ex2hosting
180 avis des clients
1and1 France
74 avis des clients
Hostpapa France
68 avis des clients
Infomaniak France
50 avis des clients
Rapidenet
50 avis des clients
Ajouter un avis Tous les profils


Hébergeurs par fidélité de clients

Ex2hosting
175 / 180 recommandé
Infomaniak France
50 / 50 recommandé
Rapidenet
49 / 50 recommandé
Hostpapa France
39 / 68 recommandé
Infomaniak Suisse
36 / 36 recommandé
Évaluer hébergeur Tous les profils


Question de la Semaine


Le plus important critère de votre hébergeur



Contacter l'éditeur

Posez votre question