20 conseils de sécurité WordPress pour assurer la sécurité de votre site

Publié: 2021-08-15

WordPress est devenu l'un des systèmes de gestion de contenu les plus populaires pour les sites Web car il est si facile à utiliser. L'inconvénient, cependant, est que les sites WordPress sont également extrêmement vulnérables aux attaques.

Dans cet esprit, il est important que vous preniez quelques mesures simples pour augmenter la sécurité avant la mise en ligne de votre site. Dans cet article, nous décrirons 20 conseils qui vous aideront à garder votre site Web sécurisé et à l'abri des pirates !

Connexe: 14 questions importantes à poser lors de la recherche d'un concepteur Web.

1. Mettez régulièrement à jour WordPress

Il est important que vous gardiez votre installation WordPress à jour afin qu'elle dispose des derniers correctifs de sécurité. Cela aidera à vous protéger contre de nombreuses formes d'attaques, y compris les attaques par injection SQL et par force brute.

Personne portant une chemise WordPress travaillant sur un ordinateur

2. N'installez pas de plugins ou de thèmes provenant de sources non fiables

C'est toujours une bonne idée de n'utiliser que des plugins et des thèmes fournis par WordPress car ils sont plus fiables que ceux que l'on trouve ailleurs sur le Web. Si possible, téléchargez-les directement depuis votre panneau d'administration.

Capture d'écran de l'écran du navigateur de plugin dans WordPress

3. Créez des mots de passe forts pour tout

Vos comptes doivent tous avoir des mots de passe différents avec des combinaisons complexes de lettres, de chiffres et de symboles. Bien que ces mots de passe puissent être difficiles à mémoriser, il sera beaucoup plus difficile à déchiffrer pour les autres ! Évitez d'utiliser le même mot de passe à plusieurs endroits, sinon un seul compromis peut entraîner des pertes massives.

écran des identifiants de connexion

4. Protégez les données sensibles avec un plugin

Il existe de nombreux plugins disponibles qui peuvent vous aider à protéger les données sensibles, telles que les numéros de carte de crédit et les mots de passe. Ces plugins de sécurité aideront à protéger votre site contre les piratages, les logiciels malveillants, les attaques par force brute, l'injection SQL, etc.

Les verrous bleus fonctionnent tous à la suite avec un seul verrou rouge au centre qui est déverrouillé

5. Former le personnel aux bases de la sécurité de l'information

C'est une bonne idée de fournir une formation de base à vos employés afin qu'ils sachent comment protéger au mieux leurs données lorsqu'ils utilisent les ordinateurs de l'entreprise ou accèdent à des sites Web comme le vôtre !

Personne pointant du doigt un enseignant à une table de réunion

6. Sauvegardez régulièrement

L'un des meilleurs moyens de se protéger contre la perte de données est de tout sauvegarder régulièrement. Vous pouvez le faire manuellement ou avec un plugin, mais assurez-vous de stocker vos sauvegardes dans un emplacement crypté !

Piles de serveurs

7. Installez un pare-feu sur votre ordinateur ou utilisez une extension de navigateur

Un pare-feu est une application qui inspecte les paquets réseau et recherche les activités malveillantes. Cela aidera à protéger votre ordinateur contre les virus et autres logiciels malveillants. Si vous n'en avez pas déjà un, envisagez d'utiliser un plugin comme WP Firewall Pro, qui fournit des outils de protection et de surveillance.

Personne sur un ordinateur avec google ouvert

8. Ne partagez les informations de connexion avec personne

Si vous donnez le mot de passe à quelqu'un que vous connaissez, vous devez être conscient que ces informations peuvent fuir, ce qui pourrait amener des personnes dangereuses à accéder à toutes vos informations !

Personne avec un doigt à la bouche qui fait taire

9. Crypter les fichiers sensibles comme .htaccess & wpconfig.php

Si vous avez des fichiers sensibles utilisés pour sécuriser votre site, envisagez de les crypter. Cela empêchera les gens d'accéder à leur contenu et de le modifier !

Code sur un écran

10. Changez votre URL de connexion

La plupart des URL de connexion WordPress sont « WP-ADMIN » par défaut, ce qui signifie que les pirates peuvent facilement identifier votre URL de connexion, puis essayer de s'y introduire. Pour éviter ce problème, vous pouvez modifier l'URL pour inclure autre chose, comme « MON-SITE ». Le plugin iThemes Security vous couvre !

Boîte en pointillés autour de l'URL de connexion WordPress

11. Désactivez l'accès à l'API XML-RPC si vous n'en avez pas besoin

Si vous n'avez pas besoin de la possibilité de publier à distance, désactivez l'accès à l'API XML-RPC dans Paramètres ? Rédaction -> Options de publication afin que les pirates ne puissent pas prendre le contrôle de votre site.

deux personnes piratent un ordinateur

12. Désactiver la navigation dans les répertoires

Il est conseillé de désactiver la possibilité pour toute personne autre que vous-même de parcourir les répertoires de votre site Web. Si vous ne le faites pas, les fichiers peuvent devenir accessibles si quelqu'un devine comment ils s'appellent et où ils se trouvent sur votre serveur !

personnes travaillant ensemble sur les serveurs

13. Protégez-vous sur les réseaux Wi-Fi publics

Le Wi-Fi public est un excellent moyen d'économiser de l'argent sur les données, mais ce n'est pas toujours sûr, surtout lorsque vous utilisez des sites Web comme Facebook ou Gmail qui peuvent fournir des informations de connexion s'ils ne sont pas protégés par une vérification en deux étapes ! Envisagez de créer une connexion cryptée sur le réseau en installant un logiciel de réseau privé virtuel avant de vous connecter à un endroit important.

un signe avec wifi gratuit écrit dessus

14. N'utilisez pas « admin » comme nom d'utilisateur

Il est important de choisir un nom d'utilisateur individuel qui ne soit pas si facile à deviner. Si vous devez apprendre à protéger votre site WordPress contre les attaques par force brute en utilisant une autre couche de sécurité en plus des mots de passe tels que les CAPTCHA et la limitation du débit.

Case CAPTCHA et case à cocher

15. Activer SSL dans la mesure du possible

Cela garantira que les données de l'utilisateur sont cryptées pendant le transfert et fournira une couche de sécurité supplémentaire si des cookies de session sont interceptés par des tiers (cela peut se produire lorsqu'une personne est en possession à la fois de votre PC et de votre appareil). Cette étape peut nécessiter un certain apport technique mais ne devrait pas prendre trop de temps !

Écran du tableau de bord du serveur

16. Installez l'application Google Authenticator pour l'authentification à deux facteurs

Google Authenticator envoie des codes uniques par SMS chaque fois que quelqu'un essaie de se connecter à l'un de vos comptes, ce qui signifie que seuls les utilisateurs autorisés peuvent passer l'écran de connexion pour accéder à votre site.

Logo de l'authentificateur Google

17. Scannez votre site Web régulièrement

Il est important que vous mainteniez à jour les fichiers et les bases de données afin qu'ils ne contiennent aucun malware ou vulnérabilité de sécurité, qui pourraient être exploités par des pirates. Il existe de nombreux plugins disponibles pour vous aider dans cette tâche, mais nous vous recommandons d'utiliser WordFence car il possède toutes les fonctionnalités requises dans un seul package. Il comprend également une analyse du trafic en direct — utile si quelque chose de suspect se produit sur votre site !

Logo de clôture

18. Protégez votre espace wp-admin

Le panneau d'administration contient la plupart des informations de gestion de contenu, il est donc important de s'assurer qu'il est bien protégé contre les accès non autorisés. Il existe un certain nombre de plugins disponibles qui peuvent vous aider à le faire - nous vous recommandons d'utiliser WP Admin Protector ou de restreindre l'accès via .htaccess si vous avez des connaissances techniques avancées.

Écran des paramètres d'administration de Wordpress

19. Activez des règles de pare-feu fortes dans phpMyAdmin ou cPanel (par exemple, REFUSE toutes les IP)

Si vous voulez une couche de protection supplémentaire, il est possible de configurer des règles qui bloqueront toute personne qui essaie de se connecter à MySQL avec des noms d'utilisateur ou des mots de passe invalides via phpMyAdmin ou cPanel, ce qui signifie qu'ils ne pourront rien faire d'autre si cela se produit !

Cela peut également aider à protéger contre les attaques par injection SQL en ajoutant une vérification supplémentaire avant que les lignes ne soient insérées dans les tables, afin que seuls les utilisateurs autorisés puissent effectuer des opérations.

Le mot sécurité au-dessus d'une personne piratant

20. Limiter les tentatives de connexion

C'est une bonne idée pour éviter les attaques par force brute. Dans les « Paramètres généraux », vous pouvez définir le nombre de mots de passe incorrects autorisés avant de bloquer une adresse IP pendant un certain temps.

Code sur un écran d'ordinateur

Conclusion

En conclusion, il y a beaucoup de choses que vous pouvez faire pour protéger votre site WordPress contre les attaques. Il s'agit notamment d'utiliser des mots de passe forts, de sauvegarder régulièrement et d'installer des plugins comme WP Firewall Pro qui aideront à éloigner les pirates !

Comme la plupart des autres choses, les personnes infâmes ne voudront probablement pas grand-chose à faire avec un site Web qui à la fois semble mauvais et n'a pas beaucoup d'utilisateurs, même s'il n'est pas très bien protégé. Utilisez ces 13 meilleures pratiques de conception de sites Web et associez-les aux conseils de sécurité que vous venez d'apprendre pour créer un site Web ultime avec une sécurité impénétrable !