10 Conseils d’expert pour vous aider à sécuriser votre site internet WordPress

WordPress est le système de gestion de contenu (CMS) le plus populaire, en effet d’après le site CodeInWp, WordPress alimente quasiment 40 % de tout les sites web du monde. C’est tout à fait normal que les pirates commencent à cibler spécifiquement les sites WordPress. Quel que soit le type de contenu fourni par votre site, vous n’êtes pas à l’abri. Si vous ne prenez pas certaines précautions, vous risquez de vous faire pirater votre site internet. Comme pour tout ce qui est lié à la technologie, vous devez vérifier la sécurité de votre site web.
Dans ce tutoriel, nous partagerons nos 10 meilleurs conseils pour assurer la sécurité de votre site WordPress.

 

Choisissez un bon hébergeur

Le moyen le plus simple de sécuriser votre site est de faire appel à un fournisseur d’hébergement qui offre plusieurs niveaux de sécurité.
Il peut sembler tentant d’opter pour un fournisseur d’hébergement bon marché, ne négligez pas la qualité de votre hébergement web, choisissez un fournisseurs d’hébergement sécurisées anti attaque DDos, avec un WAF (Firewall) et des solutions anti spams & malware. Pourquoi est il si important de protéger votre site internet. Car vos données pourraient être complètement effacées et votre url pourrait commencer à être redirigée vers un autre endroit .
En payant un peu plus cher pour un hébergeur de qualité, des couches de sécurité supplémentaires sont automatiquement attribuées à votre site web. Autre avantage, en utilisant un bon hébergement WordPress, vous pouvez accélérer considérablement votre site WordPress.
Bien qu’il existe de nombreux hébergeurs, nous recommandons Closte, WPX, Kinsta, et WPEngine. Ils offrent de nombreuses fonctions de sécurité, notamment des analyses quotidiennes des logiciels malveillants et un accès à une assistance 24 heures sur 24, 7 jours sur 7, 365 jours par an. Cerise sur le gâteau, leur prix est également raisonnable.

 

Eviter d’utiliser des thèmes ou extensions Nulled

Les thèmes premium de WordPress ont un aspect plus professionnel et disposent de plus d’options de personnalisation qu’un thème gratuit. Les thèmes premium sont codés par des développeurs hautement qualifiés et sont testés pour passer plusieurs contrôles WordPress dès leur sortie. Il n’y a aucune restriction à la personnalisation de votre thème, et vous bénéficierez d’une assistance complète si quelque chose ne va pas sur votre site. Et surtout, vous bénéficierez de mises à jour régulières de votre thème.
Mais il existe quelques sites qui proposent des thèmes Nulled ou craqués. Un thème Nulled ou craqué est une version piratée d’un thème premium, disponible par des moyens illégaux. Ils sont également très dangereux pour votre site. Ces thèmes contiennent des codes malveillants cachés, qui peuvent détruire votre site et votre base de données ou enregistrer vos identifiants d’administrateur.
Bien qu’il puisse être tentant d’économiser quelques euros, évitez toujours les thèmes Nulled pour votre sécurité.

 

Installer un plugin de sécurité WordPress

Vérifier régulièrement la sécurité de votre site web pour détecter les logiciels malveillants est un travail de longue haleine et, à moins de mettre à jour régulièrement vos connaissances sur les pratiques de codage, vous risquez de ne même pas vous rendre compte qu’un logiciel malveillant est inscrit dans le code. Heureusement, d’autres personnes ont réalisé que tout le monde n’est pas développeur et ont mis en place des plugins de sécurité WordPress pour les aider. Ce type de plugin assurent la sécurité de votre site, recherchent les logiciels malveillants et surveillent votre site 24 heures sur 24 et 7 jours sur 7 pour vérifier régulièrement ce qui se passe sur votre site.
Sucuri.net est un excellent plugin de sécurité pour WordPress. Il offre un audit des activités de sécurité, un contrôle de l’intégrité des fichiers, une analyse à distance des logiciels malveillants, un contrôle des listes noires, un renforcement efficace de la sécurité, des actions de sécurité après un piratage, des notifications de sécurité et même un pare-feu de site web (moyennant un supplément).

 

Utiliser un mot de passe fort

Les mots de passe sont un élément très important de la sécurité des sites web et sont malheureusement souvent négligés. Si vous utilisez un mot de passe simple, par exemple « 123456, abc123, mot de passe », vous devez immédiatement le changer pour éviter d’être victime d’une attaque Bruteforce. Si ce mot de passe est facile à retenir, il est aussi extrêmement facile à deviner. Un utilisateur avancé peut facilement craquer votre mot de passe et y accéder sans trop de problèmes.
Il est important que vous utilisiez un mot de passe complexe, ou mieux encore, un mot de passe généré automatiquement avec une variété de chiffres, des combinaisons de lettres absurdes et des caractères spéciaux comme % ou ^.

 

Désactiver l’édition de fichiers

Lorsque vous configurez votre site WordPress, votre tableau de bord comporte une fonction d’édition de code qui vous permet de modifier votre thème et votre plugin. Vous pouvez y accéder en allant dans Apparence>Editeur. Vous pouvez également trouver l’éditeur de plugin en allant sous Plugins>Editeur.
Une fois que votre site est en ligne, nous vous recommandons de désactiver cette fonction. Si des pirates informatiques accèdent à votre panneau d’administration WordPress, ils peuvent injecter un code subtil et malveillant dans votre thème et votre plugin. Souvent, le code sera si subtil que vous ne remarquerez rien de mal avant qu’il ne soit trop tard.
Pour désactiver la possibilité de modifier les plugins et le fichier du thème, il suffit de coller le code suivant dans votre fichier wp-config.php.
define(‘DISALLOW_FILE_EDIT’, true) ;

 

Installer le certificat SSL

Aujourd’hui, le protocole SSL (Single Sockets Layer) est avantageux pour toutes sortes de sites web. Au départ, le SSL était nécessaire pour sécuriser un site pour des transactions spécifiques, comme le traitement des paiements. Aujourd’hui, cependant, Google a reconnu son importance et accorde aux sites dotés d’un certificat SSL une place plus importante dans ses résultats de recherche.
Le protocole SSL est obligatoire pour tous les sites qui traitent des informations sensibles, c’est-à-dire des mots de passe ou des données de cartes de crédit. Sans certificat SSL, toutes les données entre le navigateur web de l’utilisateur et votre serveur web sont livrées en texte clair. Ce texte peut être lu par des pirates informatiques. En utilisant un SSL, les informations sensibles sont cryptées avant d’être transférées entre leur navigateur et votre serveur, ce qui les rend plus difficiles à lire et rend votre site plus sûr. Pour les sites web qui acceptent des informations sensibles, le prix moyen d’un SSL est d’environ 40 à 150 dollars par an. Si vous n’acceptez aucune information sensible, vous n’avez pas besoin de payer pour le certificat SSL. Presque tous les hébergeurs proposent un certificat SSL Let’s Encrypt gratuit que vous pouvez installer sur votre site.

 

Changez l’URL de votre connexion WP

Par défaut, pour se connecter à WordPress, l’adresse est « yoursite.com/wp-admin ». En laissant cette adresse par défaut, vous pouvez être la cible d’une attaque par brute force visant à craquer la combinaison de votre nom d’utilisateur et de votre mot de passe. Si vous acceptez que des utilisateurs s’inscrivent pour des comptes d’abonnement, vous risquez également de recevoir beaucoup de spams. Pour éviter cela, vous pouvez modifier l’URL de connexion de l’administrateur ou ajouter une question de sécurité à la page d’enregistrement et de connexion.
Conseil professionnel : vous pouvez protéger davantage votre page de connexion en ajoutant un plugin d’authentification à deux facteurs à votre WordPress grâce à des extensions comme Wordfence. Lorsque vous essayez de vous connecter, vous devez fournir une authentification supplémentaire pour accéder à votre site – par exemple, il peut s’agir de votre mot de passe et d’un courriel (ou d’un texte). Il s’agit d’une fonction de sécurité renforcée pour empêcher les pirates d’accéder à votre site.
Conseil pratique n°2 : vous pouvez également vérifier quelles sont les adresses IP dont les tentatives de connexion ont échoué le plus souvent, puis vous pouvez bloquer ces adresses IP.

 

Limiter les tentatives de connexion

Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent. Bien que cela puisse aider si vous oubliez fréquemment quelles lettres sont en majuscules, cela vous ouvre également aux attaques de force brute.
En limitant le nombre de tentatives de connexion, les utilisateurs peuvent essayer un nombre limité de fois jusqu’à ce qu’ils soient temporairement bloqués. Cela limite vos chances de subir une tentative de brute force, car le pirate est bloqué avant de pouvoir terminer son attaque.
Vous pouvez facilement activer cela avec un plugin WordPress de limitation des tentatives de connexion. Après avoir installé le plugin, vous pouvez modifier le nombre de tentatives de connexion via Paramètres> Tentatives de limite de connexion. Si vous souhaitez activer les tentatives de connexion sans plugin, vous pouvez également le faire. en suivant des tutos sur internet.

 

Rendre inaccessible/ Cacher les fichiers wp-config.php et .htaccess

Bien qu’il s’agisse d’un processus avancé pour améliorer la sécurité de votre site, si vous êtes sérieux à propos de votre sécurité, il est important de cacher les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d’y accéder.
Nous recommandons fortement que cette option soit mise en œuvre par des développeurs expérimentés, car il est impératif de faire d’abord une sauvegarde de votre site et de procéder ensuite avec prudence. Toute erreur pourrait rendre votre site inaccessible.
Pour masquer les fichiers, après votre sauvegarde, vous devez faire deux choses :
Premièrement, allez dans votre fichier wp-config.php et ajoutez le code suivant,
<Files wp-config.php>
order allow,deny
deny from all
</Files>
De la même manière, vous ajouterez le code suivant à votre fichier .htaccess,
<Files .htaccess>
order allow,deny
deny from all
</Files>
Bien que le processus lui-même soit très facile, il est important de s’assurer que vous avez la sauvegarde avant de commencer au cas où quelque chose tournerait mal.

 

Mettez à jour la version de votre WordPress et de vos modules

Maintenir votre WordPress à jour est une bonne pratique pour assurer la sécurité de votre site web. À chaque mise à jour, les développeurs apportent quelques modifications, souvent des mises à jour des fonctions de sécurité. En maintenant votre CMS à jour avec la dernière version, vous contribuez à vous protéger contre les failles et les exploits préidentifiés que les pirates informatiques peuvent utiliser pour accéder à votre site.
Il est également important de mettre à jour vos plugins et thèmes pour les mêmes raisons.
Par défaut, WordPress télécharge automatiquement les mises à jour mineures. En revanche, pour les mises à jour majeures, vous devrez les mettre à jour directement depuis votre tableau de bord d’administration WordPress.

Conclusion

La sécurité de WordPress est l’un des éléments essentiels d’un site web. Si vous ne maintenez pas votre sécurité WordPress, les pirates peuvent facilement attaquer votre site. Maintenir la sécurité de votre site web n’est pas difficile et peut se faire sans dépenser un centime. Certaines de ces solutions sont destinées aux utilisateurs avancés, mais si vous avez des questions, WS Digital Consulting peut vous accompagner pour vous aider à sécuriser votre site internet et protéger vos données.
Vous avez déjà été victime d’une attaque ? Votre SEO a été impacté ainsi que votre réputation en ligne ? Faites appel à nos experts, Contactez-nous