15 façons de rendre votre site Web WordPress plus sécurisé
Publié: 2020-10-08WordPress est un CMS (système de gestion de contenu) populaire. C'est l'un des systèmes de gestion de contenu les plus conviviaux avec de nombreuses variétés de thèmes et de plugins utiles. Vous pouvez créer n'importe quel site Web de niche en utilisant WordPress. C'est pourquoi WordPress active environ 36% des sites Web sur Internet. Cependant, la popularité peut avoir son prix. Étant donné que WordPress occupe une position si avantageuse sur le marché, il est souvent attaqué par des pirates. WordPress reste un choix populaire pour préparer n'importe quel site Web en un rien de temps, et il possède également de nombreuses fonctionnalités. Par conséquent, il est sage pour vous de rendre votre site Web WordPress plus sécurisé pour profiter de la plate-forme sans vous soucier des cybermenaces. De plus, la plupart des gens supposent à tort que s'ils ont un site Web d'entreprise à part entière, ce n'est qu'alors qu'ils devraient dépenser leur argent supplémentaire pour mettre en place des mesures de sécurité. Cependant, même si vous l'utilisez pour une page de portefeuille, une boutique de commerce électronique ou tout autre type de site Web, il est préférable de prendre des mesures de protection. Jetons un coup d'œil à 15 façons simples de rendre votre site Web WordPress plus sécurisé et d'empêcher les pirates de ruiner votre entreprise.
1. Choisissez toujours un excellent hébergeur :
Cela doit être votre première et plus cruciale étape pour assurer la sécurité du site Web. Assurez-vous d'utiliser une bonne société d'hébergement qui s'est avérée avoir des fonctionnalités de sécurité utiles. Quelques fonctionnalités à surveiller peuvent être - PHP (dernière version), pare-feu, MySQL, surveillance de la sécurité 24/7 et Apache. Vous devriez également essayer de vous en tenir aux services d'hébergement qui effectuent des vérifications régulières des logiciels malveillants et effectuent des sauvegardes quotidiennes. D'excellents services d'hébergement auraient également des mesures de prévention DDOS. Si vous considérez votre sécurité WordPress comme des couches, le service d'hébergement pour lequel vous optez est la première couche ou les pirates du mur essaieraient de percer pour accéder à votre site. Par conséquent, même si les bons services d'hébergement coûtent un peu plus cher, prenez cette pincée pour vous assurer que vous choisissez un service d'hébergement fiable et réputé.
2. Modifiez le nom d'utilisateur de l'administrateur :
Si vous avez déjà utilisé WordPress ou si vous êtes un nouvel utilisateur, vous auriez réalisé que WordPress gardait 'Admin' comme nom d'utilisateur par défaut. La plupart des utilisateurs ne prennent jamais la peine de changer ce nom d'utilisateur. Le problème avec cela est que les pirates auraient de bonnes chances d'obtenir votre nom d'utilisateur correct lorsqu'ils tentent d'attaquer votre site Web avec une force brute. Vous ne devez pas utiliser "Admin" comme nom d'utilisateur WordPress. De nos jours, WordPress permet toujours aux utilisateurs de définir leur nom d'utilisateur dès le départ au lieu de leur donner le nom d'utilisateur "Admin". Cependant, si vous avez déjà installé un site Web WordPress, assurez-vous de vérifier votre nom d'utilisateur et modifiez-le s'il est toujours défini sur "Admin". Si c'est le cas, vous pouvez créer un nom d'utilisateur d'administrateur différent pour votre site Web en accédant à Utilisateurs, puis à Ajouter nouveau. Vous pouvez y entrer votre nom d'utilisateur et votre mot de passe uniques. Assurez-vous de définir en tant qu'administrateur, puis cliquez sur le bouton Ajouter un nouvel utilisateur.
3. Utilisez toujours des mots de passe forts :
Le mot de passe de votre site WordPress et de votre service d'hébergement doit être à la fois fort et sécurisé. Utilisez toujours un mélange de caractères majuscules et divers caractères minuscules tels que des alphabets, des chiffres, des symboles, etc. pour développer un mot de passe fort. Il est également idéal pour utiliser des logiciels de gestion de mots de passe comme LastPass ou Dashlane pour générer et stocker des mots de passe sécurisés pour vous.
4. Utilisez un compte éditeur ou contributeur pour publier sur votre site :
C'est un excellent moyen d'ajouter de la sécurité à votre site Web WordPress. WordPress vous permet de créer des comptes de contributeur et d'éditeur si vous devez accéder à d'autres utilisateurs pour écrire des blogs ou publier sur votre site Web, mais sans leur donner de droits d'administration. Vous pouvez créer un tel compte pour vous-même et publier sur le site Web en les utilisant. Cela rendrait difficile pour les pirates d'endommager votre site. Même s'ils parviennent à pirater vos profils de contributeur ou d'éditeur, ils n'auront aucun contrôle ni privilège administratif.
5. Renforcez votre espace admin :
Vous devez vous concentrer sur la sécurisation de la zone d'administration autant que possible. Pour cela, vous devez modifier l'URL par défaut utilisée pour la connexion administrateur sur votre site Web et limiter le nombre de tentatives de connexion infructueuses. Cela verrouillerait un utilisateur s'il dépassait cette limite. Toute URL d'administrateur WordPress ressemble à "votredomaine.com/wp-admin". Tout comme les utilisateurs ont tendance à changer leur nom d'utilisateur "Admin", ils ne prennent souvent pas la peine de changer leurs URL d'administrateur. Cela donnerait aux pirates un accès direct à la page de connexion de votre zone d'administration où ils pourraient essayer de pirater votre site Web. Pour modifier votre URL d'administrateur, vous pouvez utiliser des plugins tels que WPS Hide Login. Et pour limiter le nombre de tentatives infructueuses, vous pouvez également utiliser le plugin Login Lockdown.
6. Gardez toujours vos fichiers à jour :
Les fichiers obsolètes sont souvent négligés et présentent un risque de sécurité important pour votre site Web. Votre site Web devient ouvert à divers hacks et exploits. Par conséquent, vous devez installer les mises à jour dès qu'elles sont publiées. Prenez l'habitude de revoir périodiquement les plugins que vous utilisez. Supprimez les plugins dont vous ne vous servez plus. Garder des plugins supplémentaires qui ne sont pas utiles ajoute à la majeure partie du site Web et donne plus de points d'entrée aux pirates.
7. Utilisez un plugin de sauvegarde :
Vous devez prendre l'habitude de faire des sauvegardes de votre site Web si vous ne l'avez pas déjà fait. Un système de sauvegarde vous aide à restaurer votre site Web si le pire scénario de votre site Web finit par être piraté. Il existe de nombreux plugins de sauvegarde fiables et utiles comme UpdraftPlus qui peuvent être utilisés pour créer un calendrier de sauvegarde régulier pour votre site Web. N'oubliez pas de stocker le fichier de sauvegarde hors site pour vous assurer que les fichiers ne seront pas infectés.
8. Utilisez 2FA :
Utilisez le plug-in Google Authenticator pour configurer votre configuration 2FA (authentification à deux facteurs) afin de protéger votre site. Cela signifie qu'en plus d'utiliser vos identifiants de connexion pour vous connecter, vous devrez également saisir un code généré par une application mobile pour vous connecter à votre site. Cela arrêterait au moins les attaques par essais et erreurs sur votre site Web. Cela peut donc être une tactique utile. 2FA est disponible en tant que fonctionnalité gratuite dans l'un des meilleurs plugins de sécurité pour WordPress, Wordfence (nous l'utilisons nous-mêmes sur Web Design Dev).
9. Utilisez SSL et HTTPS :
Si vous naviguez sur Internet ou même si vous êtes entouré de personnes connaissant Internet, vous auriez entendu parler de personnes insistant sur la nécessité d'avoir le protocole HTTPS et des certificats de sécurité SSL sur votre site. HTTPS signifie Hypertext Transfer Protocol Secure. SSL signifie Secure Socket Layers.
HTTPS permet au navigateur d'un visiteur de sécuriser une connexion protégée avec votre serveur d'hébergement, résultant en une connexion sécurisée avec votre site. Ce protocole HTTPS est sécurisé via SSL. Par conséquent, SSL et HTTP aident à garantir que toutes les informations échangées entre le navigateur du visiteur et votre site Web sont cryptées. L'utilisation de ces deux fonctionnalités sur votre site ne vous aidera pas seulement à renforcer la sécurité et à améliorer considérablement votre classement dans les moteurs de recherche. Cela établirait alors la confiance en vos visiteurs et améliorerait également vos taux de conversion.
10. Utilisez les en-têtes de sécurité :
Un autre moyen efficace d'ajouter de la sécurité à votre site Web WordPress consiste à implémenter des en-têtes de sécurité. Ces en-têtes de sécurité sont définis au niveau du serveur pour empêcher les attaques de piratage et réduire le nombre d'exploitations de vulnérabilités de sécurité. Vous pouvez soit installer ces plugins de sécurité manuellement en ajoutant des codes, soit utiliser un plugin comme Security Headers pour l'ajouter automatiquement.
11. Déconnectez-vous des utilisateurs inactifs :
Si vous avez de nombreuses connexions à votre site Web que vous n'utilisez pas fréquemment mais dont vous ne vous déconnectez pas, changez cette habitude. Si un identifiant d'utilisateur que vous avez reste inactif la plupart du temps, assurez-vous de vous déconnecter de ces comptes après une période d'inactivité. Vous pouvez également utiliser un plugin pour cela, comme Inactive Logout pour mettre fin facilement à toutes les sessions inactives. Ceci est important car si vous vous connectez à votre site Web pour ajouter un nouveau billet de blog et que vous êtes distrait par une autre tâche secondaire, votre session pourrait être facilement piratée et les pirates pourraient utiliser cette fenêtre pour infecter votre site.
12. Bloquez les liens directs :
Le hotlinking consiste à voler la bande passante de quelqu'un en créant un lien direct vers les ressources de son site Web, telles que des vidéos ou des images. Supposons que vous trouviez une image en ligne et que vous ayez envie de la partager sur votre site. Pour cela, vous devez d'abord avoir la permission ou payer une prime pour cette image. Sinon, il y a de fortes chances qu'il soit illégal de le faire. Cependant, si vous parvenez à obtenir l'autorisation, vous pouvez utiliser l'URL de l'image et l'utiliser pour placer la photo dans votre publication. Ceci est problématique car cette image serait affichée sur votre site mais serait hébergée sur le serveur d'un autre site.
Ceci est gênant car vous n'aurez aucun contrôle sur le fait que l'image reste ou non sur le serveur. Et les gens peuvent également le faire sur votre site Web. Si vous voulez vraiment sécuriser votre site Web WordPress, le hotlinking entraînerait des vitesses de chargement réduites et des coûts de serveur potentiellement plus élevés. Vous pouvez utiliser les outils intégrés du plug-in 'All in One WP Security and Firewall' pour le blocage et le hotlinking.
13. Ajoutez une question de sécurité de connexion :
Parfois, s'en tenir aux bases aide également de manière significative. Avoir une authentification à deux facteurs et une question de sécurité supplémentaire à laquelle un utilisateur doit répondre avant de se connecter à votre site Web rendrait plus difficile et ennuyeux l'accès à votre site Web pour les pirates. Les questions de sécurité peuvent également être liées aux institutions financières, aux plateformes de messagerie ou aux sites d'adhésion. La question de sécurité, en substance, fonctionne comme un deuxième mot de passe pour votre site Web. Une question de sécurité parfaite serait une question à laquelle vous seul connaîtriez la réponse. Rendre les choses plus difficiles aurait du sens si la réponse n'était même pas liée à la question. Bien sûr, vous devez être assez intelligent pour vous souvenir de la réponse vous-même. Cette astuce fondamentale peut aider à protéger votre site WordPress par de nombreux plis.
14. Assurez-vous d'utiliser la dernière version de PHP :
Rester à jour avec les dernières versions de PHP est une évidence en matière de sécurité Web. Cependant, vous seriez étonné des statistiques. Seuls 3,6% des utilisateurs de WordPress exécutent leur site Web sur la dernière version de PHP - 7.2. Plus de 12% des sites Web WordPress fonctionnent toujours sur les versions 5.4, qui ne sont même pas prises en charge.
Ne pas utiliser la dernière version de PHP signifie que certaines failles de sécurité ont été découvertes et corrigées dans la nouvelle version. Cependant, ils ne seraient pas disponibles pour votre site. Et comme les bogues et les correctifs sont mentionnés ouvertement dans chaque liste du journal des modifications de mise à jour de PHP, les pirates connaîtraient facilement les failles pour accéder à votre site Web.
15. Désactivez la navigation dans les répertoires :
Les personnes qui attaquent les sites Web WordPress peuvent utiliser la navigation dans les répertoires pour trouver des plugins ou des thèmes présentant des vulnérabilités sur votre site. Ces failles peuvent être utilisées pour pirater votre site. Ils peuvent accéder à votre site Web et y injecter des scripts malveillants, des publicités et des liens indésirables. Ils peuvent également consulter vos fichiers, découvrir la structure de vos répertoires, copier des images et accéder à d'autres informations. Par conséquent, il est préférable de désactiver l'option d'indexation et de navigation dans les répertoires. Pour exécuter cela, vous devez accéder à votre site Web WordPress via un client FTP et modifier votre fichier '.htaccess' dans le répertoire racine de votre site et ajouter la ligne suivante en bas - Options - Indexes.
Ce sont les 15 façons de rendre votre site Web WordPress plus sécurisé. Assurez-vous de suivre toutes ces instructions et directives et de les activer sur votre site Web pour assurer une protection et une sécurité maximales. Toutes les méthodes ci-dessus ajoutent une couche de protection à votre site Web WordPress, ce qui rend plus difficile pour les pirates d'obtenir ce qu'ils veulent. Ces directives sont un excellent point de départ pour protéger le contenu de votre site Web et les informations sensibles. Cela contribuerait également à renforcer votre présence en ligne, car plus un site Web est sécurisé, plus il est également sûr pour ses visiteurs. Les visiteurs et les moteurs de recherche l'apprécient, ce qui vous donne de la crédibilité sur le marché.