3.8 C
New York
mercredi, décembre 1, 2021

Buy now

spot_img

21 conseils et techniques pour sécuriser votre site Web WordPress en 2021?

WordPress est considéré comme le système de gestion de contenu le plus courant sur le marché, engageant plus de 35% du total des sites sur le Web. Pas seulement ça. Si vous jetez un œil aux 100 meilleurs sites Web au monde, 14,7% sont propulsés par WordPress. La simplicité est la principale raison pour laquelle le CMS (Content Management System) -WordPress est devenu populaire parmi les utilisateurs avertis du Web.

La renommée croissante de WordPress a attiré l’attention des pirates informatiques, et maintenant ils travaillent explicitement vers la voie pour attaquer ces sites. Vous devez vous rendre compte qu’ils ne sont pas affectés par le type de contenu que vous proposez sur le site WordPress. Cela implique que si vous ne prenez pas les précautions nécessaires, vous augmentez les chances que votre site Web soit piraté.

Pourquoi est-il nécessaire de sécuriser votre site WordPress?

Si votre site Web WordPress a été piraté, cela affectera certainement les revenus de votre entreprise de manière sérieuse. Ensuite, il est possible que les pirates informatiques puissent installer des logiciels malveillants, voler des données importantes et envoyer des logiciels malveillants aux utilisateurs visitant le site Web. Il est même possible que les entreprises finissent par payer une rançon aux pirates pour retrouver l’accès à leurs sites après une attaque de ransomware.

Cela implique que dans le cas où votre site Web serait identifié avec votre entreprise, vous devriez accorder plus de considération à son aspect de sécurité pour tout protéger. En bref, si le propriétaire du site Web est responsable de traiter avec la boutique physique, à ce stade, la boutique en ligne doit être sécurisée par le propriétaire de la boutique en ligne.

Voici 21 techniques pratiques, étape par étape, pour solidifier la sécurité de vote site Web WordPress:

1. Installez un plugin de sécurité WordPress

Tester systématiquement les logiciels malveillants dans le code de votre site Web peut sembler prendre du temps. À l’heure actuelle, si vous n’avez aucune connaissance appropriée des codes écrits sur votre site Web, vous ne pourrez pas savoir que vous avez trouvé des logiciels malveillants dans la loi. Désormais, ce problème peut être résolu lorsque vous utilisez des plugins de sécurité WordPress, car tout le monde n’est pas développeur et expert en codage.

Un plugin de sécurité fait diverses choses pour vous, comme filtrer votre site 24h / 24 et 7j / 7 pour les problèmes, rechercher des logiciels malveillants et protéger votre site Web contre les logiciels malveillants.

Certains des meilleurs plugins de sécurité WordPress sont

  • BulletProof
  • Wordfence
  • Jetpack
  • SecuPress
  • WP Security & Firewall
  • Sucuri Security

Vous pouvez consulter ce site pour voir comment accélérer la vitesse de chargement de votre site WordPress : Yoomweb.

2. Masquer les fichiers .htaccess et wp-config.php

Si la sécurité du site Web est plus cruciale pour vous, vous devez prévoir ce processus avancé. En masquant les fichiers .htaccess et wp-config.php, vous serez en mesure de créer une bonne pratique de sécurisation de votre site Web contre les pirates et autres menaces de sécurité.

Vous devez sélectionner des développeurs expérimentés pour effectuer cette tâche. Cette étape doit être effectuée avec prudence et vous devez d’abord effectuer la sauvegarde de votre site Web. Au cas où vous finiriez par faire de grosses erreurs, vous perdrez l’accès à votre site.

3. Utilisez un mot de passe fort

sécuriser votre site Web WordPress

Les mots de passe semblent être un aspect important pour un site Web et souvent ils sont négligés. Si vous créez des mots de passe très simples pour votre site Web, qui se composent de chiffres ou de textes, il est temps de faire le changement rapidement. Ces mots de passe simples peuvent être faciles à retenir pour les utilisateurs, mais ils sont également faciles à deviner pour les pirates. Un utilisateur avancé peut facilement déchiffrer le mot de passe sans avoir à faire beaucoup d’efforts et à le saisir dans la section d’administration de votre site Web. La meilleure solution pour éviter une telle situation est d’utiliser un mot de passe fort et complexe qui peut être généré automatiquement. Le mot de passe doit contenir une combinaison de chiffres, d’alphabets et de caractères spéciaux.

4. Optez pour une bonne société d’hébergement

Décider de faire appel au fournisseur d’hébergement qui est équipé pour vous offrir différentes couches de sécurité est l’approche la plus idéale pour assurer la sécurité de votre site Web. En ce qui concerne le contrôle des dépenses, il peut sembler judicieux d’opter pour un fournisseur d’hébergement bon marché, car vous économiserez suffisamment d’argent pour être dépensé ailleurs. Cependant, vous devez rester à l’écart de telles tentations, car elles peuvent vous conduire à plus de problèmes que les bonnes choses que cela peut apporter. L’URL de votre site Web peut être redirigée vers un autre endroit et vos données peuvent être complètement effacées.

Au moment où vous optez pour une société d’hébergement de qualité, vous devriez payer un peu plus, mais à ce stade, il accueille sur la table des couches de sécurité supplémentaires en conséquence pour votre site Web. Vous voudrez donc réellement accélérer considérablement votre site Web WordPress en choisissant les meilleurs services d’hébergement WordPress.

WPEngine est l’un des arrangements les plus suggérés ici. Il vous propose des filtres anti-malware au jour le jour, une meilleure sécurité et une aide sans interruption. Encore une fois, il s’agit de tarifs raisonnables.

5. Protégez le répertoire WP-admin

Le répertoire WP-admin est un élément très crucial pour tout site Web WordPress. Cela implique que votre site entier peut être détruit et implosé en cas de pénétration. L’un des meilleurs moyens de prévention consiste à protéger le mot de passe WP-admin. Une fois cela fait, le propriétaire du site Web n’aura accès au tableau de bord du site Web qu’une seule fois; il ou elle entre les deux mots de passe. Désormais, l’un de ces mots de passe protège la page de connexion tandis que l’autre protégera la zone d’administration de WordPress.

Normalement, ce cycle est lié à la modification de la configuration d’hébergement via le cPanel. Dans tous les cas, vous savez comment suivre les bonnes étapes, ce ne sera pas très difficile à réaliser.

Connectez-vous à cPanel et explorez la section Sécurité.

6. Déconnectez automatiquement les utilisateurs inactifs du site

En ce qui concerne la menace de sécurité WordPress, si les utilisateurs laissent le tableau d’administration WP-admin du site ouvert sur les écrans des utilisateurs, cela peut véritablement représenter une menace majeure. Tout individu qui se présente devant l’écran trouve l’opportunité de modifier les informations de l’utilisateur du compte, de modifier les informations présentes sur le site Web ou même de détruire le site Web. Cette situation peut être évitée sur votre site WordPress en vous assurant de déconnecter les utilisateurs du site Web après qu’ils soient restés inactifs pendant un certain laps de temps.

BulletProof Security est l’un de ces plugins qui est utilisé pour effectuer ces tâches. En utilisant ce module, l’administrateur du site peut fixer une limite de période pour les utilisateurs inactifs, ainsi une fois ce temps passé, les utilisateurs seront automatiquement déconnectés du site.

7. Faire de la sécurité forte de WordPress en utilisant l’authentification à deux facteurs

Une autre grande mesure de sécurité que vous pouvez prendre dans ce domaine est l’introduction du module de validation à deux facteurs à l’intérieur de la page de connexion. Dans une telle circonstance, l’utilisateur est censé s’adresser à deux segments différents en donnant les bons détails de connexion. Le propriétaire du site Web peut choisir deux des composants. L’un d’eux peut être le mot de passe général, et le second peut être un code secret, un groupe de caractères, une question secrète ou l’application Google Authenticator. 

Une telle application envoie un code secret au téléphone et l’utilisateur peut se connecter au site Web en utilisant le même téléphone.

8. Connectez-vous à l’aide de l’e-mail

Au moment où vous tentez de vous connecter au site WordPress, vous devrez insérer le nom d’utilisateur sur une prémisse par défaut. Vous pouvez poursuivre dans une plus large mesure une méthodologie protégée en choisissant une adresse e-mail à utiliser comme nom d’utilisateur. La principale raison d’utiliser une telle méthodologie est qu’il est possible pour les pirates de deviner le nom d’utilisateur mais pas les adresses e-mail. Une fois de plus, avec l’adresse e-mail, il ne s’avère pas difficile de se connecter au compte car l’adresse e-mail reste unique, il est donc facile de valider et de se connecter. Divers plugins de sécurité WordPress proposent des pages de connexion où les utilisateurs peuvent se connecter en utilisant leurs adresses e-mail.

9. Soyez prudent lors de l’ajout de comptes utilisateurs

Dans le cas où vous utilisez WordPress pour gérer un site Web de blogs sur lequel de nombreux écrivains publient leurs blogs et articles, à ce stade, le panneau d’administration de votre site Web devrait gérer plusieurs personnes qui se rendent sur les lieux. Donc, en ce qui concerne les menaces de sécurité WordPress, une telle étape rendra votre site Web plus à risque. Pour être certain que les mots de passe saisis par les utilisateurs dans le panneau d’administration sont suffisamment sécurisés, vous pouvez utiliser Force Strong Passwords comme un plugin. Nul doute que ce n’est qu’une mesure de précaution à prendre pour votre site Web, mais au final, cela vous aidera à éviter d’avoir de nombreux utilisateurs avec des mots de passe faibles.

10. Limiter les tentatives de connexion

Normalement, vous pouvez vous connecter autant de fois que vous le souhaitez sur votre site Web WordPress. Maintenant, si vous êtes un utilisateur fréquent, ce service peut vous aider à coup sûr. Cependant, cela augmente également les chances d’attaque de pirates.

Mais si vous avez un nombre limité de tentatives de connexion, cela vous limitera d’essayer un nombre spécifique de tentatives de connexion, puis vous bloquera automatiquement sur une base temporaire. Cela contrôlera également le nombre de tentatives faites par les pirates informatiques, et ils finiront donc par être enfermés à l’extérieur après quelques mauvaises tentatives. Vous pouvez utiliser le plugin de tentatives de limite de connexion WordPress et l’activer dans votre projet. Une fois que vous avez installé le plugin, le nombre de tentatives de connexion peut être modifié et défini en utilisant Paramètres> Tentatives de limite de connexion. De plus, vous pouvez également modifier le nombre de tentatives sans avoir à utiliser de plugins.

11. Changer le préfixe de la table de base de données dans WordPress

Chaque fois que vous installez votre WordPress, vous devez avoir vu que la base de données WordPress doit avoir le préfixe de table WP-. Il est fortement conseillé de le remplacer par un modèle unique. Si vous suivez le préfixe par défaut de votre base de données présent sur le site Web, vous augmentez les chances d’attaques par injection SQL.

Si votre site Web WordPress est déjà installé en utilisant le préfixe par défaut, vous pouvez à tout moment le modifier à l’aide de nombreux plugins disponibles. Ces plugins peuvent vous aider à faire le travail en quelques clics.

12. Sécurisez votre site WordPress en renommant votre URL

Il est très simple de changer l’URL de connexion. Dans la situation par défaut, vous pouvez simplement accéder à la page de connexion de votre site WordPress en utilisant «yoursite.com/wp-admin» ou «yoursite.com/wp-login.php» ajouté à l’URL principale de votre site Web. 

Les pirates tenteront de forcer brutalement votre site Web au cas où ils connaissent l’URL directe de votre page de connexion. Ils utiliseront le GWDb (Guess Work Database) pour tenter de se connecter à votre site Web. Une telle base de données accompagne des millions de combinaisons utilisant des noms d’utilisateur et des mots de passe distinctifs.

Vous recevrez un grand nombre d’inscriptions de spam lorsque vous accepterez les utilisateurs pour les inscriptions de compte d’abonnement. Pour vous assurer que cela ne se produit pas, vous pouvez poser une question de sécurité pour votre page de connexion et d’inscription ou modifier l’URL de connexion de l’administrateur.

C’est maintenant que les noms d’utilisateur doivent être échangés avec des identifiants de messagerie une fois que les tentatives de connexion de l’utilisateur ont été limitées. Chaque fois que cela est fait, l’URL de connexion peut être remplacée et il sera donc possible d’arrêter environ 99% des attaques directes par force brute.

De cette façon, tous les types de personnes non autorisées restreindront l’accès à la page de connexion. Pour se connecter, la personne devra fournir l’URL exacte.

Un certificat SSL aide votre site a bien se classer sur les résultats de recherche de Google et autres moteurs de recherche.

13. Configurer une fonction de verrouillage de site Web

En activant une fonction de verrouillage, vous pouvez sécuriser votre site Web contre les tentatives continues de force brute. Cette fonction est utilisée pour résoudre le problème des échecs de connexion. Dans le cas où des mots de passe incorrects à répétition sont utilisés dans le cadre d’une tentative de piratage, le site sera verrouillé et vous recevrez une notification pour de telles tentatives non autorisées sur votre site Web.

14. Installez le certificat SSL

Aujourd’hui, un large éventail de sites Web peut bénéficier de Single Sockets Layer – SSL. Tout d’abord, SSL a été utilisé pour des entreprises spécifiques, tout comme pour effectuer nos transactions, mais les choses ont changé aujourd’hui après que Google a reconnu son importance. Cela implique que les sites Web qui ont le certificat SSL jouissent d’une place plus importante dans les résultats de recherche de Google.

Tout site Web qui traite des informations sensibles semble avoir le SSL obligatoire. Dans le cas où le certificat SSL n’est pas présent, les données se déplaçant entre votre serveur Web et le navigateur de l’utilisateur seront en texte brut. Les pirates peuvent facilement lire ces informations. Toutes les informations sensibles sont cryptées avant d’être déplacées entre le serveur et le navigateur lorsque vous disposez d’un certificat SSL. Ces informations seront sécurisées et seront difficiles à lire.

15. Changer le nom d’utilisateur de l’administrateur

Lorsque vous êtes sur le point d’installer votre site Web WordPress, vous devez être clair sur une chose: le compte administrateur principal ne doit jamais être «admin» comme nom d’utilisateur. Un tel nom d’utilisateur est très simple à comprendre et les pirates peuvent facilement accéder au site Web. Au moment où ils connaîtront le mot de passe, l’ensemble de votre entreprise et votre travail seront définitivement perdus.

17. Gardez l’édition de fichiers désactivée

Tout en travaillant sur la configuration de votre site WordPress, dans votre section tableau de bord, vous pouvez voir une fonction d’éditeur de code.

Cette fonction peut être utilisée pour éditer votre plugin et votre thème. Vous pouvez suivre ce chemin pour y accéder: Apparence> Éditeur. Passer par Plugins> Editor peut être un autre chemin que vous pouvez choisir pour accéder à l’éditeur de plugin.

Il est suggéré de désactiver cette fonctionnalité une fois le site Web mis en ligne. Les pirates peuvent ajouter des codes malveillants dans le plugin et le thème s’ils ont accès au panneau d’administration de votre site WordPress. Ces codes sont si simples que vous ne remarquerez même aucun changement avant qu’il ne soit trop tard.

18. Surveillance des journaux d’audit

Si vous utilisez un multi-site ou celui qui a de nombreux auteurs, dans de telles circonstances, il est essentiel de comprendre le type d’activité que l’utilisateur effectue sur le site Web. 

Il y a de fortes chances que les contributeurs modifient les mots de passe. À l’heure actuelle, cela peut être ignoré, mais ce qui pourrait être dit sur la scène où ils apportent des modifications au thème du site Web lui-même.

À l’heure actuelle, ce type de changement devrait être réservé à l’administrateur tout seul. Un tel type de changement nécessite l’approbation de l’administrateur. Vous pouvez utiliser un plugin comme WP Security Audit Log pour connaître le type de multitude d’activités réalisées sur le site. En dehors de cela, il peut également être utilisé pour suivre toute action malveillante qui se produit entre les utilisateurs.

19. Effectuez des sauvegardes régulières de votre site WordPress

Garder votre site Web sécurisé est la meilleure chose que vous puissiez faire. Néanmoins, vous pouvez faire quelques améliorations. L’une des meilleures choses que vous puissiez faire dans ce sens est de faire régulièrement des sauvegardes de votre site. Assurez-vous d’effectuer une sauvegarde de manière plus intelligente car un problème de congestion se produit avec le nombre de sauvegardes. Si vous sauvegardez fréquemment, vous finirez par occuper plus d’espace sur votre disque.

20. Mettez à jour la version de WordPress          

En ce qui concerne la sécurité de votre site Web, garder votre site WordPress à jour est une pratique décente. Un certain nombre de modifications sont apportées par les développeurs à chaque fois qu’une nouvelle mise à jour est effectuée, et cela intègre également celles identifiées avec la sécurité. Au moment où vous maintenez constamment votre site Web à jour, vous annulez presque toute chance d’être exposé aux personnes qui recherchent des failles pour accéder à votre site Web et tout détruire. Vous devriez également mettre à jour les thèmes et les plugins sur votre site Web. La plupart des plugins et thèmes pour le site WordPress proviennent de développeurs tiers et ces plugins et thèmes sont donc régulièrement mis à jour avec des versions régulières.

Naturellement, des mises à jour mineures sont effectuées automatiquement sur votre site par WordPress. Néanmoins, vous devez le faire manuellement à partir du tableau de bord d’administration de WordPress dans les mises à jour importantes.

21. Évitez d’utiliser des thèmes piratés

Les thèmes premium de WordPress sont plus professionnels comparés aux thèmes gratuits. Ils viennent avec des options personnalisables. 

Les thèmes premium sont souvent développés par des développeurs qualifiés et testés correctement à plusieurs reprises. Ces thèmes peuvent être personnalisés autant de fois que vous le souhaitez et en cas de problème, vous n’avez pas à vous inquiéter car ils vous offrent une assistance complète pour remettre votre site sur les rails. Encore une fois, des mises à jour régulières des thèmes seront proposées aux propriétaires de sites Web.

Cependant, certains sites Web proposent des thèmes piratés (volés) ou qui ne sont plus à jour. Ces thèmes sont en réalité la version piratée d’un thème premium et sont disponibles illégalement sur le marché. 

Pour le site, l’utilisation de tels thèmes n’est pas recommandée car ces thèmes peuvent contenir des codes malveillants qui, lorsqu’ils sont utilisés, peuvent détruire le site Web, les informations de connexion de l’administrateur ainsi que la base de données. Il serait donc préférable d’éviter complètement ces thèmes.

Conclusion

Pour un site Web WordPress, la sécurité joue un rôle très important. Si vous ne maintenez pas régulièrement la sécurité de votre site Web WordPress, les chances que des pirates informatiques attaquent votre site Web et volent vos données importantes peuvent augmenter. Il n’est pas difficile de maintenir la sécurité de votre site Web et la meilleure partie est que vous pouvez le faire vous-même sans dépenser.

La Nantaise du Webhttps://www.informatique-securite.net/
Une expérience de 17 ans comme directeur Marketing et communication dans une PME. Dirigeant de l'entreprise et associé j'ai quitté la société d'édition de logiciel et de services pour de nouveaux horizon sur la région Loire Atlantique, Pays de Loire, Nantes, Rennes, Angers, Vendée

Related Articles

Stay Connected

0FansLike
3,036FollowersFollow
0SubscribersSubscribe
- Advertisement -spot_img

Latest Articles