WordPress est utilisé par plus d’un quart des sites dans le monde. Ce chiffre assez conséquent résulte d’attaques très nombreuses par des pirates informatiques.
C’est pour cela qu’il est plus que nécessaire de protéger son site WordPress grâce à plusieurs astuces très souvent applicables en seulement quelques minutes.
Que vous soyez un professionnel ayant un site établi depuis déjà quelques années, ou quelqu’un de débutant sur le net, personne n’est à l’abri.
WordPress n’est malheureusement pas invulnérable, et les pirates informatiques sont de plus en plus malins et doués. Leur expérience leur permet de s’introduire dans les failles du système informatique.
C’est pour cela que nous vous avons réservé une liste de 15 astuces permettant de sécuriser votre site WordPress et de rendre la tâche plus complex aux hackers.
Des analyses planifiées de programmes malveillants vous aident à toujours garder une longueur d’avance sur un quelconque malware.
Vous pouvez utiliser différents plug-ins afin d’exécuter des analyses planifiées de malwares.
Cependant vous devez faire attention lors du téléchargement de plugins car des plugins non autorisés peuvent eux-mêmes causer des problèmes de sécurité.
Activer la protection “Brute Force” est un autre moyen de protéger votre site Web contre d'éventuelles attaques.
Nous vous suggérons d'utiliser un service de protection pouvant couvrir à la fois la “Brute Force” locale et celle du réseau.
Les mots de passe volés sont l’un des moyens les plus couramment utilisés pour pirater WordPress.
Vous devez sélectionner des mots de passe efficaces pour la base de données, les comptes FTP, les adresses électroniques professionnelles et les comptes d'hébergement WordPress.
Vous pouvez utiliser un générateur de mots de passe afin de générer des mots de passe WordPress complexes.
L'activation de l'authentification à deux facteurs est l'un des meilleurs moyens de afin de minimiser les attaques.
Si vous êtes en mode d'authentification à deux étapes ou à deux facteurs, WordPress vous demandera également, en plus du mot de passe, un mot de passe à usage unique (OTP), qui peut être envoyé à votre numéro de téléphone personnel.
La première étape d'un pirate informatique consiste à trouver votre page de connexion. Cacher l'URL de la page de connexion pourrait être un geste astucieux de votre part. Pour cela, il vous suffit de modifier l'URL de votre page de connexion.
Vous pouvez également utiliser WPS Hide Login Plugin et Protect WP-Admin Plugin afin de modifier l'URL de la page de connexion.
Un certificat SSL ne peut pas vous protéger de pirates informatiques. Un certificat SSL n'a de sens que lorsque votre site dispose d'un système de paiement ou traite des informations personnelles des utilisateurs. Il est facile de passer de HTTP à HTTPS et de nombreuses directives sont disponibles en ligne.
Pour maintenir la sécurité, il est judicieux de changer le nom d'utilisateur par défaut "admin". WordPress vous permettra de le modifier facilement. Vous pouvez donc modifier directement le nom d'utilisateur ou utiliser un plugin particulier pour le faire. Comme admin est le nom d’utilisateur par défaut, il est plus facile pour les hackers de s’introduire dans votre base de données WordPress.
WordPress publie régulièrement des mises à jour qui incluent souvent des correctifs de sécurité dans le code. Alors, essayez de ne surtout pas les manquer. La mise à jour régulière de WordPress peut résoudre automatiquement divers problèmes de sécurité.
Nous vous recommandons vivement de télécharger des plugins uniquement à partir de sources fiables et de confiance. Vous pouvez télécharger des plugins ainsi que des thèmes à partir de WordPress.org. Si vous pensez que cela ne suffit pas, vous pouvez télécharger des plugins depuis d'autres sites Web, mais faites attention à la légitimité de ceux-ci.
WordPress possède un éditeur de code intégré qui permet à l'utilisateur de modifier des plugins et des thèmes directement à partir de la zone d'administration. Si votre site est compromis, cette fonctionnalité pourrait s'avérer fatale. Nous vous recommandons d’ajouter le code suivant dans le fichier wp-config.php pour désactiver l’édition de fichier:
define( ‘DISALLOW_FILE_EDIT’, true );
Le plug-in Inactive Logout permet de déconnecter un utilisateur si celui-ci est inactif ou ne travaille pas. Avec ce plugin, vous pouvez définir une durée idéal après laquelle l'utilisateur est automatiquement déconnecté.
WordPress offre autant de tentatives que l’on souhaite lorsque l’on cherche à se connecter, ce qui le rend vulnérable aux attaques par Brute Force. L'utilisation de WAF peut résoudre ce problème automatiquement.
Mais si vous n'utilisez pas WAF, vous pouvez utiliser des plugins tels que Login LockDown.
Nous vous conseillons vivement de ne pas configurer les répertoires avec des autorisations 777. Selon WordPress.org, il vaut mieux opter pour 750 ou 755 au lieu de 777. Lorsque vous travaillez sur le site, vous pouvez définir les fichiers sur 644 ou 640.
Il est nécessaire de mettre à jour vos plugins régulièrement, comme vous le feriez pour WordPress Core. Chacun des plugins ajoutés à votre site Web WordPress est comme une ouverture vers le panneau d’administrateur. En d’autres termes, de nombreux hackers utilisent des plugins afin d’accéder au panneau d’admin. Donc, si vous ne mettez pas à jour vos plugins régulièrement, vous risquez de compromettre votre sécurité WordPress.
Nous vous recommandons vivement de télécharger des plugins uniquement à partir de sources fiables et de confiance. Vous pouvez télécharger des plugins ainsi que des thèmes à partir de WordPress.org. Si vous pensez que cela ne suffit pas, vous pouvez télécharger des plugins depuis d'autres sites Web, mais faites attention à la légitimité de ceux-ci.
L'utilisation de plugins de sécurité WordPress est assez courante, mais surtout extrêmement importante. Avec la mise en œuvre des plugins de sécurité WordPress, vous pouvez facilement éviter les principales menaces à la sécurité et les logiciels malveillants.
L'utilisation du scanner Sucuri (plugin WordPress) a également gagné en popularité.
Ainsi, nous vous avons montré 15 astuces qui permettent de sécuriser votre site WordPress. Même si la plupart sont très puissantes, il ne faut surtout pas oublier que les pirates informatiques ont toujours plus d’un tour dans leur poche. Un site n’est jamais à 100% infaillible et impénétrable.
Mais, pour laisser plus de chances de votre côté, n’hésitez pas à appliquer et à mettre en place toutes les astuces de cet article.
Si vous pensez qu’une personne a piraté votre site WordPress, n’hésitez surtout pas à demander de l’aide au support de WordPress et de votre hébergeur.