La sécurité de WordPress est dans l’esprit de nombreux propriétaires de sites. WordPress a un script open source, donc naturellement, tout le monde craint qu’il soit vulnérable aux attaques de toutes sortes. Cependant, WordPress n’est pas intrinsèquement vulnérable, et vous pouvez prendre de nombreuses mesures pour sécuriser WordPress.
En fin de compte, le propriétaire du site est souvent plus responsable des hacks que la plateforme. Il s’avère que vous avez beaucoup à dire sur la façon de sécuriser votre site WordPress. Voici quelques trucs et astuces pour vous aider à comprendre comment sécuriser votre site Web sur WordPress.
Créer un verrouillage de site et bannir des utilisateurs
La création d’une fonction de verrouillage pour les tentatives de connexion infructueuses répétées aidera à empêcher les pirates potentiels de faire des tentatives de force brute continues qui finiront par réussir. Toute tentative de piratage qui utilise à plusieurs reprises des mots de passe longs et répétitifs verrouille le site et vous serez averti de toute activité non autorisée. Cela bloquera immédiatement de nombreux pirates.
L’un des moyens d’augmenter la sécurité de WordPress contre ce type de tentative de piratage est le plugin iThemes Security. Il a été formidable pendant longtemps sans aucun signe de ralentissement. Il vous offre la possibilité de spécifier le nombre de tentatives de connexion infructueuses d’un utilisateur avant que le plugin n’interdise son adresse IP et vous alerte.
Utiliser les méthodes d’authentification à 2 facteurs
L’authentification à 2 facteurs (SFA) est l’une des nombreuses meilleures pratiques de sécurité WordPress. Il demande à l’utilisateur de fournir des informations de connexion pour deux composants de série. En tant que propriétaire du site, vous pouvez décider quels sont ces deux composants. Il peut s’agir d’un mot de passe normal suivi d’un code secret, d’une question secrète, d’un jeu de caractères, d’un CAPTCHA, etc.
De nombreux propriétaires de sites préfèrent la méthode 2FA pour sécuriser leur site. Google Authenticator est un bon plugin pour inclure 2FA sur votre site. Il est, comme de nombreux plugins de Google, fiable et souvent mis à jour.
Utiliser l’e-mail comme nom d’utilisateur de connexion
La valeur par défaut pour la plupart des sites demande un nom d’utilisateur pour se connecter. Afin d’augmenter la sécurité de WordPress, utilisez un identifiant de messagerie au lieu d’un nom d’utilisateur. C’est une approche plus sécurisée. Les noms d’utilisateur sont faciles à prévoir pour les pirates. Les e-mails ne sont pas si faciles à prévoir. De plus, les comptes d’utilisateurs WordPress doivent être créés à l’aide d’une adresse e-mail unique, ce qui en fait un identifiant plus valide.
Un bon plugin pour augmenter la sécurité de WordPress de cette façon est le WP Email Login. Cela fonctionne juste après l’installation. Activez-le simplement et c’est parti. Aucune configuration nécessaire. Si vous souhaitez le tester, déconnectez-vous simplement de votre site, puis reconnectez-vous en utilisant l’adresse e-mail avec laquelle vous avez créé le compte.
Renommer votre URL de connexion
Il est très facile de changer votre URL de connexion. La connexion WordPress par défaut est facile d’accès via wp-login.php ou wp-admin ajouté à l’URL principale de votre site. Lorsque les pirates connaissent l’URL directe de la page de connexion, ils essaient souvent de forcer brutalement un accès à votre site. Ils essaieront ensuite de se connecter avec leur Guess Work Database (GWDb), une base de données de noms d’utilisateurs et de mots de passe devinés qui contient des millions de combinaisons de caractères. Les pirates trouvent qu’il est facile de le faire. C’est brut, c’est simple, mais c’est trop souvent efficace.
Si vous avez suivi toutes les étapes décrites ci-dessus, vous avez déjà limité le nombre de tentatives de connexion des utilisateurs et échangé les noms d’utilisateur pour l’identification par e-mail. En changeant l’URL en plus de ces deux mesures de sécurité WordPress, vous vous débarrasserez de 99 % des attaques directes par force brute. Cela fera beaucoup pour éloigner le type de pirate WordPress le plus courant.
Tout ce que vous avez à faire pour empêcher une entité non autorisée d’accéder à la page de connexion est d’utiliser le plugin iThemes Security pour ce faire :
- Remplacez wp-login.php par quelque chose d’unique ; par exemple my_new_login
- Remplacez /wp-admin/ par quelque chose d’unique ; par exemple my_new_admin
- Remplacez /wp-login.php?action=register par quelque chose d’unique
Utilisez un hébergeur de bonne qualité
Votre hébergeur ressemble beaucoup à la rue de votre site sur Internet. Comme les adresses de rue dans la vie réelle, la qualité de la rue peut affecter le type de trafic qu’elle voit.
Un bon hébergeur affectera la fiabilité de votre site, ses performances, sa taille et même son classement sur les moteurs de recherche. Les très bons hébergeurs offrent aux propriétaires de sites de nombreuses fonctionnalités utiles, notamment un bon support et des services adaptés à la plate-forme choisie par le propriétaire.
Recherchez des hébergeurs qui mettent fréquemment à jour leur service, leurs logiciels et leurs outils de manière régulière, presque constante. Il doit également répondre aux dernières menaces et éliminer rapidement les éventuelles failles de sécurité. Un hébergeur doit offrir des fonctionnalités de sécurité ciblées telles que les certificats SSL/TLS et la protection DDoS. Vous devriez avoir accès à un pare-feu d’application Web (WAF) pour vous aider à surveiller et à bloquer les menaces sérieuses sur le site WordPress.
Un bon hébergeur vous fournira également un moyen de sauvegarder votre site. Dans certains cas, ils feront même la sauvegarde pour vous. Cela vous permettra de revenir à la version stable précédente si votre site est piraté. Ils doivent offrir une assistance fiable 24h/24 et 7j/7 afin que vous puissiez toujours contacter un expert pour vous aider à résoudre les problèmes de sécurité.
Passez votre site en HTTPS
Avec un certificat SSL/TLS, vous pouvez basculer votre site WordPress vers HyperText Transfer Protocol Secure (HTTPS), qui est une version plus sécurisée de HTTP. C’est un excellent moyen d’augmenter la sécurité de WordPress.
HTTP est le protocole qui transfère des données entre un site Web et un navigateur tentant d’y accéder. Chaque fois qu’un visiteur pointe sur votre page, toutes les constantes, les médias et le code sont envoyés via ce protocole à l’emplacement du visiteur. C’est nécessaire mais cela crée aussi des problèmes de sécurité.
Avec HTTPS, ce problème est résolu. Il fait la même chose que HTTP, mais il crypte également les données du site lorsqu’elles se déplacent d’un endroit à un autre. Il a commencé comme quelque chose qui était utilisé pour protéger les informations sensibles des clients, comme les détails de la carte de crédit, mais il est devenu de plus en plus courant pour toutes sortes de sites.
Lorsque vous passez au HTTPS, les clients auront une grande confiance pour gérer votre site. Il est recommandé d’avoir un SSL de marques authentifiées comme Comodo, Thawte, GlobalSign, etc. Si vous avez un site à domaine unique, nous vous recommandons d’avoir un certificat Comodo PositiveSSL de Comodo ou tout autre SSL à domaine unique des marques discutées. Il sécurisera les transactions en ligne entre le serveur et le navigateur.
Fin des réflexions sur la sécurité de WordPress
Ces conseils de sécurité WordPress vous aideront à vous assurer que tout le travail que vous avez effectué sur votre site ne sera pas perdu dans un piratage. Cela encouragera les gens à visiter et à voir ce que vous avez à offrir.
Si vous avez apprécié la lecture de cet article sur la sécurité de WordPress, vous devriez consulter celui-ci sur le plugin WordPress SSL.
Nous avons également écrit sur quelques sujets connexes tels que les plugins de scanner de logiciels malveillants et les sels WordPress.