Comment sécuriser votre blog WordPress

Sécuriser votre blog WordPress est une chose essentielle que vous devez faire après l’avoir configuré sur votre serveur. Il ne devrait y avoir aucune raison de laisser votre WordPress grand ouvert aux pirates informatiques pour s’y infiltrer et voler vos informations ou détruire vos données. Passez quelques heures à sécuriser WordPress et vous gagnerez d’innombrables heures face à des attaques constantes. Ce guide présente plusieurs façons de sécuriser WordPress afin de protéger vos données et informations.

Également utile : vous pouvez obtenir un certificat SSL gratuit pour votre site Web WordPress afin de protéger les visiteurs de votre site.

1. Utilisez un plugin de sécurité tout-en-un

Pour simplifier les choses, commencez par un plugin de sécurité WordPress qui gère plusieurs tâches en un seul endroit. L’une des meilleures options est la sécurité tout-en-un (AIOS) . Avec une note impressionnante de 5 étoiles sur plus d’un million d’installations, cela vaut la peine de l’ajouter à votre site. De plus, de nombreuses fonctionnalités sont entièrement gratuites.

Le plugin fait ce qui suit :

• Arrête les attaques par force brute
• Permet l’authentification à deux facteurs
• Cache votre page de connexion aux robots
• Force la déconnexion pour les utilisateurs qui aiment rester connectés tout le temps
• Aide à améliorer la force du mot de passe
• Améliore WordPress Salts (qui fait partie du processus de hachage pour crypter les mots de passe) en ajoutant 64 nouveaux caractères, qui changent chaque semaine
• Ajoute une protection par pare-feu
• Inclut une protection contre les logiciels malveillants (premium uniquement)
• Réduit les commentaires indésirables

Ceci n’est qu’une infime partie de ce qui est inclus. Tout configurer peut prendre un certain temps, mais gérer un plugin vaut mieux que plusieurs.

2. Arrêtez les attaques par force brute

Les pirates peuvent facilement pirater votre mot de passe de connexion et vos informations d’identification en utilisant des attaques par force brute. Pour éviter que cela ne se produise, installez le plugin Login Lockdown . Ce plugin enregistre l’adresse IP et l’horodatage de chaque tentative de connexion WordPress échouée. Une fois qu’un certain nombre de tentatives infructueuses sont détectées, la fonction de connexion sera désactivée pour toutes les demandes de cette plage.

Il ajoute également deux autres fonctionnalités pratiques : l’authentification à deux facteurs et CAPTCHA. Ceux-ci réduisent également considérablement les attaques par force brute.

3. Utilisez un mot de passe fort

Assurez-vous d’utiliser un mot de passe fort, difficile à deviner pour les autres. Utilisez une combinaison de chiffres, de caractères spéciaux et de lettres majuscules/minuscules pour former votre mot de passe. Vous pouvez également utiliser le vérificateur de mot de passe sur WordPress 2.5 et supérieur pour vérifier la force de votre mot de passe.

Utiliser un gestionnaire de mots de passe pour générer un mot de passe complètement aléatoire et sécurisé est une autre option. Même si vous ne stockez pas vos mots de passe, ces outils restent d’excellents outils pour générer des mots de passe uniques pour votre site.

4. Protégez votre dossier WP-Admin

Votre dossier « wp-admin » contient toutes les informations critiques sur votre site et constitue le dernier endroit auquel vous souhaitez donner accès aux autres. Le moyen le plus simple de le protéger consiste à ajouter un mot de passe supplémentaire. Même si un pirate informatique accède à votre site avec les informations d’identification d’un utilisateur, il doit toujours déterminer les informations d’identification de votre wp-admindossier. À ce stade, vous êtes peut-être déjà au courant de la violation et pourrez modifier le mot de passe de l’utilisateur piraté et votre mot de passe wp-admin pour plus de sécurité.

Il existe plusieurs façons de procéder. Le premier dépend de votre hébergeur. Beaucoup proposent cPanel. Les étapes peuvent varier légèrement en fonction de l’hôte.

• Connectez-vous à la section cPanel de votre site. Votre hébergeur aura des instructions sur la façon de procéder.
• Faites défiler jusqu’à « Sécurité » et sélectionnez « Répertoires protégés par mot de passe ».

• Sélectionnez « Confidentialité du répertoire ».

• Sélectionnez le répertoire que vous souhaitez protéger par mot de passe et suivez les invites. Il existe généralement un didacticiel qui explique plus en détail comment protéger au mieux les répertoires à l’aide de cette méthode.

La deuxième méthode est manuelle et n’est généralement pas recommandée, car si vous ne la faites pas correctement, vous pourriez vous retrouver exclu de votre site.

• Créez un fichier texte à l’aide de votre éditeur de texte préféré et nommez-le « .htaccess »
• Ajoutez ce qui suit au fichier, mais modifiez le chemin AuthUserFile vers l’endroit où vous téléchargerez le fichier de mot de passe (à l’étape suivante) et remplacez « votre nom d’utilisateur » par votre nom d’utilisateur.

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

• Créez un autre fichier texte appelé « .htpasswd »
• Utilisez un générateur htpasswd pour générer le contenu du fichier. Hosting Canada , web2generators et AskApache disposent tous de générateurs faciles à utiliser. Après avoir rempli le générateur, copiez le texte qui vous est fourni dans le fichier. htpasswd que vous avez créé.
• Copiez les deux fichiers dans votre dossier wp-admin et vous êtes prêt.

5. Supprimer les informations sur la version de WordPress

De nombreux thèmes WordPress incluent les informations de version de WordPress dans la balise méta. Les pirates peuvent rapidement obtenir ces informations et planifier des attaques spécifiques ciblant la vulnérabilité de sécurité de cette version.

Pour supprimer les informations de version de WordPress :

• Connectez-vous à votre tableau de bord WordPress.
• Allez dans « Conception -> Éditeur de thème ».
• Recherchez votre fichier « En-tête » sur la droite.
• Recherchez la ligne de code suivante :

<meta name="generator"content="WordPress versionnumber"/>

• Supprimez cette ligne et appuyez sur « Mettre à jour le fichier ».

Vous pouvez également utiliser un plugin de sécurité WordPress, tel que Sucuri Security , pour masquer ces informations.

6. Cachez votre dossier de plugins

Si vous accédez à l’URL de votre site Web : https://yourwebsite.com/wp-content/plugins et que vous pouvez voir la liste complète des plugins que vous avez utilisés, alors votre site WordPress n’est pas très sécurisé. Vous pouvez facilement masquer cette page en téléchargeant un « index.html » vide dans le répertoire du plugin.

• Ouvrez votre éditeur de texte. Enregistrez le document vierge sous « index.html ».
• Téléchargez le « index.html » dans le dossier « /wp-content/plugins » à l’aide d’un programme FTP.

Également utile : utilisez ces plugins de statistiques WordPress pour mesurer votre site Web.

7. Changez votre nom de connexion

Le nom d’utilisateur par défaut est « admin ». Un moyen simple de sécuriser WordPress est de changer cela. Sinon, les pirates connaissent déjà la moitié de vos informations de connexion.

• Connectez-vous à votre tableau de bord WordPress et sélectionnez « Utilisateurs ».
• Sélectionnez « Nouvel utilisateur ».

• Définissez le rôle sur « Administrateur » et envoyez une invitation au compte de messagerie souhaité. Une fois l’invitation acceptée, vous pouvez vous connecter, créer un mot de passe et devenir le nouveau compte administrateur.

• Une fois le nouvel utilisateur configuré, revenez à « Utilisateurs ».
• Recherchez le compte « admin » et supprimez-le.
• Sélectionnez « Attribuer toutes les publications et tous les liens vers » et sélectionnez votre nom d’utilisateur.
• Appuyez sur « Confirmer la suppression ».

8. Mise à niveau vers les dernières versions

WordPress, ainsi que les thèmes et plugins, reçoivent des mises à jour régulières. Cela ajoute de nouvelles fonctionnalités, corrige des bugs et corrige des vulnérabilités de sécurité. La dernière partie est la plus importante. Si les pirates se rendent compte que vous disposez d’une ancienne version présentant des failles de sécurité, ils exploiteront immédiatement l’ouverture.

Planifiez une journée chaque mois pour effectuer des mises à jour. Même si vous ne disposez pas de nouvelles mises à jour pour tout, effectuez des mises à jour sur ce qui est disponible. Cela inclut votre installation principale de WordPress. C’est un moyen simple de sécuriser WordPress mais très efficace.

Avant d’effectuer des mises à jour importantes, effectuez une sauvegarde complète de votre site, au cas où.

9. Effectuez des analyses de sécurité régulières

Chaque installation WordPress nécessite un plugin de sécurité. All-In-One Security (AIOS) et Sucuri Security, que nous avons déjà mentionnés, sont d’excellentes options. Vous pouvez également essayer ce qui suit :

• Sécurité Wordfence
• Sécurité iThemes
• Protection Jetpack
• SecuPress Gratuit

10. Sauvegardez votre site WordPress

Peu importe le niveau de sécurité de votre site, vous voulez quand même vous préparer au pire. Installez un plugin de sauvegarde WordPress et planifiez-le pour sauvegarder quotidiennement votre base de données.

Vous avez le choix entre une grande variété, mais certaines des meilleures options incluent :

• Sauvegarde Jetpack VaultPress
• Courant ascendantPlus
• Copain de sauvegarde
• BlogVault
• Migration WP tout-en-un

11. Définir le privilège de l’utilisateur

S’il y a plusieurs auteurs pour votre blog, vous pouvez installer le plugin User Role Editor pour définir les capacités de chaque groupe d’utilisateurs. Cela vous donnera, en tant que propriétaire du blog, la possibilité de contrôler ce que les utilisateurs peuvent et ne peuvent pas faire sur le blog.

12. Mise à niveau vers SSL

Si vous n’avez pas de certificat SSL, c’est le moment d’en obtenir un. Secure Sockets Layer (SSL) est un protocole qui crypte ce qui est envoyé entre les utilisateurs et les sites Web. De nombreux hébergeurs Web proposent des certificats SSL gratuits ou peu coûteux qui sont incroyablement faciles à installer. Ceux-ci sont particulièrement importants si les utilisateurs se connectent à votre site ou effectuent des achats. De plus, Google préfère les sites dotés de certificats SSL.

• Magasin SSL pratique
• GlobalSign
• DigiCert
• La boutique SSL

13. Désactiver l’édition de fichiers

Vous pouvez modifier votre plugin et le code de votre thème directement depuis la zone d’administration de votre site. Imaginez si quelqu’un d’autre commençait à modifier le code sans votre permission. Pour éviter les mauvaises surprises, désactivez l’édition des fichiers.

Bien que vous puissiez utiliser un plugin comme Sucuri, vous pouvez également ajouter quelques lignes de code à votre fichier « wp-config.php ».

• Localisez le fichier « wp-config.php » dans le dossier racine de votre site. Vous pouvez utiliser n’importe quel client FTP pour accéder à vos fichiers.
• Téléchargez le fichier et ouvrez-le dans votre éditeur de texte préféré, tel que le Bloc-notes.
• Ajoutez ce qui suit au code :

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

• Remplacez le fichier « wp-config.php » existant par la nouvelle version pour désactiver l’édition de fichiers.

Également utile : si vous ajoutez beaucoup de médias à votre site Web, tenez compte de ces conseils d’optimisation d’image WordPress .

14. Utilisez l’authentification à deux facteurs

Même si les pirates informatiques accèdent aux informations de connexion d’un utilisateur, l’authentification à deux facteurs (2FA) signifie que le pirate informatique doit toujours accéder à un autre mot de passe. Dans ce cas, un code serait généralement envoyé au téléphone de l’utilisateur. Vous pouvez utiliser des plugins de sécurité, tels que ceux mentionnés plus haut dans cet article, ou un plugin 2FA dédié, tel que miniOrange Google Authenticator ou WP 2FA .

Crédit image : Unsplash . Captures d’écran de Crystal Crowder.