10 conseils pour améliorer la sécurité de votre site WordPress
Publié: 2022-02-16WordPress est l'un des systèmes de gestion de contenu les plus simples et les plus polyvalents. Tout débutant peut rapidement créer un site Web professionnel avec lui.
Il offre une sécurité de base prête à l'emploi pour vous aider à démarrer. Il vous permet également de renforcer la sécurité de votre site.
Dans cet article, vous apprendrez 10 astuces pour améliorer facilement la sécurité de votre site WordPress même si vous êtes débutant.
Astuce #1 : Authentification à deux facteurs
C'est l'une des étapes les plus simples mais les plus efficaces que vous puissiez prendre pour améliorer la sécurité de votre site Web WordPress.
L'authentification à deux facteurs signifie qu'en plus de fournir un mot de passe pour se connecter au site, les utilisateurs devront également entreprendre une étape de vérification supplémentaire.
Cela implique généralement la saisie d'un code spécialement généré qu'ils reçoivent par e-mail ou SMS.
La mise en œuvre de l'authentification à deux facteurs vous protégera efficacement des attaques par force brute, et il existe un certain nombre de plugins qui transforment la mise en œuvre d'un tel système en un jeu d'enfant.
Afin de configurer l'authentification à deux facteurs, vous devrez d'abord vous rendre sur le site Web WordPress sur l'appareil concerné.
À partir de là, accédez au lien "sécurité : lien. Vous devriez voir une option pour l'authentification à deux facteurs.
Ici, vous pouvez désigner le numéro de téléphone portable pour le processus d'authentification à 2 facteurs.
Conseil n° 2 : implémentez des limites de connexion
Limiter le nombre de tentatives de connexion que les utilisateurs peuvent effectuer dans un certain laps de temps vous protégera contre les attaques par force brute.
Si les pirates potentiels peuvent essayer autant de combinaisons de mots de passe différentes pour accéder à votre site qu'ils le souhaitent, ce n'est qu'une question de temps avant qu'ils ne brisent vos défenses et n'accèdent au cœur de votre site Web.
L'ajout de limites de connexion n'est pas difficile à faire ; en fait, il existe de nombreux plugins qui s'occuperont de tout pour vous.
Certains de ces plugins offrent également des fonctionnalités de sécurité supplémentaires pour protéger votre page de connexion des intrus.
Afin de limiter les tentatives de connexion à votre site WordPress, vous devrez installer un plugin approprié.
Il en existe un certain nombre. Vous pouvez regarder ici pour des instructions spécifiques.
Conseil n° 3 : modifier l'URL de connexion de l'administrateur
C'est un moyen simple de rendre votre site Web un peu plus difficile à pirater. La plupart des gens commettent l'erreur de laisser l'URL de leur page de connexion d'administrateur à sa valeur par défaut.
Une mesure simple que vous pouvez prendre pour améliorer la sécurité de votre site Web consiste à modifier l'URL de la page de connexion.
Cette simple étape vous protégera instantanément de la majorité des attaques automatisées par force brute qui sont configurées pour rechercher les pages de connexion par défaut à attaquer.
Changer l'URL de connexion WordPress n'est pas un processus simple et direct en soi.
La meilleure façon de procéder est de télécharger un plugin tel que le plugin "WPS Hide Login".
Une fois que vous l'avez installé, vous pouvez alors rechercher dans le menu des paramètres l'option permettant de configurer le plugin et de définir votre URL de connexion.
Conseil n° 4 : sécurisez les mots de passe
Votre mot de passe est votre première ligne de défense contre les intrus potentiels.
C'est votre mot de passe qui protège votre site Web et empêche les gens d'y entrer à leur guise.
Vous avez probablement eu ce conseil dans votre tête par chaque service que vous utilisez.
Vos mots de passe en ligne doivent utiliser un mélange de lettres et de chiffres et inclure des lettres majuscules et minuscules.
Astuce #5 : Assurez-vous que le répertoire WP-Admin est protégé
C'est le répertoire le plus important de toute l'architecture Web de WordPress. Ce répertoire doit donc être protégé par un mot de passe suffisamment fort.
En utilisant le bon plugin, vous pouvez définir un mot de passe pour vous connecter à la zone d'administration de votre site qui est différent de votre connexion normale.
Si vous prévoyez d'essayer de mettre en œuvre cette mesure de sécurité, vous devrez accéder au dossier racine de votre site et y apporter des modifications. Vous ne devriez pas tenter cela si vous n'êtes pas certain de ce que vous faites.
Une fois dans le répertoire concerné, vous devrez créer un fichier .htpasswords. Il existe des générateurs en ligne que vous pouvez utiliser pour ce faire. une fois que vous avez fait cela, téléchargez le fichier résultant en dehors de votre répertoire /public_html/.
Ensuite, vous devrez créer un fichier .htaccess et le télécharger dans le répertoire /wp-admin/. Une fois que vous avez fait cela, vous devez ensuite ajouter le code suivant.
AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehereAssurez-vous d'y placer votre propre nom d'utilisateur et vous serez prêt à partir.
Astuce #6 : Forcer les mots de passe sécurisés
Livrés à eux-mêmes, vos utilisateurs trouveront toutes sortes de moyens nouveaux et créatifs pour saper vos efforts de sécurité.
Afin de les protéger ainsi que vous-même, vous devez vous assurer que les utilisateurs doivent choisir des mots de passe forts lors de leur première inscription sur votre site.
La meilleure façon de forcer vos utilisateurs à choisir un mot de passe sécurisé est d'installer le plugin Force Strong Passwords.
Ce plugin garantira que toute personne disposant d'un accès de haut niveau à votre site Web utilise un mot de passe aussi fort que possible.
Conseil n° 7 : passez au HTTPS
Une attaque de l'homme du milieu se produit lorsqu'un attaquant intercepte un message envoyé entre deux parties.
Souvent, ni l'expéditeur ni le destinataire ne peuvent dire que leurs données ont été volées. Le passage à HTTPS gardera votre trafic sécurisé en utilisant des certificats SSL.
La première chose que vous devrez faire est de vous procurer un certificat SSL. La difficulté dépendra de votre hôte.
De nombreux hébergeurs pourront automatiser le processus de migration de votre site Web vers HTTPS, tandis que d'autres vous demanderont de le gérer vous-même.
Vous devrez ouvrir wp-config.php et modifier ce fichier pour refléter le changement.
Une fois que vous avez déplacé le backend vers HTTPS, vous devriez alors pouvoir déplacer le reste de votre site en utilisant les paramètres de WordPress.
Ajoutez simplement 'https://' au début de votre adresse WordPress et de l'adresse de votre site.
Il existe des services qui peuvent vous informer des problèmes SSL.
Astuce #8 : Surveillez vos fichiers
Vous devez installer des plugins sur votre site WordPress pour vous permettre de surveiller toute activité.
De cette façon, vous pouvez être informé le plus tôt possible d'éventuelles intrusions ou accès non autorisés.
Recherchez des plugins qui ne se contentent pas de surveiller les fichiers, mais vous fournissent également un résumé de toutes les modifications apportées.
Le moyen le plus fiable de surveiller vos fichiers WordPress pour toute activité non autorisée consiste à installer le plugin WordPress File Monitor.
Ce plugin surveillera votre site Web pour toute modification apportée à ses fichiers et alertera le propriétaire du site Web par e-mail.
Conseil n° 9 : Sauvegardez régulièrement
Peu importe le nombre de précautions que vous prenez, aucun système ne sera jamais sûr à 100 %.
Cependant, si vous suivez les procédures de sauvegarde appropriées et assurez-vous de créer régulièrement des copies à partir desquelles vous pouvez restaurer, vous n'aurez jamais à vous soucier de tout perdre.
Si votre serveur est infecté par un logiciel malveillant, vous pouvez d'abord essayer de le supprimer de vos serveurs.
Malheureusement, les logiciels malveillants les plus agressifs ne peuvent pas être effacés aussi facilement. Dans ces cas, avoir une sauvegarde est vital.
La plupart des hébergeurs WordPress proposeront un service de sauvegarde, qui devrait être relativement facile à trouver et à utiliser.
Certains hébergeurs sauvegardent automatiquement vos données quotidiennement, ce sont les meilleurs à utiliser.
Si vous souhaitez sauvegarder manuellement votre site Web WordPress, le moyen le plus sûr consiste à sauvegarder l'intégralité de votre répertoire WordPress.
Conseil n° 10 : Gardez tout à jour
C'est peut-être le conseil de sécurité le plus élémentaire qui soit, et c'est aussi l'un des plus importants.
Il est essentiel que vous gardiez WordPress et tous les plugins que vous avez installés à jour à tout moment. Si vous ne le faites pas, il est peu probable que vous soyez correctement protégé contre les dernières menaces.
La meilleure façon de vous assurer que votre site WordPress reste à jour est de vous assurer qu'il est configuré pour télécharger et appliquer automatiquement les mises à jour.
Cependant, vous devez noter que seules les mises à jour majeures de WordPress seront automatiquement appliquées, le reste devra être installé manuellement.
Pour installer manuellement les mises à jour, accédez à votre tableau de bord WordPress et cliquez sur l'option "Mises à jour".
Si vous vous assurez de suivre ces 10 conseils, votre site WordPress sera aussi sécurisé que possible.
Pourquoi s'inquiéter d'un piratage potentiellement dévastateur alors que, avec relativement peu d'efforts, vous pouvez renforcer vos défenses de cette manière ?