Securite WordPress : évitez la peau de banane !
Aujourd’hui, nous allons examiner 10 façons d’aider à améliorer et à maintenir la sécurité de votre site WordPress, en commençant par le plus simple et en travaillant à travers quelques conseils plus avancés pour vous aider dans votre sécurité WordPress.
Securite WordPress
Un domaine clé que les attaquants tenteront d’accéder est l’interface d’administration de WordPress. Si un utilisateur malveillant peut se connecter en tant qu’administrateur, il sera libre de faire ce qu’il veut à votre site.
Voici quelques changements que vous pouvez apporter pour sécuriser l’interface d’administration de WordPress:
1. Utiliser un nom d’utilisateur unique et sécurisé et un mot de passe
Évitez d’utiliser le nom d’utilisateur admin par défaut. Si vous êtes en mesure de choisir votre propre nom d’utilisateur lors de la configuration d’un nouveau site WordPress, si vous êtes sur une ancienne installation ou vous avez déjà défini votre nom d’utilisateur Admin, vous pouvez utiliser un plugin WordPress comme Changer d’utilisateur pour changer votre nom d’utilisateur avec quelque chose de plus sécurisé. Vous pouvez également créer un nouvel utilisateur avec des droits d’administrateur et supprimer l’ancien nom d’utilisateur «admin».
Essayez d’éviter les noms d’utilisateur communs tels que l’administrateur, le nom de votre site Web ou votre nom.
2. Utiliser l’authentification à deux facteurs
L’authentification à deux facteurs (connue sous le nom de 2FA ou parfois de validation en deux étapes) nécessite qu’un utilisateur se connecte non seulement à son nom d’utilisateur et à son mot de passe, mais aussi à un code unique généré pour une utilisation unique et envoyé à un périphérique Smartphone) par SMS ou une application iOS / Android.
3. Vérifier que l’utilisateur est humain
Les formulaires CAPTCHA, qui demandent à l’utilisateur d’entrer ce qu’ils voient dans une image sous forme de texte, sont un moyen utile d’empêcher les botnets de tenter de se connecter brutalement à votre site WordPress. Généralement, les botnets ne peuvent automatiser cette partie du processus de connexion, ce qui les empêche d’accéder à votre site.
4. Protection par mot de passe wp-login.php
Si vous êtes un utilisateur ou un développeur WordPress plus avancé et que vous êtes à l’aise avec certains changements côté serveur, vous pouvez exiger une connexion côté serveur avant que l’écran de connexion WordPress s’affiche.
Sécurité des codes
Que vous développiez votre propre thème ou plugin pour votre site, ou que vous utilisiez quelque chose d’un tiers, il est important que le code utilisé soit sécurisé et n’ouvre pas la porte à des attaques potentielles.
5. Choisissez vos thèmes et plugins judicieusement
Il est important de choisir des thèmes et des plugins qui sont activement maintenus et régulièrement mis à jour. Bien que ce ne soit pas une garantie de sécurité, cela signifie que si des vulnérabilités de sécurité se trouvent dans un thème ou un plugin, il sera adressé et mis à jour rapidement.
Vérifiez également les descriptions détaillées des plugins, car certains seront audités par des tiers pour la sécurité, ce qui peut vous aider à avoir la tranquillité d’esprit.
6. Assurez-vous que les autorisations de fichiers et de dossiers sont correctes
Il est important de vous assurer que les fichiers et dossiers WordPress possèdent la propriété et les autorisations appropriées. Non seulement cela permet à WordPress de se tenir à jour, il empêche également les attaquants d’exploiter la sécurité des fichiers pauvres et de prendre le contrôle de votre site.
Comme guide de base, les dossiers WordPress doivent toujours avoir 0755 autorisations, et les fichiers WordPress doivent toujours avoir 0644 autorisations – bien que cela puisse varier.
Si vous obtenez des erreurs lors de la tentative d’installation de plugins ou de téléchargement de nouveaux médias, ne soyez pas tenté de définir des autorisations de dossier à 0777. Au lieu de cela, travaillez avec votre hébergeur pour vous assurer que PHP est exécuté avec l’utilisateur correct et que Les dossiers sont détenus par le même utilisateur.
7. Durcissement côté serveur
Pour les utilisateurs avancés gérant leur propre hébergement web, vous pouvez également :
Assurez-vous que l’utilisateur de votre base de données a accès aux privilèges SELECT, INSERT, UPDATE et DELETE uniquement
Utiliser des noms d’utilisateurs et des mots de passe de base de données
Interdire l’édition de fichiers côté serveur dans WordPress, en ajoutant define (‘DISALLOW_FILE_EDIT’, true); À votre fichier wp-config.php
Certains hébergeurs pourront exécuter certaines de ces actions pour vous – il est toujours utile de demander.
Conclusion Securité WordPress
Dans cet article, nous avons couvert 7 conseils pour sécuriser votre site WordPress, allant de l’authentification des utilisateurs de base à des pratiques de codage et d’hébergement. Pour les utilisateurs plus avancés, nous avons abordé certaines des techniques de durcissement avancées qui peuvent être utilisées pour assurer que WordPress est aussi sécurisé que possible.
Et, il est toujours avantageux de se rappeler que si la prévention vaut mieux que de guérir, il suffit d’une petite erreur pour entraîner la perte de données à cause d’une installation piratée WordPress. Par conséquent, il est essentiel d’installer un service de sauvegarde WordPress afin que votre site Web puisse être restauré facilement en cas d’attaque ou d’erreur.
Si vous avez aimer cet article, n’hésitez pas à écrire vos commentaires, à liker et à partager.
Que pensez-vous de la sécurité WordPress? Quelles solutions avez-vous mis en place pour votre Site internet? Quelles sont les autres solutions que vous proposeriez pour améliorer votre sécurité wordpress?
Nos sites internet :
Site Agence digitale Paris
Site spécialisé pour Maintenance WordPress, Sécurité WordPress et Hébergement Wordpress
Nos réseaux sociaux @agencewebqomino
• Facebook
• Twitter
• Périscope
• Snapchat
• Linkedin
