Comment sécuriser un site WordPress

Andrei Iordache

Andrei Iordache

Développeur WordPress

🚀 J’aide les gens à être trouvés en ligne | Développement WordPress, Core Web Vitals, Sécurité&Maintenance

Liste de contrôle de la sécurité de WordPress

Summary

Introduction

Conseils de base sur la sécurité de WordPress:

Vous trouverez ci-dessous quelques-uns des meilleurs conseils de sécurité pour WordPress, mais simples à mettre en œuvre. En les mettant en œuvre, votre site Web WordPress sera plus sécurisé.

  • Changez votre nom d’utilisateur administrateur
  • Mot de passe WordPress fort
  • Mise à jour du site WordPress
  • Les meilleurs plugins WordPress de sécurité
  • Certificat SSL de WordPress
  • Permissions des fichiers WordPress
  • Hébergement WordPress géré dans le nuage

Conseils avancés sur la sécurité de WordPress:

Il s’agit de conseils de sécurité WordPress avancés, donc si vous n’êtes pas sûr à 100% de ce qu’il faut faire, laissez quelqu’un d’autre mettre en œuvre ces paramètres. Vous devez faire très attention, car tout ce qui est mal implémenté peut casser le site. Par exemple, si vous changez juste une lettre ou un symbole à l’intérieur du fichier wp-config.php, votre site WordPress sera hors service en un rien de temps.

  • Niveau du serveur Couche d’authentification
  • Restriction de WordPress WP-Config.PHP
  • WordPress Login Hints
  • Modifier l’URL de l’administration de WordPress

Remarque: aucun système n’est sûr à 100 % ! Les mesures énumérées sont nécessaires pour renforcer un système à partir de zéro et le protéger contre les attaques les plus courantes de script kiddies. Les bots sont les ennemis les plus courants d’une installation WordPress et agissent de manière quelque peu aléatoire, automatisée, en exploitant les vulnérabilités. Que quelqu’un s’assoie devant son appareil et dise “oui, je veux pirater le site web de XY maintenant”, cela arrive moins souvent mais c’est beaucoup plus difficile à prévenir. Soyons clairs : si quelqu’un veut le faire et en a les moyens, il y a de fortes chances qu’il trouve un point d’attaque et donc un point d’entrée, malgré toutes les mesures.

Même si cela est un peu décourageant au début de cet article: Il est préférable de faire sécuriser son site WordPress par un professionnel. Seuls ceux qui sont sûrs dans le domaine savent où il faut aller et ce qu’il faut faire pour qu’un site web soit sécurisé autant que possible. Dans l’article suivant, j’essaie de rendre compréhensibles les étapes de la sécurisation, même pour les non-professionnels. Mais si vous n’êtes pas sûr de vous, vous devriez demander à quelqu’un qui sait comment faire.

Pourquoi les mesures de sécurité de WordPress?

Wordfence, le fabricant de l’un des plugins de sécurité WordPress les plus populaires, montre dans des statistiques récentes qu’il y a 3 millions d’attaques sur des sites WP chaque heure dans son seul réseau sécurisé. Cela représente environ 80 millions d’attaques par jour. Le nombre d’attaques non signalées est probablement beaucoup plus élevé car A) tous les sites Web n’utilisent pas Wordfence et B) de nombreux sites Web ne sont pas du tout sécurisés. La seule masse des attaques montre que la plupart des attaques sont principalement automatisées. Il faut les prévenir ou les bloquer.


L’immense popularité de WordPress en fait une cible pour les pirates. Plus précisément, il a fait l’objet de milliers d’attaques par des bots (réseaux d’ordinateurs infectés par des logiciels malveillants) qui tentent de pénétrer sur ces sites par force brute.

La plupart de ces attaques utilisent la méthode la plus simple possible pour accéder à un site : essayer des combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils puissent se connecter. Cette méthode repose sur l’erreur de l’utilisateur, dans la mesure où de nombreux utilisateurs de WordPress ne sont pas conscients de leur responsabilité dans la sécurisation de leur site.

Lorsque c’est le cas, les botnets peuvent essayer de se connecter à ces sites un nombre incalculable de fois, puisque rien ne les en empêche.

Pourquoi WordPress est-il la cible des pirates informatiques ?

Depuis décembre 2020, le CMS WordPress est la forme de script la plus utilisée dans le processus de développement de sites Web de l’ensemble du WWW. Les langages codés à la main (à l’exception des systèmes de gestion de contenu / CMS. Le langage HTML en est un bon exemple) ont été le type de sites web le plus utilisé depuis la naissance du WEB. Et depuis décembre 2020, ce titre est décerné par WordPress.

Les utilisateurs qui ne sont pas proactifs dans la protection de leur site ou qui ne mettent pas à jour les anciens plugins/versions de WordPress peuvent, sans le savoir, exposer leur site à des vulnérabilités potentiellement importantes. De cette façon, les sites WordPress piratés donneront la possibilité aux pirates d’accéder à l’intérieur. Voici quelques-uns des meilleurs conseils de sécurité WordPress pour vous aider à mieux sécuriser votre site contre toutes sortes d’attaques (attaques par force brute, attaques de connexion WordPress, et bien d’autres).


Si vous n’avez pas le temps d’administrer votre site web d’entreprise, consultez ceci: Services de maintenance de sites Web WordPress


Le site WordPress est-il sécurisé ?

Oui et non. Tout peut être piraté, et le CMS WordPress ne fait pas exception. Mais, si vous suivez les conseils que je vous donne ci-dessous, vous sécuriserez votre site WordPress.

D’une manière générale, le CMS WordPress est l’une des formes les plus sécurisées du Web. WordPress souffre de temps en temps de problèmes de sécurité mineurs. Certaines de ces failles de sécurité sont rapidement corrigées grâce à la communauté active des développeurs. Cependant, la plupart des problèmes de sécurité peuvent être évités en renforçant la configuration de WordPress.

Ce guide propose une approche des meilleures pratiques de sécurité que vous pouvez suivre pour protéger votre installation des menaces courantes. Vous apprendrez certains correctifs courants qui peuvent aider votre installation WordPress. Vous découvrirez également les fichiers qui doivent être modifiés pour renforcer la sécurité.

Ne prenez jamais les problèmes de sécurité de WordPress à la légère !

Même un changement mineur de plug-in ou de thème peut entraîner une faille de sécurité dans WordPress. N’oubliez pas que les logiciels évoluent, tout comme les failles de sécurité. La meilleure chose que vous puissiez faire est de prendre des précautions et d’éviter les points communs à partir desquels les failles de sécurité sont susceptibles d’affecter votre site WordPress.


Conseils de base sur la sécurité de WordPress pour une installation plus sûre de WordPress :

Basic WordPress Security Tips | Secure WordPress Site
Basic WordPress Security Tips | Secure WordPress Site

ATTENTION ! AVANT DE MODIFIER QUOI QUE CE SOIT, FAITES UNE COPIE DE SAUVEGARDE DE VOTRE SITE WORDPRESS !

1. Changez le nom d’utilisateur de l’administrateur de WordPress

N’utilisez pas admin (ou quelque chose de simple) comme nom d’utilisateur pour votre site. Il s’agit du nom d’utilisateur le plus ciblé par ces attaques. Les autres noms d’utilisateur à éviter sont administrator, manager, root, support, test et user. Le tableau de bord de WordPress est la première “porte” que les pirates tentent d’enfoncer. Soyez malin.

Pour changer un nom d’utilisateur dans WordPress :

  • Connectez-vous avec votre compte administrateur et ajoutez un nouvel utilisateur, avec des privilèges d’administrateur. Assurez-vous que votre nom d’affichage est différent de votre nom d’utilisateur.
  • Une fois cela fait, déconnectez-vous et connectez-vous en tant que nouvel utilisateur. Supprimez votre ancien compte administrateur.
  • Il vous sera demandé ce qu’il faut faire avec les messages appartenant à cet utilisateur, choisissez “attribuer tous les messages à” et sélectionnez votre nouveau nom d’utilisateur.

2. Un mot de passe WordPress fort : SOYEZ CRÉATIFS !

En créant un mot de passe WordPress qui contient des chiffres, des symboles, des lettres minuscules et majuscules, et beaucoup de caractères, vous rendez la tâche beaucoup plus difficile à ces méchants robots pour deviner votre mot de passe. Voici une liste de mots de passe que vous devez absolument éviter :

Les pires mots de passe WordPress de 2022 – Vous devez éviter chacun d’entre eux:
  • 123456
  • 123456789
  • picture1
  • password
  • 12345678
  • 111111
  • 123123
  • 12345

…et ainsi de suite. Vous avez compris l’idée : Choisissez vos p4S$W0rDs avec créativité !

Je vous conseille également d’éviter les mots de passe tels que “WordPress” et “admin”, vous voyez le genre.

Un mot de passe fort = un site web sûr.

Comment renforcer les mots de passe dans WordPress ?

Il existe des services qui proposent de générer des mots de passe sécurisés et plus longs (même cPanel vous offre ce type de fonction). Voici quelques-unes des options permettant de générer des mots de passe sécurisés. Vous pouvez également utiliser des programmes comme Lastpass pour stocker vos mots de passe et les utiliser pour l’autologin.

Les meilleurs gestionnaires de mots de passe WordPress :

Ne stockez pas les mots de passe dans des fichiers texte ou word normaux. Ne stockez pas les mots de passe dans les programmes FTP. Ne stockez pas les mots de passe dans un programme qui donne accès à un autre utilisateur que vous.


3. Mettez votre site WordPress à jour!

Secure WordPress Site using this
Secure WordPress Site using this

WordPress est mis à jour régulièrement, ce qui permet de résoudre les problèmes. Les problèmes de sécurité qui sont mis en évidence sont traités, et en ne mettant pas à jour, vous créez des vulnérabilités. Il est important de maintenir votre installation WordPress à jour, et c’est particulièrement vrai pour les plugins et les thèmes.

Dans ce cas, c’est aussi une bonne idée de supprimer tous les plugins qui ne sont pas utilisés sur votre site. Veillez toujours à sauvegarder votre site avant d’effectuer des modifications (installation de nouveaux plugins, modification du thème, mise à jour des plugins ou du thème, etc.)


4. Les meilleurs plugins de sécurité WordPress

Avez-vous besoin d’un plugin de sécurité WordPress?

Un solide plugin de sécurité WordPress peut être beaucoup plus pratique et faire gagner du temps à une personne non technique. Mais si vous avez suffisamment de temps libre et que vous souhaitez sécuriser votre site sans utiliser de plugin de sécurité, vous pouvez suivre les conseils de cet article (dans la section Avancé).

Plugin de sécurité WordPress gratuit ou premium?

Il n’est pas facile de sélectionner le type de plugin qui convient à votre installation. Certains des plugins premium sont adaptés si vos données WordPress sont essentielles pour votre entreprise. Si vous tenez un blog de loisirs ou un blog non commercial, vous n’avez pas besoin d’investir dans un plugin premium. Gardez à l’esprit que plus les données traitées par WordPress sont importantes, plus votre configuration de sécurité doit être stricte.

Combien de plugins de sécurité WordPress dois-je utiliser?

Réponse courte : Aussi peu que possible. Évitez d’utiliser des plugins inutiles et n’oubliez pas de supprimer ceux qui sont inactifs.

J’ai répertorié de nombreux plugins parmi lesquels vous pouvez choisir et que vous pouvez installer sur votre tableau de bord. Cependant, vous n’êtes pas obligé d’installer une tonne de plugins. Par exemple, si vous envisagez d’optimiser la vitesse de votre site, vous ne devez pas installer 3 plugins de cache, 5 optimiseurs d’image ou 500 plugins CDN (vous avez compris l’idée). Vous devriez utiliser un plugin qui intègre de nombreuses fonctionnalités (optimisation des images, mise en cache, optimisation des scripts, etc). C’est aussi le cas du plugin de sécurité : Installez-en un bon et c’est tout. Il n’y a aucune logique à utiliser 3 plugins pour le même but, simultanément. Notez que certains hébergeurs n’autorisent pas certains plugins WordPress.

Quel est le meilleur plugin de sécurité pour WordPress?

Afin de choisir le meilleur plugin de sécurité pour votre site WordPress, utilisez la liste de contrôle suivante:

  • Le nombre de téléchargements. Sélectionnez le plugin le plus téléchargé.
  • Combien de problèmes sont signalés sur la page officielle du plugin, sur WordPress.org.
  • L’activité des auteurs du plugin dans le Forum. Un autre bon moyen est de faire une recherche sur Reddit à son sujet.
  • Le nombre de mises à jour du plugin.
  • Ne tenez pas compte du classement par étoiles du plugin.
  • Comment le plugin utilise les éléments uniques de l’espace de nom.
  • Comment le plugin utilise l’API des paramètres dans les fonctionnalités.
  • Les crochets, filtres et actions contenus dans les plugins.
  • Si le plugin a correctement nettoyé les données et les déclarations MySQL.
  • Les plugins qui utilisent des nonces au lieu des cookies du navigateur. Si plusieurs plugins effectuent la même tâche, choisissez celui qui a le plus grand nombre de téléchargements et de commentaires.
  • La réputation de l’auteur du plugin dans la communauté WordPress.

Ce sont les critères à prendre en compte lors de la sélection d’un plugin de sécurité dans le référentiel du support WordPress. Si vous choisissez d’installer la version premium des plugins, vous devez rechercher les avis en ligne. Testez également leur plugin gratuit ou leur service d’essai avant d’acheter le plugin.

a. Les meilleurs plugins de sécurité WordPress en 2021 – Ceux que j’ai personnellement utilisés.

Ci-dessous, je vais vous montrer les meilleurs plugins de sécurité WordPress en 2021 et pas seulement. L’installation de certains des plugins essentiels de la liste ci-dessous peut assurer la sécurité de votre installation WordPress. Voici quelques-uns des plugins que j’ai personnellement utilisés sur de nombreux sites WordPress.

Sucuri

Sucuri est l’un des plugins de sécurité WordPress les plus populaires en 2021. Il existe une version gratuite et une version premium. Sucuri fournit également des suggestions d’amélioration de la sécurité et des ajustements, afin de garder votre site Web en sécurité. Sucuri Security a les fonctionnalités suivantes : Audit, scanner de logiciels malveillants et renforcement de la sécurité.

Wordfence

Wordfence est un plugin très simple et facile à utiliser. Il fait office de pare-feu et d’antivirus, et suggère des moyens d’améliorer la sécurité de votre site. N’oubliez pas de consulter la section “Live Traffic”, où vous pouvez voir toutes les tentatives de connexion à votre site qui ont échoué, c’est surprenant.

iThemes Security (anciennement Better WordPress Security)

iThemes Security Ce plugin vous donnera un aperçu plus détaillé de ce que vous pouvez faire pour protéger votre site et des options de sécurité plus complexes. Faites attention lorsque vous activez des paramètres qui pourraient entrer en conflit avec d’autres thèmes ou plugins. Ceux-ci sont mis en évidence en bleu dans État du système.

b. Autres plugins de sécurité WordPress :

All In One WP Security & Firewall

Ce plugin peut vous aider à effectuer quelques contrôles de sécurité de base sur votre installation WordPress. Vous pouvez effectuer quelques corrections à partir de la page d’options de votre plugin. Vous pouvez installer ce plugin, exécuter le scan et corriger les problèmes de sécurité minimaux. Une fois les corrections de sécurité de base effectuées, vous pouvez désinstaller le plugin.

Shield Security

WordPress Firewall évite les attaques par injection SQL, les attaques par force brute et les attaques par enregistrement de spambots. Il vous avertit également par e-mail lorsqu’une attaque en direct se produit sur votre site. Si vous n’aimez pas les notifications par e-mail, vous pouvez les désactiver. Il est également doté d’une fonction pratique qui vous permet de bloquer l’adresse IP qui tente régulièrement d’attaquer votre installation WordPress. Vous pouvez également mettre sur liste noire certaines adresses IP pour une protection supplémentaire. Si vous voulez que certaines des adresses IP soient sur une liste blanche, le plugin dispose d’une option qui vous permet de le faire.

Block Bad Queries

Le plugin Block bad Queries est conçu pour surveiller l’URI de la requête dans le tableau de bord de WordPress. De cette façon, il peut filtrer certaines des attaques les plus courantes. Ce plugin vérifie les chaînes de requête excessivement longues (c’est-à-dire supérieures à 255 caractères), ainsi que la présence de “eval(” ou “base64” dans l’URI de la requête. Block bad queries fait un travail complètement différent de celui du pare-feu WordPress 2. Il est donc nécessaire d’avoir ce plugin installé avec WordPress Firewall 2.

Website File Changes Monitor

Il garde la trace de chaque changement dans l’installation de WordPress. Il tient un journal des changements dans les fichiers des répertoires de WordPress. Il vous notifie les changements qui ont lieu dans les fichiers. Si un pirate a accès à vos thèmes et plugins et réécrit de nouvelles informations dans l’un des fichiers, vous recevrez une notification de ces changements. Ce plugin est pratique pour comprendre quel fichier doit être ramené à l’état précédent. Vous pouvez utiliser les fichiers sauvegardés pour restaurer le fichier non affecté à cet endroit. Pour ce faire, vous devez utiliser un autre plugin de sauvegarde ou effectuer une sauvegarde manuelle régulière.

Limit Login Attempts Reloaded

Installez le plugin et définissez le nombre de tentatives sur la page des options du plugin. Vous pouvez également définir le nombre de minutes pour garder le verrou sur une page de connexion. Il conserve également le journal du nombre de tentatives et du nombre de fois où le verrou a été activé.

AntiVirus

Le plugin AntiVirus aide votre installation WordPress en analysant les fichiers à la recherche de logiciels malveillants et de virus. Ce plugin détecte chaque changement de fichier et le signale dans le tableau de bord. Il soulève parfois les faux positifs lorsqu’il déclenche le changement dans require_once, includes et autres snippets mis à jour qui sont authentiques mais signalés comme code malveillant. Si un thème utilise eval, base64_decode ou shell_exec, il sera notifié dans le rapport. Vous pouvez alors remplacer ces thèmes par ceux dont le code est plus sûr.

BCRYPT

Installez le plugin ‘bcrypt’ pour les mots de passe.. Github Page. Cela améliorera considérablement la force des mots de passe cryptés dans votre base de données SQL.

Fail2Ban

Utilisez fail2ban avec WP Fail2ban Redux. Cela permettra de repérer les pirates potentiels qui scrutent votre site web à la recherche de vulnérabilités et de les bannir rapidement.

WP-Bruiser

WP-Bruiser est surtout utilisé comme méthode sans captures pour bloquer les robots spammeurs dans vos formulaires de commentaires, de contact, d’inscription et de connexion, mais il comprend également des protections utiles contre la force brute et une fonction qui vous avertit lorsqu’un administrateur se connecte. Ces fonctionnalités sont disponibles gratuitement. Il s’agit d’une excellente option légère.

 

c. Plugins de sauvegarde de base de données WordPress:

Vous pouvez vous épargner bien des maux de tête en récupérant votre site si vous faites des sauvegardes régulières. Vous pouvez programmer certains plugins pour qu’ils sauvegardent automatiquement votre site lorsque vous publiez ou à certains moments de la semaine. En ce qui concerne la sauvegarde de WordPress, il existe de nombreuses solutions. Nous allons aborder ici trois méthodes : les plugins, les services de sauvegarde hébergés et les sauvegardes manuelles.

Plugins de sauvegarde WordPress – Ces plugins peuvent vous aider à prendre une sauvegarde de vos articles, commentaires et autres paramètres WordPress et à la stocker où vous le souhaitez. Certains d’entre eux offrent la possibilité d’envoyer votre sauvegarde par e-mail ou de la télécharger sur un serveur distant comme Amazon S3, Dropbox ou tout autre service de sauvegarde.

Sauvegarde manuelle – Dans cette méthode, vous devez faire une sauvegarde de la configuration et la garder en sécurité par vous-même. Vous devez stocker les données sauvegardées à un autre endroit que le serveur d’hébergement. Il existe des plugins de sauvegarde gratuits et payants pour WordPress. Vous pouvez choisir celui qui correspond à vos besoins.

Service de sauvegarde hébergé – Ces services s’intègrent à la configuration de WordPress et prennent un instantané régulier de la configuration de WordPress. Il s’agit essentiellement de plugins qui sont connectés au serveur de sauvegarde. Dans cet article, je vais parler des deux premières méthodes.

La plupart des plugins gratuits qui téléchargent les données vers Dropbox ou envoient les données par email sont préférés par les membres de la communauté WordPress. Si vos données WordPress sont critiques, alors s’abonner à un service comme Vaultpress ou Codevault est une bien meilleure option. Vous pouvez également utiliser des plugins premium comme BackupBuddy ou Backupify pour sauvegarder vos données.

Plus vos données sont importantes, plus il est préférable d’opter pour une solution de sauvegarde hébergée.

Voici quelques-uns des plugins de sauvegarde qui peuvent répondre à vos besoins en matière de sauvegarde et de surveillance :

WP-DB Manager

Ce plugin gratuit est très pratique pour optimiser votre base de données. Il envoie également la sauvegarde par email à l’administrateur ou à l’utilisateur spécifique. Le plugin n’est pas facile à utiliser car il n’y a pas de point spécifique pour le débutant à apprendre et à utiliser. Cependant, si vous êtes à l’aise avec WordPress et ses différents plugins de configuration, il n’est pas difficile d’utiliser ce plugin.

BackWPup

Il s’agit d’un plugin gratuit qui est très pratique pour télécharger la sauvegarde de votre base de données vers des services externes comme dropbox, amazon s3, Google drive et quelques autres services de sauvegarde. L’option de restauration pour une nouvelle installation est incluse dans le plugin. Il n’a pas de support actif dans les forums mais pour un plugin gratuit, il fait le travail et n’a pas de bugs critiques.

WP-DB-Backup

Très populaire pour la sauvegarde de la base de données. L’utilisation de ce plugin est très simple. Il n’effectue qu’une seule tâche, à savoir la sauvegarde de la base de données principale. Vous n’avez pas la possibilité de choisir l’emplacement de la sauvegarde. Vous ne pouvez pas sauvegarder les articles et autres fichiers. Il n’y a pas beaucoup de support fourni pour ce plugin. Mais compte tenu de la facilité d’utilisation et de la sauvegarde rapide de la base de données, ce plugin est parfait pour les débutants qui ne peuvent pas utiliser d’autres plugins avancés.

Manual Backup

Si vous ne pouvez pas vous permettre une autre méthode de service de sauvegarde, vous pouvez sauvegarder votre site WordPress manuellement sur Google drive, Dropbox ou sur un ordinateur local. Dans cette méthode, vous pouvez utiliser l’un des plugins de sauvegarde de base de données pour télécharger l’archive qui est générée par le plugin. Alternativement, vous pouvez également sauvegarder les données du dossier /uploads pour sauvegarder les images et autres fichiers multimédia. Les messages et les commentaires ainsi que les paramètres de base peuvent être téléchargés en suivant ces instructions.

Cliquez sur Outils puis allez à la page d’exportation. Dans cette page, vous devez sélectionner tous les messages et toutes les pages et cliquer sur le bouton d’exportation. Vous obtenez le fichier WXRS qui contient les données du noyau de WordPress. Il s’agit essentiellement d’un fichier XML qui contient les données structurées que vous pouvez utiliser pour restaurer vos articles. Si vous n’avez pas les moyens d’acheter des plugins ou des services premium pour la sauvegarde. Vous pouvez utiliser des plugins gratuits qui peuvent stocker la sauvegarde sur Dropbox ou Google Drive. Ces deux services de sauvegarde peuvent héberger les sauvegardes de votre blog gratuitement. Si, par hasard, votre sauvegarde dépasse la limite de données de ces services, vous pouvez alors souscrire un abonnement annuel pour le stockage.

Je mentionne que je suis un fan de la sauvegarde manuelle de WordPress, et je ne recommande pas d’impliquer un plugin dans le processus de sauvegarde/récupération.


5. Installez un certificat SSL (Secure Sockets Layer) :

Secure WordPress Site with SSL
Secure WordPress Site with SSL

Aujourd’hui, vous avez deux options pour les SSL : Le certificat SSL gratuit et le certificat SSL Premium.

L’un des meilleurs fournisseurs de certificats SSL gratuits est Let’s Encrypt. Un fournisseur d’hébergement pertinent de 2021 ajoutera cette fonction gratuitement à ses clients d’hébergement.

Pour les certificats SSL premium, vous avez beaucoup d’options. Les certificats SSL Premium sont une forme améliorée du certificat SSL standard utilisé par les sites de commerce électronique pour sécuriser les transactions en ligne. Bien sûr, vous pouvez aussi utiliser ce type de certificat SSL pour votre site WordPress de base, mais pour les sites de taille moyenne et grande, où les gens fournissent des informations personnelles, des informations sur les cartes de crédit, etc, il est impératif d’utiliser un certificat SSL Premium.

Le prix d’un certificat SSL premium commence à 5 $/an et va jusqu’à 1 999 $/an pour un certificat SSL DigiCert (anciennement par VeriSign).

Pourquoi utiliser un certificat SSL ?

Non seulement il sécurisera votre site WordPress, mais l’utilisation d’un certificat SSL en 2021 est un MUST. Sans SSL, les visiteurs de votre site et vos clients courent un risque plus élevé de se faire voler leurs données. La sécurité de votre site est également en danger sans cryptage. Le SSL protège les sites Web contre les escroqueries par hameçonnage, les violations de données et de nombreuses autres menaces. En fin de compte, il crée un environnement sécurisé pour les visiteurs et les propriétaires de sites.


6. Autorisations de fichiers

Chaque fichier sur le serveur web basé sur Linux ou Unix possède des niveaux de lecture, d’écriture et d’exécution. Les utilisateurs qui accèdent à ces fichiers sont divisés en trois groupes : l’utilisateur (propriétaire), le groupe et le monde. Vous pouvez rendre votre site Web plus sûr si vous définissez les autorisations de fichiers de manière à empêcher les utilisateurs anonymes et les groupes de les modifier. Comme vous pouvez le constater, le serveur Web définit par défaut certains niveaux d’autorisation pour vous. Permissions courantes que vous trouverez sur un serveur web.

755 - L'utilisateur peut lire, écrire et exécuter un fichier, tandis que le groupe et le monde peuvent exécuter et lire le fichier. 
644 - L'utilisateur peut lire et écrire, tandis que le groupe et le monde peuvent lire. 
777 - L'utilisateur, le groupe et le monde peuvent lire, écrire et exécuter. 
400 - L'utilisateur peut uniquement lire. Le groupe et le monde n'ont aucune autorisation. 
444 - Tous les niveaux d'utilisateurs peuvent lire. 
600 - L'utilisateur peut lire et écrire, tandis que le monde et le groupe n'ont aucune autorisation.

Comme vous pouvez voir le niveau de sévérité de ces permissions, vous devriez vous en tenir à 644 et 755 lorsque vous modifiez les niveaux de permission. Par défaut, WordPress définit la permission des fichiers à 644 et celle des dossiers à 755.

Vous ne devez jamais définir la permission 777 pour un fichier ou un dossier. Certains plug-ins de cache vous obligent à définir la permission du dossier du plug-in à 755, si votre serveur Web la remplace par 644. Les paramètres de permission varient d’un hôte à l’autre. Ils dépendent également du système d’exploitation utilisé sur le compte d’hébergement. Vous pouvez trouver une manière complètement différente de définir le niveau de permission pour un serveur Windows.

Lorsque vous téléchargez les fichiers sur le serveur Web via FTP ou un téléchargeur basé sur le Web, vérifiez les autorisations.


7. Pensez aux services d’hébergement WordPress gérés dans le nuage

L’hébergement de votre plateforme WordPress sur des serveurs partagés bon marché peut exposer votre site à davantage de risques – vous n’avez aucun contrôle sur ce que font les autres utilisateurs sur ce même serveur, ce qui peut potentiellement compromettre votre site.

En outre, les performances peuvent se dégrader au fil du temps, à mesure que l’hébergeur ajoute des utilisateurs sur le serveur, vous obligeant à vous battre entre vous pour les ressources.

Pourquoi éviter un hébergement WordPress mutualisé bon marché et en choisir un plus cher?

Un bon service d’hébergement WordPress peut vous aider à garder votre site rapide et sécurisé :
  • Fournir des serveurs constamment mis à jour/des correctifs de sécurité actualisés
  • Offrir un pare-feu (logiciel ou matériel) – également avec des correctifs de sécurité à jour
  • surveiller les performances du système pour détecter toute activité inhabituelle (demandes de base de données, tentatives de connexion, etc.)
  • Disposer de techniciens capables de comprendre la situation et de fournir une aide immédiate.
  • Sauvegarde et restauration des services en cas de site compromis

Conseils avancés sur la sécurité de WordPress – Sécuriser le site WordPress

Advanced WordPress Security Tips - Secure WordPress Site
Advanced WordPress Security Tips – Secure WordPress Site

ATTENTION ! FAITES UNE SAUVEGARDE DE VOTRE SITE WEB AVANT D’EFFECTUER L’UNE DES MODIFICATIONS SUIVANTES. FAITES ÉGALEMENT UNE SAUVEGARDE APRÈS CHAQUE MODIFICATION QUE VOUS EFFECTUEZ, AFIN DE GAGNER UN TEMPS PRÉCIEUX !

 

1. Ajouter une couche d’authentification au niveau du serveur

Si n’importe qui peut accéder à votre écran de connexion /wp-admin, il est plus facile pour les pirates et les robots de faire des dégâts.

L’ajout d’un niveau de sécurité supplémentaire au niveau du serveur garantit que vous êtes le seul à contrôler qui peut et ne peut pas accéder à /wp-admin en premier lieu. Afin de sécuriser un site WordPress, vous devez suivre les conseils suivants:

Il y a plusieurs façons de procéder:

a. Restriction d’IP /wp-admin

Ne mettez sur une liste blanche que votre adresse IP (et celle des personnes en qui vous avez confiance) dans votre fichier .htaccess pour vous assurer que le fichier /wp-admin n’est accessible qu’aux personnes autorisées.

b. Ajoutez ces lignes à votre fichier .htaccess :
# ALLOW USER BY IP

order deny,allow
deny from all
allow from YOUR.IP.GOES.HERE
Find out your IP address here http://www.whatismyip.com/
c. Ajouter l’authentification HTTP à /Wp-admin

Ajoutez un nom d’utilisateur et un mot de passe supplémentaires via .htpasswd à /wp-admin. Les utilisateurs ne peuvent même pas afficher la page de connexion WP tant qu’ils n’ont pas fourni le nom d’utilisateur et le mot de passe appropriés au niveau du fichier .htpasswd.

2. Restreindre l’accès à WP-CONFIG.PHP

Si vous pouvez accéder au fichier, modifiez la permission en 0644. Si vous n’y avez pas accès, demandez à votre hébergeur de le faire.

3. Arrêtez les astuces de connexion :

Je ne sais pas pourquoi WordPress conserve ce paramètre, mais vous devez vous en débarrasser au plus vite. Pour désactiver les indications de connexion, vous devez ajouter le code suivant au fichier Function.PHP :

function no_wordpress_errors(){
return 'What the heck are you doing?! Back off!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

4. Modifier l’URL d’administration de WordPress

Pour changer l’URL d’administration de WordPress, suivez ces étapes :

1. Ajoutez une constante à wp-confing.php

define('WP_ADMIN_DIR', 'secret-folder');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

2. Insérez le filtre ci-dessous dans functions.php

add_filter('site_url', 'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
$old = array( "/(wp-admin)/");
$admin_dir = WP_ADMIN_DIR;
$new = array($admin_dir);
return preg_replace( $old, $new, $url, 1);
}

3. Ajoutez ceci au fichier .htaccess

RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L]

 

Après ces étapes, votre URL d’administration de WordPress sera comme suit : http://www.yoursite.com/hidden-folder/

5. Empêcher l’injection de mauvais code – Bloquer les mauvaises requêtes

Avec le plugin suivant, vous pouvez protéger WordPress des requêtes URL malveillantes. Il suffit de placer le code suivant dans un fichier PHP sous wp-content/plugins, puis d’activer le plugin dans le backend.

/*Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
if (strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64"))
{
@header("HTTP/1.1 400 Bad Request");
@header("Status: 400 Bad Request");
@header("Connection: Close");
@exit;
}

Site WordPress sécurisé : Conclusion

Bien que WordPress ait connu une augmentation considérable des attaques de pirates, il suffit de quelques ajustements et d’une certaine sensibilisation pour que votre site soit à l’abri des pirates. Matthew Mullengweg, le développeur fondateur de WordPress, note sur son blog que si vous changez votre nom d’utilisateur d’administrateur, que vous vous assurez d’avoir un mot de passe fort et que vous maintenez votre site à jour, “vous aurez une longueur d’avance sur 99 % des sites existants et n’aurez probablement jamais de problème”.

Article précédent
Résolu: Composer a détecté des problèmes dans votre plateforme
Article suivant
Bloguer en 2021 : Comment démarrer un blog SUCCESSE ?
Lusi StudiosLusi Studios
15:32 22 Jun 22
Andrei did an amazing job! He helped in a very rushed time and he excelled at everything. Thanks again!
I am grateful and I would to thank Websites Seller for their support in site recovery and site transfer. Websites Seller just saved my business. Thank you!
Wouter GhysensWouter Ghysens
11:52 10 Sep 21
Looking for a Wordpress transfer from site A to site B, I found back Andrei from Wesites Seller on Google.He was very proactive in his approach, came with hundreds of ideas and lifetime experiences from other migrations. He knows the wordpress, the hosting and php database as the back of his pocket.And we worked out this migration very smooth. Together we solved it, and myself and my business are very pleased with his approach.100% recommendation & kudo's from out of Belgium!
Ioachim CiobanuIoachim Ciobanu
18:39 14 Jul 21
Websites Seller built my resume site. Deliverables were quickly completed, and I was asked for my feedback at each stage of development. All feedback I gave was implemented in a short time.Another great thing is that he comes with smart solutions, regarding stuff which I didn't initially think of (site security, Google site speed optimization and so on). Basically, he was great, staying in touch, keeping me updated and paid attention to what was most important for my site.Overall, I am very happy with the work done. I highly recommend this developer!
K CollinsK Collins
09:11 19 May 21
I needed help with website speed - to improve my core web vitals - without compromising the usability of my site. Andrei was extremely responsive, proactive and fast. And more importantly, he increased by website speed. Highly recommend him, and I will be using him going forward on all my projects.

Services

WordPress Website Maintenance Services

Services de maintenance WordPress

Service de maintenance de sites Web WordPress qui fournit des sauvegardes en nuage, une assistance d’urgence, des mises à jour hebdomadaires du site Web, la vitesse et bien d’autres choses encore.

sally

Service de migration WordPress

Transférez en toute sécurité votre site Web WordPress vers un nouvel emplacement pour 75 $. … Migrez votre site Web vers son nouvel hôte.

lawyer-office

Conception de sites Web pour avocats

Nous sommes spécialisés dans la conception de sites Web, le marketing Internet et le référencement pour les avocats et les juristes en Europe et aux États-Unis.