Liste de contrôle de sécurité WordPress : 17 points valides

La protection de votre site Web est une question importante, tout comme la sécurité de votre maison, c'est pourquoi nous avons créé cette liste de contrôle de sécurité WordPress. Les cybercriminalités sont de plus en plus fréquentes de nos jours. Vol d'informations personnelles, puis vente ou chantage, vol d'informations sur des sites Web à des fins de chantage et bien plus encore. Vous ne voulez certainement pas que cela se produise avec votre site Web. Pour éviter cela, vous devez constamment veiller à votre sécurité.

Liste de contrôle de sécurité WordPress

Nous vous proposerons plusieurs façons de protéger votre site Web. Vous pouvez en fait appliquer plusieurs possibilités en une seule et rendre le site Web plus protégé.

1. Bon hébergement

La première étape pour sécuriser votre site Web est l’hébergement, c’est la chose la plus importante dans cette liste de contrôle de sécurité WordPress. L'hébergement partagé est plus vulnérable puisque votre site Web peut être piraté même si l'attaque était menée contre un autre site Web sur ce serveur. Les serveurs dédiés ou gérés sont meilleurs de ce point de vue. Ces serveurs détiennent uniquement votre site Web et le niveau de mesures de sécurité est assez élevé. Mais cela ne veut pas dire que vous ne devez pas ajouter votre propre protection. Cela signifie que le serveur sera difficile à pirater, pas votre site Web. Nous avons trié sur le volet les meilleures sociétés d'hébergement gérées WordPress.

2. Mises à jour du noyau, du plugin et du thème WordPress

WordPress est une plateforme en constante évolution, tout comme ses éléments. Il est donc naturel que de nouvelles versions soient publiées. Ces nouvelles versions contiendront des mises à jour, des corrections de bugs et bien d'autres encore. Évidemment, il est impossible de retirer et de réparer toutes les pièces problématiques en une seule fois. Mais les développeurs du monde entier font de leur mieux pour les atténuer. C'est pourquoi des versions plus récentes de ces éléments sont publiées. Les nouvelles versions empêchent votre site Web de laisser des boucles dans lesquelles les pirates peuvent s'introduire. Nous avons préparé nos propres guides – comment mettre à jour les plugins WordPress, comment mettre à jour le noyau de WordPress ainsi que comment mettre à jour le thème WordPress.

3. Plusieurs niveaux de sécurité

Un mot de passe n’est pas la meilleure protection que vous puissiez avoir, c’est en fait le niveau le plus élémentaire de ce qui peut exister. Il est possible de paramétrer différentes variantes de protections multicouches, à vous de choisir celle que vous souhaitez. Le plus populaire est l'authentification, il existe différents programmes qui vous fournissent un code qui change toutes les minutes ou deux. Si vous ne parvenez pas à le remplir dans ce laps de temps, vous ne pourrez pas vous connecter. Consultez notre guide du débutant sur la sécurité WordPress.

4. Plugin de sécurité WP

Les plugins de sécurité WordPress sont des modules complémentaires utiles. Ils vous fournissent des informations précieuses sous forme de rapport qui vous montreront si votre site Web se porte bien. Les informations contenues dans ce rapport sont fournies par analyse, il analyse votre site Web pour détecter tout logiciel malveillant ou virus. Si le site Web est piraté ou si un logiciel malveillant est détecté, il enverra une alarme à la société qui gère votre site Web. Il existe un vaste choix de ces plugins, c'est à vous de décider lequel acheter. Nous vous recommandons d'utiliser iThemes Security or Wordfence.

5. Mot de passe fort et changement de mot de passe au fil du temps

Il est fortement recommandé de définir un mot de passe fort dès la première fois que vous le faites. Cela réduira les chances que quelqu'un se connecte en tant qu'administrateur et supprime toutes les données ou configure un logiciel malveillant pour voler les informations qui seront saisies. En outre, c'est une bonne idée de définir une demande de changement de mot de passe pour un plugin de période d'heures supplémentaires comme iThemes Security. Ce plugin vous demandera de changer votre mot de passe après la période définie.

6. Certificat SSL

Ce certificat est requis si votre site Web est une boutique en ligne. Avoir ce certificat signifie que votre site Web répond aux exigences définies. Cela prouve à vos clients que le site Web est protégé et que leurs données sont en sécurité. Personne ne veut que quelqu’un d’autre ait accès à sa carte de crédit ou à son compte bancaire.

7. Limite de tentatives de connexion

Pour éviter que les comptes de l'administrateur de votre site Web ou des visiteurs de votre site Web ne soient piratés, il est conseillé de limiter les tentatives de connexion. Cette action fixera une limite après laquelle le compte sera suspendu pendant un certain temps, ne permettant pas de se connecter. En outre, la bonne idée est de définir une notification automatique par e-mail qui sera envoyée en cas d'échec des tentatives de connexion.

8. Vérification à deux facteurs

Cette méthode est un moyen très courant de protéger votre site Web. Il utilise une application de vérification, qui génère généralement des codes qui changent toutes les 1 à 3 minutes, selon l'application et la vérification que vous utilisez. Il vous est demandé de le fournir après avoir saisi votre identifiant et votre mot de passe. Il vous est demandé de noter le code qui s'affiche actuellement sur votre application d'authentification. Si vous ne mentionnez pas de vous connecter avant que le code ne change, vous devrez saisir le nouveau code qui s'est affiché.

9. N'utilisez pas de thèmes ou de plugins annulés

Les thèmes et plugins annulés sont généralement des éléments premium dont les ressources de droits d'auteur sont supprimées. Ces éléments ne bénéficient pas du support de leur développeur, donc lorsqu'il y a une mise à jour, vous ne l'obtiendrez pas. Cela signifie que vous n'obtiendrez aucun bug ou correctif de sécurité qui entraînerait une forte possibilité de piratage de votre site Web. De plus, vous ne pourrez pas mettre à jour votre noyau WordPress.

Continuons avec notre liste de contrôle de sécurité WP :

10. Activer un pare-feu d'application Web

WAF (Web Application Firewall) est l’un des moyens les plus rapides de protéger votre site Web. Il ajoute plusieurs éléments de sécurité provenant de diverses menaces connues et inconnues. Il existe deux types de WAF :

1. Hébergé- c'est un plugin qui s'installe directement dans WordPress. Les demandes sont examinées, protégées, bloquées après avoir atteint les demandes du serveur Web.
2. Basé sur le cloud – le fournisseur de sécurité basé sur le cloud protège un site. Cela se situe en dehors de votre infrastructure d’hébergement, à la périphérie du réseau.

11. Basculez votre site vers HTTPS

HTTP est la méthode par laquelle les données sont transformées sur Internet. Vous pouvez le voir au début de chaque site Web. De plus, il est très facile de pirater les données transférées. Si vous envoyez des données cruciales, c’est vraiment important, n’est-ce pas ? pour supprimer toute possibilité de piratage, il est recommandé de passer de http à https. Pour pouvoir le faire, vous devez obtenir un certificat SSL. Le certificat SSL cryptera les données transmises.

12. Mot de passe du lien magique

Cette méthode de protection est généralement utilisée uniquement lors de l'inscription, mais néanmoins, il est possible de l'utiliser lors de la connexion. Après l'inscription, il vous demande d'écrire une clé spécifique, un mot de passe, qui a été envoyé à votre email pour valider que vous n'êtes pas un robot. Au contraire, certains sites l'utilisent encore lorsque les visiteurs se connectent. Il leur est demandé de fournir la clé qui leur a été envoyée sur leur adresse e-mail enregistrée. Ceci est fait pour s'assurer qu'il s'agit bien du propriétaire du compte qui se connecte.

13. Changement d'URL de connexion WP

Sans modifier votre URL de connexion WP, vous risquez que lorsque quelqu'un tente de pirater votre site Web, ce soit comme une porte ouverte. C’est la principale chose que vous devez faire chaque fois que vous envisagez de créer un site Web : un changement simple de l’URL de connexion WordPress.

14. Modifiez les noms des dossiers principaux wp-content, wp-includes, wp-admin

Pour pouvoir changer les noms des dossiers les plus cruciaux, vous devrez installer un plugin qui vous permettra de le faire. Vous devez le faire pour qu’il soit plus difficile de comprendre quel dossier est un dossier important du site Web. Il contient tous les thèmes, plugins et fichiers multimédias. Après avoir renommé ces dossiers, ils doivent rester dans le même répertoire, si vous les déplacez vers un autre répertoire, votre site Web plantera. Alors rappelez-vous cette question importante.

15. Protégez wp-config.php via le fichier .htaccess

Ce fichier contient les informations les plus cruciales sur votre site Web. Il stocke toutes les connexions de sécurité ou de base de données. Vous ne voulez certainement pas que ce dossier tombe entre les mains de quelqu'un. C’est la possibilité la plus simple pour le protéger :

1. Connectez-vous à votre site Web à l'aide du client FTP.
2. Téléchargez le fichier .htaccess.
3. Ouvrez-le à l'aide du Bloc-notes ou d'un autre éditeur de texte.
4. Copiez le texte ci-dessous :
   # protect wpconfig.php
   <files wp-config.php>
   order allow,deny
   deny from all
   </files>
5. Enregistrez-le avec la fonction « Enregistrer sous » afin qu'il ne reçoive pas l'extension .txt.
6. Téléchargez le fichier .htaccess à la racine de votre site Web.

16. Désactivez l'édition de fichiers

Si vous n’êtes pas le seul à disposer de droits d’administrateur et qu’une autre partie n’est pas censée effectuer de codage. Il est préférable de désactiver l’édition des thèmes et des plugins afin d’anticiper toute modification inattendue provoquée par ceux-ci. Ces modifications appliquées par eux peuvent faire planter l’ensemble du site Web ou installer des logiciels malveillants. Une façon dont nous allons vous parler consiste à utiliser un plugin. La sécurité iThemes est l'un des plugins qui fournissent ces services. Après avoir installé ce plugin, allez dans Sécurité -> Paramètres. De là, passez à WordPress Tweaks. Vous y trouverez la case à cocher Désactiver l'éditeur de fichiers, cochez et appuyez sur le bouton Enregistrer les paramètres. C’est tout, vous avez protégé votre site Web contre toute modification de fichiers indésirable.

17. Sauvegardez votre site régulièrement

La dernière et la plus logique façon de sécuriser votre site Web est de créer des sauvegardes de manière constante. Il est conseillé d'effectuer plusieurs sauvegardes à la fois et de les stocker à différents endroits. La sauvegarde est votre meilleur ami au cas où quelque chose arriverait avec votre site Web.

Résumer

Il existe de nombreuses façons de sécuriser votre site Web, les plus importantes figurent dans cette liste de contrôle de sécurité WordPress. Plus vous en aurez, mieux ce sera pour vous et votre entreprise à l’avenir. De plus, vous devez vous rappeler que si vous n’êtes pas piraté aujourd’hui, vous ne le serez jamais à l’avenir. Dépenser de l'argent pour la sécurité de votre site Web vous fera économiser davantage et vous permettra de bien dormir la nuit. Nous espérons que les méthodes que nous avons décrites vous encourageront à améliorer la protection de votre site Web.