La sécurité WordPress est un sujet brûlant dans la blogosphère en ce moment. Les récentes attaques de botnet sur un grand nombre de sites WordPress ont poussé certaines personnes à se démener pour récupérer leurs précieuses données et vous devriez agir rapidement pour renforcer votre sécurité WordPress.
Ensuite, il y a ceux qui ont pensé à l’avance et ont pris des mesures avant que cela ne soit nécessaire. Il y a de fortes chances qu’ils n’aient rencontré aucun problème parce qu’ils se sont fait une cible difficile.
Le fait est le suivant : bien qu’il n’existe pas de site 100% sécurisé, on peut réduire considérablement la probabilité d’être piraté en consacrant un peu de temps à rendre votre site plus sécurisé que 99% des autres. Dans cet esprit, dans cet article, je vais vous expliquer un processus simple en cinq étapes qui transformera votre site d’une cible souple en un véritable cookie difficile.
Étape 1 : Tout mettre à jour
Les éléments obsolètes sur votre site représentent des risques de sécurité potentiels car ils peuvent être utilisés par des pirates pour se frayer un chemin dans le backend de votre site. C’est pourquoi garder tout à jour est si important.
Et quand je dis tout, je moyenne tout:
- Le noyau WordPress
- Thèmes
- Plugins
Les thèmes et plugins désactivés doivent également être tenus à jour – leur simple présence sur votre site en fait un risque potentiel pour la sécurité, vous devez donc les maintenir à jour pour renforcer votre sécurité WordPress.
Vous ne vous connectez pas très souvent ? Pas de soucis – vous pouvez utiliser un plugin comme le Gestionnaire de mises à jour facile pour activer les mises à jour automatiques de votre noyau, thème et plugins WordPress. Il existe également des tonnes de paramètres avancés intégrés pour personnaliser vos mises à jour et des journaux pour voir ce qui a été mis à jour et quand.
Beaucoup de gens iront jusque-là puis s’arrêteront, mais il y a en fait une étape supplémentaire à franchir : vous devriez très sérieusement envisager de supprimer tous les thèmes et plugins de votre site qui n’ont pas été récemment mis à jour. Vous pouvez facilement surveiller la dernière mise à jour des plugins avec Plugin Last Updated. Cela ajoute la date de la dernière mise à jour à votre liste de plugins sur le back-end (qui devrait sans doute être affiché par défaut).
De manière générale, je dirais que tout plugin non mis à jour au cours des douze derniers mois devrait être considéré pour suppression.
Étape 2 : Tout sauvegarder (et régulièrement)
Je sais que c’est une suggestion évidente, mais ce serait négligent de ma part de ne pas inclure les sauvegardes WordPress. Le simple fait est que peu de choses (voire rien) sont plus importantes pour la sécurité de votre site.
Si votre site fait l’objet d’un piratage vraiment destructeur (ce qui est toujours possible), votre dernière ligne de défense est une sauvegarde récente. Cela signifie que même si le pire devait arriver, vous aurez toujours quelque chose sur quoi vous rabattre. Si tu ne pas gardez des sauvegardes régulières, alors pour être tout à fait franc, vous êtes foutu.
Il existe un nombre énorme de solutions de sauvegarde, mais ma première suggestion serait de choisir un fournisseur d’hébergement qui inclut des sauvegardes automatiques dans son service. Si vous êtes victime d’une tentative de piratage qui endommage votre site, vous devriez constater que votre fournisseur est rapide pour restaurer le site à sa gloire d’antan.
Au-delà de cela, les options de crème de la crème sont VaultPress et BackupBuddy. Ils coûtent de l’argent, mais mon conseil est de jamais lésiner sur votre solution de sauvegarde. Personnellement, je suis un utilisateur de VaultPress (tout comme Themelocal) – ils offrent une solution de sauvegarde complète ainsi que des fonctionnalités de sécurité supplémentaires.
Étape 3 : Changez votre nom d’utilisateur par défaut
Si vous utilisez toujours le profil « admin » par défaut fourni avec votre installation WordPress, il est maintenant temps de changer.
Pourquoi? Parce que la première étape de toute tentative de connexion par force brute consiste à tenter de se connecter avec le nom d’utilisateur « admin », puis à exécuter un nombre énorme de tentatives de mot de passe pour entrer. Si vous créez un nom d’utilisateur plus unique, vous arrêtez cette tentative de piratage dans son élan.
Changer de profil et tout ce qui y est potentiellement associé (transfert de propriété des publications, etc.) peut sembler une tâche assez intimidante, mais c’est une étape importante pour sécuriser votre site et c’est beaucoup plus facile qu’il n’y paraît. Consultez YouTube pour des tutoriels si vous souhaitez des conseils supplémentaires.
Étape 4 : Créez un mot de passe fort unique (et modifiez-le régulièrement)
De nos jours, la plupart des gens sont suffisamment avertis pour savoir que leur mot de passe ne doit pas être « mot de passe ». Ce qu’ils peuvent ne pas Sachez que les tentatives de piratage par force brute essaieront un nombre étonnant de combinaisons de mots de passe pour tenter d’accéder à des sites Web. Si votre mot de passe a du sens ou est prévisible de quelque manière que ce soit (par exemple, il est composé de mots ou de modèles de chiffres reconnaissables), alors votre site est en danger.
En réalité, il existe trois règles d’or pour la génération de mots de passe selon les meilleures pratiques :
- Ce doit être vraiment aléatoire et unique
- Il ne doit être utilisé qu’une seule fois (c’est-à-dire pas sur plusieurs sites)
- Il doit être changé périodiquement (par exemple une fois par mois)
Si vous suivez ces trois règles, votre site sera beaucoup plus sécurisé. En termes de génération de mots de passe vraiment aléatoires, vous pouvez utiliser un générateur en ligne gratuit tel que je vous recommande de créer un compte gratuit avec Dernier passage et utilisez ce service pour (a) générer et (b) stocker tous vos mots de passe.
Étape 5 : Installer la protection des plugins
Il existe un grand nombre de plugins qui prétendent renforcer la sécurité de votre site. Le simple choix peut être écrasant, mais je vais couper à travers l’ivraie et recommander ce que je considère être le plugin le plus simple et le plus efficace que vous puissiez utiliser.
Ce plugin est Wordfence: un plugin gratuit populaire et très apprécié. Il comprend une grande variété de fonctionnalités de sécurité, y compris (mais sans s’y limiter) :
- Un pare-feu
- Protection IP malveillante
- Analyses de porte dérobée
- Analyses de logiciels malveillants
- Sécurité de connexion améliorée
Bien que Wordfence soit un modèle freemium et dispose d’une version payante avec plus d’options, le plugin lui-même et le service de base ne vous coûtent rien. L’installation de ceci sur votre site est une évidence.
En réalité, je ne fais qu’effleurer la surface ici. Bien que la mise en place des mesures de sécurité ci-dessus vous aidera à renforcer votre sécurité WordPress au-dessus de la grande majorité des autres, il y a toujours plus que vous pouvez faire et toujours une chance que vous puissiez toujours être piraté de toute façon.
J’ai couvert des moyens simples de renforcer votre sécurité WordPress dans cet article. Si vous les avez tous implémentés et que vous en voulez encore plus, je vous conseillerais de commencer par consulter la page de sécurité officielle de WordPress à l’adresse Codex WordPress.org.
Maintenant, c’est à votre tour – j’aimerais savoir quelles recommandations simples vous avez pour renforcer votre sécurité WordPress. Il peut s’agir de simples trucs et astuces, de suggestions de plugins ou même d’un service premium recommandé comme le VaultPress susmentionné. Fuyez dans la section commentaires!