L’une des choses les plus importantes que vous puissiez faire lors de la création d’un site WordPress est de vous assurer qu’il est sécurisé. Bien que vous ne puissiez jamais obtenir une sécurité du site jusqu’à 100 %, vous pouvez certainement viser 99 % et vous pouvez y parvenir en adoptant des mesures – à la fois grandes et petites – qui tiennent compte de chaque point d’accès de votre site et de ses vulnérabilités.
Maintenant, certains d’entre vous pensent peut-être déjà que votre site est assez sécurisé. Et c’est super, mais pourquoi ne pas prendre quelques minutes et parcourir cette liste que j’ai dressée des choses à rechercher en ce qui concerne la sécurité du site WordPress ? Vous repartirez avec un plan d’action ou vous vous sentirez plus confiant dans vos mesures existantes – et les deux sont de bonnes choses.
Voici 10 choses que vous devriez rechercher ou faire attention pour vous assurer que votre site est aussi sécurisé que possible.
1. Limiter l’accessibilité du tableau de bord
Lorsque quelqu’un a accès à votre tableau de bord WordPress, il peut ajouter de nouveaux articles et pages, télécharger des fichiers et modifier vos paramètres. Une personne inexpérimentée pourrait faire une erreur sans s’en rendre compte. Ou, l’intention pourrait être plus malveillante. Quoi qu’il en soit, vous ne devriez donner accès à votre tableau de bord qu’à ceux en qui vous avez confiance.
Vous pouvez ajouter votre adresse IP à la liste blanche pour empêcher toute personne n’appartenant pas à votre adresse IP d’accéder à votre tableau de bord, ce qui peut réduire considérablement les tentatives de piratage. Bien sûr, vous devrez toujours accéder à l’administrateur de votre site à partir de la même adresse IP.
Pour ce faire, ajoutez un nouveau .htaccess fichier à votre wp-admin dossier puis ajoutez ce code :
order deny,
allow
allow from YOUR IP ADDRESS
deny from all
Et si vous souhaitez protéger votre thème et vos plugins contre les modifications par des utilisateurs non autorisés, vous pouvez ajouter ce code à ton wp-config.php déposer:
define( 'DISALLOW_FILE_EDIT', true );
2. Bloquer la navigation dans les répertoires
Vous savez probablement déjà que les sites Web sont configurés de manière à ce que les fichiers soient contenus dans des dossiers sur un serveur. En règle générale, quelqu’un peut parcourir le contenu de chaque dossier ou répertoire, ce qui pourrait vous exposer à des tentatives de piratage malveillant. Cependant, vous pouvez faire en sorte que le contenu de certains dossiers ne soit pas visible par le grand public. C’est une tactique d’obscurité et bien qu’elle ne rende pas votre site sûr à 100 %, elle donne aux pirates moins d’informations avec lesquelles travailler, et moins d’informations est ce que vous voulez.
Pour bloquer la navigation dans les répertoires, ouvrez votre fichier .htaccess fichier à nouveau et insérez le code suivant tout en bas :
Options -Indexes
C’est tout ce qu’on peut en dire!
3. Supprimer les informations de version de WordPress
Thèmes WordPress utilisés pour afficher automatiquement le numéro de version WordPress que vous utilisez dans le <tête> balise du site. Cependant, WordPress lui-même insère maintenant ces informations et bien qu’il soit utile pour WordPress de savoir lors de l’analyse qui utilise quoi, laisser ces informations afin qu’elles soient disponibles pour quiconque jette un œil à votre code est un danger pour la sécurité.
Pourquoi? Parce que donner à un pirate le numéro de version lui facilite la tâche. Et vous ne voulez pas faciliter le travail d’un hacker ! Au lieu de cela, insérez simplement ce code dans le fonctions.php fichier pour votre thème :
function remove_wp_version() {
return '';
}
<span style="line-height: 1.8em;">add_filter( 'the_generator', 'remove_wp_version' );
Cela supprimera le numéro de version et ajoutera une autre couche de sécurité à votre site.
4. Évaluez votre nom d’utilisateur et votre mot de passe
Vous avez entendu ce conseil maintes et maintes fois, mais vous devez vraiment, vraiment l’écouter. Le choix d’un nom d’utilisateur et d’un mot de passe difficiles est important pour la sécurité globale de votre site. Tout d’abord, n’utilisez jamais « admin » comme nom d’utilisateur. Comme il s’agit du nom d’utilisateur le plus populaire pour WordPress, le laisser tel quel revient à donner aux pirates la moitié de vos données.
Deuxièmement, utilisez une série de chiffres, de lettres et de symboles pour votre mot de passe. Fondamentalement, rendez-le impossible à deviner pour un humain et extrêmement difficile à déchiffrer pour une machine.
5. Effectuez des sauvegardes régulières du site
De nombreuses personnes lèvent les yeux au ciel lorsqu’elles entendent qu’elles doivent souvent sauvegarder leurs sites. Pas parce qu’ils ne comprennent pas que c’est important ; plutôt, parce que l’idée de sauvegarder un site entier est épuisante. Beaucoup de gens ne veulent tout simplement pas consacrer du temps et des efforts au projet.
Heureusement, les sauvegardes peuvent être complètement automatisées de nos jours et sont en fait une solution judicieuse car elles peuvent être planifiées à l’avance. De cette façon, vous n’oublierez plus jamais de sauvegarder votre site. Les Codex WordPress a des instructions détaillées, ou vous pouvez utiliser notre guide sur la façon de sauvegarder votre site WordPress. Ou, vous pouvez opter pour une solution basée sur des plugins (Backup Buddy et VaultPress sont deux options que nous avons déjà utilisées ici chez Themelocal).
6. Gardez votre site à jour
Les pirates proposent de nouvelles stratégies pour détruire des sites Web au quotidien. Ainsi, exécuter une version obsolète de WordPress ne fait que demander des ennuis, d’autant plus que WordPress publie les failles et les failles de sécurité des versions précédentes dès la sortie d’une nouvelle version, comme le montre la photo ci-dessus. Assurez-vous toujours que votre site exécute la dernière version pour une sécurité optimale.
7. Choisissez des thèmes sécurisés
Il est également important de sélectionner des thèmes qui ont une bonne réputation. Ceux créés par des développeurs peu réputés ou qui n’ont pas le code le plus propre pourraient ouvrir votre site à des failles de sécurité une fois installés. Lisez les critiques des thèmes avant de les installer et si vous achetez un thème premium, achetez-en toujours un sur un site bien connu.
De même, installez toujours les mises à jour de thème lorsqu’elles sont disponibles. Ce qui a été dit ci-dessus à propos de la mise à jour des fichiers principaux de WordPress s’applique également ici.
8. Choisissez des plugins sécurisés
Ce que j’ai dit plus haut à propos des thèmes s’applique également aux plugins. Bien que le conseil soit probablement doublement vrai pour les plugins, car ils peuvent parfois contenir des logiciels malveillants ou du code malveillant. Ne téléchargez pas un plugin d’un développeur que vous ne reconnaissez pas et installez toujours les mises à jour lorsqu’elles sont disponibles pour maintenir la sécurité du site.
9. Protégez vos fichiers
L’un des fichiers les plus importants sur l’ensemble de votre site WordPress est le wp-config.php déposer. Il stocke une multitude de données sur votre site, inclut des détails sur votre base de données et les paramètres du site dans son ensemble. Un pirate informatique avec la bonne base de connaissances pourrait tout changer sur votre site juste avec les informations de ce fichier. Donc, comme vous pouvez l’imaginer, il est important de le protéger.
Heureusement, vous le pouvez avec une solution relativement simple. Tout ce que vous avez à faire est d’ajouter l’extrait de code suivant à votre .htaccess fichier juste en dessous où il est dit # FIN WordPress:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
10. Choisissez le bon fournisseur d’hébergement
Une grande partie de la sécurité de votre site dépend du fournisseur d’hébergement WordPress que vous choisissez. Bien que je ne puisse pas vous dire quel hôte est le meilleur – il y a beaucoup trop de variables à considérer pour en discuter dans cet article – je peux vous dire que la lecture des critiques est impérative pour prendre une sage décision. Assurez-vous d’évaluer la sécurité, les solutions de sauvegarde et le type de serveur d’un hôte avant de faire un choix final.
Rappelles toi: l’hébergeur que vous sélectionnez jouera un rôle direct dans la rapidité avec laquelle votre site se charge, sa disponibilité et la sécurité de vos données publiques et privées. Ce n’est pas une décision à prendre à la légère.
Conclusion
Cette liste n’est en aucun cas complète, mais elle devrait certainement vous donner un point de départ complet pour identifier les failles de sécurité potentielles et adopter des solutions pour protéger votre site contre les pirates. Vous pouvez également vérifier et suivre avec ceci Guide de sécurité WordPress pour plus de conseils simples pour sécuriser votre site WordPress. Il devrait également avoir l’avantage de vous donner un peu plus de tranquillité d’esprit. Après tout, il est courant d’investir des centaines d’heures dans le développement et la mise en œuvre d’un site Web. Le protéger est impératif.
Quelles mesures prenez-vous pour protéger votre site ? Préférez-vous adopter une approche manuelle ou utiliser des solutions basées sur des plugins ? Faites le nous savoir dans les commentaires!