Comment améliorer la sécurité de WordPress?

Dans le domaine du digital et de la conception des sites web, WordPress est le CMS le plus populaire sur Internet : par conséquent, il est particulièrement ciblé par les utilisateurs malveillants ainsi que les pirates informatiques.

Avoir un site WordPress implique certaines dispositions pour protéger efficacement non seulement vos données personnelles et administratives mais aussi celles de vos visiteurs. Pour vous aider à sécuriser votre site, voici un tutoriel qui récapitule les meilleures opérations à effectuer.

Attention : Il est important de préciser que ces mesures ne garantissent pas une protection garantie à 100% contre les tentatives de piratage pour la simple et bonne raison qu’un site 100% sécurisé n’existe pas. Cependant, nos conseils vous aideront à vous protéger contre la majorité des attaques connues à ce jour.

La règle de base : La mise à jour de Word Press et des Plugins

Garder vos fichiers WordPress de base et tous vos plugins à jour est fondamental : en accédant aux dernières versions, vous accédez aux dernières nouveautés mises en place par les développeurs mais aussi aux correctifs de sécurité.

Bon à savoir : Pour plus d’informations à ce sujet, consultez nos didacticiels sur la mise à jour de WordPress et la façon d’utiliser les mises à jour automatiques WordPress.

La protection de votre espace administrateur

Votre zone d’administration WordPress est confidentielle : elle contient des données précieuses pour la gestion de votre site mais aussi celles de vos visiteurs (surtout si vous avez un site e commerce où des coordonnées bancaires sont en jeu).

Limitez donc cet accès aux personnes qui ont un réel besoin de travailler sur la zone d’administration.

Certaines entreprises n’hésitent pas à donner ces identifiants à des prestataires extérieurs qui interviennent sur la fonctionnalité du site. C’est un tort qui tend à être corrigé le plus rapidement possible.

Bon à savoir : Si votre site ne prend pas en charge l’enregistrement ou la création de contenu frontal, vos visiteurs ne devraient pas pouvoir accéder à votre dossier / wp-admin / ou au fichier wp-login.php. Le mieux est d’obtenir une adresse IP depuis chez vous (vous pouvez utiliser un site comme whatismyip.com pour cela) et ajouter ces lignes au fichier. Htaccess dans votre dossier d’administration sur WordPress en remplaçant xx.xxx.xxx.xxx avec votre adresse IP.

Pour ceux et pour celles qui souhaitent donner l’accès à plusieurs terminaux (comme par exemple votre ordinateur au bureau, l’ordinateur de chez vous, votre smartphone ou votre tablette), ajoutez simplement une autre instruction Allow from xx.xxx.xxx.xxx sur une nouvelle ligne.

Si vous souhaitez accéder à votre zone d’administration à partir de n’importe quelle adresse IP (par exemple, si vous dépendez souvent de réseaux Wi-Fi gratuits dans les lieux publics), pensez à restreindre votre zone d’administration à une seule adresse IP. Pour compléter cette norme de sécurité, nous vous recommandons de limiter le nombre de tentatives de connexion incorrectes à votre site. De cette façon, vous protégerez votre site WordPress contre les attaques de force majeure et contre les personnes qui tentent de deviner votre mot de passe. Pour vous aider, vous pouvez utiliser le plugin appelé “Limit login tentatives”.

Bannissez le célèbre “Admin” pour le nom d’utilisateur

La plupart des pirates informatique supposent que votre nom d’utilisateur admin est “admin” : ce qui est souvent le cas, ne nous en cachons pas.

En changeant simplement ce nom d’utilisateur, vous pouvez facilement un bon nombre d’attaques.

Attention : Si vous installez un nouveau site WordPress, un nom d’utilisateur vous sera demandé lors du processus d’installation : profitez en pour choisir autre chose que “admin”. Si en revanche vous avez déjà un site sur WordPress, vous pouvez suivre les instructions de notre didacticiel sur la façon de modifier votre nom d’utilisateur.

Optimisez la sécurité de votre mot de passe

Vous serez surpris de savoir qu’il ya des milliers de personnes qui utilisent des expressions comme «mot de passe» ou «123456» pour leurs login.

A vrai dire, ces mots de passe peuvent être facilement devinés et sont sur le top de la liste de toute attaque basique.

Un bon conseil : utilisez une phrase entière qui a du sens pour vous en rappeler facilement et complétez là avec des chiffres. Exemple : si vous êtes spécialisé (e) dans le monde de jouet, vous pouvez opter pour “magasindejouet456”.

Nous vous conseillons également de changer votre mot de passe à une fréquence régulière, surtout si plusieurs personnes disposent du login de connexion. Le mieux est de faire cette opération une fois tous les trois mois.

La question de l’authentification

L’activation de l’authentification à deux facteurs pour votre site WordPress améliorera considérablement la sécurité de votre site. Une des façons les plus faciles est d’utiliser le plugin “key” pour se connecter et s’authentifier depuis votre smartphone. Pour plus d’informations à ce sujet, reportez vous à notre didacticiel dédié.

Assurez-vous que votre site est sur un hébergement sécurisé WordPress

Votre site WordPress est aussi sécurisé que votre compte d’hébergement. Si quelqu’un veut exploiter une faille dans une ancienne version (sur PHP par exemple) ou sur un autre service de plateforme d’hébergement, il est important d’être hébergé avec une entreprise qui prime sur la sécurité et qui en fait une priorité. Les caractéristiques que vous devez impérativement prioriser sont:

  • – Le support des dernières versions PHP et MySQL
  • – L’Isolation du compte
  • – Le Pare-feu d’application Web
  • – Le Système de détection d’intrusion

Assurez-vous que votre ordinateur est protégé contre les virus et les logiciels malveillants (cheval de Troie, etc).

Si votre ordinateur est infecté par un virus ou par un logiciel malveillant, un pirate informatique peut facilement accéder à vos informations de connexion et effectuer une connexion dite “valide” sur la zone d’administration et ce, même si vous avez prises les mesures énumérées ci dessus.

C’est pourquoi il est très important d’avoir un programme antivirus à jour et de garder la sécurité globale de tous les terminaux (ordinateur, smartphone, tablette) que vous utilisez pour accéder à votre site WordPress. Il existe sur internet des anti virus gratuits mais vous pouvez aussi choisir une solution plus complète qui sera en revanche payante.

Comment configurer les moyens de paiement dans Magento?

Devant les nombreux moyens de paiement en ligne disponibles, comme Paypal, Authorize,net… Magento propose à ses utilisateurs des modes de paiement permettant de les accepter. Pour les clients, il est toujours possible d’accepter des paiements par carte de crédit comme Master Card, Visa, American Express, Discover, Switch/Solo,…

La configuration des méthodes de paiement sous Magento est assez simple. En premier lieu, il faut se connecter dans l’interface administrateur. Puis, se rendre dans Système -> Configuration -> Ventes -> Méthodes de paiement.

Pour le cas de ce tutoriel, nous allons activer la méthode de paiement par carte de crédit. Cette méthode peut être configurée à travers la section CC sauvegardée :

Activez la méthode de paiement, saisissez son Nom, définissez le statut, indiquez-y quelles sont les cartes de crédit acceptées, si vous souhaitez également que la vérification de la carte de crédit soit nécessaire, personnalisez-la. Définissez également la fourchette des paiements et les pays depuis lesquels les paiements sont acceptés.

Dans le champ Ordre de tri, vous devez définir la position de cette méthode de paiement comparé aux autres modes de paiement offerts. Et le tour est joué ! Ce moyen de paiement est désormais activé . Par ailleurs, étant donné que toutes les méthodes de paiement ont des configurations spécifiques et qui diffèrent d’une solution à une autre, il existe des configurations plus détaillées de chacune d’entre elles. Pour achever leur configuration, il suffit de suivre à la lettre les instructions sur leurs pages spécifiques.

Installer des plugins WordPress (Tutoriel extensions)

Pour avoir son propre site personnalisé, qui ne ressemble à aucun autre, il y a une solution toute simple : il suffit d’installer des plugins (“extensions”) WordPress. Les plugins sont des petits modules qui vous donneront accès à de nouvelles fonctionnalités. Comment les installer lorsque vous les aurez téléchargés ? Vous devrez mettre les fichiers dans le dossier “wp-content/plugins” puis, les activer dans votre interface WordPress, via le menu “Extensions”.

Autres méthodes d’installation

Dans les dernières versions de WordPress (2.7 et au-dessus), il est possible d’installer les plugins directement depuis votre administration en cliquant sur le bouton “Ajouter” puis sur “Envoyer” dans la barre horizontale située en haut de la page. Vous n’aurez ensuite qu’à rechercher le plugin en question dans vos dossiers, puis le sélectionner et enfin cliquer sur “Installer maintenant”. La troisième méthode consiste à taper le nom du plugin (si vous le connaissez) dans la barre de recherche. Un ou plusieurs résultats vous seront proposés et vous pourrez cliquer sur “Installer maintenant” sur le plugin de votre choix. A la fin de l’installation, n’oubliez pas de cliquer sur “Activer l’extension”.

Et pour désinstaller ?

Si vous désirez désinstaller un plugin, la marche à suivre est aussi simple : retirez le plugin du dossier où ils sont stockés et il sera automatiquement désactivé.

Installation de Magento à l’aide de Softaculous

Apprenez comment utiliser Softaculous pour installer Magento en quelques clics

Le logiciel d’auto-installation Softaculous vous épargne beaucoup de temps et d’efforts en vous permettant de créer de nouvelles installations Magento en quelques minutes. Vous n’avez besoin d’aucune connaissance ou expérience préalable pour effectuer l’installation.

Tout d’abord, il vous est nécessaire d’accéder à votre compte cPanel et de trouver l’icône Softaculous sous la section « Software Services » (Support logiciels). Elle devrait être située dans la partie inférieure de votre page cPanel, juste au-dessous de la section « Domaines ».

Ici, vous devez déployer la catégorie E-Commerce dans le menu de gauche et cliquer sur le lien Magento à l’intérieur. Ceci vous amènera à la page d’installation de Magento.

Vous devez cliquer sur l’icône de Softaculous et vous serez alors redirigé vers la page d’accueil de l’installateur automatique. Sur le côté gauche de l’écran se trouve le menu des catégories.

Ici, vous trouverez davantage d’information au sujet de l’application Magento, les différentes caractéristiques qu’elle offre et toutes les installations Magento que vous avez effectuées via Softaculous. Pour accéder à l’écran d’installation, cliquez sur le bouton bleu « Installer ».

Ceci est l’étape la plus importante à laquelle vous allez devoir configurer la nouvelle application Magento. La plupart des champs sont automatiquement remplis par l’installateur et il ne vous est pas nécessaire de les modifier.

Cependant, nous vous conseillons de modifier le texte dans les champs suivants :

  • Admin Username (Nom d’utilisateur de l’administrateur) : par défaut, ce champ est rempli avec « admin ». Vous pouvez le modifier et nous vous conseillons fortement de le faire, de façon à ce qu’un pirate ne soit pas en mesure de deviner votre nom d’utilisateur administratif ;
  • Admin password (Mot de passe administrateur) : le mot de passe administratif de votre site web a été généré aléatoirement. Si vous voulez le modifier, tapez simplement le nouveau mot de passe à l’intérieur de ce champ ;
  • Admin Email (Email administrateur) : dans ce champ, vous devez inscrire votre adresse courriel. Elle est nécessaire, de façon à ce que l’application puisse vous envoyer un nouveau mot de passe au cas où vous ne pourriez plus vous connecter ;
  • First Name and Last Name (prénom et nom) : Ici, vous pouvez inscrire votre véritable nom si vous le souhaitez ;

Veuillez noter que par défaut Softaculous installera l’application Magento dans un sous-classeur « magento ». Cela étant dit, dans le cas où vous souhaiteriez être en mesure d’accéder au site web seulement par votre nom de domaine, vous devez effacer la chaine de caractères magento du champ Directory (Répertoire).

Pour finir, faites défiler la page jusqu’au bout et cliquez sur le bouton Installer :

Et voilà ! Votre application Magento est installée et prête à l’emploi. L’installateur va vous rediriger vers une nouvelle page où vous verrez les détails de l’installation terminée. Vous pouvez maintenent vous connecter et créer votre site web Magento.

Comment mettre Magento en mode maintenance?

Pour les personnes désireuses de mettre Magento en mode maintenance, pendant qu’elles s’occupent à le personnaliser et à l’enrichir, Il suffit de suivre ce petit tutoriel rédigé pour cet effet.

Dans ce tutoriel vous trouverez une manière simple qui explique comment mettre un site web Magento en mode maintenance, pendant que vous être en train de le refaçonner tout en bloquant l’accès aux internautes.

La première étape, pour passer le site Magento en mode maintenance, est de créer un fichier nommé « maintenace.flag » et de le transférer « uploader » dans le dossier racine. Après cette étape, les internautes qui visitent le site seront redirigés vers une page, qui annonce que le service est temporairement indisponible.
Maintenant que le mode maintenance est activé, vous ne pourrez pas accéder au site même en tant qu’administrateur. Il faudra modifier le fichier index.php dans le dossier racine pour garantir un accès à certaines adresses IP. Pour ce faire, il suffit d’ouvrir le fichier index.php et d’ajouter ce code à la ligne 47:

$ip = $_SERVER[‘REMOTE_ADDR’];
$allowed = array(‘69.65.23.100′,’2.2.2.2’);

Dans la partie $allowed = array(‘69.65.23.100′,’2.2.2.2′); il faut spécifier les adresses IP autorisées.

La prochaine étape consiste à remplacer cette ligne de code if (file_exists($maintenanceFile)) { par celle-là if (file_exists($maintenanceFile) && !in_array($ip, $allowed)) {
Le fichier modifié index.php devrait ressembler à cette image.

Si vous voulez présentez plus d’informations aux internautes, au lieu du texte de maintennace, il suffira de modifier le fichier 503.phtml , localisé sous le fichier Errors/Default.

Comment configurer Magento en https?

L’ajout d’un certificat SSL privé est une étape importante dans la vie de votre site. La fonction de base du certificat SSL est d’encrypter toutes les communications entre le serveur et le navigateur, ce qui permet de faire circuler toutes les données au travers d’une connexion sécurisée ou connexion https. Une connexion SLL est nécessaire lorsque vous voulez opérer une boutique en ligne et manipuler les données sensibles de utilisateurs sur votre logiciel. Cela vous permet de gagner la confiance de vos clients, et améliore le classement de votre site dans les moteurs de recherche.

Pour permettre à Magento de travailler avec certificat SSL, les étapes sont relativement simples et rapides à mettre en place. Du moins, si vous savez où chercher ! Connectez-vous d’abord au panel admin, et allez à Système > Configuration.

Ensuite, cliquez sur le lien Web dans l’onglet Général du menu à gauche.

Sur cette page, vous aurez de nombreuses options à configurer. Concentrez-vous sur l’onglet Sécurité. Vérifiez que Utiliser des URLs sécurisées en frontend et Utiliser des URLs sécurisées en backend sont bien sur Oui. Cela permet à Magento de travailler en SSL pour ces deux parties de votre site.

Et voilà, votre magasin Magento est configuré pour le SSL ! Vous avez à présent moins de risques de sécurité, mais vous pouvez encore améliorer l’xpérience utilisateur … Restez à l’affut de nos tutoriels !

Comment gérer vos Backup Joomla avec Softaculous?

Softaculous est le logiciel par excellence qui permet de déployer rapidement et sans grand effort des applications dans un serveur. Mis à part cette fonction, il permet aussi de faire une sauvegarde de site web, dont ceux conçus sous Joomla.

Pour que le backup avec Softaculous soit possible, il faut en premier lieu importer les scripts de Joomla 3 dans Softaculous. En effet, il est possible que certains utilisateurs aient pu installer Joomla manuellement. Une fois l’ application ajouté dans Softaculous, le backup peut démarrer.

Pour commencer, il faut se connecter à son compte cPanel et ouvrir Softaculous autoinstaller. En général, il se trouve dans le groupe d’outils Logiciel de construction de site.

Par la suite, parmi la liste des scripts disponibles supporté par Softaculous, il faut donc sélectionner Joomla.

Quelques informations générales sur Joomla et une liste des installations Joomla que vous avez sur votre compte d’hébergement sont accessibles sur cette page. Identifiez celui que vous souhaitez sauvegarder avant d’appuyer sur l’icône de fichier jaune à côté de celui-ci.

Ici, il s’agit ensuite de spécifier la base de données, les fichiers ou pourquoi pas l’ensemble de ces deux éléments que vous souhaitez sauvegarder. Si vous avez besoin d’effectuer une sauvegarde complète de votre site Joomla 3, il faut cocher les deux et appuyer sur le bouton Installation du backup en bas de la page.

Une fois étape terminé, quelques secondes suffisent pour que votre sauvegarde soiet créée. L’application vous redirige directement sur une nouvelle page pour vous confirmer que le processus d’archivage a réussi. Pour afficher la liste de toutes les sauvegardes que vous avez créées via Softaculous, il faut cliquer sur le lien de la page Sauvegardes.

Le backup qui vient d’être fait deviendra visible dans votre application Joomla, il devrait être le premier dans la liste et les futurs backup le complèteront. Et pour enregistrer le fichier sauvegardé sur votre ordinateur local, il faut cliquez sur l’icône de flèche bleue qui est juste sur la droit du nom du fichier de sauvegarde.

Simple et facile à retenir, une sauvegarde complète de votre site Joomla 3 peut désormais se faire en toute aisance.

Comment rendre joomla plus rapide?

Un site réalisé avec Joomla est rapide par défaut. Cependant, il existe des moyens d’améliorer les performances et accélérer de manière significative la vitesse de l’affichage avec cet outil de gestion de contenus écrit en langage PHP. Comment augmenter la vitesse de Joomla ? C’est à cette interrogation capitale que répondra cet article avec le plus de clarté possible. Avec ce tutoriel, vous apprendrez toutes les astuces pour accélérer Joomla et rendre votre site plus rapide. Read more

Comment transférer un webshop Magento?

Apprenez à transférer votre compte Magento d’un hébergeur à l’autre.

Votre installation est réussie, votre magasin tourne, mais … vous devez changer d’hébergeur. Il existe des pièges à éviter, cependant les procédures à suivre sont assez simples à réaliser. Ce tutoriel vous présentera les informations détaillées pour transférer entièrement une boutique Magento d’un hébergeur à un autre.

Pour transférer Magento d’un compte à un autre, ce tutoriel vous guide dans les étapes du transfert d’hébergement d’un site Magento.

Read more