Comment améliorer la sécurité de WordPress?

Dans le domaine du digital et de la conception des sites web, WordPress est le CMS le plus populaire sur Internet : par conséquent, il est particulièrement ciblé par les utilisateurs malveillants ainsi que les pirates informatiques.

Avoir un site WordPress implique certaines dispositions pour protéger efficacement non seulement vos données personnelles et administratives mais aussi celles de vos visiteurs. Pour vous aider à sécuriser votre site, voici un tutoriel qui récapitule les meilleures opérations à effectuer.

Attention : Il est important de préciser que ces mesures ne garantissent pas une protection garantie à 100% contre les tentatives de piratage pour la simple et bonne raison qu’un site 100% sécurisé n’existe pas. Cependant, nos conseils vous aideront à vous protéger contre la majorité des attaques connues à ce jour.

La règle de base : La mise à jour de Word Press et des Plugins

Garder vos fichiers WordPress de base et tous vos plugins à jour est fondamental : en accédant aux dernières versions, vous accédez aux dernières nouveautés mises en place par les développeurs mais aussi aux correctifs de sécurité.

Bon à savoir : Pour plus d’informations à ce sujet, consultez nos didacticiels sur la mise à jour de WordPress et la façon d’utiliser les mises à jour automatiques WordPress.

La protection de votre espace administrateur

Votre zone d’administration WordPress est confidentielle : elle contient des données précieuses pour la gestion de votre site mais aussi celles de vos visiteurs (surtout si vous avez un site e commerce où des coordonnées bancaires sont en jeu).

Limitez donc cet accès aux personnes qui ont un réel besoin de travailler sur la zone d’administration.

Certaines entreprises n’hésitent pas à donner ces identifiants à des prestataires extérieurs qui interviennent sur la fonctionnalité du site. C’est un tort qui tend à être corrigé le plus rapidement possible.

Bon à savoir : Si votre site ne prend pas en charge l’enregistrement ou la création de contenu frontal, vos visiteurs ne devraient pas pouvoir accéder à votre dossier / wp-admin / ou au fichier wp-login.php. Le mieux est d’obtenir une adresse IP depuis chez vous (vous pouvez utiliser un site comme whatismyip.com pour cela) et ajouter ces lignes au fichier. Htaccess dans votre dossier d’administration sur WordPress en remplaçant xx.xxx.xxx.xxx avec votre adresse IP.

Pour ceux et pour celles qui souhaitent donner l’accès à plusieurs terminaux (comme par exemple votre ordinateur au bureau, l’ordinateur de chez vous, votre smartphone ou votre tablette), ajoutez simplement une autre instruction Allow from xx.xxx.xxx.xxx sur une nouvelle ligne.

Si vous souhaitez accéder à votre zone d’administration à partir de n’importe quelle adresse IP (par exemple, si vous dépendez souvent de réseaux Wi-Fi gratuits dans les lieux publics), pensez à restreindre votre zone d’administration à une seule adresse IP. Pour compléter cette norme de sécurité, nous vous recommandons de limiter le nombre de tentatives de connexion incorrectes à votre site. De cette façon, vous protégerez votre site WordPress contre les attaques de force majeure et contre les personnes qui tentent de deviner votre mot de passe. Pour vous aider, vous pouvez utiliser le plugin appelé “Limit login tentatives”.

Bannissez le célèbre “Admin” pour le nom d’utilisateur

La plupart des pirates informatique supposent que votre nom d’utilisateur admin est “admin” : ce qui est souvent le cas, ne nous en cachons pas.

En changeant simplement ce nom d’utilisateur, vous pouvez facilement un bon nombre d’attaques.

Attention : Si vous installez un nouveau site WordPress, un nom d’utilisateur vous sera demandé lors du processus d’installation : profitez en pour choisir autre chose que “admin”. Si en revanche vous avez déjà un site sur WordPress, vous pouvez suivre les instructions de notre didacticiel sur la façon de modifier votre nom d’utilisateur.

Optimisez la sécurité de votre mot de passe

Vous serez surpris de savoir qu’il ya des milliers de personnes qui utilisent des expressions comme «mot de passe» ou «123456» pour leurs login.

A vrai dire, ces mots de passe peuvent être facilement devinés et sont sur le top de la liste de toute attaque basique.

Un bon conseil : utilisez une phrase entière qui a du sens pour vous en rappeler facilement et complétez là avec des chiffres. Exemple : si vous êtes spécialisé (e) dans le monde de jouet, vous pouvez opter pour “magasindejouet456”.

Nous vous conseillons également de changer votre mot de passe à une fréquence régulière, surtout si plusieurs personnes disposent du login de connexion. Le mieux est de faire cette opération une fois tous les trois mois.

La question de l’authentification

L’activation de l’authentification à deux facteurs pour votre site WordPress améliorera considérablement la sécurité de votre site. Une des façons les plus faciles est d’utiliser le plugin “key” pour se connecter et s’authentifier depuis votre smartphone. Pour plus d’informations à ce sujet, reportez vous à notre didacticiel dédié.

Assurez-vous que votre site est sur un hébergement sécurisé WordPress

Votre site WordPress est aussi sécurisé que votre compte d’hébergement. Si quelqu’un veut exploiter une faille dans une ancienne version (sur PHP par exemple) ou sur un autre service de plateforme d’hébergement, il est important d’être hébergé avec une entreprise qui prime sur la sécurité et qui en fait une priorité. Les caractéristiques que vous devez impérativement prioriser sont:

  • – Le support des dernières versions PHP et MySQL
  • – L’Isolation du compte
  • – Le Pare-feu d’application Web
  • – Le Système de détection d’intrusion

Assurez-vous que votre ordinateur est protégé contre les virus et les logiciels malveillants (cheval de Troie, etc).

Si votre ordinateur est infecté par un virus ou par un logiciel malveillant, un pirate informatique peut facilement accéder à vos informations de connexion et effectuer une connexion dite “valide” sur la zone d’administration et ce, même si vous avez prises les mesures énumérées ci dessus.

C’est pourquoi il est très important d’avoir un programme antivirus à jour et de garder la sécurité globale de tous les terminaux (ordinateur, smartphone, tablette) que vous utilisez pour accéder à votre site WordPress. Il existe sur internet des anti virus gratuits mais vous pouvez aussi choisir une solution plus complète qui sera en revanche payante.

Leave a Reply

Your email address will not be published. Required fields are marked *