Tout Ce Que Tu Dois Savoir Sur La Sécurité WordPress (+20 Conseils De Renforcement)

Si tu recherches un système de gestion de contenu tout-en-un de premier ordre pour alimenter ton site web, ne cherche pas plus loin que WordPress.

WordPress est une plateforme excellente et sécurisée dès le départ, mais il y a certainement plus que tu peux (et devrais !) faire pour protéger ton site contre les intentions malveillantes. De nombreux renforcements de la sécurité sont faciles à mettre en œuvre et peuvent être effectués manuellement en quelques minutes seulement. D’autres nécessitent simplement l’installation d’un plugin particulier.

Dans cet article, je vais te guider à travers 20 stratégies différentes pour renforcer les défenses de ta forteresse WordPress. Mais d’abord, allons un peu plus loin dans les raisons pour lesquelles la sécurité de ton site web devrait t’importer.

Pourquoi La Sécurité WordPress Est Si Importante

Choisir WordPress comme plateforme est un excellent moyen de commencer lorsque tu essaies de créer un site. Ce n’est pas seulement une plateforme flexible et puissante pour construire des sites web — elle est également remarquablement sécurisée en l’état.

Mais bien sûr, aucune plateforme ne peut être sécurisée à 100%, et il y a de nombreuses raisons de s’inquiéter de la sécurité de ton site WordPress :

• Popularité – WordPress propulse une énorme partie de tous les sites web sur internet, ce qui en fait une cible principale pour les cybercriminels. Son utilisation répandue en fait une plateforme attrayante pour exploiter les vulnérabilités et obtenir un accès non autorisé aux sites web.
• Vulnérabilités – Comme tout logiciel, WordPress n’est pas à l’abri des vulnérabilités. Les pirates cherchent constamment des vulnérabilités dans les thèmes WordPress, les Plugins et le logiciel principal. Les exploiter peut conduire à un accès non autorisé, des violations de données, un défiguration ou même un contrôle complet d’un site web.
• Violations de données – Les sites web WordPress stockent souvent des informations sensibles des utilisateurs, comme des adresses email, des mots de passe et des données personnelles. Une violation de sécurité peut exposer ces données confidentielles, entraînant un vol d’identité, des pertes financières, ou même des conséquences légales (ouille !).
• Impact sur le SEO – Un site WordPress compromis peut être utilisé pour des activités malveillantes, comme héberger du Malware, rediriger les visiteurs vers des sites web nuisibles ou envoyer des emails de Spam. Les moteurs de recherche peuvent marquer et pénaliser de tels sites web, entraînant une chute significative du classement et du trafic organique une fois que vous reprenez le contrôle de votre site.
• Réputation et confiance – Si un site web WordPress est compromis et utilisé à des fins malveillantes, cela peut gravement nuire à la réputation du propriétaire du site et éroder la confiance des utilisateurs. Pensez à une boutique en ligne, par exemple. Si la boutique ne peut pas s’engager à protéger les données personnelles des acheteurs, les gens ne feront tout simplement pas leurs achats là-bas (et qui peut les en blâmer ?).
• Downtime et perte financière – Un site piraté peut connaître un Downtime prolongé pendant que le propriétaire du site travaille à résoudre la violation de sécurité. À son tour, le Downtime peut entraîner une perte de business, une diminution des revenus et des dépenses supplémentaires pour la récupération et la restauration.

Étant donné ces risques, investir dans des mesures de sécurité WordPress est essentiel pour protéger ton site web et les données de ses utilisateurs. Idéalement, tu devrais consacrer autant de temps et d’effort à la sécurité que tu en as consacré à la conception de ton site au départ (si ce n’est plus). Heureusement pour toi, cher lecteur, il existe de nombreuses façons simples et rapides d’améliorer la sécurité de ton site, ainsi que certaines techniques plus complexes que tu pourrais vouloir utiliser — et ci-dessous, nous les couvrons toutes.

Principales Vulnérabilités de Sécurité WordPress

Comme le dit le proverbe, connais ton ennemi. Avant de plonger dans nos conseils de sécurité, apprenons-en plus sur les vulnérabilités de sécurité dont tu dois protéger ton site WordPress.

• Logiciels, thèmes et plugins obsolètes – Utiliser des versions obsolètes de WordPress, des thèmes ou des plugins peut exposer votre site à des failles de sécurité connues.
• Noms d’utilisateur et mots de passe faibles – Des identifiants de connexion faibles facilitent l’accès des pirates à votre site. Évitez d’utiliser des noms d’utilisateur courants comme “admin” et choisissez des mots de passe forts et uniques, comprenant une combinaison de lettres, de chiffres et de symboles.
• Attaques par force brute – Les attaques par force brute consistent à tenter de deviner vos identifiants de connexion à répétition. Vous pouvez les prévenir en limitant les tentatives de connexion et en utilisant une autorisation à deux facteurs (plus de détails sur cela plus loin dans cet article).
• Cross-site scripting (XSS) – Les vulnérabilités XSS surviennent lorsque des scripts malveillants sont injectés dans des pages web, compromettant potentiellement les navigateurs des utilisateurs ou leurs données de session. De nombreux plugins de sécurité possèdent des fonctionnalités pour prévenir le XSS.
• Infections par des malware – Des malware peuvent être injectés sur votre site via des vulnérabilités, des thèmes ou des plugins infectés, ou des fichiers compromis. Pour éviter le malware, ne installez pas de plugins sans vérifier d’abord leur réputation. Et des analyses régulières de malware peuvent détecter les infections avant qu’elles n’aient la chance de causer des ravages sur votre site.
• Portes dérobées – Une porte dérobée est un point d’entrée caché dans un site web qui permet un accès non autorisé même après la mise en place de mesures de sécurité. Les portes dérobées peuvent être créées par des acteurs malveillants ou introduites accidentellement par des thèmes, des plugins ou des pratiques de sécurité faibles. Une fois une porte dérobée établie, elle peut accorder un accès non autorisé à un attaquant, qui peut alors manipuler le site, voler des données ou réaliser d’autres activités malveillantes sans la connaissance du propriétaire du site.

Implémenter des plugins de sécurité et d’autres bonnes pratiques peut protéger ton site de ces vulnérabilités. Alors sans plus tarder, passons à ce pour quoi tu es ici : des conseils de sécurité WordPress concrets et comment les mettre en pratique.

20 Conseils De Sécurité WordPress

J’espère t’avoir convaincu de l’importance de maintenir un site WordPress sécurisé. Si ce n’est pas le cas, je vais devoir me réinscrire à Persuasive Writing 101. S’il te plaît, ne me force pas à faire ça.

Tout au long de cet article, je vais te présenter 20 stratégies (accompagnées de certains des meilleurs Plugins de sécurité WordPress) pour rendre ton site plus sûr face à certaines des vulnérabilités de sécurité les plus courantes et dangereuses. Tu n’as pas besoin de mettre en œuvre chaque suggestion de cette liste (bien que tu le puisses certainement !), mais plus tu prends de mesures pour sécuriser ton site, plus tes chances de rencontrer un désastre à l’avenir sont faibles.

1. Utilise Un Hébergeur De Qualité

Tu peux considérer ton hébergeur web comme la rue de ton site sur Internet — c’est l’endroit où ton site « vit ». Et comme un bon quartier scolaire compte pour l’avenir de ton enfant (c’est ce qu’on dit ; je m’en suis bien sorti), la qualité de la base de ton site compte de nombreuses manières importantes.

Un fournisseur d’hébergement solide peut influencer la performance de ton site, sa fiabilité, sa capacité de croissance, et même son classement dans les moteurs de recherche. Les meilleurs hôtes proposent une variété de fonctionnalités utiles, un excellent support et un service adapté à ta plateforme choisie.

Comme tu l’as probablement déjà deviné, ton hébergeur peut également avoir un impact significatif sur la sécurité de ton site. Il y a plusieurs avantages en matière de sécurité à choisir parmi les meilleures entreprises d’hébergement.

Comment L’Hébergement Peut Améliorer La Sécurité WordPress:

• Un hébergeur de qualité mettra constamment à jour son service, ses logiciels et ses outils pour répondre aux dernières menaces et éliminer les failles de sécurité potentielles.
• Les hébergeurs web proposent souvent diverses fonctionnalités de sécurité ciblées, telles que les certificats SSL/TLS et la protection contre les attaques DDoS. Tu devrais également avoir accès à un Pare-feu d’application Web (WAF), qui aidera à surveiller et bloquer les menaces sérieuses pour ton site.
• Ton hébergeur web offrira très probablement un moyen de sauvegarder ton site (dans certains cas, même en réalisant des sauvegardes en temps réel pour toi), donc si tu es piraté, tu peux facilement revenir à une version antérieure stable.
• Si ton hébergeur offre un support fiable, disponible 24/7, tu auras toujours quelqu’un pour t’aider en cas de problème lié à la sécurité.

Cette liste devrait te fournir un bon point de départ pour travailler lorsque tu cherches un hôte pour ton nouveau site. Tu voudras en trouver un qui offre toutes les fonctionnalités et capacités dont tu auras besoin, et qui a également une réputation de fiabilité et d’excellente performance.

DreamPress est un service d’hébergement WordPress géré qui est rapide, fiable, évolutif et, bien sûr, sécurisé. DreamPress inclut un certificat SSL/TLS préinstallé et fournit un WAF dédié conçu avec des règles établies pour protéger les sites WordPress et bloquer les tentatives de piratage. Avec ton plan d’hébergement, tu bénéficieras également de sauvegardes automatiques, d’un support 24/7 par des experts WordPress, et de Jetpack Premium — un plugin qui peut ajouter de nombreuses fonctionnalités de sécurité supplémentaires à ton site — sans coût supplémentaire.

Avec DreamPress, tu pourras te reposer en sachant que ton site est protégé. Notre service d’hébergement prend même en charge de nombreuses autres étapes d’amélioration de la sécurité de cette liste — bien que nous t’encouragions toujours à continuer ta lecture pour apprendre quelles mesures supplémentaires tu peux prendre pour protéger ton site.

2. Enregistre Ton Domaine De Manière Privée

Pour enregistrer un domaine, tu dois fournir ton nom, adresse, et numéro de téléphone. Ces informations sont utilisées pour suivre la propriété des noms de domaine et peuvent être trouvées en ligne avec une recherche rapide dans l’annuaire WHOIS.

Tout en gardant une trace de ces informations est essentiel à la santé de l’internet, il est raisonnable de ne pas vouloir que vos informations personnelles soient en ligne. C’est là que l’Enregistrement Privé entre en jeu. Lorsque tu enregistres un domaine avec DreamHost (ou une autre plateforme d’hébergement sécurisée, je suppose), tu as l’option de substituer tes informations personnelles par les données pertinentes de la plateforme d’hébergement — ainsi, une recherche de ton domaine sur WHOIS affichera l’adresse et les informations de contact de DreamHost au lieu des tiennes. Tu peux même activer cette fonctionnalité de sécurité après que ton domaine ait déjà été enregistré !

3. Change Ton Nom D’utilisateur Admin

Lorsque tu crées ton site web pour la première fois, tout neuf et brillant, tu obtiens un Profil Utilisateur. À tout moment, tu peux revenir et modifier ton Surnom ou remplir ton Nom Complet, mais pour changer ton nom d’utilisateur c’est une autre histoire — tu devras créer un tout nouvel utilisateur et lui attribuer le rôle d’administrateur. L’inconvénient ? Tu dois utiliser une adresse email différente de celle utilisée par ton compte actuel.

Tu peux ensuite modifier ton nom d’utilisateur en créant un nouvel utilisateur, en lui donnant le rôle d’administrateur, en attribuant tout ton contenu à celui-ci, et en supprimant ton compte original. Lorsque ton ancien nom d’utilisateur a été supprimé, tu peux changer l’adresse email de ton nouveau compte si tu le souhaites.

4. Activer Un Pare-feu D’application Web

Tu es probablement familier avec le concept d’un pare-feu — un programme qui aide à bloquer toutes sortes d’attaques indésirables sur ton site. Très probablement, tu as une sorte de pare-feu sur ton ordinateur. Un Pare-feu d’Application Web (WAF) est simplement un pare-feu conçu spécifiquement pour les sites web. Il peut protéger des serveurs, des sites web spécifiques, ou des groupes entiers de sites.

Un WAF sur ton site WordPress agira comme une barrière entre ton site web et le reste du web. Un pare-feu surveille l’activité entrante, détecte les attaques, les malwares et autres événements indésirables, et bloque tout ce qu’il considère comme un risque d’accéder à ton serveur web. #winning

Tu as de nombreuses options pour ajouter un WAF à ton site (WordFence est un choix populaire). Mais si tu as opté pour notre package DreamPress, tu peux te détendre ; tu n’auras pas besoin d’un pare-feu supplémentaire. DreamPress inclut un WAF intégré qui surveillera ton site pour des menaces et bloquera les utilisateurs malveillants et les programmes d’accéder. Aucune action n’est requise de ta part.

DreamHost propose également DreamShield, notre service d’analyse de malware en interne. Lorsque tu actives DreamShield sur ton compte d’hébergement, nous analyserons ton site tous les jours à la recherche de code malveillant. Si nous trouvons quelque chose de suspect, tu seras immédiatement notifié par email.

5. Implémenter L’authentification À Deux Facteurs

L’authentification en deux étapes (qui porte également d’autres noms similaires) fait référence à un processus en deux étapes que tu devras suivre lors de la connexion à ton site. Cela prend un peu plus de temps et d’effort mais contribue grandement à empêcher les pirates d’accéder.

L’authentification à deux facteurs implique l’utilisation d’un smartphone ou d’un autre appareil pour vérifier ton login. D’abord, tu visiteras ton site WordPress et saisiras ton nom d’utilisateur et mot de passe comme d’habitude. Un code unique sera ensuite envoyé à ton appareil mobile, que tu devras fournir pour terminer la connexion. Cela te permet de prouver ton identité en montrant que tu as accès à quelque chose qui t’appartient exclusivement — comme un téléphone ou une tablette particulière.

Comme avec de nombreuses fonctionnalités de WordPress, l’ajout de l’authentification à deux facteurs est simple grâce à un plugin dédié. Le plugin Two Factor Authentication est un choix solide — il est créé par des développeurs fiables, compatible avec Google Authenticator, et te permettra d’ajouter la fonctionnalité à deux facteurs à ton site sans tracas.

Un autre choix est le plugin Two-Factor, qui a été principalement développé par des développeurs essentiels de WordPress et est bien connu pour sa fiabilité. Comme pour tout plugin dans cette catégorie, il nécessite une certaine courbe d’apprentissage, mais il fera le travail et est incroyablement sécurisé. Si tu es prêt à dépenser un peu d’argent, tu peux aussi découvrir la solution premium de type Clef de Jetpack.

Peu importe la voie que tu choisis, assure-toi de planifier à l’avance avec ton équipe, car tu auras besoin de rassembler les numéros de téléphone et d’autres informations pour tous les comptes utilisateurs. Avec cela, ta page de connexion est maintenant sécurisée et prête à l’emploi.

6. Sois Prudent Lors de l’Ajout de Nouveaux Plugins Et Thèmes

Un des meilleurs aspects de WordPress est la disponibilité immédiate de Plugins et de thèmes pour presque tous les besoins. Avec ces outils pratiques, tu peux faire en sorte que ton site ait exactement l’aspect souhaité et ajouter presque toutes les fonctionnalités ou caractéristiques que tu peux imaginer.

Tous les plugins et thèmes ne sont pas créés de la même manière, cependant.

Les développeurs qui ne sont pas prudents ou qui n’ont pas le bon niveau d’expérience peuvent créer des plugins qui sont peu fiables ou non sécurisés — ou tout simplement nuls. Ils pourraient utiliser des pratiques de codage médiocres qui laissent des failles que les pirates peuvent facilement exploiter ou interférer sans le savoir avec des fonctionnalités cruciales.

Cela signifie que tu dois être très prudent concernant les thèmes et les plugins que tu ajoutes à ton site. Chacun doit être examiné pour s’assurer que c’est une option solide qui ne nuira pas à ton site ou ne causera pas de problèmes. Voici comment choisir des outils de qualité :

• Lire les avis – Consulte les évaluations et les avis des utilisateurs pour savoir si d’autres ont eu une bonne expérience avec le plugin ou le thème.
• Support du développeur – Regarde à quelle fréquence le plugin ou le thème a été mis à jour. Si cela fait plus de six mois, il y a des chances qu’il ne soit pas aussi sécurisé qu’il pourrait l’être.
• La simplicité avant tout – Installe de nouveaux plugins et thèmes un par un, ainsi, si quelque chose tourne mal, tu sauras quelle en est la cause. N’oublie pas non plus de sauvegarder ton site avant d’ajouter quoi que ce soit.
• Sources vérifiées – Obtiens tes plugins et thèmes à partir de sources fiables, telles que les répertoires de thèmes et de plugins de WordPress.org, ThemeForest et CodeCanyon, et les sites web de développeurs fiables.

7. Mets Régulièrement À Jour WordPress

Maintenir WordPress à jour est l’une des choses les plus importantes que tu peux faire pour sécuriser ton site. Les petites mises à jour et les mises à jour de sécurité seront appliquées automatiquement, mais tu devras peut-être approuver les mises à jour majeures indépendamment (ne t’inquiète pas, c’est très simple à faire). Cela va probablement sans dire, mais DreamHost gère ces mises à jour pour toi, donc tu n’as pas à t’en soucier.

Mais ton travail n’est pas terminé simplement parce que WordPress est à jour.

Tu devras également mettre à jour régulièrement tes Plugins, thèmes et autres installations WordPress pour t’assurer qu’ils fonctionnent bien ensemble et sont sécurisés contre les dernières menaces. Heureusement, c’est aussi assez facile — il suffit d’aller à ton tableau de bord WordPress, de chercher les notifications rouges t’indiquant qu’il y a des thèmes ou Plugins avec des mises à jour disponibles, et de cliquer sur “Mettre à jour maintenant” à côté de chacun.

Tu peux aussi mettre à jour tes plugins en lot en les sélectionnant tous puis en appuyant sur le bouton de mise à jour, ici ou dans le panel WordPress.

8. Configurer Les Permissions De Fichier

Parlons technique un instant.

Beaucoup d’informations, de données et de contenu sur ton site WordPress sont stockés dans une série de dossiers et de fichiers sur son backend. Ils sont organisés en une structure hiérarchique, et chacun se voit attribuer un niveau de permissions. Les permissions sur un fichier ou un dossier WordPress déterminent qui peut le voir et le modifier. Elles peuvent être configurées pour permettre l’accès à tout le monde, seulement à toi, ou presque tout ce qui se trouve entre les deux.

Les permissions de fichier sont représentées par un nombre à trois chiffres dans WordPress, et chaque chiffre a une signification. Le premier chiffre représente un utilisateur individuel (le propriétaire du site), le deuxième chiffre pour le groupe (par exemple, les membres de votre site) et le troisième pour tout le monde dans le monde. Le nombre lui-même signifie que l’utilisateur, le groupe ou le monde :

• 0 : N’a pas accès au fichier.
• 1 : Peut uniquement exécuter le fichier.
• 2 : Peut modifier le fichier.
• 3 : Peut modifier et exécuter le fichier.
• 4 : Peut lire le fichier.
• 5 : Peut lire et exécuter le fichier.
• 6 : Peut lire et modifier le fichier.
• 7 : Peut lire, modifier et exécuter le fichier.

Donc, par exemple, si un fichier se voit attribuer un niveau de permissions de 640, cela signifie que l’utilisateur principal peut lire et modifier le fichier, le groupe peut lire le fichier mais ne peut pas le modifier, et le reste du monde ne peut pas y accéder du tout. Il est important de s’assurer que chaque personne n’a que le niveau d’accès aux fichiers et dossiers de ton site que tu souhaites lui donner.

WordPress recommande de régler les dossiers à un niveau de permission de 755 et les fichiers à 644. Tu es assez en sécurité en suivant ces directives, bien que tu puisses configurer n’importe quelle combinaison que tu souhaites. Souviens-toi juste qu’il est préférable de ne pas donner à quelqu’un plus d’accès qu’il n’en a absolument besoin, surtout pour les fichiers principaux.

Tu devrais également garder à l’esprit que tes paramètres de permissions idéaux dépendront quelque peu de ton service d’hébergement, donc tu pourrais vouloir découvrir ce que ton hôte recommande.

Note : Fais attention lorsque tu modifies les niveaux de permissions — choisir les mauvaises valeurs (comme le redouté 777) peut rendre ton site inaccessible.

Et pendant que nous abordons ce sujet, il est important de noter que WordPress inclut un éditeur de code intégré qui permet aux utilisateurs de modifier les fichiers de thèmes et de plugins directement depuis la zone d’administration. C’est pratique lorsque tu en as besoin, mais cela représente un grand risque de sécurité si ton site tombe entre de mauvaises mains. C’est pourquoi tu devrais désactiver l’édition de fichiers avec un plugin comme Sucuri.

9. Limitez Le Nombre D’Utilisateurs WordPress

Si tu gères ton site WordPress seul, tu n’as pas à te soucier de cette étape. Ne donne simplement un compte à personne d’autre sur ton site, et tu seras la seule personne à pouvoir faire des modifications.

Toutefois, il existe de nombreuses raisons d’ajouter un autre compte utilisateur à ton site : tu pourrais vouloir laisser d’autres auteurs contribuer au contenu, ou tu pourrais avoir besoin de personnes pour aider à éditer le contenu et gérer ton site. Tu pourrais même avoir une équipe entière d’utilisateurs qui accèdent régulièrement à ton site WordPress et apportent leurs propres modifications.

Cela peut être bénéfique (ou même nécessaire). Cependant, c’est aussi un risque potentiel de sécurité.

Plus tu laisses de personnes accéder à ton site, plus il y a de chances que quelqu’un fasse une erreur, cause des problèmes ou soit simplement pénible. C’est pourquoi tu devrais garder le nombre d’utilisateurs de ton site aussi bas que possible sans entraver sa capacité à se développer. En particulier, essaie de limiter le nombre d’administrateurs et d’autres rôles d’utilisateur avec de hauts privilèges.

Voici quelques autres bonnes pratiques :

• Limiter chaque utilisateur uniquement aux permissions nécessaires pour effectuer son travail.
• Encourager les utilisateurs à utiliser des mots de passe forts.
• Essayer de maintenir un seul administrateur et un petit groupe d’éditeurs.
• Supprimer les utilisateurs qui ont quitté le site ou qui n’ont plus besoin d’accès.
• Déconnecter régulièrement les utilisateurs inactifs (le plugin Inactive Logout est idéal pour cela !).
• Envisager de télécharger un plugin comme Members, qui offre une interface utilisateur pour le système de rôles et capacités de WordPress.

10. Limiter Les Tentatives De Connexion

Tout le monde oublie parfois son mot de passe. Mais bonne nouvelle ! Par défaut, WordPress permet un nombre illimité de tentatives.

Mais est-ce vraiment une bonne nouvelle ? Les attaques par force brute, ou attaques où un pirate essaye un nombre quelconque de mots de passe, sont l’une des méthodes les plus courantes par lesquelles les pirates accèdent aux comptes privés. Sans limite sur les tentatives de connexion, un pirate ou un bot pourrait essayer tous les mots de passe possibles sans aucune conséquence.

Tout d’abord, vérifie ton pare-feu d’accès Web (WAF) pour limiter le nombre de tentatives de connexion qu’un utilisateur peut effectuer. Si ton pare-feu est déjà configuré, une limite sera déjà en place, mais tu peux aussi utiliser un plugin séparé pour cela ! Les plugins Login Lockdown et Cerber Limit Login Attempts enregistrent l’adresse IP et l’horodatage de chaque tentative de connexion échouée, te permettent de limiter le nombre de tentatives échouées autorisées sur une certaine période, et bloquent les adresses IP qui dépassent la limite. Les deux plugins sont gratuits, mais Login Lockdown est plus simple et plus adapté aux débutants. Si tu as besoin d’un système plus robuste, Cerber Limit Login Attempts est la solution à privilégier, permettant non seulement la liste blanche/noire des IP, mais aussi la notification aux administrateurs si un certain nombre de verrouillages est atteint.

11. Suis L’activité De Ton Espace Administrateur

Si tu as plusieurs utilisateurs, il est judicieux de surveiller ce qu’ils font tous sur le site. Suivre l’activité dans ton espace d’administration WordPress t’aidera à repérer lorsque d’autres utilisateurs font des choses qu’ils ne devraient pas — et peut t’aider à détecter lorsque des utilisateurs non autorisés ont accédé.

Mais tu as également besoin d’un outil pour t’aider à voir qui est derrière différentes activités sur le site — comme lorsqu’une personne effectue un changement non autorisé ou une nouvelle installation suspecte. Pour cela, tu as besoin d’un autre plugin. Simple History porte bien son nom en créant un historique des changements et des événements sur ton site, facile à comprendre et épuré.

Pour des fonctionnalités de suivi plus complètes, consulte WP Security Audit Log, qui suit à peu près tout ce qui se passe sur ton site et propose des modules complémentaires premium.

12. Protège Ton Page De Connexion Par Mot De Passe

La page de connexion est le moyen le plus probable pour les pirates d’accéder à ton site web, donc la protéger est une excellente manière de protéger le reste de ton site. Cela peut être un peu technique, mais cela vaut toujours la peine d’apprendre. Utilise ce tutoriel pour apprendre à créer un fichier htaccess et ajouter une invite de mot de passe à ta page de connexion. Une connexion pour ta connexion — quoi d’autre vont-ils inventer?

Et si tu héberges du contenu que tout le monde n’a pas besoin de voir, tu peux protéger par mot de passe d’autres parties de ton site. Pour les articles de blog et les autres pages, tu peux ajouter une protection par mot de passe en allant dans pages >> toutes les publications. Clique sur « modifier », et tu verras l’option pour changer la visibilité en « Protégé par mot de passe ». Il suffit de publier, et badabing-badaboom, cette page est bien verrouillée !

13. Cache Ta Page De Connexion

Ajouter une protection par mot de passe à ta page de connexion est une bonne chose, mais c’est encore mieux si les pirates ne peuvent même pas la trouver. Modifier tes pages wp-admin et wp-login est simple et aide à dissuader les pirates qui peuvent facilement trouver ta page de connexion si tu conserves les paramètres par défaut.

Il existe plusieurs plugins capables de rediriger la page de connexion par défaut vers une autre page de ton choix. De nombreux plugins proposent cela dans le cadre d’un ensemble plus vaste (par exemple, Defender inclut également un scanner de malware et un pare-feu). Mais si tu recherches quelque chose de simple, essaie WPS Hide Login, qui masque simplement ta connexion. N’oublie juste pas de mettre en favoris ta nouvelle page de connexion pour pouvoir la retrouver.

14. Mettre À Jour PHP

Tout comme l’Amérique fonctionne grâce à Dunkin’ (ne nous citez pas là-dessus), WordPress fonctionne sur PHP. Mettre à jour WordPress ne suffit pas pour garder ton site sûr et sécurisé — tu dois aussi t’assurer que tu utilises la dernière version de PHP.

Normalement, chaque version de PHP est prise en charge pendant au moins deux ans après sa date de sortie, ce qui signifie que les vulnérabilités sont traitées par les ingénieurs qui ont conçu le code. Lorsque le code devient obsolète (ou atteint sa fin de vie, ou “EOL”), il est temps de mettre à jour, ou tu risques d’être exposé à des problèmes de sécurité, des ralentissements de performance et une multitude de bugs.

Pour voir quelle version de PHP tu utilises actuellement, connecte-toi à ton site WordPress et sélectionne Outils >> Santé du site. Navigue jusqu’à Info puis Serveur, et consulte ta version actuelle de PHP.

15. Sécurise Ta Base De Données WordPress

Laisser tout sur les paramètres par défaut est une aubaine pour les pirates, et par défaut, WordPress utilise wp_ comme préfixe pour toutes tes tables associées. Bonne nouvelle ! Si tu utilises l’Installateur en un Clic, tu as déjà un préfixe de lettres et chiffres aléatoires. Tant qu’il se termine par un tiret bas, le système est satisfait. Encore mieux ! Même si ton WordPress est déjà installé, il peut être éligible pour l’Installateur en un Clic tant que le site est entièrement hébergé et répond à quelques autres critères.

Il faut juste noter que casser quelque chose peut être aussi simple qu’un underscore manquant. Heureusement, il existe une version par défaut du fichier wp-config.php disponible sur WordPress Core, donc tu peux rapidement et facilement reconstruire — que tu aies tenté de changer le préfixe de la base de données manuellement, ou avec un service comme phpMyAdmin.

16. Ajouter Des Questions De Sécurité

Les questions de sécurité sont souvent négligées, mais elles ajoutent un plus à ta sécurité. Selon le plugin que tu choisis, tu pourras soit choisir parmi les questions de sécurité existantes, soit créer les tiennes.

17. Masquez Votre Version WordPress

Sécurité par obscurité — s’ils ne peuvent pas le trouver, ils ne peuvent pas le pirater !

Masquer quelle version de WordPress tu utilises (ou cacher que tu utilises WordPress) en modifiant le code d’en-tête. Si cela te semble trop technique, utilise un plugin comme WPCode. Assure-toi simplement de modifier le code et non de simplement éditer les informations d’affichage dans tes paramètres de thème — ces extraits de code reviendront lors de la prochaine mise à jour du thème.

18. Empêcher le Hotlinking

Le hotlinking est l’acte de voler de la bande passante en utilisant des fichiers hébergés sur un site et en les liant à un autre. Par exemple, disons que quelqu’un dessine un comic assez astucieux, et qu’un autre site web souhaite le présenter sans permission. Ils pourraient hotlinker le comic au lieu de l’héberger sur leurs propres serveurs, coûtant ainsi plus de bande passante, et donc plus d’argent, au site original.

Pour prévenir le hotlinking, tu peux choisir de rejeter certains domaines, de n’autoriser que certains domaines, ou de supprimer complètement la capacité de hotlinking, en effectuant quelques modifications dans ton fichier htaccess. Tu peux même inclure un extrait dans ton fichier .htaccess qui redirige toutes les tentatives de hotlinking vers une page ou une image de ton choix — peut-être une qui dit, « Arrête le hotlinking, profiteur ! »

19. Protection DDoS (Désactiver XML RPC)

Une attaque par déni de service distribué (ou DDoS) se produit lorsqu’un pirate utilise plusieurs systèmes pour envoyer un volume énorme de données et submerger sa cible. Cela peut ralentir et faire planter sa cible — imagine un énorme embouteillage pour ton site web où aucun trafic légitime ne peut entrer.

Nous savons que la patience est rare en ligne, l’utilisateur moyen attendant seulement 3 secondes avant de quitter une page si elle ne charge pas rapidement, donc plus vite tu peux identifier et résoudre une attaque sur ton site web, mieux c’est.

Prévenir une attaque DDoS peut sembler intimidant, mais l’une des premières mesures que tu peux prendre est de supprimer ou désactiver les plugins anciens ou inutilisés. Les Plugins sont extrêmement pratiques, mais en augmentant la fonctionnalité, ils ont également accès à ton site web qui peut être exploité. Pour une fois, télécharger plus de plugins n’est pas la solution !

XML-RPC permet l’accès à WordPress via l’application sur ton appareil mobile. Si tu n’utilises pas ton smartphone pour effectuer des modifications sur ton site WordPress, il est probable que tu n’aies pas besoin de cette fonctionnalité activée. La désactiver implique d’ajouter un rapide extrait de code à ton fichier htaccess, et tu seras d’autant plus en sécurité.

20. Analyse de Malware

Le malware (abréviation de logiciel malveillant) se cache dans des applications qui semblent sûres afin que l’utilisateur ne sache pas que son ordinateur ou son site web a été infecté.

La numérisation de malware est une défense importante qui fonctionne en utilisant un logiciel anti-malware pour identifier et isoler les fichiers suspects jusqu’à ce que tu décides s’ils doivent être supprimés. Si une menace est détectée, un bon scanner de malware supprimera toute trace de celui-ci de ton ordinateur dès que possible. Heureusement, plusieurs plugins de pare-feu intègrent la numérisation de malware, alors assure-toi de vérifier tes plugins de sécurité pour voir ce qu’ils proposent.

Si tu as DreamHost comme plateforme d’hébergement, tu peux activer DreamShield pour gérer l’analyse quotidienne de malware pour toi.

Sécurité WordPress : Verrouillage

Si ton site web est piraté, tu passeras des heures (peut-être même des jours) à réparer les dégâts. Tu pourrais perdre définitivement des données ou voir tes informations personnelles compromises — ou pire : les données de tes clients.

C’est pourquoi tu dois consacrer suffisamment de temps et d’énergie à assurer la sécurité de ton site. Sinon, tu risques de perdre des affaires précieuses et du temps précieux.

Ces astuces de sécurité WordPress devraient aider. Certaines sont de simples ajustements, tandis que d’autres impactent l’ensemble de ton site. Mais si tu cherches un changement significatif que tu peux effectuer aujourd’hui pour sécuriser ton site, assure-toi qu’il soit hébergé sur un serveur WordPress sécurisé.

L’hébergement DreamPress (avec migration WordPress gratuite) est spécialement conçu pour l’environnement WordPress. De plus, si tu rencontres un problème de sécurité, nous sommes là pour t’aider avec des sauvegardes automatiques quotidiennes, un scan de malware quotidien, et notre équipe de support composée d’experts WordPress ! Prêt à protéger ton site contre les menaces et vulnérabilités ? En savoir plus sur l’hébergement DreamPress aujourd’hui.