26 Fév

7 conseils de sécurité pour les sites wordpress

La sécurité WordPress de votre site web est indispensable. Se faire pirater et une expérience fastidieuse et demandera beaucoup de travail et d’argent pour réparer les dégâts. La meilleure solution reste la prévention.

Quand vous lancez une blog ou un site en WordPress, la sécurité est généralement le dernier des préoccupations.

On se dit souvent qu’un petit blog ne suscitera pas l’intérêt des pirates. Sauf qu’au fil du temps, le contenu de votre blog et ses données prennent de la valeur. Une faille de sécurité WordPress devient alors un point d’entrée pour les pirates et peut être exploité pour voler votre base de données de clients ou lancer des actions malveillantes à votre insu.

Pour vous éviter de vous retrouver avec un site piraté, voici 7 conseils de base à suivre et à appliquer :

1. Faîtes des sauvegardes régulières de votre site

Plusieurs options sont possibles : soit vous faîtes la sauvegarde vous-même et vous gardez une copier en local, soit vous installez un plugin qui le fait de façon automatique pour vous, soit vous optez pour un hébergement web qui contient l’option de sauvegarde automatique.

La sauvegarde doit inclure les fichiers et la base de données. Des plugins comme UpdraftPlus ou WP DB Manager vous faciliteront la vie.

Si votre site est hébergé chez Tudiohost, la sauvegarde se fait de façon automatique et reste accessible pour vous 24h/24. Vous n’avez pas besoin de vous préoccuper de cette tâche.

2. Mettez à jour WordPress, vos thèmes et vos plugins

On ne le dira jamais assez, une installation ou un plugin obsolète et une autoroute pour les pirates.

WordPress, ainsi que tous les thèmes et plugins importants, mettent régulièrement à jour leurs fichiers pour ajouter des fonctionnalités et pour régler des problèmes de sécurité WordPress. Si vous gardez une ancienne version, elle devient automatiquement non sécurisée et le pirate novice qui suit l’actualité des mises à jour pour l’exploiter.

3. Supprimez le nom d’utilisateur par défaut “admin”

Si vous gardez le nom d’utilisateur par défaut de WordPress, vous avez déjà fait une partie du travail du pirate. Le plus sûr et de créer un nouvel utilisateur et supprimer celui créé par défaut par WordPress. D’ailleurs, le système vous permettra d’attribuer tous les posts au nouvel utilisateur, aucune donnée ne sera supprimée.

4. Choisissez un mot de passe complexe pour améliorer votre sécurité WordPress

Oubliez les mots de passe simples et faciles comme “passedemot”, “motdepasse”, “1234567890” et autres du même types.

Les comptes ayant ce type de mots de passe se font pirater en quelques minutes grâce aux attaques par dictionnaire.

Si vous manquez d’inspiration, utilisez un générateur de mot de passe comme celui-ci : https://www.generateurdemotdepasse.com

5. Scannez régulièrement les fichiers de votre site

Remplacez “régulièrement” par “quotidiennement” et faîtes-le. Plus vite vous détectez une intrusion, plus facile seront le nettoyage et le rétablissement de votre site.

Là encore, vous n’avez pas besoin de faire cela manuellement. Des specialistes comme Sucuri et Wordfence peuvent le faire pour vous gratuitement. Vous pouvez configurer les plugins pour vous informer de toute anomalie détectée.

Vous recevrez un email automatique avec le rapport du scan après chaque vérification.

6. Activez un certificat SSL sur votre site

Cela vous garantira la transmission cryptée des données sur le réseau et évitera aux curieux de voir votre mot de passe en clair lors de l’utilisation de logiciels espions.

Généralement, votre hébergeur peut s’occuper de la mise en place du certificat SSL sur votre espace d’hébergement. Il est payant ou inclus avec certaines offres comme l’hébergement web professionnel.

Une fois le certificat de sécurité en place, vous pouvez ajouter la ligne suivante au wp-config.php pour forcer le passage par SSL :

  1. define(‘FORCE_SSL_ADMIN’, true);

Cette mesure s’appliquera au pages de connexion et au tableau de bord.

7. Limitez le nombre de tentatives de connexion

Si quelqu’un essaie de forcer l’accès à votre espace d’administration WordPress, vous pouvez le bloquer en limitant le nombre de tentatives d’accès autorisées par la même adresse IP.

Cette liste est loin d’être exhaustive mais si vous suivez ces conseils vous ferez mieux que la plupart des sites et blogs en ligne. Cela ne prendra qu’une petite heure et vous évitera certainement des heures d’angoisses et des frais inutiles.

Source : nindohost

Partager