25 astuces de sécurité WordPress simples pour assurer la sécurité de votre site Web en 2020

25 astuces de sécurité WordPress simples pour assurer la sécurité de votre site Web en 2020

25 astuces de sécurité WordPress simples pour assurer la sécurité de votre site Web en 2020
СОДЕРЖАНИЕ
02 июня 2020

J’ai entendu de nombreux propriétaires de sites Web se plaindre de la sécurité de WordPress. L’idée est qu’un script open source est vulnérable à toutes sortes d’attaques. Est-ce un fait? Et si oui, comment sécurisez-vous votre site WordPress?


Heureusement, le manque de sécurité WordPress intégrée est un mythe. En fait, parfois c’est l’inverse – les sites Web WordPress sont beaucoup plus sécurisés que leurs frères et sœurs en ligne.

Aujourd’hui, je prévois de discuter de quelques astuces simples qui peuvent vous aider à sécuriser encore plus votre site WordPress.

Après avoir mis en œuvre ces tactiques et suivi de contrôles de sécurité WordPress continus, vous serez en bonne voie de sécuriser définitivement votre site Web WordPress.

Sécurité WordPress: astuces simples pour sécuriser votre site Web WordPress

Table des matières:

�� Sécurisez votre hébergement web
�� Empêcher les attaques de connexion et la force brute
�� Sécurisez votre tableau de bord WordPress
�� Sécurisez votre base de données WordPress
�� Sécurisez vos thèmes et plugins

Contents

Partie (a): Sécurisez votre site Web WordPress en vous assurant que votre hébergement est sûr

Presque toutes les sociétés d’hébergement prétendent fournir un environnement optimisé pour WordPress, mais le font-elles?

1. Travaillez uniquement avec de bons hôtes

Vous ne devez travailler qu’avec un hébergement fiable, de haute qualité et sûr. Ce conseil semble évident, à droite?

Plus ou moins, tout le monde pense que leur hébergement est génial jusqu’à ce que quelque chose se casse pour la première fois. Dans le monde réel, toutes les sociétés d’hébergement et les offres d’hébergement ne sont pas créées égales.

Si vous jetez un œil à l’une de nos enquêtes d’hébergement, vous verrez comment les expériences des différentes personnes sont en termes de qualité d’hébergement globale et également les aspects individuels de leurs configurations d’hébergement, comme la sécurité, la fiabilité, la vitesse, etc..

Certains hôtes sont tout simplement médiocres et ne réussissent pas bien sous stress.

La mauvaise nouvelle ici est que la plupart du temps, vous ne savez même pas que votre hébergeur ne prend pas la sécurité de votre site Web assez au sérieux. Des choses comme l’augmentation des attaques de pirates, des temps d’arrêt fréquents, de faibles performances, pourraient tous être le résultat de mécanismes de sécurité inadéquats.

La réalité est que vous n’allez pas vraiment "réparer votre hôte." La solution la plus simple et la meilleure consiste à passer à un autre hôte plus sécurisé.

En règle générale, plus vous payez, meilleur sera votre nouvel hôte, mais vous pouvez également envisager certaines options budgétaires.

Si vous voulez aller au fond du sujet, nous avons des comparaisons des meilleures options d’hébergement là-bas, ainsi que les enquêtes susmentionnées où vous pouvez voir ce que les autres disent.

Voici une courte recommandation si vous êtes pressé:

  • �� Meilleure configuration d’alimentation. Kinsta. Pour 100 $ / mois, vous pouvez héberger jusqu’à 5 sites Web et accueillir environ 100 000 visiteurs.
  • �� Hôte géré d’entrée de gamme. Volant. Pour 13,00 $ / mois, vous pouvez héberger un site Web et accueillir environ 5 000 visiteurs.
  • �� Choix de budget. SiteGround. Pour aussi peu que 3,95 $ / mois, vous pouvez héberger un site Web.

2. Protégez le fichier wp-config.php

Le fichier wp-config.php contient des informations cruciales sur votre installation WordPress, et c’est le fichier le plus important du répertoire racine de votre site. Le protéger, c’est sécuriser le cœur de votre blog WordPress.

Cette tactique empêche les pirates de porter atteinte à la sécurité de votre site, car le fichier wp-config.php leur est inaccessible.

En prime, le processus de protection est vraiment facile. Prenez simplement votre fichier wp-config.php et déplacez-le à un niveau supérieur à votre répertoire racine.

Maintenant, la question est, si vous le stockez ailleurs, comment le serveur y accède-t-il? Dans l’architecture WordPress actuelle, les paramètres du fichier de configuration sont définis au plus haut de la liste des priorités. Donc, même s’il est stocké un dossier au-dessus du répertoire racine, WordPress peut toujours le voir.

3. Interdire l’édition de fichiers

Si un utilisateur a un accès administrateur à votre tableau de bord WordPress, il peut modifier tous les fichiers qui font partie de votre installation WordPress. Cela inclut tous les plugins et thèmes.

Si vous n’autorisez pas la modification de fichiers, personne ne pourra modifier aucun des fichiers – même si un pirate obtient un accès administrateur à votre tableau de bord WordPress.

Pour que cela fonctionne, ajoutez ce qui suit au fichier wp-config.php (à la toute fin):

define (‘DISALLOW_FILE_EDIT’, true);

4. Définissez soigneusement les autorisations de répertoire

Des autorisations de répertoire incorrectes peuvent être fatales, surtout si vous travaillez dans un environnement d’hébergement partagé.

Dans un tel cas, la modification des fichiers et des autorisations de répertoire est un bon moyen de sécuriser le site Web au niveau de l’hébergement. Définition des autorisations de répertoire sur "755" et fichiers vers "644" protège l’ensemble du système de fichiers – répertoires, sous-répertoires et fichiers individuels.

Cela peut être fait manuellement via le gestionnaire de fichiers à l’intérieur de votre panneau de contrôle d’hébergement, ou via le terminal (connecté avec SSH) – utilisez le "chmod" commander.

Pour en savoir plus, vous pouvez lire sur le bon schéma d’autorisation pour WordPress ou installez le plugin iThemes Security pour vérifier vos paramètres d’autorisation actuels.

5. Désactivez la liste des répertoires avec .htaccess

Si vous créez un nouveau répertoire dans le cadre de votre site Web et ne placez pas de fichier index.html dedans, vous serez peut-être surpris de constater que vos visiteurs peuvent obtenir une liste complète de tout ce qui se trouve dans ce répertoire.

Par exemple, si vous créez un répertoire appelé "Les données", vous pouvez tout voir dans ce répertoire en tapant simplement http://www.example.com/data/ dans votre navigateur. Aucun mot de passe ou rien n’est nécessaire.

Vous pouvez éviter cela en ajoutant la ligne de code suivante dans votre fichier .htaccess:

Options Tous -Indexes

Supposons que vous localisiez une image en ligne et que vous souhaitiez la partager sur votre site Web. Tout d’abord, vous avez besoin d’une autorisation ou de payer pour cette image, sinon il y a de fortes chances qu’il soit illégal de le faire. Mais si vous obtenez l’autorisation, vous pouvez directement extraire l’URL de l’image et l’utiliser pour placer la photo dans votre message. Le problème principal ici est que l’image est affichée sur votre site, mais hébergée sur le serveur d’un autre site.

De ce point de vue, vous n’avez aucun contrôle sur le maintien ou non de la photo sur le serveur. Mais il est également important de se rendre compte que les gens pourraient faire cela à votre site Web.

Si vous essayez de sécuriser votre site Web WordPress, le hotlinking est essentiellement une autre personne qui prend votre photo et vole la bande passante de votre serveur pour afficher l’image sur son propre site Web. En fin de compte, vous verrez des vitesses de chargement plus lentes et le potentiel de coûts de serveur élevés.

Bien qu’il existe quelques techniques manuelles pour empêcher le hotlinking, la méthode la plus simple consiste à trouver un plugin de sécurité WordPress pour le travail. Par exemple, le Sécurité et pare-feu tout-en-un WP le plugin inclut des outils intégrés pour bloquer tous les hotlinks.


Tout-en-un WP Security & Firewall Sécurité WP tout en un & Pare-feu

Auteurs): Trucs et astuces HQ, Peter Petreski, Ruhul, Ivy

Version actuelle: 4.4.3

Dernière mise à jour: 11 mars 2020

all-in-one-wp-security-and-firewall.zip


96% Évaluations


800 000 + installations


WP 4.7 + Requiert

7. Comprendre et protéger contre les attaques DDoS

Une attaque DDoS est un type courant d’attaque contre la bande passante de votre serveur, où l’attaquant utilise plusieurs programmes et systèmes pour surcharger votre serveur. Bien qu’une attaque comme celle-ci ne mette pas en péril les fichiers de votre site, elle est destinée à planter votre site pendant une longue période si elle n’est pas résolue. Habituellement, vous n’entendez parler des attaques DDoS que lorsque cela arrive à de grandes entreprises comme GitHub ou Target. Ils sont menés par ce que beaucoup appellent des cyber-terroristes, donc le motif pourrait simplement être de faire des ravages.

Cela dit, vous n’avez pas besoin d’être une entreprise du Fortune 500 pour être à risque.

Si cela vous inquiète, nous vous recommandons de vous inscrire au Sucuri ou Cloudflare plans premium. Ces solutions disposent de pare-feu d’applications Web pour analyser la bande passante utilisée et bloquer entièrement les attaques DDoS.

Partie (b): Sécurisez votre site Web WordPress en protégeant la page de connexion et en empêchant les attaques par force brute

Tout le monde connaît l’URL de la page de connexion WordPress standard. Le backend du site Web est accessible à partir de là, et c’est la raison pour laquelle les gens essaient de forcer leur chemin. Ajoutez simplement /wp-login.php ou / wp-admin / à la fin de votre nom de domaine et c’est parti.

Ce que je recommande, c’est de personnaliser l’URL de la page de connexion et même l’interaction de la page. C’est la première chose que je fais lorsque je commence à sécuriser mon site Web.

Pourquoi? Parce que c’est généralement la faute de l’utilisateur si son site a été piraté. Il y a certaines responsabilités que vous devez assumer en tant que propriétaire d’un site Web. La question clé est donc de savoir vous faire pour éviter que votre site ne soit piraté? Protéger la page de connexion et empêcher les attaques par force brute est l’une des meilleures choses que vous puissiez faire.

Voici quelques suggestions pour sécuriser la page de connexion de votre site Web WordPress:

8. Configurer une fonction de verrouillage du site Web et interdire les utilisateurs

Une fonction de verrouillage pour les tentatives de connexion infructueuses peut résoudre l’énorme problème des tentatives de force brute continues. Chaque fois qu’il y a une tentative de piratage avec des mots de passe erronés répétitifs, le site est verrouillé et vous êtes informé de cette activité non autorisée.

J’ai découvert que le iThemes Security plugin est l’un des meilleurs plugins de ce type, et je l’utilise depuis un certain temps. Le plugin a beaucoup à offrir à cet égard. Avec plus de 30 autres mesures de sécurité WordPress impressionnantes, vous pouvez spécifier un certain nombre de tentatives de connexion infructueuses avant que le plugin n’interdise l’adresse IP de l’attaquant.


iThemes Security (anciennement Better WP Security) iThemes Security (anciennement Better WP Security)

Auteurs): iThemes

Version actuelle: 7.7.1

Dernière mise à jour: 20 avril 2020

better-wp-security.7.7.1.zip


94% Évaluations


900 000 + installations


WP 5.2 + nécessite

9. Utilisez l’authentification à deux facteurs pour la sécurité WordPress

L’introduction d’un module d’authentification à deux facteurs (2FA) sur la page de connexion est une autre bonne mesure de sécurité. Dans ce cas, l’utilisateur fournit des informations de connexion pour deux composants différents. Le propriétaire du site Web décide de ce que ces deux sont. Il peut s’agir d’un mot de passe normal suivi d’une question secrète, d’un code secret, d’un ensemble de caractères, ou plus populaire, l’application Google Authenticator, qui envoie un code secret à votre téléphone. De cette façon, seule la personne avec votre téléphone (vous) peut se connecter à votre site.

Je préfère utiliser un code secret lors du déploiement de 2FA sur l’un de mes sites Web. le Google Authenticator le plugin m’aide avec ça en quelques clics.


Google Authenticator - Authentification WordPress à deux facteurs (2FA, MFA) Google Authenticator – Authentification WordPress à deux facteurs (2FA, MFA)

Auteurs): miniOrange

Version actuelle: 5.4.5

Dernière mise à jour: 15 mai 2020

miniorange-2-factor-authentication.zip


90% Évaluations


20000 + installations


3.0.1Requires

10. Utilisez votre e-mail pour vous connecter

Par défaut, vous devez saisir votre nom d’utilisateur pour vous connecter à WordPress. L’utilisation d’un identifiant de messagerie au lieu d’un nom d’utilisateur est une approche plus sécurisée. Les raisons sont assez évidentes. Les noms d’utilisateur sont faciles à prévoir, contrairement aux identifiants de messagerie. De plus, tout compte d’utilisateur WordPress est créé avec une adresse e-mail unique, ce qui en fait un identifiant valide pour la connexion.

Plusieurs plugins de sécurité WordPress vous permettent de configurer des pages de connexion afin que tous les utilisateurs doivent utiliser leur adresse e-mail pour se connecter.

11. Renommez votre URL de connexion pour sécuriser votre site WordPress

Changer l’URL de connexion est une chose facile à faire. Par défaut, la page de connexion de WordPress est facilement accessible via wp-login.php ou wp-admin ajouté à l’URL principale du site.

Lorsque les pirates connaissent l’URL directe de votre page de connexion, ils peuvent essayer de forcer leur accès. Ils tentent de se connecter avec leur GWDb (Guess Work Database, c’est-à-dire une base de données de noms d’utilisateur et de mots de passe devinés; par exemple, nom d’utilisateur: administrateur et mot de passe: p @ ssword… avec des millions de ces combinaisons).

À ce stade, nous avons déjà limité les tentatives de connexion des utilisateurs et remplacé les noms d’utilisateur par des ID de messagerie. Nous pouvons maintenant remplacer l’URL de connexion et éliminer 99% des attaques directes par force brute.

Cette petite astuce empêche une entité non autorisée d’accéder à la page de connexion. Seul quelqu’un avec l’URL exacte peut le faire.

Le moyen le plus simple de modifier votre URL de connexion consiste à utiliser le plug-in bien nommé WPS Hide Login. C’est très simple à utiliser; entrez simplement l’URL de votre nouvelle page de connexion et enregistrez les modifications. Vous pouvez définir l’URL à tout ce que vous voulez.


WPS Hide Login WPS Hide Login

Auteurs): WPServeur, NicolasKulka, tabrisrp

Version actuelle: 1.5.6

Dernière mise à jour: 9 mars 2020

wps-hide-login.1.5.6.zip


98% Évaluations


600 000 + installations


WP 4.1 + nécessite

12. Ajustez vos mots de passe

Jouez avec vos mots de passe et changez-les régulièrement pour sécuriser votre site WordPress. Améliorez leur force en ajoutant des mots supplémentaires et en allongeant vos mots de passe.

Notez que nous ne vous conseillons pas nécessairement de continuer à ajouter des lettres majuscules et minuscules, des chiffres et des caractères spéciaux à vos mots de passe. Beaucoup de gens optent plutôt pour des phrases de passe longues car il est presque impossible pour les pirates de prédire mais plus faciles à retenir qu’un tas de chiffres et de lettres aléatoires.

Il y a un bande dessinée populaire par xkcd sur la façon dont il peut être trompeur de certains mots de passe apparemment sûrs:

Fiabilité du mot de passe

Il s’avère que l’utilisation d’une phrase compliquée peut souvent être beaucoup plus sûre et également 10 fois plus facile à retenir.

13. Utilisez un gestionnaire de mots de passe

D’accord, nous savons tous que nous devons changer nos mots de passe souvent et qu’ils doivent être difficiles à déchiffrer. Nous savons ce que nous "devrait" mais ce n’est pas toujours quelque chose pour lequel nous avons le temps.

C’est là que certains gestionnaires de mots de passe de qualité entrent en jeu. Ils généreront non seulement des mots de passe sûrs pour vous, mais les stockeront ensuite dans un coffre-fort sécurisé, ce qui vous évitera d’avoir à vous en souvenir..

�� Voici une comparaison approfondie de la nôtre à la recherche des meilleurs gestionnaires de mots de passe sur le marché.

14. Déconnectez automatiquement les utilisateurs inactifs de votre site

Les utilisateurs qui laissent le panneau wp-admin de votre site ouvert sur leurs écrans peuvent constituer une grave menace pour la sécurité de WordPress. Tout passant peut modifier les informations de votre site Web, modifier le compte d’utilisateur d’une personne ou même casser complètement votre site. Vous pouvez éviter cela en vous assurant que votre site déconnecte les utilisateurs après qu’ils ont été inactifs pendant un certain temps.

Vous pouvez configurer cela en utilisant un plugin comme Sécurité pare-balles. Ce plugin vous permet de définir un délai personnalisé pour les utilisateurs inactifs, après quoi ils seront automatiquement déconnectés.


Sécurité pare-balles Sécurité pare-balles

Auteurs): AITpro Website Security

Version actuelle: 4.0

Dernière mise à jour: 29 avril 2020

bulletproof-security.4.0.zip


96% Évaluations


60000 + installations


WP 3.8 + Requiert

Partie (c): Sécurisez votre site Web WordPress via le tableau de bord d’administration

Pour un pirate, la partie la plus intrigante d’un site Web est le tableau de bord d’administration, qui est en effet la section la plus protégée de toutes. Donc, attaquer la partie la plus forte est le vrai défi. S’il est accompli, cela donne au pirate une victoire morale et l’accès à faire beaucoup de dégâts.

Voici ce que vous pouvez faire pour sécuriser le tableau de bord d’administration de votre site Web WordPress:

15. Protégez le répertoire wp-admin

Le répertoire wp-admin est le cœur de tout site Web WordPress. Par conséquent, si cette partie de votre site est violée, l’ensemble du site peut être endommagé.

Une façon possible d’éviter cela est de protéger par mot de passe le répertoire wp-admin. Avec une telle mesure de sécurité WordPress, le propriétaire du site Web peut accéder au tableau de bord en soumettant deux mots de passe. L’un protège la page de connexion et l’autre sécurise la zone d’administration de WordPress.

La configuration de ceci implique généralement l’ajustement de votre configuration d’hébergement via cPanel. Pourtant, ce n’est pas trop difficile à faire si vous suivez les bonnes étapes.

16. Utilisez SSL pour crypter les données

L’implémentation d’un certificat SSL (Secure Socket Layer) est une initiative intelligente pour sécuriser le panneau d’administration. SSL garantit un transfert de données sécurisé entre les navigateurs des utilisateurs et le serveur, ce qui rend difficile pour les pirates de rompre la connexion ou d’usurper vos informations.

Obtenir un certificat SSL pour votre site Web WordPress est simple. Vous pouvez en acheter un auprès d’une société tierce ou vérifier si votre hébergeur en fournit un gratuitement.

permet de crypter

J’utilise le certificat SSL open source gratuit de Let’s Encrypt sur la plupart de mes sites. Toute bonne société d’hébergement comme SiteGround propose un certificat SSL Let’s Encrypt gratuit avec ses packages d’hébergement.

Le certificat SSL affecte également le classement Google de votre site Web. Google a tendance à classer les sites avec SSL plus haut que ceux sans elle. Cela signifie plus de trafic. Maintenant, qui ne veut pas ça?

L’activation de SSL sur votre site WordPress est très simple. Dans 99% des cas, il vous suffit d’installer le plugin SSL vraiment simple et de l’activer. Aucun autre paramètre n’est requis.


SSL vraiment simple SSL vraiment simple

Auteurs): Rogier Lankhorst, Mark Wolters

Version actuelle: 3.3.3

Dernière mise à jour: 18 mai 2020

really-simple-ssl.3.3.3.zip


100% Évaluations


4.000.000 + installations


WP 4.6 + Requiert

17. Ajoutez des comptes d’utilisateurs avec soin

Si vous exécutez un blog WordPress, ou plutôt un blog multi-auteur, vous devez traiter avec plusieurs personnes accédant à votre panneau d’administration. Cela pourrait rendre votre site Web plus vulnérable aux menaces de sécurité WordPress.

Vous pouvez utiliser un plugin comme Forcer des mots de passe forts si vous voulez vous assurer que les mots de passe que les utilisateurs créent sont sécurisés. Ce n’est qu’une mesure de précaution, mais c’est mieux que d’avoir plusieurs utilisateurs avec des mots de passe faibles.


Forcer des mots de passe forts Forcer des mots de passe forts

Auteurs): Jason Cosper

Version actuelle: 1.8.0

Dernière mise à jour: 9 novembre 2017

force-strong-passwords.1.8.zip


86% Évaluations


10000 + installations


WP 3.7 + Requiert

18. Changer le nom d’utilisateur administrateur

Lors de votre installation WordPress, vous ne devez jamais choisir "administrateur" comme nom d’utilisateur pour votre compte d’administrateur principal. Un tel nom d’utilisateur facile à deviner est accessible aux pirates. Tout ce dont ils ont besoin pour comprendre, c’est le mot de passe, puis tout votre site entre de mauvaises mains.

changement de nom d'utilisateur administrateur

Je ne peux pas vous dire combien de fois j’ai parcouru les journaux de mon site Web et trouvé des tentatives de connexion avec un nom d’utilisateur "administrateur".

Le plugin iThemes Security peut arrêter de telles tentatives en interdisant immédiatement toute adresse IP qui tente de se connecter avec ce nom d’utilisateur.

19. Surveillez vos fichiers

Si vous souhaitez une sécurité supplémentaire de WordPress, surveillez les modifications apportées aux fichiers de votre site Web via des plugins comme Wordfence, ou encore, iThemes Security.


Wordfence Security - Pare-feu et scan anti-malware Sécurité Wordfence – Pare-feu & Analyse des logiciels malveillants

Auteurs): Wordfence

Version actuelle: 7.4.7

Dernière mise à jour: 23 avril 2020

wordfence.7.4.7.zip


96% Évaluations


3 000 000 + installations


WP 3.9 + Requiert

Partie (d): Sécurisez votre site Web WordPress via la base de données

Toutes les données et informations de votre site sont stockées dans la base de données. Il est crucial d’en prendre soin. Voici quelques mesures que vous pouvez prendre pour le rendre plus sûr:

20. Changer le préfixe de la table de base de données WordPress

Si vous avez déjà installé WordPress, vous connaissez le préfixe wp-table utilisé par la base de données WordPress. Je vous recommande de le changer en quelque chose d’unique.

L’utilisation du préfixe par défaut rend votre base de données de site sujette aux attaques par injection SQL. De telles attaques peuvent être évitées en remplaçant wp- par un autre terme. Par exemple, vous pouvez le faire mywp- ou wpnew-.

Si vous avez déjà installé votre site Web WordPress avec le préfixe par défaut, vous pouvez utiliser quelques plugins pour le changer. Plugins comme WP-DBManager ou iThemes Security peut vous aider à faire le travail avec un simple clic sur un bouton. (Assurez-vous de sauvegarder votre site avant de faire quoi que ce soit dans la base de données).


WP-DBManager WP-DBManager

Auteurs): Lester ‘GaMerZ’ Chan

Version actuelle: 2.80.3

Dernière mise à jour: 20 mai 2020

wp-dbmanager.2.80.3.zip


88% Évaluations


100 000 + installations


WP 4.0 + nécessite

21. Effectuez régulièrement des sauvegardes pour sécuriser votre site WordPress

Peu importe la sécurité de votre site Web WordPress, il y a toujours place à amélioration. Mais à la fin de la journée, garder une sauvegarde hors site quelque part est peut-être le meilleur antidote, quoi qu’il arrive.

Si vous avez une sauvegarde, vous pouvez restaurer votre site Web WordPress dans un état de fonctionnement à tout moment. Il existe des plugins qui peuvent vous aider à cet égard. Par exemple, il y a tous ces.

Si vous cherchez une solution premium, je vous recommande VaultPress par Automattic, ce qui est génial. Je l’ai configuré pour créer des sauvegardes chaque semaine. Et en cas de problème, je peux facilement restaurer le site en un seul clic.

Je sais que certains grands sites Web exécutent des sauvegardes toutes les heures, mais pour la plupart des organisations, c’est une exagération totale. Sans oublier, vous devez vous assurer que la plupart de ces sauvegardes sont supprimées après une nouvelle, car chaque fichier de sauvegarde prend de la place sur votre disque. Cela dit, je recommanderais des sauvegardes hebdomadaires ou mensuelles pour la plupart des organisations.

En plus des sauvegardes, VaultPress vérifie également mon site pour les logiciels malveillants et m’alerte si quelque chose de louche se passe.

22. Définissez des mots de passe forts pour votre base de données

Un mot de passe fort pour l’utilisateur de la base de données principale est indispensable car ce mot de passe est celui que WordPress utilise pour accéder à la base de données.

Comme toujours, utilisez des majuscules, des minuscules, des chiffres et des caractères spéciaux pour le mot de passe. Les phrases secrètes sont également excellentes. Je recommande encore une fois LastPass pour la génération et le stockage de mots de passe aléatoires. Un outil gratuit et rapide pour créer des mots de passe forts est le Générateur de mot de passe sécurisé.

mots de passe

23. Surveillez vos journaux d’audit

Lorsque vous exécutez WordPress multisite ou gérez un site Web multi-auteur, il est essentiel de comprendre quel type d’activité utilisateur se déroule. Vos rédacteurs et contributeurs peuvent changer les mots de passe, mais il y a d’autres choses que vous ne voudrez peut-être pas. Par exemple, les changements de thème et de widget ne sont évidemment réservés qu’aux administrateurs. Lorsque vous consultez le journal d’audit, vous pouvez vous assurer que vos administrateurs et contributeurs n’essaient pas de modifier quelque chose sur votre site sans approbation.

journal d'audit

le Journal d’audit de sécurité WP le plugin fournit une liste complète de cette activité, ainsi que des notifications et des rapports par e-mail. Dans sa plus simple expression, le journal d’audit peut vous aider à voir qu’un rédacteur a des problèmes de connexion. Mais le plugin peut également révéler une activité malveillante de l’un de vos utilisateurs.


Journal d'activité WP (anciennement Journal d'audit de sécurité WP) Journal d’activité WP (anciennement Journal d’audit de sécurité WP)

Auteurs): WP White Security

Version actuelle: 4.1.0

Dernière mise à jour: 26 mai 2020

wp-security-audit-log.4.1.0.zip


96% Évaluations


100 000 + installations


WP 3.6 + nécessite

Partie (e): Sécurisez votre site Web WordPress via des thèmes et des plugins

Les thèmes et les plugins sont des ingrédients essentiels pour tout site Web WordPress. Malheureusement, ils peuvent également poser de graves menaces pour la sécurité. Voyons comment nous pouvons sécuriser vos thèmes et plugins WordPress de la bonne façon:

24. Mettre à jour régulièrement pour la sécurité WordPress

Tout bon logiciel est pris en charge par ses développeurs et est mis à jour de temps en temps. Ces mises à jour sont destinées à corriger des bogues et comportent parfois des correctifs de sécurité essentiels. WordPress et ses plugins ne sont pas différents.

Ne pas mettre à jour vos thèmes et plug-ins peut entraîner des problèmes. De nombreux pirates s’appuient sur le simple fait que les gens ne peuvent pas être dérangés pour mettre à jour leurs plugins et thèmes. Plus souvent qu’autrement, ces pirates exploitent des bogues qui ont déjà été corrigés.

Donc, si vous utilisez un produit WordPress, mettez-le à jour régulièrement. Plugins, thèmes, tout. La bonne nouvelle est que WordPress déploie automatiquement les mises à jour pour ses utilisateurs, vous recevrez donc un e-mail vous informant de la mise à jour et des informations sur les correctifs dans votre tableau de bord.

Quant aux plugins, ils doivent être mis à jour manuellement en allant sur Plugins dans votre tableau de bord. Lorsqu’un plugin a une nouvelle version, il vous avertit et fournit un lien pour mettre à jour maintenant.

mettre à jour les plugins

Comme alternative, vous pouvez opter pour un plan d’hébergement WordPress géré. Outre de nombreuses autres fonctionnalités et améliorations de votre sécurité WordPress, l’hébergement géré de qualité propose des mises à jour automatiques pour tous les éléments de votre site WordPress.

Certains fournisseurs d’hébergement géré incluent Kinsta, SiteGround et Flywheel. Vous pouvez en savoir plus sur l’hébergement WordPress le mieux géré ici.

25. Supprimez votre numéro de version WordPress

Votre numéro de version WordPress actuel peut être trouvé très facilement. Il se trouve essentiellement juste là dans la vue source de votre site. Vous pouvez également le voir au bas de votre tableau de bord (mais cela n’a pas d’importance lorsque vous essayez de sécuriser votre site Web WordPress).

numéro de version

Voici le problème: si les pirates savent quelle version de WordPress vous utilisez, il leur est plus facile de concevoir une attaque parfaite.

Vous pouvez masquer votre numéro de version avec presque tous les plugins de sécurité WordPress que j’ai mentionnés ci-dessus.

Pour une approche plus manuelle (et pour supprimer également le numéro de version des flux RSS), pensez à ajouter la fonction suivante à votre fichier functions.php:

function wpbeginner_remove_version () {
revenir ”;
}
add_filter (‘the_generator’, ‘wpbeginner_remove_version’);

Réflexions finales sur la façon de sécuriser votre site WordPress

Si vous êtes un débutant, c’était beaucoup de choses à prendre. Cependant, tout ce que j’ai mentionné dans cet article est un pas dans la bonne direction. Plus vous vous souciez de votre sécurité WordPress, plus il est difficile pour un pirate de s’introduire.

Cependant, cela étant dit, la performance du site Web est probablement tout aussi importante que la sécurité. Fondamentalement, sans un site Web qui se charge rapidement, vos visiteurs n’auront jamais la possibilité de consommer votre contenu. Le visiteur moyen d’un site Web n’attendra que 2 secondes avant d’être frustré et de partir.

Voici quelques ressources qui peuvent vous aider à gagner le jeu de performance et à vous assurer que votre site Web se charge rapidement comme l’éclair:

  • ��️ Utilisez un CDN de qualité. Certains d’entre eux sont même gratuits. Voici une comparaison des principales options: MaxCDN vs CloudFlare vs Amazon CloudFront vs Akamai Edge vs Fastly
  • ��️ Réglez certaines choses sous le capot de votre site. Voici 11 façons d’accélérer WordPress

Si vous avez des questions sur la façon de sécuriser votre site Web WordPress, faites-le nous savoir dans les commentaires et nous y répondrons! Alors, quels sont vos défis de sécurité WordPress?

N’oubliez pas de rejoindre notre cours accéléré sur l’accélération de votre site WordPress. Avec quelques correctifs simples, vous pouvez réduire votre temps de chargement de 50 à 80%:

Écrit par Ahmad Awais, Joe Warnimont, Karol K.

* Cet article contient des liens d’affiliation, ce qui signifie que si vous cliquez sur l’un des liens vers les produits, puis achetez le produit, nous recevrons une somme modique. Pas de soucis cependant, vous paierez toujours le montant standard donc il n’y a pas de frais de votre part.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector