Selon des études récentes plus de 65% des sites internet dans le monde utilisent WordPress comme plateforme de gestion de contenu, WordPress est devenu un CMS très populaire et fait donc l’objet d’attaques récurrentes et parfois massives.
Il est donc indispensable de prendre les mesures nécessaires pour sécuriser votre site WordPress afin d’éviter les attaques de piratage.
Dans cet article, je partage avec vous dix conseils pratiques que vous pouvez appliquer aujourd’hui pour sécuriser votre blog WordPress :
Sommaire
#1 Choisir des mots de passe forts
Souvent, les hackers utilisent des techniques de piratage qui leur permettent de deviner facilement les mots de passe simples.
Afin d’éviter ce type de piratage, vous devez rendre cela difficile en utilisant des mots de passe plus forts, ça veut dire que le mot de passe doit respecter un certain critère (il doit être long, il doit aussi contenir des lettres majuscules, minuscules et des caractères spéciaux). Le choix du bon mot de passe ne concerne pas seulement le compte administrateur de WordPress, mais aussi pour les comptes FTP, hébergement WordPress et votre adresse e-mail professionnelle.
#2 Mettre en place une solution de sauvegarde WordPress
La sauvegarde est la première défense contre toute attaque de piratage. Rappelez-vous, rien n’est sécurisé à 100%. Si les sites Web de grandes entreprises peuvent être piratés, alors peut-être le vôtre.
Les sauvegardes vous permettent de restaurer rapidement votre site WordPress et le remettre en état de marche en cas de problème technique causé par une attaque de piratage ou autres.
Pour sauvegarder votre site WordPress, vous pouvez utiliser un plugin comme BackWPUp ou Wp-DBManager, Il est extrêmement facile à utiliser et vous permet de programmer des sauvegardes automatiques en fonction de la fréquence de mise à jour de votre site web.
Note : il est recommandé d’enregistrer vos sauvegardes dans un emplacement distant (pas sur votre espace d’hébergement) comme un service de stockage en ligne.
#3 L’utilisation d’authentification à 2 facteurs
L’authentification à 2 facteurs est une autre bonne mesure de sécurité qui empêche l’accès non autorisé à votre site web WordPress.
Le principe de l’authentification à 2 facteurs est simple, elle permet d’assurer que vous êtes la seule personne pouvant accéder à votre compte d’administration en ajoutant une autre étape de protection supplémentaire, comme une question secrète ou une vérification par téléphone. De cette façon aucune personne ne peut accéder à votre site même s’il connaît votre mot de passe.
De nombreux sites web comme Google et Facebook utilisent ce service pour renforcer la sécurité de leurs utilisateurs.
Vous pouvez facilement mettre en place l’authentification à 2 facteurs en utilisant le plugin WP Google Authenticator.
#4 Chiffrer les données de votre connexion par le SSL
Le certificat SSL (Secure Socket Layer) est une solution intelligente pour sécuriser l’accès à votre compte d’administration. SSL garantit un transfert de données sécurisé entre votre navigateur et le serveur, ce qui rend difficile pour les pirates de briser la connexion ou de falsifier vos informations. De plus le certificat SSL donne plus de confiance aux visiteurs à votre site web.
Pour obtenir un certificat SSL pour votre site WordPress, ce n’est pas compliqué !
Vous pouvez en acheter auprès de certaines entreprises spécialisées ou directement chez votre fournisseur d’hébergement Web.
#5 Supprimer les thèmes et les extensions non utilisés
Il faut savoir que les pirates exploitent des failles de sécurité qui leur permet d’attaquer un site web. Parmi ces failles les codes obsolètes se trouvant dans les thèmes et les extensions installés sur le site web.
Donc, il ne faut pas seulement mettre à jour le thème et les extensions de site web mais aussi supprimer tous les thèmes et extensions non utilisés que vous avez déjà installés.
Connectez-vous à votre site WordPress et accédez à « extensions » puis « extensions installés ». Supprimez les extensions que vous n’utilisez plus. Assurez-vous de garder que les extensions nécessaires.
Faites la même chose aussi pour les thèmes, aller sur « Apparence » puis « Thèmes ». Ensuite, supprimez tous les thèmes que vous n’utilisez pas.
#6 Limiter les tentatives de connexion
L’une des techniques utilisées par les pirates est « Attaque par force brute » pour essayer d’accéder à votre espace d’administration WordPress en essayant continuellement de nombreux mots de passe aléatoires.
La meilleure façon de protéger votre site web contre ce type d’attaque est d’installer un plugin comme Login LockDown qui vous permet de limiter le nombre de tentatives de connexion à partir d’une plage d’adresses IP.
#7 administrer votre site en utilisant un appareil bien protégé
Quand il s’agit de sécurité de site web, il est de la prudence de ne rien négliger. Vous pouvez réduire les risques en prenant les bonnes mesures de protection :
- assurez-vous que votre ordinateur est bien protégé et que votre antivirus est activé
- ne vous connectez pas à votre site Web à partir des réseaux wifi public non sécurisé
- installez un pare-feu et un antispyware sur votre ordinateur pour une protection supplémentaire
- transférez les fichiers sur votre site Web uniquement à l’aide d’un client FTP sécurisé (SFTP) tel que FileZilla.
#8 Changez l’URL de votre page de connexion WordPress
Nous avons parlé de l’authentification à 2 facteurs et de limiter les tentatives de connexion. Maintenant pour renforcer encore la protection de votre blog WordPress nous allons utiliser une autre technique pour cacher ou modifier la page de connexion de site web, cela empêche les pirates d’exécuter des attaques par force brutes.
Pour ce faire, c’est très facile!
En utilisant le plugin WPS Hide Login, Vous pouvez modifier facilement l’URL de la page de connexion de votre site web. Le plugin sert à remplacer l’URL de vote page de connexion avec un nouvel URL de votre choix et rend le répertoire wp-admin et les pages wp-login.php inaccessibles. Vous devrez vous souvenir de nouveau URL de la page de connexion quand vous activez le plugin.
#9 Désactiver le rapport d’erreur PHP
Les rapports d’erreur PHP pourraient être utiles pour surveiller le fonctionnement de votre site web. Cependant, montrer ces erreurs pour tout le monde est une grave erreur de sécurité, ces erreurs peuvent être exploitées pour pirater votre site web.
Donc, pour corriger cette faille, il faut désactiver les rapports d’erreur PHP. N’ayez pas peur, vous ne devez pas être un développeur Web pour désactiver les rapports d’erreur PHP. Vous pouvez tout simplement le faire via le panneau de contrôle de votre fournisseur d’hébergement. Sinon, ajoutez les lignes suivantes à votre fichier wp-config.php.
error_reporting(0);
@ini_set(‘display_errors’, 0);
#10 Mettre à jour WordPress régulièrement
Chaque nouvelle version de WordPress apporte des nouvelles fonctionnalités et traite des failles de sécurité qui ont été identifiés dans les versions précédentes. Par conséquent, l’utilisation de l’ancienne version de WordPress met en danger votre site Web. C’est pourquoi il est important que vous mettiez à jour continuellement WordPress vers la dernière version.
Conclusion
Bien que WordPress soit le CMS le plus touché par les attaques des pirates, il n’est pas difficile d’améliorer sa sécurité. Donc pour protéger votre site WordPress et minimiser les risques de piratage, suivez les dix conseils de ce tutoriel.
