WordPress Security – 24 conseils pour sécuriser votre site Web contre les pirates

La sécurité de WordPress devrait être la première priorité lors de la gestion d'un site Web. Vous concevez votre site Web, publiez du contenu, vendez des produits en ligne, mais si vous ne prenez pas au sérieux la sécurité de WordPress, votre site peut être piraté à tout moment.

Chaque jour, 30 000 sites Web sont piratés et plus de 2 000 sites Web sont mis sur liste noire par Google. Vous n'êtes pas une exception. Si un site Web gouvernemental peut être piraté, alors pourquoi pas le vôtre ?

Un matin, vous vous êtes réveillé et vous voyez que votre site WordPress est inaccessible et vous voyez des messages aléatoires comme,

« votre site Web est piraté par xyz » – le site est piraté

« le site à venir contient des logiciels malveillants » – mis sur liste noire par Google

C'est la pire chose à laquelle vous pourriez être confronté avec votre site Web.

Mais pourquoi WordPress ?

WordPress alimente plus de 31% (80 millions) du total des sites Web sur le Web. Selon W3Techs, WordPress détient 60% de la part de marché des CMS de plus que les autres plates-formes, ce qui est une raison assez solide pour attirer les pirates.

Mais ne paniquez pas. Renforcer la sécurité de WordPress est très simple et vous pouvez le faire aussi.

Dans cet article, je partagerai 24 meilleurs conseils de sécurité WordPress pour protéger votre site Web contre les pirates et les logiciels malveillants.

« Pourquoi ne pas faire disparaître la porte de votre palais avant qu'ils ne la découvrent ? » – WP My Web

Problèmes de sécurité courants de WordPress

Avant de plonger dans les meilleures pratiques de sécurité de WordPress, commençons par comprendre quelques problèmes de sécurité courants de WordPress.

De nombreux utilisateurs pensent que WordPress n'est pas une plate-forme sûre à utiliser pour une entreprise, ce qui n'est pas vrai du tout. Cela est dû au manque de connaissances sur la sécurité de WordPress, à une mauvaise administration du système, à l'utilisation de logiciels et de plugins WordPress obsolètes, etc.

De nombreux débutants WordPress supposent que la création d'un site Web est la fin et qu'elle ne nécessite aucune maintenance de sécurité. C'est ainsi que vous laissez votre site vulnérable.

Une fois que les pirates trouvent votre site vulnérable, ils peuvent facilement exploiter votre site.

Voyons quelques-uns des problèmes de sécurité courants de WordPress.

1. Attaques par force brute :

Dans l'attaque par force brute, un script automatisé est utilisé pour générer diverses combinaisons de noms d'utilisateur et de mots de passe. Hacker utilise la page de connexion de WordPress pour exécuter une attaque par force brute.

Si vous utilisez un nom d'utilisateur et un mot de passe simples, vous pourriez être la prochaine victime de cette attaque.

2. Script intersite (XSS) :

Le Cross Site Scripting est un type d'attaque où les attaquants injectent un code/script malveillant sur un site Web de confiance. Cette méthode de piratage est totalement invisible pour les utilisateurs qui naviguent sur le site Web.

Ces scripts malveillants se chargent de manière anonyme et volent des informations du navigateur des utilisateurs. Même si un utilisateur entre des données dans n'importe quel formulaire, les données peuvent être volées.

3. Injections SQL :

WordPress utilise une base de données MySQL pour stocker les informations du blog.

L'injection SQL se produit lorsque les pirates accèdent à la base de données WordPress. En piratant la base de données WordPress, les pirates peuvent créer un nouveau compte administrateur avec un accès complet à votre site.

Ils peuvent également insérer des données dans votre base de données MySQL et ajouter des liens vers des sites Web malveillants ou de spam.

4. Portes dérobées :

Sous le nom de "porte dérobée", vous pouvez comprendre ce que cela signifie.

La porte dérobée est une méthode de piratage qui permet aux pirates d'accéder à un site Web en contournant le processus d'authentification normal et même en restant non détecté par le propriétaire du site Web.

Après avoir piraté un site Web, les pirates laissent généralement leur empreinte, de sorte qu'ils peuvent accéder à nouveau au site Web même si le piratage a été supprimé.

5. Hacks pharmaceutiques :

WordPress Pharma hacks est une sorte de spam de site Web qui remplit les résultats des moteurs de recherche avec du contenu de pharmacie spammy qui est interdit sur le Web comme Viagra, Nexium, Cialis, etc.

Contrairement aux autres hacks WordPress, les résultats des hacks pharmaceutiques ne sont visibles que par les moteurs de recherche. Vous ne pouvez donc pas repérer le piratage en consultant simplement votre site Web ou le code source.

Allez sur Google et tapez site:domain.com. Si les résultats de la recherche affichent le contenu de votre site Web (et non le contenu de la pharmacie), votre site n'est pas affecté par les hacks pharmaceutiques.

Le but de ce hack est d'exploiter vos pages les plus précieuses en remplaçant la balise de titre par des liens nuisibles. Sans oublier que si vous n'inspectez pas la question tôt, les moteurs de recherche comme Google, Bing peuvent mettre votre site Web sur liste noire pour avoir fourni du contenu malveillant.

6. Redirections malveillantes :

La redirection malveillante WordPress est une sorte de piratage où les visiteurs de votre site sont automatiquement redirigés vers des sites de spam comme les jeux de hasard, la pornographie, les sites de rencontres. Ce piratage se produit lorsqu'un code malveillant est injecté dans le fichier ou la base de données de votre site Web.

Si votre site redirige les visiteurs vers des sites illégaux ou malveillants, votre site sera éventuellement mis sur liste noire par Google.

Pourquoi la sécurité de WordPress est-elle importante ?

Votre site Web représente votre marque, votre entreprise et, surtout, le premier contact avec vos clients.

Il vous a probablement fallu plusieurs années avec beaucoup d'efforts pour maintenir votre entreprise et augmenter votre trafic. Votre public aime vos articles et fait confiance à vos produits, c'est pourquoi il reste en contact avec vous.

Si votre site WordPress n'est pas sécurisé, votre site et vos clients seront affectés de plusieurs façons. Les pirates peuvent voler les informations personnelles des utilisateurs, les mots de passe, les détails de la carte de crédit, les informations de transaction et peuvent distribuer des logiciels malveillants à vos utilisateurs.

Si votre site est piraté, vous remarquerez que votre trafic baisse drastiquement. De plus, Google mettra votre site Web sur liste noire.

Selon le blog de Google, le nombre de sites Web piratés augmente d'environ 20 % en 2016 par rapport à 2015.

Dans une étude, Securi rapporte que Google met sur liste noire plus de 10 000 sites Web chaque jour.

Si vous êtes sérieux au sujet de votre entreprise, vous devez accorder une attention particulière à votre sécurité WordPress.

Meilleur guide de sécurité WordPress

1. Obtenez un bon hébergement WordPress
2. Gardez la version de WordPress à jour
3. N'utilisez aucun thème ou plug-in annulé / fissuré
4. Utilisez des mots de passe forts
5. Ajouter (2FA) Authentification à deux facteurs
6. Modifier l'URL de connexion WordPress
7. Limiter les tentatives de connexion
8. Sauvegardez régulièrement votre site
9. Utiliser un plugin de sécurité WordPress
10. Déconnecter automatiquement les utilisateurs inactifs
11. Ajouter des questions de sécurité à la page de connexion WordPress
12. Modifier le nom d'utilisateur "admin" par défaut
13. Affecter des utilisateurs au rôle le plus bas possible
14. Surveiller les modifications de fichiers et les activités des utilisateurs
15. Installer le certificat SSL
16. Supprimer les thèmes et plugins inutilisés
17. Désactiver l'édition de fichiers dans le tableau de bord WordPress
18. Mot de passe protéger la page de connexion WordPress
19. Désactiver la navigation dans les répertoires
20. Supprimer votre numéro de version WordPress
21. Changer le préfixe de table de base de données WordPress
22. Utilisez uniquement des thèmes et plugins WordPress de confiance
23. Désactiver le rapport d'erreur PHP
24. Ajouter des en-têtes sécurisés HTTP à WordPress

Prêt? Commençons.

1. Obtenez un bon hébergement WordPress

L'hébergement WordPress joue un rôle majeur lorsqu'il s'agit d'améliorer la sécurité de WordPress.

Vous payez pour le service d'hébergement et votre site Web reste sous leur contrôle. Vous devez donc être prudent avant de choisir un bon hébergement WordPress pour votre site Web.

L'hébergement partagé comme A2Hosting, Bluehost, etc. est la meilleure option d'hébergement pour gérer un blog à faible trafic. Mais dans l'hébergement mutualisé, il y aura toujours un risque de contamination entre sites.

La contamination intersites se produit lorsqu'un pirate est capable d'accéder au serveur Web via un site Web vulnérable, puis d'exploiter tous les autres sites Web sur le même serveur Web.

Nous vous recommandons d'utiliser un fournisseur d'hébergement WordPress géré. Les sociétés d'hébergement WordPress gérées fournissent des options de sécurité multicouches pour les sites Web. Leurs plates-formes d'hébergement sont hautement sécurisées et offrent une analyse quotidienne des logiciels malveillants et empêchent toute attaque externe. Si de toute façon, ils trouvent des logiciels malveillants sur leur serveur, ils en assument la responsabilité et les suppriment instantanément.

Ils offrent également des sauvegardes quotidiennes, un certificat SSL gratuit, un support expert 24 × 7.

Nous recommandons la société d'hébergement WordPress gérée par WPEngine. Ils offrent plusieurs couches de sécurité pour protéger votre site WordPress. Avec leur plan, vous obtiendrez des sauvegardes quotidiennes, un SSL gratuit, un CDN mondial et une assistance experte 24 × 7.

Visitez WPEngine . [Code de réduction ajouté dans ce lien]

Retour au sommet

2. Gardez la version de WordPress à jour

Garder votre site WordPress à jour est une bonne pratique de sécurité pour renforcer votre sécurité WordPress. Cette mise à jour inclut la version WordPress, les plugins et les thèmes.

Dans une étude récente, Securi a analysé que 56% du total des sites Web infectés par WordPress étaient toujours à jour. Si vous êtes l'un d'entre eux, vous êtes en danger.

Chaque jour, de nouvelles vulnérabilités sont découvertes et il n'y a aucun moyen de les arrêter. Les logiciels et plugins obsolètes peuvent contenir des vulnérabilités que les pirates peuvent utiliser pour exploiter un site.

À chaque mise à jour, les développeurs incluent de nouvelles fonctionnalités, corrigent les failles de sécurité, corrigent les bogues, etc. Comme le logiciel WordPress, vous devez également mettre à jour vos thèmes et plugins WordPress.

La bonne chose est que WordPress déploie automatiquement ses mises à jour et notifie ses utilisateurs.

La mise à jour de la version, des plugins et des thèmes de WordPress est très simple et vous pouvez le faire via votre tableau de bord d'administration WordPress.

Comment mettre à jour WordPress, les plugins et les thèmes ?

Connectez-vous d'abord à votre tableau de bord WordPress et accédez à Tableau de bord> Mises à jour. Là, vous pouvez voir si une nouvelle mise à jour est disponible.

Remarque : Avant de mettre à jour votre version de WordPress, effectuez une sauvegarde complète de vos fichiers et de votre base de données. En cas d'erreur, vous pouvez facilement restaurer votre site à la version précédente. Vous pouvez facilement sauvegarder et restaurer votre site en utilisant BlogVault en un seul clic.

Depuis la page, vous pouvez voir « Une version mise à jour de WordPress est disponible » . Cliquez sur le bouton Mettre à jour maintenant pour mettre à jour votre version de WordPress, ce processus peut prendre quelques secondes.

Une fois la mise à jour terminée, faites défiler vers le bas pour mettre à jour vos plugins WordPress. Nous vous recommandons de mettre à jour les plugins un par un. Tout d'abord, sélectionnez un plugin et cliquez sur Mettre à jour les plugins .

De la même manière, mettez à jour vos thèmes ci-dessous.

Cependant, le processus de mise à jour est un peu délicat pour certains utilisateurs, en particulier ceux qui ne maîtrisent pas la technologie.

Certains fournisseurs d'hébergement WordPress gérés comme SiteGround, Kinsta, FlyWheel fournissent une fonctionnalité de mise à jour automatique. Donc, si vous avez un emploi du temps chargé ou si vous êtes paresseux pour mettre à jour, cela pourrait être utile.

Lisez également, Comment mettre à jour manuellement la version WordPress, les plugins et les thèmes

Retour au sommet

3. N'utilisez jamais de thèmes et de plugins annulés / fissurés

Il n'est pas étonnant que les plugins et les thèmes premium incluent plus de fonctionnalités et aient l'air professionnels. Mais aucun des produits premium n'est gratuit. Il est livré avec un prix et après avoir acheté des produits premium, les utilisateurs doivent entrer la clé de produit pour activer le produit.

Mais, il existe de nombreux sites Web malveillants disponibles qui fournissent gratuitement des thèmes et des plugins premium. Ces thèmes et plugins fissurés ne nécessitent pas de clé de série pour être activés et ne sont jamais mis à jour.

Voici ce que je veux dire :

Ces thèmes et plugins annulés sont très dangereux pour votre site. Les pirates y injectent spécialement des codes malveillants et créent une porte dérobée vers votre site. Ainsi, ils peuvent facilement accéder à votre site Web et pirater votre site Web, y compris la base de données.

N'utilisez donc jamais de thèmes et de plugins WordPress annulés ou fissurés.

Nous vous recommandons fortement de télécharger uniquement des thèmes ou des plugins gratuits uniquement à partir de WordPress.org.

Nous comprenons que le thème ou le plugin gratuit a des fonctions très limitées. Mais ces thèmes ou plugins gratuits peuvent être utilisés en toute sécurité et sont régulièrement mis à jour.

Lire aussi, 7 meilleurs thèmes de blogs premium pour WordPress

Retour au sommet

4. Utilisez des mots de passe forts

Un mot de passe est une clé primaire pour accéder à votre site WordPress. S'il est simple et court, les pirates peuvent facilement déchiffrer votre mot de passe. Plus de 80% des violations liées au piratage se produisent en raison d'un mot de passe faible ou d'un mot de passe volé.

Dans une étude récente, SplashData a révélé les 100 pires mots de passe de 2017.

En voici quelques-uns :

1. 123456
2. le mot de passe
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. laisse moi entrer
8. 1234567
9. Football
10. je t'aime
11. administrateur
12. accueillir
13. singe (lol)

Si votre mot de passe est simple comme ci-dessus, changez-le immédiatement. Un bon mot de passe doit comporter au moins 10 chiffres et contenir des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Vous pouvez utiliser un générateur de mots de passe en ligne pour créer instantanément des milliers de mots de passe sécurisés.

Il est également nécessaire que vous enregistriez le mot de passe sur votre ordinateur.

Pour vous faciliter la tâche, vous pouvez utiliser un logiciel de gestion de mots de passe pour gérer tous vos mots de passe comme LastPass, Dashlane, etc.

Appliquer un mot de passe fort aux utilisateurs

Par défaut, WordPress n'est pas livré avec une fonction qui empêche les utilisateurs d'entrer des mots de passe faibles. La plupart du temps, les utilisateurs définissent un mot de passe faible pour leur compte et le changent à peine.

Si vous utilisez un blog WordPress multi-utilisateurs, vous devez forcer les utilisateurs à utiliser un mot de passe fort.

Pour faciliter ce processus, vous pouvez utiliser un plugin. Installez et activez le plugin Force Strong Passwords et vous avez terminé. Cela empêchera les utilisateurs et même l'administrateur d'entrer un mot de passe faible.

Retour au sommet

5. Ajouter une authentification à deux facteurs (2FA)

Une autre méthode simple pour renforcer votre sécurité WordPress consiste à ajouter une authentification à deux facteurs (2FA) à votre page de connexion WordPress. Fondamentalement, l'authentification à deux facteurs ou la vérification en deux étapes est un processus de sécurité qui nécessite deux méthodes pour vérifier votre identité.

Par défaut, nous saisissons généralement un nom d'utilisateur et un mot de passe pour nous connecter à un site Web. En ajoutant une authentification à deux facteurs, vous aurez besoin d'un processus de vérification supplémentaire comme une application pour smartphone pour approuver le processus d'authentification.

Donc, si quelqu'un connaît votre nom d'utilisateur et votre mot de passe, il a besoin de votre smartphone pour obtenir le code de vérification pour se connecter à votre site.

En ajoutant une authentification à deux facteurs, vous sécurisez non seulement votre page de connexion WordPress, mais vous empêchez également les attaques par force brute.

Vous pouvez facilement activer l'authentification à deux facteurs en utilisant le plug-in WordPress d'authentification à deux facteurs de Google.

Une fois activé, allez dans Utilisateurs> Profil utilisateur et activez le plugin.

Téléchargez ensuite l'application d'authentification Google depuis votre téléphone et scannez le code- barres ou entrez le code secret (voir la capture d'écran ci-dessus) depuis votre site pour ajouter votre site Web.

Une fois ajouté, déconnectez-vous de votre site. Sur la page de connexion, vous verrez un champ supplémentaire dans lequel vous devrez saisir le code de vérification de l'application mobile Google Authenticator.

Pour des instructions détaillées, consultez le guide sur la façon d'ajouter l'authentification à deux facteurs de Google sur la page de connexion de WordPress.

Retour au sommet

6. Modifier l'URL de la page de connexion WordPress

Par défaut, n'importe qui peut accéder à votre page de connexion en ajoutant simplement "wp-admin" ou "wp-login.php" à la fin de votre nom de domaine tel que : "domain.com/wp-admin" ou "domain.com/ wp-login.php” .

Devine quoi! Les pirates peuvent exécuter une attaque par force brute en utilisant votre page de connexion. Si vous utilisez un mot de passe très simple, les pirates peuvent facilement déchiffrer votre mot de passe et accéder à votre site Web.

Mais que se passe-t-il s'ils ne savent pas où attaquer ? Oui, vous avez bien deviné.

Si vous masquez ou renommez l'URL de votre page de connexion, les pirates ne pourront pas lancer d'attaque par force brute.

Dans WordPress, vous pouvez facilement masquer ou renommer votre page de connexion en utilisant un plugin. Depuis la galerie de plugins WordPress, installez et activez le plugin WPS Hide Login.

Une fois activé, allez dans Paramètres> Général et en bas, vous pouvez trouver l' option WP Hide Login .

Changez simplement l'URL de connexion "login" en quelque chose d'autre qui est difficile à deviner et cliquez sur Enregistrer les modifications .

Une fois cela fait, ajoutez la nouvelle page de connexion à vos favoris et vous avez terminé.

Retour au sommet

7. Limiter les tentatives de connexion

Par défaut, WordPress ne limite pas le nombre de tentatives de connexion via le formulaire de connexion. Cela signifie que toute personne connaissant votre URL de connexion peut essayer la fonction de connexion autant de fois qu'elle le souhaite. De cette façon, les pirates lancent une attaque par force brute pour déchiffrer votre « nom d'utilisateur » et votre « mot de passe » pour accéder à votre site Web.

En limitant les tentatives de connexion, vous pouvez renforcer la sécurité de WordPress et protéger votre page de connexion contre les attaques par force brute.

Vous pouvez définir un nombre maximum de tentatives de connexion incorrectes qu'un utilisateur peut effectuer à partir de la même adresse IP. Si l'utilisateur dépasse les limites, l'adresse IP de l'utilisateur sera bloquée pendant un certain temps.

Pour limiter les tentatives de connexion dans WordPress, installez le plugin Login LockDown. Une fois activé, allez dans Paramètres> Verrouillage de la connexion pour configurer le plugin.

Pour des instructions détaillées, consultez notre guide sur la façon de limiter les tentatives de connexion dans WordPress

Retour au sommet

8. Sauvegardez votre site régulièrement

Les sauvegardes sont comme Time Machine. Si vous l'avez, votre site Web est en sécurité.

Cependant, les sauvegardes de sites Web ne protègent pas votre site contre les pirates, mais elles vous aident à récupérer votre site.

Par exemple, si quelque chose ne va pas avec votre site pendant la mise à jour ou si votre site Web est piraté, comment réparerez-vous à nouveau votre site ? Vous perdez probablement votre site.

Mais si vous avez des sauvegardes de votre site, vous pouvez facilement restaurer votre site avant le moment où il a été piraté ou planté.

C'est pourquoi nous vous recommandons fortement d'utiliser un plugin de sauvegarde WordPress fiable. Cependant, de nombreuses sociétés d'hébergement proposent une sauvegarde gratuite du site Web, mais elles peuvent garantir la disponibilité de votre site en cas de panne catastrophique. Vous devez donc enregistrer les sauvegardes dans un emplacement distant comme Google Drive, Amazon S3, Dropbox, etc.

Heureusement, cela peut être fait en utilisant BlogVault ou BackUpBuddy WordPress Backup Plugin. Ils offrent tous deux des sauvegardes quotidiennes et une restauration en un clic. Vous pouvez également créer un site intermédiaire sans frais supplémentaires.

Retour au sommet

9. Utilisez le plugin de sécurité WordPress

La prochaine chose dont vous avez besoin pour renforcer votre sécurité WordPress est un plugin de sécurité. Il existe de nombreux plugins de sécurité WordPress disponibles qui verrouillent votre site contre les pirates et les logiciels malveillants.

Les plugins de sécurité WordPress détecteront et élimineront les logiciels malveillants s'ils sont présents sur votre site. En outre, ils surveillent l'activité des utilisateurs en temps réel, vous avertissent si quelque chose a changé, si un plugin contient un logiciel malveillant, bloquent le trafic de spam et bien d'autres.

Nous recommandons le plugin de sécurité Securi WordPress. Securi Security offre un type différent de fonctionnalités de sécurité telles que l'audit des activités de sécurité, la surveillance du site Web, le pare -feu du site Web et bien d'autres.

La meilleure chose à propos de Securi est que si votre site est piraté ou mis sur liste noire par Google lors de l'utilisation de leur service, ils garantissent qu'ils répareront votre site.

La plupart des experts en sécurité WordPress facturent plus de 300 $ pour réparer un site piraté, alors que vous obtiendrez tous les services de sécurité pour seulement 199 $ par an. C'est un bon investissement pour renforcer votre sécurité WordPress.

Retour au sommet

10. Déconnectez automatiquement les utilisateurs inactifs

Si un utilisateur reste inactif ou inactif sur votre site pendant trop longtemps, cela peut provoquer une attaque par force brute.

Lorsqu'un utilisateur reste inactif trop longtemps, les pirates peuvent utiliser des cookies ou une méthode de piratage de session pour obtenir un accès non autorisé à votre site Web. C'est pourquoi la plupart des sites Web liés à l'éducation et à la finance, tels que les sites Web des banques et des passerelles de paiement, utilisent la fonction d'expiration de la session utilisateur. Ainsi, lorsqu'un utilisateur quitte la page et n'interagit pas après un certain temps, le site Web déconnecte automatiquement l'utilisateur inactif.

La même fonction que vous pouvez ajouter à votre site WordPress pour améliorer votre sécurité WordPress. L'ajout de déconnexion automatique des utilisateurs inactifs sur WordPress est extrêmement simple. Tout ce dont vous avez besoin pour installer un plugin.

Tout d'abord, téléchargez et installez le plugin WordPress Inactive Logout. Ensuite, activez-le et allez dans Paramètres> Déconnexion inactive pour configurer le plugin.

Dans les paramètres, vous pouvez modifier le délai d'inactivité. Ainsi, passé ce délai, tous les utilisateurs de votre site seront automatiquement déconnectés.

Vous pouvez également modifier le message de délai d'inactivité et modifier d'autres paramètres si nécessaire.

Une fois cela fait, cliquez sur Enregistrer les modifications pour enregistrer les paramètres.

Pour des instructions détaillées, consultez notre guide sur la façon de déconnecter automatiquement les utilisateurs inactifs dans WordPress

Retour au sommet

11. Ajouter des questions de sécurité à la page de connexion WordPress

En ajoutant des questions de sécurité à votre page de connexion WordPress, vous protégerez non seulement votre page de connexion WordPress, mais vous renforcerez également la sécurité de WordPress.

La question de sécurité ajoute une couche de sécurité supplémentaire pour authentifier davantage votre identité lors de la connexion. Ceci est très utile si vous exécutez un blog WordPress multi-auteur.

Si l'un de vos utilisateurs ou votre mot de passe a été volé, la question de sécurité peut vous sauver la vie.

Parce que le nom d'utilisateur et le mot de passe peuvent être piratés facilement, mais opter pour la bonne question de sécurité et la bonne réponse est presque impossible. De cette façon, vous pouvez protéger votre page de connexion WordPress contre les pirates et les attaques par force brute.

Pour ajouter une question de sécurité sur la page de connexion WordPress, installez le plugin WP Security Question.

Une fois activé, allez dans WP Security Questions > Plugin Settings pour configurer le plugin.

Par défaut, le plugin a de nombreuses questions courantes ajoutées. Cependant, vous pouvez ajouter ou supprimer des questions de sécurité de la liste.

En bas, vous pouvez activer la question de sécurité sur la page de connexion, l'enregistrement et la page de mot de passe oublié. Une fois le plugin configuré, n'oubliez pas de cliquer sur Save Setting .

Remarque : Seuls les nouveaux utilisateurs peuvent définir leur question de sécurité et leur réponse lors de l'inscription. Les utilisateurs enregistrés doivent donc définir manuellement leur propre question et réponse de sécurité. Vous pouvez également définir une question de sécurité et une réponse pour eux. Cela peut être fait à partir de la page Profil de l'utilisateur .

Pour des instructions détaillées, consultez notre guide sur la façon d'ajouter des questions de sécurité à la page de connexion de WordPress

Retour au sommet

12. Changer le nom d'utilisateur "Admin" par défaut

Après avoir installé WordPress, vous pouvez modifier votre mot de passe autant de fois que vous le souhaitez. Mais pouvez-vous changer votre nom d'utilisateur une fois qu'il est défini ? Aucun droit?

Par défaut, WordPress n'autorise pas les utilisateurs à changer de nom d'utilisateur. Mais pourquoi devriez-vous le changer ?

Si vous utilisez un nom d'utilisateur très courant comme "admin", les pirates peuvent exécuter une attaque par force brute à l'aide de votre nom d'utilisateur.

Mais ne paniquez pas. Il existe plusieurs façons de modifier facilement votre WordPress.

Cependant, pour faciliter le processus, nous utiliserons un plugin. Tout d'abord, téléchargez et installez le plugin de changement de nom d'utilisateur. Ensuite, allez dans Utilisateurs> Votre profil et recherchez l'option de nom d'utilisateur. Vous y trouverez l'option « Modifier le nom d'utilisateur ».

Cliquez sur le bouton Modifier le nom d'utilisateur et entrez votre nouveau nom d'utilisateur. Une fois terminé, cliquez sur Mettre à jour le profil .

Si vous souhaitez modifier votre nom d'utilisateur manuellement (sans plugin), consultez l'article 3 façons différentes de changer le nom d'utilisateur WordPress.

Retour au sommet

13. Affectez les utilisateurs au rôle le plus bas possible

Si vous utilisez un site WordPress multi-auteur, vous devez être prudent avant d'attribuer un rôle à un utilisateur.

Souvent, les propriétaires de sites WordPress attribuent un rôle d'utilisateur plus élevé aux nouveaux utilisateurs, de cette façon, vous donnez tous les privilèges aux utilisateurs et, par conséquent, tout utilisateur peut effectuer n'importe quelle tâche comme il le souhaite.

Par exemple, si vous ne savez pas ce qu'un rôle d'utilisateur d'éditeur peut effectuer et que vous attribuez le rôle à un utilisateur régulier, l'utilisateur peut supprimer tous vos messages, modifier des liens, créer des messages de spam, ajouter des liens malveillants dans votre blog. des postes. C'est ainsi qu'un utilisateur peut facilement ruiner votre site Web.

Par défaut, WordPress est livré avec 5 rôles d'utilisateur différents.

• Administrateur
• Éditeur
• Auteur
• Donateur
• Abonné

1. Administrateur : Les administrateurs sont le rôle d'utilisateur le plus puissant dans un site WordPress. Ils peuvent créer, modifier et supprimer un compte d'utilisateur, effectuer n'importe quelle tâche dans le panneau d'administration de WordPress, contrôler toute la zone de contenu et également modérer les commentaires.
2. Éditeur : les utilisateurs ayant le rôle d'éditeur ont le contrôle total sur tout le contenu. Ils peuvent créer, modifier et supprimer tous les messages, y compris les messages créés par d'autres utilisateurs. Ils peuvent également modérer les commentaires et modifier les liens.
3. Auteur : les auteurs ne peuvent publier, modifier ou supprimer que leurs propres publications. Ils peuvent télécharger des fichiers multimédias à utiliser dans leurs publications. Ils peuvent voir les commentaires, mais ne peuvent ni approuver ni supprimer de commentaires.
4. Contributeur : les utilisateurs ayant le rôle de contributeur peuvent uniquement écrire, modifier ou supprimer leur propre message non publié, mais ils ne peuvent pas publier leur propre message.
5. Abonné : les abonnés peuvent uniquement modifier les informations de leur compte, y compris le mot de passe, mais ils n'ont pas accès au contenu ni aux paramètres du site. Ils ont les capacités les plus faibles dans un site WordPress.

En comprenant les rôles des utilisateurs WordPress, vous pouvez facilement les gérer sans aucun risque.

Nous vous recommandons également de définir le rôle par défaut du nouvel utilisateur sur Abonné. Allez dans Paramètres> Paramètres généraux et à partir de leur ensemble Rôle par défaut du nouvel utilisateur - Abonné et cliquez sur Enregistrer les modifications .

Pour plus de détails, lisez le Guide du débutant sur les rôles et capacités des utilisateurs de WordPress

Retour au sommet

14. Surveiller les modifications de fichiers et les activités des utilisateurs

Une autre façon intelligente de renforcer la sécurité de WordPress consiste à surveiller les activités des utilisateurs et les modifications de fichiers.

Si vous utilisez un site WordPress multi-utilisateurs, vous devez suivre le comportement des utilisateurs pour mieux comprendre quelles sont leurs activités sur votre site WordPress.

Qui sait, si un utilisateur fait un travail suspect ou essaie de pirater votre site Web ? Comment pouvez-vous le savoir?

Le seul moyen de suivre les activités des utilisateurs et les modifications de fichiers consiste à utiliser un plugin WordPress d'activité des utilisateurs. En utilisant un plugin d'activité utilisateur dans WordPress, vous pouvez :

• voir qui est connecté et ce qu'il fait en temps réel
• lorsqu'un utilisateur se connecte et se déconnecte
• combien de fois un utilisateur a essayé de se connecter mais a échoué

De plus, si un éditeur a apporté des modifications à un article ou à une page sans votre permission, vous pouvez facilement le découvrir et le revenir en arrière. La bonne chose à propos d'un plugin d'activité utilisateur est qu'il vous envoie instantanément une notification par e-mail en cas de problème.

WP Security Audit Log est le meilleur plugin pour surveiller les activités des utilisateurs et les modifications de fichiers en temps réel. Voici une capture d'écran ci-dessous comment le plugin fonctionne.

Lisez également, 5 meilleurs plugins pour surveiller l'activité des utilisateurs dans WordPress (plugins alternatifs)

Retour au sommet

15. Implémenter SSL et HTTPS

La sécurité de WordPress ne peut pas être améliorée sans un certificat SSL. Un SSL (Secure Socket Layer) est l'épine dorsale de la sécurité des sites Web.

SSL est une technologie de sécurité standard qui crée des liens cryptés entre un serveur et un navigateur Web dans une communication en ligne telle qu'une transaction en ligne. Ainsi, toutes les données sensibles telles que les mots de passe, les détails de la carte de crédit, etc. passent par des liens cryptés.

Si vous gérez une entreprise en ligne ou un blog sur lequel vous acceptez les paiements, un certificat SSL est indispensable. Il gardera les données de vos clients à l'abri des pirates. Pour les boutiques en ligne ou les sites WooCommerce, les coûts de certificat SSL coûtent environ 20 à 170 $.

Si vous utilisez un blog WordPress, vous n'avez pas besoin d'un certificat SSL payant. Si vous utilisez un hébergement cPanel comme SiteGround, WPEngine, vous pouvez installer gratuitement un certificat SSL en un seul clic.

Tout d'abord, connectez-vous à votre compte d'hébergement cPanel et accédez à Sécurité . (Voici une capture d'écran ci-dessous de SiteGround hébergeant cPanel.)

Allez dans le gestionnaire SSL/TLS et cliquez sur Installer le certificat SSL . Depuis la page, sélectionnez votre domaine et cliquez sur Remplissage automatique par domaine . Le processus est automatique, vous n'avez donc pas besoin d'éditer ou de modifier quoi que ce soit.

Cliquez maintenant sur le bouton Installer le certificat pour terminer le processus d'installation.

Une fois cela fait, connectez-vous à votre tableau de bord d'administration WordPress pour modifier l'URL de votre site. Allez dans Paramètres> Général et ajoutez remplacer le HTTP par HTTPS avant l'URL de votre site. Voici une capture d'écran ci-dessous.

Une fois mis à jour, cliquez sur Enregistrer les modifications .

Comment rediriger HTTP vers HTTPS dans WordPress

Si vous avez correctement installé le certificat SSL, votre site est accessible avec HTTPS.

Mais si quelqu'un tape uniquement le nom de votre site Web (c'est-à-dire domaine.com) dans la barre d'adresse du navigateur, le site peut afficher le message « La connexion n'est pas sécurisée ». Cela signifie que votre site est accessible avec HTTP.

Pour résoudre le problème, vous devez forcer HTTPS dans WordPress, afin que votre site ne se charge qu'avec HTTPS. Vous pouvez facilement forcer HTTPS dans WordPress.

Connectez-vous d'abord à votre hébergement cPanel et accédez au dossier racine de votre site Web et recherchez le fichier .htaccess . Modifiez le fichier .htaccess et à la fin ajoutez le code suivant.

Moteur de réécriture activé
RewriteCond %{HTTPS} désactivé
Règle de réécriture ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Enregistrez le fichier et vous avez terminé. Désormais, votre site Web n'est accessible qu'avec HTTPS.

Si votre fournisseur d'hébergement Web ne fournit pas de certificat SSL gratuit, vous pouvez installer un certificat SSL manuellement. Voici le guide sur la façon d' installer un certificat SSL gratuit.

Retour au sommet

16. Supprimer les thèmes et plugins inutilisés

Lorsqu'il s'agit de renforcer la sécurité de WordPress, nous ne devons ignorer aucune petite étape qui peut rendre votre site vulnérable.

La plupart du temps, les propriétaires de sites WordPress installent différents thèmes et plugins pour tester quel thème est le mieux sur leur site ou quel plugin a plus de fonctionnalités. C'est bon. Mais garder ces thèmes et plugins inutilisés rend votre site vulnérable.

Car conserver de nombreux thèmes et plugins WordPress nécessite une mise à jour régulière comme celui que vous utilisez. Si vous ne les mettez pas à jour, ils deviennent vulnérables et les pirates peuvent facilement exploiter votre site via les thèmes et plugins vulnérables. De plus, conserver autant de thèmes et de plugins rend le site WordPress plus lent.

Vous devez donc toujours supprimer les thèmes et plugins inutilisés pour améliorer les performances du site et la sécurité de WordPress.

Pour supprimer un plugin inutilisé, allez dans Plugins> Plugins installés . Ensuite, trouvez le plugin dont vous n'avez plus besoin. Tout d'abord, désactivez le plugin et cliquez sur Supprimer .

De même, pour supprimer un thème, allez dans Apparence > Thèmes et cliquez sur Détails du thème. Puis en bas à droite, cliquez sur Supprimer .

Retour au sommet

17. Désactiver l'édition de fichiers dans le tableau de bord WordPress

Par défaut, WordPress permet aux utilisateurs de modifier le fichier de thème et de plug-in directement à partir du tableau de bord WordPress. Il s'agit d'une option utile pour les utilisateurs qui ont fréquemment besoin de modifier le fichier de thème et de plug-in.

Cependant, garder cette fonction activée peut être un problème de sécurité sérieux. Si des pirates accèdent à votre site Web, ils laissent généralement leur empreinte en injectant du code malveillant dans les fichiers du site Web. Si votre fonction d'édition de fichiers WordPress est activée, les pirates peuvent facilement injecter du code malveillant dans votre fichier de thème ou de plugin qui vous sera inconnu.

Pour améliorer la sécurité de WordPress, vous devez désactiver la fonction d'édition de fichiers depuis votre tableau de bord WordPress. La désactivation du thème WordPress et de l'éditeur de plugins dans WordPress est un processus très simple.

Tout d'abord, vous devez vous connecter à votre compte d'hébergement cPanel et accéder au dossier racine de votre site WordPress. À partir de là, recherchez le fichier wp-config.php. Cliquez sur modifier et ajoutez le code suivant à la fin.

définir ('DISALLOW_FILE_EDIT', vrai);

Enregistrez maintenant le fichier et actualisez votre tableau de bord WordPress. Vous verrez que l'option d'éditeur de thème et de plugin a disparu. Avec cette petite astuce, vous pouvez facilement améliorer la sécurité de WordPress.

Lisez le guide détaillé sur la façon de désactiver l'éditeur de thèmes et de plugins dans WordPress

Retour au sommet

18. Mot de passe Protéger la page de connexion WordPress

Un autre excellent moyen d'améliorer la sécurité de WordPress consiste à protéger par mot de passe la page de connexion de WordPress.

En protégeant par mot de passe votre page de connexion WordPress (/wp-login.php) ou d'administration (/wp-admin), vous pouvez empêcher les pirates d'accéder à votre page de connexion car elle nécessite un mot de passe pour accéder à la page de connexion. Une fois cette fonctionnalité activée, votre site invitera tous les utilisateurs à accéder à la page de connexion avec un nom d'utilisateur et une fenêtre de mot de passe. En bref, tous les utilisateurs doivent se connecter deux fois avec un nom d'utilisateur et un mot de passe différents avant d'accéder à votre tableau de bord d'administration WordPress.

Ce faisant, vous pouvez renforcer votre sécurité WordPress et ajouter une couche de sécurité supplémentaire à votre page de connexion.

Lisez notre guide détaillé sur la protection par mot de passe de la page de connexion WordPress.

Retour au sommet

19. Désactiver la navigation dans les répertoires dans WordPress

Par défaut, la plupart des serveurs Web comme Apache, NGINX et LiteSpeed ​​permettent à tout utilisateur de parcourir les répertoires contenant des fichiers et des dossiers WordPress. Ils peuvent également voir le thème et les plugins que vous utilisez et en savoir plus sur la structure de votre site Web.

Ces informations peuvent rendre votre site WordPress vulnérable et aider un pirate informatique à tenter de compromettre votre site.

Afin d'améliorer la sécurité de WordPress, nous vous recommandons de désactiver cette option. Pour désactiver la navigation dans les répertoires dans WordPress, ajoutez simplement la ligne suivante à votre fichier .htacces .

Options Tous -Index

Pour des instructions détaillées, lisez notre guide sur la façon de désactiver la navigation dans les répertoires dans WordPress

Retour au sommet

20. Supprimez votre version de WordPress

Par défaut, WordPress ajoute automatiquement des balises méta à différents endroits qui affichent la version de WordPress que vous utilisez.

Voici le problème : si les pirates savent que vous utilisez une version obsolète de WordPress, ils peuvent exploiter votre site à travers les vulnérabilités connues qui sont présentes dans l'ancienne version de WordPress.

Il est donc préférable de supprimer votre version de WordPress pour améliorer la sécurité de WordPress. Il existe plusieurs endroits où WordPress ajoute les balises méta comme, dans le tableau de bord WordPress, dans l'en-tête, dans le style et le javascript et dans le flux RSS.

Suppression de la version WordPress de l'en-tête et du RSS

Pour supprimer la version de l'en-tête et du RSS, ajoutez la ligne suivante à la fin de votre fichier functions.php .

fonction remove_wordpress_version() {
revenir '';
}
add_filter('the_generator', 'remove_wordpress_version');

Suppression du numéro de version WordPress des scripts et CSS

Pour supprimer la version WordPress du CSS et des scripts, ajoutez la ligne suivante à la fin de votre fichier functions.php .

// Choisissez le numéro de version des scripts et des styles
function remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
retourne $src ;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

Une fois cela fait, enregistrez le fichier functions.php .

C'est ça. Avec cette astuce simple, vous pouvez sûrement améliorer votre sécurité WordPress. Cependant, nous vous recommandons toujours de mettre à jour régulièrement votre version de WordPress ainsi que le thème et les plugins.

Pour des instructions détaillées, lisez notre guide sur la façon de masquer ou de supprimer la version de WordPress

Retour au sommet

21. Changer le préfixe de table de base de données WordPress

Lors de l'installation de WordPress, il vous demande si vous souhaitez utiliser un préfixe de base de données différent. Nous sautons généralement cette étape, donc WordPress utilise automatiquement (WP_) comme préfixe de table de base de données par défaut. Nous vous recommandons de le changer quelque chose de fort et unique.

L'utilisation du préfixe par défaut (WP_) rend votre base de données WordPress vulnérable aux attaques par injection SQL. De telles attaques peuvent être évitées en changeant le préfixe de la base de données (WP_) en quelque chose d'unique.

Après avoir installé WordPress, vous pouvez facilement modifier le préfixe de table de base de données par défaut à l'aide de plugins ou manuellement. Des plugins comme BackupBuddy, Brozzme DB Prefix vous permettent de changer le préfixe de la table en un seul clic.

Pour les besoins du didacticiel, je montre comment le modifier à l'aide du plug-in Brozzme DB Prefix.

Remarque : Avant de faire quoi que ce soit avec votre base de données, assurez-vous d'effectuer une sauvegarde de votre site et de votre base de données. En cas de problème, vous pouvez restaurer votre site.

Tout d'abord, installez et activez le plugin Brozzme DB Prefix. Depuis votre tableau de bord WordPress, accédez à Outils> Préfixe DB et entrez un nouveau nom unique pour le préfixe de base de données.

Une fois entré votre nouveau préfixe, cliquez sur Change DB Prefix .

Pour le processus manuel, lisez comment changer le préfixe de table de base de données à l'aide de phpMyAdmin

Retour au sommet

22. Utilisez uniquement des plugins WordPress de confiance

WordPress est livré avec plus de 48 000 plugins. Cela ne signifie pas que tous les plugins sont utiles et sûrs à utiliser.

Parce qu'il existe de nombreux plugins disponibles dans la galerie de plugins WordPress qui ne sont pas mis à jour depuis longtemps et qui sont généralement devenus vulnérables. De plus, vous n'obtiendrez aucun support si le plugin casse votre site.

Avant d'utiliser un plugin gratuit, deux choses importantes que vous devez vérifier,

• Vérifiez quand le plugin a été mis à jour pour la dernière fois : si le plugin n'est pas mis à jour fréquemment ou n'est plus maintenu par le développeur du plugin, vous devez éviter le plugin.

• Vérifiez si le plugin a des notes positives maximales : La prochaine chose que vous devez vérifier si le plugin a des notes positives ou négatives maximales. Si le plugin a des notes négatives maximales, vous ne devriez pas l'utiliser.

Vous pouvez également consulter la page Avis et support du plugin pour voir ce que les autres utilisateurs disent du plugin.

Mais ne vous inquiétez pas. Il existe de nombreux plugins similaires disponibles que vous pouvez trouver dans la galerie de plugins WordPress.

Si vous souhaitez utiliser un plugin premium, vous n'avez pas à vous en soucier. Les plugins Premium sont mis à jour régulièrement et vous bénéficierez d'une assistance 24x de la part du développeur du plugin.

Retour au sommet

23. Désactiver le rapport d'erreurs PHP

Un autre excellent moyen de renforcer la sécurité de WordPress consiste à désactiver le rapport d'erreur PHP dans WordPress. Souvent, lorsque vous installez un plugin ou un thème obsolète, vous pouvez voir l'avertissement d'erreur PHP.

Cependant, cela peut rendre votre site vulnérable si des pirates l'obtiennent car il montre le code et l'emplacement du fichier. Pour minimiser le risque, vous pouvez désactiver le rapport d'erreur PHP dans WordPress.

La désactivation de l'avertissement d'erreur PHP dans WordPress est très simple. Tout d'abord, éditez votre fichier wp-config.php et trouvez la ligne contenant ce code :

définir('WP_DEBUG', faux);

Vous pouvez voir « vrai » au lieu de « faux ». Remplacez maintenant la ligne par le code suivant.

ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
définir('WP_DEBUG', faux);
définir('WP_DEBUG_DISPLAY', faux);

Enregistrez le fichier et vous avez terminé.

Nous vous recommandons également d'utiliser des plugins à jour et bien notés pour éviter ce genre de problème.

Retour au sommet

24. Ajouter des en-têtes sécurisés HTTP à WordPress

Un autre excellent moyen de renforcer la sécurité de WordPress consiste à ajouter des en-têtes sécurisés HTTP à votre site WordPress.

Lorsqu'une personne accède à votre site Web, le navigateur adresse une requête à votre serveur Web. Ensuite, le serveur Web répond avec les demandes ainsi que les en-têtes HTTP. Ces en-têtes HTTP transmettent des informations telles que l'encodage du contenu, le contrôle du cache, le type de contenu, la connexion, etc.

En ajoutant des en-têtes de réponse HTTP sécurisés, vous pouvez améliorer votre sécurité WordPress et également empêcher les attaques et les vulnérabilités de sécurité.

Voici les en-têtes HTTP ci-dessous :

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) oblige le navigateur Web à n'utiliser que des connexions sécurisées (HTTPS) lors de la communication avec un site Web. Cela empêche les hacks de protocole SSL, le détournement de cookies, le décapage SSL, etc.
• X-Frame-Options : Les X-Frame-Options sont une sorte d'en-tête HTTP qui spécifie si un navigateur est autorisé ou non à afficher un site Web dans un cadre. Cela empêche les attaques de détournement de clic et garantit que votre site Web n'est pas intégré à d'autres sites Web utilisant <frame>.
• X-XSS-Protection : La X-XSS-Protection est une fonctionnalité intégrée des navigateurs Internet Explorer, Google Chrome, Firefox et Safari qui bloque le chargement des pages si un script malveillant a été inséré à partir d'une entrée utilisateur.
• X-Content-Type-Options : X-Content-Type-Options est une sorte d'en-tête de réponse HTTP avec la valeur nosniff qui empêche les navigateurs Web de renifler MIME une réponse à partir du type de contenu déclaré.
• Referrer-Policy : la politique de référent est un en-tête de réponse HTTP qui empêche les fuites de référents entre domaines.

Pour ajouter des en-têtes sécurisés HTTP dans WordPress, ajoutez simplement les lignes de code suivantes dans votre fichier .htaccess .

Jeu d'en-tête Strict-Transport-Security "max-age=31536000" env=HTTPS
L'en-tête ajoute toujours X-Frame-Options SAMEORIGIN
Jeu d'en-tête X-XSS-Protection "1 ; mode=block"
Jeu d'en-tête X-Content-Type-Options nosniff
Header Referrer-Policy : no-referrer-when-downgrade

Allez maintenant sur securityheaders.com pour vérifier si les codes fonctionnent ou non. Nous n'avons pas ajouté de "Politique de sécurité du contenu" car cela pourrait casser votre site. Cependant, c'est suffisant pour sécuriser votre site WordPress.

Retour au sommet

Conclusion

Il existe de nombreuses façons de renforcer la sécurité de WordPress, telles que : utiliser un hébergement WordPress géré, utiliser des mots de passe forts pour les comptes, surveiller les activités des utilisateurs, utiliser un plugin de sécurité WordPress, implémenter SSL et HTTPS et bien d'autres.

Harding WordPress sécurité n'est pas sorcier. Vous pouvez facilement sécuriser votre site WordPress en mettant en œuvre les meilleures pratiques de sécurité WordPress que nous avons partagées dans cet article. En les mettant en œuvre, vous sécuriserez non seulement votre site WordPress mais empêcherez également les pirates d'accéder à votre site.

Une fois cela fait, vous n'aurez plus à vous soucier de la sécurité de votre WordPress. De plus, vous pouvez être plus productif et sans stress.

MAINTENANT, c'est à votre tour . Lisez attentivement l'article et mettez-les en œuvre sur votre site. Vous serez heureux de l'avoir fait.

Avons-nous manqué des conseils de sécurité WordPress importants à mentionner ici ? n'hésitez pas à nous le faire savoir dans la section commentaire.

Infographie sur la sécurité de WordPress