Comment sécuriser son site WordPress en 2020

WordPress en 2020 est le système de gestion de contenu (CMS) le plus populaire et alimente plus de 30% des sites Web. Cependant, à mesure qu’il grandit, les pirates informatiques (hackers) ont pris note et commencent à cibler spécifiquement les sites WordPress. Quels que soient les types de contenu fournis par votre site, vous n’êtes pas une exception. Si vous ne prenez pas certaines précautions, vous pourriez être piraté. Comme tout ce qui concerne la technologie, vous devez vérifier la sécurité de votre site Web.
Dans ce tutoriel, nous partagerons les meilleurs conseils pour sécuriser votre site Web WordPress.

Comment sécuriser son site wordpress en 2020

Voici 23 astuces pour sécuriser votre site Web WordPress:

1- Configurer une fonction de verrouillage du site Web et interdire les utilisateurs

Une fonction de verrouillage pour les tentatives de connexion infructueuses peut résoudre l’énorme problème des tentatives de force brute continues. Chaque fois qu’il y a une tentative de piratage avec des mots de passe erronés et répétitifs, le site est verrouillé et vous êtes informé de cette activité non autorisée.

iThemes Security est l’un des meilleurs plugins de ce type. Le plugin a beaucoup à offrir à cet égard. Avec plus de 30 autres mesures de sécurité WordPress impressionnantes, vous pouvez spécifier un certain nombre de tentatives de connexion infructueuses avant que le plugin n’interdise l’adresse IP de l’attaquant.

2- Utilisez l’authentification à deux facteurs pour la sécurité WordPress

L’introduction d’un module d’authentification à deux facteurs (2FA) sur la page de connexion est une autre bonne mesure de sécurité. Dans ce cas, l’utilisateur fournit des informations de connexion pour deux composants différents. Le propriétaire du site Web décide de ce que ces deux sont. Il peut s’agir d’un mot de passe normal suivi d’une question secrète, d’un code secret, d’un ensemble de caractères ou, plus populaire, de l’application Google Authenticator, qui envoie un code secret à votre téléphone. De cette façon, seule la personne avec votre téléphone (vous) peut se connecter à votre site.

3- Utilisez votre e-mail pour vous connecter

Par défaut, vous devez saisir votre nom d’utilisateur pour vous connecter à WordPress. L’utilisation d’un identifiant de messagerie au lieu d’un nom d’utilisateur est une approche plus sécurisée. Les raisons sont assez évidentes. Les noms d’utilisateur sont faciles à prévoir, contrairement aux identifiants de messagerie. De plus, tout compte d’utilisateur WordPress est créé avec une adresse e-mail unique, ce qui en fait un identifiant valide pour la connexion.

4- Renommez votre URL de connexion pour sécuriser votre site WordPress

Changer l’URL de connexion est une chose facile à faire. Par défaut, la page de connexion WordPress est facilement accessible via wp-login.php ou wp-admin ajouté à l’URL principale du site.

Lorsque les pirates connaissent l’URL directe de votre page de connexion, ils peuvent essayer de forcer leur accès. Ils tentent de se connecter avec leur GWDb (Guess Work Database, c’est-à-dire une base de données de noms d’utilisateur et de mots de passe devinés; par exemple, le nom d’utilisateur: admin et mot de passe: p@ssword avec des millions de ces combinaisons).

À ce stade, nous avons déjà limité les tentatives de connexion des utilisateurs et remplacé les noms d’utilisateur par des ID de messagerie. Nous pouvons maintenant remplacer l’URL de connexion et nous débarrasser de 99% des attaques directes par force brute.

Cette petite astuce empêche une entité non autorisée d’accéder à la page de connexion. Seule une personne possédant l’URL exacte peut le faire. Encore une fois, le plugin iThemes Security peut vous aider à modifier vos URL de connexion. Ainsi:

• Changer wp-login.php en quelque chose d’unique; Ex: my_new_login
• Changer /wp-admin/  en quelque chose d’unique ; Ex: my_new_admin
• Changer /wp-login.php?action=register  en quelque chose d’unique ; Ex: my_new_registeration

5- Ajustez vos mots de passe

Jouez avec vos mots de passe et changez-les régulièrement pour sécuriser votre site WordPress. Améliorez leur force en ajoutant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Beaucoup de gens optent pour des phrases de passe longues car il est presque impossible pour les pirates de prédire mais plus faciles à retenir qu’un tas de chiffres et de lettres aléatoires.

Et, d’accord, nous savons tous que ce qui précède est ce que nous «devrions» faire, mais ce n’est pas toujours quelque chose pour lequel nous avons le temps. C’est là que certains gestionnaires de mots de passe de qualité entrent en jeu. Ils généreront non seulement des mots de passe sûrs pour vous, mais les stockeront ensuite dans un coffre-fort sécurisé, ce qui vous évitera d’avoir à vous en souvenir.

6-Déconnectez automatiquement les utilisateurs inactifs de votre site

Les utilisateurs qui laissent le panneau wp-admin de votre site ouvert sur leurs écrans peuvent constituer une grave menace pour la sécurité de WordPress. Tout passant peut modifier les informations de votre site Web, modifier le compte d’utilisateur d’une personne ou même casser complètement votre site. Vous pouvez éviter cela en vous assurant que votre site déconnecte les utilisateurs après qu’ils ont été inactifs pendant un certain temps.

Vous pouvez configurer cela en utilisant un plugin comme BulletProof Security. Ce plugin vous permet de définir un délai personnalisé pour les utilisateurs inactifs, après quoi ils seront automatiquement déconnectés.

7- Protégez le répertoire wp-admin

Le répertoire wp-admin est le cœur de tout site Web WordPress. Par conséquent, si cette partie de votre site est violée, l’ensemble du site peut être endommagé.

Une façon possible d’éviter cela est de protéger par mot de passe le répertoire wp-admin. Avec une telle mesure de sécurité WordPress, le propriétaire du site Web peut accéder au tableau de bord en soumettant deux mots de passe. L’un protège la page de connexion et l’autre sécurise la zone d’administration de WordPress.

La configuration de ceci implique généralement l’ajustement de votre configuration d’hébergement via cPanel. Pourtant, ce n’est pas trop difficile à faire, cliquez-ici pour voir les étapes.

8- Utilisez SSL pour crypter les données

L’implémentation d’un certificat SSL (Secure Socket Layer) est une initiative intelligente pour sécuriser le panneau d’administration. SSL garantit un transfert de données sécurisé entre les navigateurs des utilisateurs et le serveur, ce qui rend difficile pour les pirates de rompre la connexion ou d’usurper vos informations.

Obtenir un certificat SSL pour votre site Web WordPress est simple. Vous pouvez en acheter un auprès d’une société tierce ou vérifier si votre hébergeur en fournit un gratuitement.

J’utilise le certificat SSL open source gratuit de Let’s Encrypt sur la plupart de mes sites. Toute bonne société d’hébergement comme SiteGround propose un certificat SSL Let’s Encrypt gratuit avec ses packages d’hébergement.

Le certificat SSL affecte également le classement Google de votre site Web. Google a tendance à classer les sites avec SSL plus haut que ceux sans. Cela signifie plus de trafic. Maintenant, qui ne veut pas ça?

9- Ajoutez des comptes d’utilisateurs avec soin

Si vous exécutez un blog WordPress, ou plutôt un blog multi-auteur, vous devez traiter avec plusieurs personnes accédant à votre panneau d’administration. Cela pourrait rendre votre site Web plus vulnérable aux menaces de sécurité WordPress.

Vous pouvez utiliser un plugin comme Forcer les mots de passe forts si vous voulez vous assurer que les mots de passe que les utilisateurs créent sont sécurisés. Ce n’est qu’une mesure de précaution, mais c’est mieux que d’avoir plusieurs utilisateurs avec des mots de passe faibles.

10- Modifiez le nom d’utilisateur administrateur

Lors de votre installation WordPress, vous ne devez jamais choisir « admin » comme nom d’utilisateur pour votre compte administrateur principal. Un tel nom d’utilisateur facile à deviner est accessible aux pirates. Tout ce dont ils ont besoin, c’est de trouver le mot de passe, puis tout votre site entre de mauvaises mains.

Je ne peux pas vous dire combien de fois j’ai parcouru les journaux de mon site Web et trouvé des tentatives de connexion avec le nom d’utilisateur « admin ».

Le plugin iThemes Security peut arrêter de telles tentatives en interdisant immédiatement toute adresse IP qui tente de se connecter avec ce nom d’utilisateur.

11- Surveillez vos fichiers

Si vous souhaitez une sécurité WordPress supplémentaire, surveillez les modifications apportées aux fichiers de votre site Web via des plugins comme Wordfence, ou encore, iThemes Security.

12- Modifiez le préfixe de la table de base de données WordPress

Si vous avez déjà installé WordPress, vous connaissez le préfixe de table  wp- utilisé par la base de données WordPress. Je vous recommande de le changer en quelque chose d’unique.

L’utilisation du préfixe par défaut rend votre base de données de site sujette aux attaques par injection SQL. De telles attaques peuvent être évitées en remplaçant wp- par un autre terme. Par exemple, vous pouvez le faire mywp- ou wpnew-.

Si vous avez déjà installé votre site Web WordPress avec le préfixe par défaut, vous pouvez utiliser quelques plugins pour le changer. Des plugins comme WP-DBManager ou iThemes Security peuvent vous aider à faire le travail avec un simple clic sur un bouton. (Assurez-vous de sauvegarder votre site avant de faire quoi que ce soit dans la base de données). Vous pouvez aussi le changer directement depuis l’interface de votre base de données.

13- Faites des sauvegardes régulièrement pour sécuriser votre site WordPress

Peu importe la sécurité de votre site Web WordPress, il y a toujours place à amélioration. Mais à la fin de la journée, garder une sauvegarde hors site quelque part est peut-être le meilleur antidote, quoi qu’il arrive.

Si vous avez une sauvegarde, vous pouvez restaurer votre site Web WordPress dans un état de fonctionnement à tout moment. Il existe des plugins qui peuvent vous aider à cet égard. Vous pouvez le faire aussi manuellement (Fatiguant)

Si vous recherchez une solution, je recommande VaultPress by Automattic, ce qui est génial. Je l’ai configuré pour créer des sauvegardes chaque semaine. Et en cas de problème, je peux facilement restaurer le site en un seul clic.

Je sais que certains grands sites Web exécutent des sauvegardes toutes les heures, mais pour la plupart des organisations, c’est une exagération totale. Sans oublier, vous devez vous assurer que la plupart de ces sauvegardes sont supprimées après la création d’une nouvelle, car chaque fichier de sauvegarde occupe de l’espace sur votre disque. Cela dit, je recommanderais des sauvegardes hebdomadaires ou mensuelles pour la plupart des organisations.

En plus des sauvegardes, VaultPress vérifie également mon site pour les logiciels malveillants et m’alerte si quelque chose de louche se passe.

14- Définissez des mots de passe forts pour votre base de données pour sécuriser son site wordpress

Un mot de passe fort pour l’utilisateur de la base de données principale est indispensable car ce mot de passe est celui que WordPress utilise pour accéder à la base de données.

Comme toujours, utilisez des majuscules, des minuscules, des chiffres et des caractères spéciaux pour le mot de passe. Les phrases secrètes sont également excellentes. Je recommande encore une fois LastPass pour la génération et le stockage de mots de passe aléatoires. Le générateur de mots de passe sécurisés est un outil gratuit et rapide pour créer des mots de passe forts.

15- Surveillez vos journaux de logs

Lorsque vous exécutez WordPress multisite ou gérez un site Web multi-auteur, il est essentiel de comprendre quel type d’activité utilisateur se déroule. Vos rédacteurs et contributeurs peuvent changer les mots de passe, mais il y a d’autres choses que vous ne voudrez peut-être pas. Par exemple, les changements de thème et de widget ne sont évidemment réservés qu’aux administrateurs. Lorsque vous consultez le journal d’audit, vous pouvez vous assurer que vos administrateurs et contributeurs n’essaient pas de modifier quelque chose sur votre site sans approbation.

Le plug-in WP Security Audit Log fournit une liste complète de cette activité, ainsi que des notifications et des rapports par e-mail. Dans sa plus simple expression, le journal d’audit peut vous aider à voir qu’un rédacteur a des problèmes de connexion. Mais le plugin peut également révéler une activité malveillante de l’un de vos utilisateurs.

16- Protégez le fichier wp-config.php

Le fichier wp-config.php contient des informations cruciales sur votre installation WordPress, et c’est le fichier le plus important du répertoire racine de votre site. Le protéger signifie sécuriser le cœur de votre blog WordPress.

Cette tactique rend difficile pour les pirates de briser la sécurité de votre site, car le fichier wp-config.php leur est inaccessible.

En prime, le processus de protection est vraiment facile. Prenez simplement votre fichier wp-config.php et déplacez-le à un niveau supérieur à votre répertoire racine.

Maintenant, la question est, si vous le stockez ailleurs, comment le serveur y accède-t-il? Dans l’architecture WordPress actuelle, les paramètres du fichier de configuration sont définis au plus haut de la liste des priorités. Ainsi, même s’il est stocké un dossier au-dessus du répertoire racine, WordPress peut toujours le voir.

17- Interdire l’édition de fichiers

Si un utilisateur a un accès administrateur à votre tableau de bord WordPress, il peut modifier tous les fichiers qui font partie de votre installation WordPress. Cela inclut tous les plugins et thèmes.

Si vous interdisez la modification de fichiers, personne ne pourra modifier aucun des fichiers – même si un pirate obtient un accès administrateur à votre tableau de bord WordPress.

Pour que cela fonctionne, ajoutez ce qui suit au fichier wp-config.php (à la toute fin):

define(‘DISALLOW_FILE_EDIT’, true);

18- Définissez soigneusement les autorisations de répertoire

Des autorisations de répertoire incorrectes peuvent être fatales, surtout si vous travaillez dans un environnement d’hébergement partagé.

Dans un tel cas, la modification des fichiers et des autorisations de répertoire est un bon moyen de sécuriser le site Web au niveau de l’hébergement. La définition des autorisations de répertoire sur «755» et les fichiers sur «644» protège l’ensemble du système de fichiers – répertoires, sous-répertoires et fichiers individuels.

Cela peut être fait manuellement via le gestionnaire de fichiers à l’intérieur de votre panneau de contrôle d’hébergement, ou via le terminal (connecté avec SSH) – utilisez la commande «chmod».

Pour en savoir plus, vous pouvez lire le schéma d’autorisation approprié pour WordPress ou installer le plugin iThemes Security pour vérifier vos paramètres d’autorisation actuels.

19- Désactiver la liste des répertoires avec .htaccess

Si vous créez un nouveau répertoire dans le cadre de votre site Web et ne placez pas de fichier index.html dedans, vous serez peut-être surpris de constater que vos visiteurs peuvent obtenir une liste complète de tout ce qui se trouve dans ce répertoire.

Par exemple, si vous créez un répertoire appelé «données», vous pouvez tout voir dans ce répertoire en tapant simplement http://www.example.com/data/ dans votre navigateur. Aucun mot de passe ou quoi que ce soit n’est nécessaire.

Vous pouvez éviter cela en ajoutant la ligne de code suivante dans votre fichier .htaccess:

Options All -Indexes

20- Bloquer tous les hotlinks pour sécuriser son site wordpress

Supposons que vous localisiez une image en ligne et que vous souhaitiez la partager sur votre site Web. Tout d’abord, vous avez besoin d’une autorisation ou de payer pour cette image, sinon il y a de fortes chances qu’il soit illégal de le faire. Mais si vous obtenez l’autorisation, vous pouvez directement extraire l’URL de l’image et l’utiliser pour placer la photo dans votre message. Le principal problème ici est que l’image est affichée sur votre site, mais hébergée sur le serveur d’un autre site.

De ce point de vue, vous n’avez aucun contrôle sur le maintien ou non de la photo sur le serveur. Mais il est également important de se rendre compte que les gens pourraient faire cela à votre site Web.

Si vous essayez de sécuriser votre site Web WordPress, le hotlinking est essentiellement une autre personne qui prend votre photo et vole la bande passante de votre serveur pour afficher l’image sur son propre site Web. En fin de compte, vous verrez des vitesses de chargement plus lentes et le potentiel de coûts de serveur élevés.

Bien qu’il existe certaines techniques manuelles pour empêcher le hotlinking, la méthode la plus simple consiste à trouver un plugin de sécurité WordPress pour le travail. Par exemple, le plug-in All in One WP Security and Firewall comprend des outils intégrés pour bloquer tous les hotlinks.

21- Comprendre et protéger contre les attaques DDoS

Une attaque DDoS est un type courant d’attaque contre la bande passante de votre serveur, où l’attaquant utilise plusieurs programmes et systèmes pour surcharger votre serveur. Bien qu’une attaque comme celle-ci ne mette pas en péril les fichiers de votre site, elle est destinée à planter votre site pendant une longue période si elle n’est pas résolue. Habituellement, vous n’entendez parler des attaques DDoS que lorsque cela arrive à de grandes entreprises comme GitHub ou Target. Ils sont menés par ce que beaucoup appellent des cyber-terroristes, donc le motif pourrait être simplement de faire des ravages.

Cela dit, vous n’avez pas besoin d’être une entreprise du Fortune 500 pour être à risque.

Si cela vous inquiète, nous vous recommandons de souscrire aux plans premium Sucuri ou Cloudflare. Ces solutions disposent de pare-feu d’applications Web pour analyser la bande passante utilisée et bloquer complètement les attaques DDoS.

22- Mettre à jour régulièrement pour la sécurité WordPress

Tout bon logiciel est pris en charge par ses développeurs et est mis à jour de temps en temps. Ces mises à jour sont destinées à corriger des bogues et comportent parfois des correctifs de sécurité essentiels. WordPress et ses plugins ne sont pas différents.

Ne pas mettre à jour vos thèmes et plug-ins peut entraîner des problèmes. De nombreux pirates s’appuient sur le simple fait que les gens ne peuvent pas être dérangés pour mettre à jour leurs plugins et thèmes. Le plus souvent, ces pirates exploitent des bogues qui ont déjà été corrigés.

Donc, si vous utilisez un produit WordPress, mettez-le à jour régulièrement. Plugins, thèmes, tout. La bonne nouvelle est que WordPress déploie automatiquement les mises à jour pour ses utilisateurs, vous recevrez donc un e-mail vous informant de la mise à jour et des informations sur les correctifs dans votre tableau de bord.

Quant aux plugins, ils doivent être mis à jour manuellement en allant dans Plugins dans votre tableau de bord. Lorsqu’un plugin a une nouvelle version, il vous en informe et fournit un lien pour mettre à jour maintenant.

Comme alternative, vous pouvez opter pour un plan d’hébergement WordPress géré. Outre de nombreuses autres fonctionnalités et améliorations de votre sécurité WordPress, l’hébergement géré de qualité propose des mises à jour automatiques pour tous les éléments de votre site WordPress.

Certains fournisseurs d’hébergement géré incluent Kinsta, SiteGround et Flywheel. Vous pouvez en savoir plus sur l’hébergement WordPress le mieux géré ici.

23- Supprimez votre numéro de version WordPress

Votre numéro de version WordPress actuel peut être trouvé très facilement. Il se trouve essentiellement juste là dans la vue source de votre site. Vous pouvez également le voir au bas de votre tableau de bord (mais cela n’a pas d’importance lorsque vous essayez de sécuriser votre site Web WordPress).

Voici le problème: si les pirates savent quelle version de WordPress vous utilisez, il leur est plus facile de concevoir une attaque parfaite.

Vous pouvez masquer votre numéro de version avec presque tous les plugins de sécurité WordPress que j’ai mentionnés ci-dessus.

Pour une approche plus manuelle (et pour supprimer également le numéro de version des flux RSS), pensez à ajouter la fonction suivante à votre fichier functions.php:

function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

Lire aussi: Comment choisir le meilleur hébergeur pour votre site WordPress