De nos jours, il est courant d’entendre parler de piratage informatique et de violation de données. Des grandes entreprises aux petits sites Web, personne n'est à l'abri de cette menace. En fait, les violations de données et les piratages informatiques sont à la hausse. Il est plus probable que jamais que votre site Web WordPress devienne la prochaine cible.
La bonne nouvelle est que vous n’êtes pas obligé d’attendre une attaque. WordPress vous permet de protéger votre site Web, vos informations et vos utilisateurs en plusieurs étapes.
Dans ce guide, nous examinerons non seulement comment empêcher une attaque WordPress, mais également pourquoi il est important de prendre ces mesures au sérieux. Votre sécurité dépend de votre prévention, alors commençons.
Pourquoi WordPress est-il sensible aux cyberattaques?
Tout d’abord, vous vous demandez peut-être pourquoi WordPress est un choix aussi populaire pour les pirates. Pourquoi les sites WordPress sont-ils piratés?
WordPress est le constructeur de sites Web le plus populaire au monde. Il alimente plus de 30% des sites de la planète, ce qui signifie qu’il est facile de trouver des sites Web qui ne sont pas sécurisés.
De plus, WordPress est une plate-forme open source. De ce fait, les nouveaux pirates informatiques apprennent facilement le système, et les plugins ou les modules complémentaires tiers offrent de nombreuses possibilités pour ouvrir un site Web aux vulnérabilités.
Chaque fois que vous ajoutez quelque chose à votre site Web WordPress, vous devez faire attention. A rapporté 73% des plus populaires Installations WordPress sont à risque de problèmes de sécurité. En fin de compte, la raison pour laquelle WordPress est si sujet aux attaques est tout simplement parce qu’elle est si populaire auprès de tous les types de propriétaires de sites Web. La bonne nouvelle est que vous pouvez faire beaucoup de choses pour vous assurer que votre site Web est sécurisé.
1. Utiliser les versions mises à jour
Si vous n’exécutez pas la dernière mise à jour de WordPress, vous vous exposez à des problèmes de sécurité. Chaque mise à jour apporte des correctifs aux problèmes de sécurité connus, ce qui renforce considérablement votre site Web.
Bien que cela puisse paraître simple, plus de 86% des installations WordPress exécutent maintenant des versions obsolètes. Si votre version de WordPress est obsolète, les pirates informatiques connaîtront les zones les plus vulnérables à cibler.
La même chose vaut pour votre propre ordinateur et vos appareils. Parfois, votre site Web peut être corrompu ou accédé par une forme de malware ou un virus sur votre propre appareil. Garder votre ordinateur et votre version de WordPress à jour est un impératif. Si possible, configurez les rappels pour qu'ils se mettent à jour chaque fois qu'une nouvelle version est disponible.
2. Choisissez vos thèmes et plugins avec soin
Trouver le bon thème ou le bon plug-in WordPress n’est pas toujours facile. Avec autant d’options, comment savoir ce qui convient le mieux à votre site Web?
L'un des plus grands drapeaux rouges est un thème ou un plugin obsolète. Bien qu'ils puissent être fonctionnels, ces outils ne disposent pas des dernières fonctionnalités de sécurité qui protègent votre site Web des tiers.
Soyez toujours sélectif lorsque vous choisissez vos thèmes et vos plugins. Recherchez les thèmes vérifiés par des sources autres que le site du développeur. De plus, vérifiez la date de mise à jour. Si le thème ou le plug-in n'a pas été mis à jour depuis des mois ou des années, il y a de fortes chances qu'il ne soit plus sécurisé. Vous voulez vous assurer que le développeur adopte une approche pratique pour protéger son produit.
En ce qui concerne les thèmes WordPress en particulier, il est beaucoup plus sûr de choisir un thème WordPress sur le choix de la version gratuite. Les versions gratuites peuvent sembler faciles, mais elles sont souvent sujettes aux attaques et n'offrent pas de support continu aux développeurs.
3. Modérez vos utilisateurs WordPress
WordPress est une excellente plate-forme à utiliser si plusieurs utilisateurs doivent accéder à votre site. Toutefois, cela peut rapidement devenir un problème si vous ne supprimez pas les utilisateurs qui ne sont plus actifs.
Regardez attentivement vos utilisateurs WordPress. Soyez conscient de qui a un accès administratif. Malheureusement, la plupart des gens utilisent des mots de passe faibles avec leur compte, ce qui peut ouvrir votre site aux pirates.
Si vous devez conserver les utilisateurs inactifs, envisagez de changer leur rôle en tant qu'abonné pour les empêcher d'effectuer trop d'actions. Faites attention à tous ceux qui ont ou ont déjà eu accès à votre site Web WordPress.
4. Désactiver l'édition de fichier WordPress
Grâce à votre tableau de bord WordPress, vous pouvez modifier des fichiers PHP pour des plugins, des thèmes, etc. Cela peut sembler un moyen facile d’apporter des modifications lorsque vous en avez besoin, mais cela pourrait également donner aux pirates informatiques un accès plus large à votre site Web.
Lorsqu'un attaquant accède à votre tableau de bord, il passe généralement à l'édition de fichier. Cela permet l'exécution de code sur le serveur et peut s'avérer catastrophique pour la sécurité de votre site Web.
Parce qu’il n’ya aucune raison réelle d’avoir une édition de fichier via WordPress, pensez à la désactiver. Pour désactiver la modification, entrez ce code dans wp-config.php. Cela désactivera complètement toute édition à partir de WordPress:
define ('DISALLOW_FILE_EDIT', true);
5. Protégez votre page de connexion
Par défaut, votre page de connexion WordPress sera votre URL + wp-login. Il est donc très facile pour quiconque de se forcer brutalement à accéder à son site Web, car il est facile de trouver la page de connexion.
C’est une bonne idée de personnaliser cette URL de page de connexion afin qu’elle soit beaucoup plus difficile à trouver. C'est aussi une chose facile à changer. Pour cela, vous devrez télécharger un plugin de sécurité comme iThemes Sécurité. Dans ce plugin, vous pouvez facilement changer votre URL de connexion en quelque chose d’autre.
Si vous voulez rester simple, changez-le pour mon_nouvelle_journal est déjà une grande amélioration qui dissuadera les pirates informatiques à force brutale. Cependant, le rendre plus unique et original est toujours une bonne idée.
6. Ajouter une authentification à deux facteurs
L'authentification à deux facteurs devient de plus en plus populaire sur les plateformes de médias sociaux et avec les services bancaires en ligne. C'est une excellente nouvelle en ce qui concerne notre sécurité personnelle, mais nous pouvons également activer l'authentification à deux facteurs sur WordPress.
Qu'est-ce que l'authentification à deux facteurs? Au lieu de simplement entrer votre nom d’utilisateur et votre mot de passe, il vous sera également demandé de procéder à une deuxième étape pour vérifier que vous êtes bien qui vous êtes. Selon l'option choisie, votre deuxième étape pourrait être l'une des suivantes:
- Vérifiez un code envoyé à votre email ou votre téléphone
- Répondre à une question de sécurité
- Entrez un code PIN unique
- Entrez un jeu de caractères
Le meilleur moyen de sécuriser votre site Web est d'activer l'authentification à deux facteurs avec un code envoyé à votre téléphone. Tant que vous avez votre appareil avec vous, vous pourrez toujours vous connecter facilement. De même, vous saurez immédiatement si quelqu'un tente d'accéder à votre compte avec une alerte directement sur votre téléphone.
Pour activer l’authentification à deux facteurs, le Plugin Google Authenticator peut vous avoir mis en place en quelques clics. À partir de là, vous pouvez choisir le type d’authentification qui vous convient.
7. Changer votre nom d'utilisateur Admin
Le nom d’utilisateur de votre compte administrateur est-il «admin?
Si vous définissez votre nom d’utilisateur WordPress sur «admin», il est temps de changer. Vous pouvez changer cela dans vos informations utilisateur WordPress. Choisissez quelque chose qui est difficile à deviner.
8. Utiliser SSL pour chiffrer vos données
SSL signifie Secure Socket Layer. C’est un moyen intelligent de sécuriser votre panneau d’administration. En termes simples, SSL garantit la sécurité de toutes les données transférées entre votre navigateur et les navigateurs de vos utilisateurs. Cela rend difficile pour les pirates informatiques de rompre cette connexion.
De nos jours, le protocole SSL est également essentiel pour l'optimisation des moteurs de recherche. En 2018, Google a annoncé que les SSL seraient nécessaires pour déterminer le classement des recherches. Cela devrait donc déjà faire partie de votre stratégie WordPress.
Vous pouvez facilement obtenir un protocole SSL auprès de votre hôte ou d'une société tierce. De nombreux hébergeurs les offrent gratuitement, alors contactez le vôtre pour voir quelles sont vos options. De là, SSL vraiment simple est un plugin facile pour ajouter votre SSL à votre site web.
9. Limiter les tentatives de connexion
WordPress permet aux utilisateurs de se connecter un nombre illimité de fois par défaut. Bien que ce soit bien si vous avez du mal à vous rappeler les détails de votre mot de passe, c'est une recette pour le désastre quand il s'agit de sécurité
Les pirates utilisent souvent la force brute pour accéder à votre site Web. Par ailleurs, en leur permettant d'effectuer des tentatives illimitées, vous leur accordez tout le temps dont ils ont besoin pour passer au travers. Au lieu de cela, limitez votre nombre d'attaques de connexion. Si un utilisateur continue à se tromper de mot de passe, il sera temporairement bloqué. La plupart des plugins de sécurité sont équipés de cette fonctionnalité.
10. Supprimez votre numéro de version WordPress
Annoncer votre numéro de version WordPress sur votre site Web ou sur votre page d’administrateur peut sembler inoffensif, mais il peut également indiquer aux hackers quelle stratégie utiliser pour accéder à votre site. Vous pouvez voir le numéro de votre version actuelle de WordPress dans la vue source de votre site Web et également au bas de votre tableau de bord.
Vous pouvez cacher cela en utilisant n'importe quel plugin de sécurité. Vérifiez auprès de votre plugin de sécurité spécifique pour vous assurer que vous prenez les bonnes mesures. Bien que simple, supprimer votre numéro de version est quelque chose que vous ne pouvez pas oublier.
11. Exécuter un plugin de sécurité WordPress
Garder votre site Web sécurisé peut parfois sembler être un travail à temps plein. Il est donc utile d’utiliser un plug-in de sécurité capable de vous décharger de la charge. Bien qu'il existe un certain nombre d'options disponibles, certaines des meilleures sont énumérées ci-dessous:
Tous ces éléments surveilleront l'activité de connexion, vérifieront l'identité de l'utilisateur et masqueront vos pages d'administrateur et de connexion. En outre, ils peuvent vous avertir si quelque chose de suspect se passe sur votre site Web, même si vous n'êtes pas à proximité pour le regarder vous-même.
11. Modifier votre préfixe de table de base de données WordPress
Lorsque vous avez installé WordPress, vous avez probablement remarqué le préfixe de la table wp- utilisé avec tous les fichiers. Si vous n’avez pas encore installé WordPress, vous pouvez le remplacer par un autre terme lors de l’installation tel que mywp-.
Toutefois, si vous avez déjà installé WordPress avec le préfixe par défaut, vous pouvez toujours le modifier. Les plugins WP-DBManager et iThemes Sécurité avoir une option pour changer le préfixe de la table en un seul clic. Cependant, assurez-vous toujours d'avoir une sauvegarde installée en cas de problème.
13. Attention aux réseaux Wi-Fi publics
Dans quelle mesure êtes-vous vigilant vis-à-vis des réseaux Wi-Fi publics? Chaque fois que vous vous connectez à votre site WordPress sur un réseau public, vous pouvez facilement donner vos identifiants de connexion à quiconque sur ce réseau.
Si vous avez un certificat SSL sur votre site, vous devriez être en sécurité. Toutefois, en cas de doute ou si vous avez des doutes, veillez à utiliser un réseau privé virtuel (VPN). C'est un service qui chiffre votre trafic sur n'importe quel réseau. Il vaut toujours mieux prévenir que guérir, même si vous travaillez dans votre café préféré.
14. Révisez votre hébergement web
L'hébergement Web est un sujet délicat lorsqu'il s'agit de maintenir votre site WordPress. C’est souvent une bataille entre prix et qualité. Même si l'hébergement mutualisé et peu coûteux peut sembler une bonne affaire, vous ouvrez peut-être votre site Web aux pirates informatiques et à d'autres problèmes.
Le recours à une société d’hébergement complète avec une sécurité dédiée constitue toujours un choix judicieux. Des endroits comme Moteur WP et Site Ground sont connus pour leur sécurité et leur hébergement supérieur.
Ces services effectuent régulièrement des analyses de sécurité pour garantir la sécurité de votre site. Si vous utilisez un serveur partagé, vous ne savez jamais quels types de compromissions de sécurité peuvent se produire sur les sites Web de vos voisins. Ne risquez pas votre site Web sur l'hébergement bon marché! Revoir notre 10 conseils pour choisir le meilleur hébergement pour vos besoins.
15. Toujours sauvegarder votre site WordPress
Enfin, peu importe le niveau de sécurité de votre site WordPress, vous devez toujours être préparé avec une sauvegarde. Les sauvegardes sont une chose à laquelle nous ne voulons souvent pas penser.
Cependant, le meilleur plan d’action consiste à se préparer à tout. Disposer d'une sauvegarde hors site est le meilleur moyen de protéger votre site Web, peu importe ce qui se passe.
Avec une sauvegarde opérationnelle, vous pouvez facilement restaurer votre site WordPress à un état opérationnel à tout moment, souvent en un seul clic. Une excellente option gratuite pour les sauvegardes automatiques est UpdraftPlus. Vous pouvez facilement stocker des sauvegardes dans Google Drive, Dropbox ou un autre emplacement sécurisé hors site.
À quelle fréquence devriez-vous sauvegarder une sauvegarde? Certains pourraient se disputer toutes les heures, mais c’est exagéré. Si vous mettez à jour régulièrement votre site Web, une sauvegarde hebdomadaire est probablement plus que suffisante pour couvrir toutes vos bases.
Votre site WordPress est-il sécurisé contre les pirates?
Ces astuces sont très utiles pour garantir la sécurité de votre site WordPress. Si vous venez juste de commencer, ils pourraient même être accablants. L'important est que vous commenciez à prendre des mesures pour protéger votre site Web.
Avoir un site Web résistant aux pirates informatiques contribuera grandement à la sécurisation de vos données et de celles de vos utilisateurs. Il s’agit avant tout de s’assurer que vous n’êtes pas une cible facile.
Maintenant que vous savez exactement quoi faire, rien ne vous empêche de devenir un maître de la sécurité WordPress. Les pirates ciblent les sites Web de toutes formes et tailles. Commencez à prendre les mesures ci-dessus avant qu'il ne soit trop tard.
L’article Comment prévenir un piratage WordPress: 15 conseils pour les propriétaires de sites Web est apparu en premier sur Themetotal.