Renforcer la sécurité de votre blog WordPress en 7 étapes
Comment renforcer la sécurité de WordPress avec 7 étapes simples.
Vous pourriez avoir travaillé dur pendant un an ou plus pour monter votre blog. Fondée votre autorité en dépensant nuits tardives et longues soirées. Et enfin vous êtes satisfait de boulot que vous avez fait, maintenant votre blog tire quelques centaines de visiteurs et des revenus décents.
Que faire si tout cela est parti en une fraction de seconde? Et vos deux années de travail acharné sont complètement gaspillées.
Cette situation peut arriver à n’importe quel administrateur de blog WordPress et à tout moment, ça peut être maintenant, donc allez renforcer la sécurité de votre blog il se peut qu’il soit piraté.
La bonne nouvelle est que vous pouvez éviter tout cela, tout en appliquant certaines modifications et astuce facile à mettre en place.
Renforcer la sécurité de votre blog WordPress en 7 étapes
Le but de cet article est de vous fournir les informations nécessaires pour renforcer la sécurité de votre blog WordPress à 90%.
#1 : Installer la dernière version WordPress et mettre à jour les plugins
Il faut toujours garder WordPress à jour, cela signifie l’utilisation de la dernière version de WordPress, mais aussi la dernière version de votre thème et dernière version de plugins que vous utilisez.
Tout simplement par ce que les mises à jour que vous effectuez vous servent à appliquer des corrections à des failles de sécurité trouvée dans les anciennes versions.
WordPress récupère les mises à jour sont automatiques, et vous pouvez les installer avec un seul clic. Quand il y a une nouvelle mise à jour disponible, WordPress vous avertit avec un message apparaît sur le tableau de bord : «une nouvelle version WordPress est disponible!».
Créer facilement et gratuitement vos pages de vente, de capture ou de paiement en quelques minutes, des dizaines de templates disponibles…
Il vous suffit de cliquer «mettre à jour» pour installer la dernière version. Pas d’excuses pour ne pas mettre à niveau.
[highlight]Remarque : avant d’exécuter une mise à jour, il faut effectuer une sauvegarde complète de votre blog. [/highlight]
De la même façon, vous mettez à jour tous les plugins que vous avez installé, il faut noter qu’il est recommandé de ne pas télécharger les plug-ins à partir d’une source inconnue autre que l’annuaire officiel de WordPress.
#2 : modifier le nom d’utilisateur par défaut
[highlight]Pour plus de détails lire Modifier le nom d’utilisateur « ADMIN » dans wordpress[/highlight]
Il est plus difficile pour un pirate de pénétrer dans votre site lorsqu’il ne connaît pas le nom d’utilisateur.
C’est pourquoi vous devez créer un nouvel utilisateur et supprimer l’utilisateur par défaut «admin». Ceci est l’une des choses que je fais dès que je lance un nouveau site sur WordPress.
Les noms d’utilisateurs, tels que « admin » sont la cible la plus fréquente de ces attaques.
Pour créer un utilisateur, vous allez dans « utilisateurs » puis « ajouter » dans le menu WordPress. Lors de la création du nouvel utilisateur, assurez-vous de lui donner le rôle d’un «administrateur». Cela vous assure que vous avez l’autorité totale sur votre blog.
- Maintenant, il ne vous reste que supprimer l’utilisateur admin.
- Assurez-vous de choisir l’option de transférer vos anciens messages à votre nouveau compte d’utilisateur lors de la suppression du compte « admin ».
#3 : Limiter les nombres d’identifications
Par défaut, le processus de connexion à l’interface de gestion de blog WordPress permet à tout utilisateur d’essayer autant de fois qu’ils le veulent jusqu’à ce qu’ils trouvent une combinaison nom utilisateur et mot de passe valide.
N’importe qui (il peut être votre concurrent) peut tenter d’accéder à votre blog WordPress.
Il pourrait simplement exécuter un script qui teste plus de 1000 mots de passe à plusieurs reprises dans une tentative de trouver un match.
Pour éviter d’être une victime d’une attaque force brute, il faut limiter le nombre d’identification pour se connecter à votre blog.
Vous pouvez le faire facilement en utilisant un plug-in comme «Login LockDown», qui permet de désactiver la connexion s’il détecte plus d’un certain nombre de tentatives dans un court intervalle de temps à partir de la même plage d’adresses IP.
#4 : Supprimer les plugins non utilisés
Soyez prudent lors d’installation de plugins. les Plugins faibles peuvent avoir des codes à travers lequel d’autres codes ou des requêtes SQL peuvent être injectés ou d’autres activités nuisibles peuvent endommager votre site ou son classement sur les moteurs de recherche.
Les pirates aussi peuvent exploiter les fail de sécurité de certains plugins pour attaquer votre blog. Donc, il est conseillé de minimiser le nombre des plugins installés sur votre blog pour renforcer sa sécurité.
#5 : Mettre en place une authentification en deux étapes
Il se peut que vous vous connectez à votre blog WordPress lorsque vous êtes sur un réseau wifi public, ou sur le wifi de votre famille.
Vous ne savez peut être pas mais d’autres personnes peuvent enregistrer toutes les opérations qui se déroulent sur le réseau wifi. Il est possible de suivre ce que vous tapez dans votre navigateur.
Une des techniques avancées de sécurisation de compte utilisé pour se connecter à un site web WordPress est : l’authentification en deux étapes.
Il s’agit d’une demande de deux formes différentes pour prouver que l’utilisateur est le propriétaire du compte.
Vous pouvez mettre en place un système d’authentification comme Google Authenticator pour générer les deux étapes d’authentification (la validation en deux étapes par SMS ou messagerie vocale).
#6 : Protéger le fichier wp-config.php
Toutes les informations confidentielles de votre blog sont stockées dans le fichier [highlight]wp-config.php[/highlight] dans le répertoire WordPress principale. Les clés secrètes sont des bits d’informations stockées dans ce fichier.
Il est donc très important de le protéger correctement pour renforcer la sécurité de wordpress. Un moyen facile de protéger ce fichier est de placer le code suivant dans votre fichier .htaccess sur votre serveur.
<Files wp-config.php>
order allow,deny
deny from all
</ Files>
#7 : vérifiez la sécurité de votre Ordinateur
Assurez-vous toujours que tous les PC que vous utilisez pour vous connecter à votre interface d’administration WordPress sont correctement sécurisés.
Assurez-vous aussi que vous utilisez la version la plus récente de navigateur web. Faites de même avec votre logiciel antivirus et le système d’exploitation.
Analysez votre ordinateur pour les logiciels malveillants, souvent. Assurez-vous que vous avez un pare-feu efficace installé au niveau du système d’exploitation.
J’espère que ces techniques vont vous aider à protéger et à renforcer votre site WordPress. Je viendrai avec d’autres conseils de sécurité à l’avenir.
Avez-vous d’autres conseils de sécurité efficace à partager? Faites-nous savoir une astuce qui vous suivez pour garder votre site WordPress en sécurité?
7 Comments
Bonjour et merci pour ces conseils.
Petite question, pour le numéro 4, supprimer les plugins non utilisés, c’est ok. Mais vous ajoutez aussi de limiter le nombre de plugins utilisés. C’est un peu difficile je pense puisque que tous les mois, des plugins intéressants sont déployés. Si ces plugins peuvent être une faille de sécurité, comment savoir s’ils sont bien sécurisés ou non?
Bonjour,
La source du plugin est le seul indicateur de fiabilité, il suffit de faire une petite recherche « avis sur PLUGIN » et vous aurez une petite idée, vous pouvez aussi voir les statistique du répertoire WordPress pour ce plugin, le nombre de téléchargements, la date de la dernière mise à jour…
Concernant le nombre, la plupart des fonctionnalités proposées par les plugin sont réalisables avec un petit code à implémenter sur le site, il faut installer que les fonctionnalités vraiment indispensable au fonctionnement du site et à l’expérience utilisateur.
Cordialement,
Bernard Bondy.
Bonjour Bernard Bondy,
Merci pour votre réponse. C’est très clair.
C’est comme quand on télécharge une appli sur google play ou autres. On regarde la notre, les pourcentages de téléchargements, de désinstallation et tout. Je n’y avais pas pensé.
A bientôt!
Bonjour,
Juste une précision, le code (#6) comporte 3 erreurs
Afin allow, deny
deny from all
Il faut plutôt écrire
order allow,deny
deny from all
Je préfère vous le dire car j’ai planté mon site à cause de ces erreurs de frappe (je pense) et c’est un ami spécialiste en php qui m’a sortie de là.
D’autre part, il faut bien le mettre au début du fichier .htaccess
Suite de mon message qui a été précédemment tronqué.
Il faut aussi remplacer au début « Fichiers » par files et remplacer la majuscule à la fin de « Files » par files.
Voilà.
Bonjour Claudine,
Merci pour votre message, effectivement il y a une erreur dans le code (Je viens de la corriger)
C’est un article invité d’un autre blogueur, j’aurai dû vérifier le code avant de le poster.
Cordialement,
Bernard Bondy.
Bonjour,
Merci pour cet article qui complète le mien dont je mets l’url à disposition
avec mes 30 conseils pour sécuriser WordPress
https://supermarketeur.com/renforcer-securite-blog-wordpress/