7 conseils de securite WordPress

7 conseils de sécurité WordPress

La plupart des utilisateurs de WordPress pensent que les chances d’être attaqué par un pirate informatique sont minces.

La vérité est que cela arrive plus souvent que vous ne le pensez et, malheureusement, la plupart des gens ne sont pas conscients de ce danger.

Avez-vous déjà remarqué lorsque vous effectuez une recherche sur Google que certains résultats sont étiquetés « Cette page peut endommager votre ordinateur » ? Ce sont des sites web qui ont été piratés et donc blacklistés par Google. Inutile de dire que la plupart des utilisateurs s’ennuieront et ne visiteront peut-être plus votre site. Même si vous parvenez à récupérer votre site d’une telle attaque, cela donnerait certainement à votre entreprise une mauvaise réputation.

J’ai compilé une liste de conseils qui peuvent grandement améliorer la sécurité de votre site WordPress. Veuillez noter que les conseils suivants s’appliquent à toutes les versions de WordPress.

1. Utilisez des mots de passe forts

Cela peut sembler évident, mais vous seriez surpris de voir combien d’utilisateurs l’ignorent. Peu importe à quel point vous essayez de sécuriser votre site Web, un mauvais mot de passe peut tout gâcher. Toute la sécurité de votre site Web dépend de ce mot de passe. Ne vous embêtez même pas à lire le reste de cet article si votre mot de passe n’est pas assez fort.

Lire Aussi...  5 stratégies de marketing numérique pour générer des leaders

Voici 3 conseils pour choisir votre mot de passe :

  • Utilisez quelque chose d’aussi décontracté que possible (pas de mots isolés, d’anniversaires ou d’informations personnelles)
  • Utilisez au moins huit caractères. Plus le mot de passe est long, plus il est difficile à deviner
  • Utilisez un mélange de lettres majuscules et minuscules et de chiffres. Les mots de passe sont sensibles à la casse, alors utilisez-les à votre avantage.

2. Gardez toujours WordPress à jour

Bien sûr, vous devez toujours mettre à jour votre installation WordPress. Si une vulnérabilité est détectée, l’équipe de développement de WordPress la corrigera en publiant une nouvelle version. Le problème est que la vulnérabilité est désormais connue de tous, donc les anciennes versions de WordPress sont désormais plus vulnérables aux attaques.

Afin de ne pas devenir la cible d’une telle attaque, il est préférable de masquer votre numéro de version WordPress. Ce numéro se trouve dans les métadonnées du site et dans le fichier readme.html de votre répertoire d’installation WordPress. Pour masquer ce numéro, vous devez supprimer le fichier readme.html et supprimer le numéro de version de l’en-tête en ajoutant la ligne suivante à votre fichier functions.php du dossier du thème.

<?php remove_action('wp_head', 'wp_generator');?>

3. Méfiez-vous des thèmes ou plugins malveillants

Certains thèmes et plugins contiennent du code erroné voire malveillant. Dans la plupart des cas, le code malveillant est supprimé à l’aide du cryptage, il n’est donc pas facilement détectable. C’est pourquoi vous ne devez les télécharger qu’à partir de sources fiables. N’installez jamais de thèmes / plugins piratés / obsolètes et évitez-les gratuitement à moins qu’ils ne soient téléchargés à partir du référentiel officiel de thèmes / plugins WordPress.

Des thèmes / plugins malveillants peuvent ajouter des liens cachés à votre site, voler des informations de connexion et compromettre la sécurité de vos sites Web en général.

Lire Aussi...  Meilleures pratiques de marketing par e-mail - Quelle est la clé pour créer une liste ?

4. Désactiver la modification de fichier

WordPress donne aux administrateurs le droit de modifier les fichiers de thème et de plugin. Cette fonctionnalité peut être très utile pour des modifications rapides, mais elle peut également être utile pour un hacker qui parvient à s’identifier dans le panneau d’administration. L’attaquant peut utiliser cette fonctionnalité pour modifier les fichiers PHP et exécuter du code malveillant. Pour désactiver cette fonctionnalité, ajoutez la ligne suivante au fichier wp-config.php.

define('DISALLOW_FILE_EDIT', true);

5. Fournissez wp-config.php

wp-config.php contient des paramètres de configuration importants et contient surtout votre nom d’utilisateur et votre mot de passe de base de données. Il est donc essentiel pour la sécurité de votre site WordPress que personne n’ait accès au contenu de ce fichier.

Dans des circonstances normales, le contenu de ce fichier n’est pas accessible au public. Mais c’est une bonne idée d’ajouter une couche de protection supplémentaire en utilisant les règles .htaccess pour lui refuser les requêtes HTTP.

ajoutez simplement ceci au fichier .htaccess à la racine de votre site Web :

<files wp-config.php>

order allow,deny

deny from all

</files>

6. Ne permettez pas aux utilisateurs de parcourir vos répertoires WordPress

Ajoutez la ligne suivante au fichier .htaccess dans le répertoire où vous avez installé WordPress :

Options -Indexes

Cela désactivera la navigation dans les répertoires. En d’autres termes, cela empêchera quiconque d’obtenir la liste des fichiers disponibles dans vos répertoires sans fichier index.html ou index.php.

7. Changer le nom d’utilisateur

Les pirates savent que le nom d’utilisateur le plus courant dans WordPress est « admin ». Il est donc fortement conseillé d’avoir un nom d’utilisateur différent.

Il est préférable de saisir votre nom d’utilisateur pendant le processus d’installation, car une fois le nom d’utilisateur saisi, il ne peut pas être modifié depuis le panneau d’administration, mais il existe deux façons d’éviter cela.

Lire Aussi...  5 fantastiques opportunités de marketing d'affiliation

La première consiste à ajouter un nouvel utilisateur administrateur à partir du panneau d’administration. Ensuite, déconnectez-vous et reconnectez-vous en tant que nouvel utilisateur. Accédez au panneau d’administration et supprimez l’utilisateur nommé admin. WordPress vous permettra d’attribuer tous les messages et liens au nouvel utilisateur.

Si vous êtes plus féru de technologie, vous pouvez modifier votre nom d’utilisateur simplement en exécutant une requête SQL. Accédez à phpmyadmin, sélectionnez votre base de données et soumettez la requête suivante :

UPDATE wp_users SET user_login = 'NewUsername' WHERE user_login = 'admin';

Il est important de garder à l’esprit que même si vous suivez tous mes conseils, vous ne pourrez jamais être protégé à 100 % contre les pirates. Mais les conseils ci-dessus devraient suffire à réduire les risques de piratage.

Comments are closed.