Tutoriel de sécurité WordPress
Table des matières
WordPress est le système de blogs et de CMS le plus populaire, ce qui en fait une cible de prédilection pour les pirates. Avoir un site WordPress signifie que vous devez faire des efforts supplémentaires pour vous protéger, vous et vos données. Voici un résumé des meilleures pratiques pour sécuriser un site WordPress, qui vous aideront à le faire. Il est important de mentionner que ces mesures ne garantissent pas une protection à 100% contre les tentatives de piratage, principalement parce qu’il n’existe pas de site web 100% sécurisé, mais elles vous protégeront contre la majorité des attaques.
Gardez votre site et vos plugins WordPress à jour
Il est très important de garder vos fichiers WordPress principaux et tous vos plugins à jour avec leurs dernières versions. La plupart des nouvelles versions de WordPress et des plugins contiennent des correctifs de sécurité. Même si ces vulnérabilités ne peuvent pas être facilement exploitées la plupart du temps, il est important qu’elles soient corrigées.
Pour plus d’informations à ce sujet, consultez nos tutoriels sur comment mettre à jour WordPress et sur comment utiliser les mises à jour automatiques de WordPress.
Télécharger les plugins et les thèmes uniquement depuis les référentiels officiels
L’utilisation de greffons téléchargés depuis des sources officielles est très importante. Les fichiers téléchargés à partir de sources non officielles sont souvent modifiés pour inclure du code supplémentaire, notamment des portes dérobées que des attaquants peuvent utiliser et infecter un site web.
Protégez votre espace d’administration WordPress
Il est important de restreindre l’accès à votre zone d’administration WordPress aux personnes qui en ont réellement besoin. Si votre site ne prend pas en charge l’enregistrement ou la création de contenu frontal, vos visiteurs ne devraient pas pouvoir accéder à votre dossier /wp-admin/ ni au fichier wp-login.php . Le mieux que vous puissiez faire est de récupérer votre adresse IP personnelle (vous pouvez utiliser un site comme whatismyip.com pour cela) et d’ajouter Ces lignes dans le fichier .htaccess dans votre dossier d’administration WordPress en remplaçant xx.xxx.xxx.xxx par votre adresse IP:
ordre refuser,autoriser
Tout refuser
Autoriser à partir de xx.xxx.xxx.xxx
Au cas où vous voudriez autoriser l’accès à plusieurs ordinateurs (comme votre ordinateur de bureau, personnel, portable, etc.), ajoutez une autre instruction Allow from xx.xxx.xxx.xxx sur une nouvelle ligne.
Si vous voulez pouvoir accéder à votre zone d’administration depuis n’importe quelle adresse IP (par exemple, si vous comptez souvent sur des réseaux Wi-Fi gratuits), restreindre votre zone d’administration à une seule adresse IP ou à quelques adresses IP peut être un inconvénient. Dans de tels cas, nous vous recommandons de limiter le nombre de tentatives de connexion incorrectes à votre site. De cette façon, vous protégerez votre site WordPress des attaques par force brute et des personnes essayant de deviner votre mot de passe. À ces fins, vous pouvez utiliser notre module externe SiteGround Security.
Ne pas utiliser le nom d’utilisateur « admin »
La plupart des attaquants supposeront que votre nom d’utilisateur admin est « admin ». Vous pouvez facilement bloquer de nombreuses attaques par force brute et autres en utilisant un nom d’utilisateur administrateur différent. Si vous installez un nouveau site WordPress, il vous sera demandé votre nom d’utilisateur administrateur lors du processus d’installation de WordPress. Si vous avez déjà un site WordPress, vous pouvez suivre les instructions de notre tutoriel sur comment changer votre nom d’utilisateur WordPress.
Utiliser des mots de passe forts
Des milliers de personnes utilisent des expressions comme « mot de passe » ou « 123456 » pour leurs identifiants de connexion administrateur. Inutile de dire que de tels mots de passe peuvent être facilement devinés et qu’ils sont en tête de liste de toutes les attaques par dictionnaire. Une bonne astuce consiste à utiliser une phrase entière qui a du sens pour vous et dont vous vous souvenez facilement. De tels mots de passe sont bien meilleurs qu’un simple mot de passe.
Vérifiez que votre ordinateur ne contient pas de virus ni de logiciels malveillants
Si votre ordinateur est infecté par un virus ou un logiciel malveillant, un attaquant potentiel peut avoir accès à vos informations de connexion et créer un identifiant valide sur votre site, contournant toutes les mesures que vous avez prises auparavant. C’est pourquoi il est très important de disposer d’un programme antivirus à jour et de maintenir à un niveau élevé la sécurité globale de tous les ordinateurs que vous utilisez pour accéder à votre site WordPress.