Ce tutoriel couvre les sujets suivants :
WordPress est le système de blogs et de CMS le plus populaire, ce qui en fait une cible de prédilection pour les pirates. Avoir un site WordPress signifie que vous devez faire des efforts supplémentaires pour vous protéger, vous et les données de vos visiteurs. Voici un résumé des meilleures pratiques pour sécuriser un site WordPress , qui vous aideront à le faire. Il est important de mentionner que ces mesures ne garantissent pas une protection à 100 % contre les tentatives de piratage, principalement parce qu'il n'existe pas de site Web 100 % sécurisé, mais elles vous protégeront contre la majorité des attaques.
Gardez votre site WordPress et vos plugins à jour
Il est vraiment important de garder vos fichiers WordPress principaux et tous vos plugins à jour avec leurs dernières versions. La plupart des nouvelles versions de WordPress et des plugins contiennent des correctifs de sécurité. Même si ces vulnérabilités ne peuvent pas être facilement exploitées la plupart du temps, il est important de les faire corriger.
Pour plus d'informations à ce sujet, consultez nos tutoriels sur la mise à jour de WordPress et l'utilisation des mises à jour automatiques de WordPress .
Téléchargez des plugins et des thèmes uniquement à partir des référentiels officiels
L'utilisation de plugins téléchargés à partir de sources officielles est très importante. Les fichiers téléchargés à partir de sources non officielles sont souvent modifiés pour inclure du code supplémentaire comprenant des portes dérobées permettant aux attaquants d'utiliser et d'infecter un site Web.
Protégez votre espace d'administration WordPress
Il est important de restreindre l'accès à votre zone d'administration WordPress uniquement aux personnes qui en ont réellement besoin. Si votre site ne prend pas en charge l'enregistrement ou la création de contenu frontal, vos visiteurs ne devraient pas pouvoir accéder à votre dossier /wp-admin/ ou au fichier wp-login.php . Le mieux que vous puissiez faire est d'obtenir votre adresse IP personnelle (vous pouvez utiliser un site comme whatismyip.com pour cela) et d'ajouter ces lignes au fichier .htaccess dans votre dossier d'administration WordPress en remplaçant xx.xxx.xxx.xxx par votre IP adresse:
<Files wp-login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>Si vous souhaitez autoriser l'accès à plusieurs ordinateurs (comme votre bureau, votre ordinateur personnel, votre ordinateur portable, etc.), ajoutez une autre instruction Allow from xx.xxx.xxx.xxx sur une nouvelle ligne.
Si vous souhaitez pouvoir accéder à votre zone d'administration à partir de n'importe quelle adresse IP (par exemple, si vous comptez souvent sur des réseaux Wi-Fi gratuits), restreindre votre zone d'administration à une seule adresse IP ou à quelques IP peut être gênant. Dans de tels cas, nous vous recommandons de limiter le nombre de tentatives de connexion incorrectes à votre site. De cette façon, vous protégerez votre site WordPress des attaques par force brute et des personnes essayant de deviner votre mot de passe. À ces fins, vous pouvez utiliser notre plugin SiteGround Security .
N'utilisez pas le nom d'utilisateur « admin »
La plupart des attaquants supposeront que votre nom d'utilisateur administrateur est « admin ». Vous pouvez facilement bloquer de nombreuses attaques par force brute et autres en utilisant un autre nom d'utilisateur administrateur. Si vous installez un nouveau site WordPress, il vous sera demandé le nom d'utilisateur administrateur pendant le processus d' installation de WordPress . Si vous avez déjà un site WordPress, vous pouvez suivre les instructions de notre tutoriel pour savoir comment changer votre nom d'utilisateur WordPress .
Utiliser des mots de passe forts
Des milliers de personnes utilisent des expressions telles que « mot de passe » ou « 123456 » pour leurs informations de connexion administrateur. Inutile de dire que ces mots de passe peuvent être facilement devinés et qu'ils figurent en tête de liste de toute attaque par dictionnaire. Un bon conseil est d'utiliser une phrase entière qui a du sens pour vous et dont vous vous souviendrez facilement. De tels mots de passe sont bien, bien meilleurs qu'un mot de passe à une seule phrase.
Assurez-vous que votre ordinateur est exempt de virus et de logiciels malveillants
Si votre ordinateur est infecté par un virus ou un logiciel malveillant, un attaquant potentiel peut accéder à vos informations de connexion et effectuer une connexion valide sur votre site, en contournant toutes les mesures que vous avez prises auparavant. C'est pourquoi il est très important d'avoir un programme antivirus à jour et de maintenir la sécurité globale de tous les ordinateurs que vous utilisez pour accéder à votre site WordPress à un niveau élevé.