Comment sécuriser votre site Web WordPress contre les pirates

L'un des aspects les plus importants de votre organisation à bien faire est la sécurité Web. Si votre site Web est votre château, les pirates sont les armées d'invasion d'aujourd'hui, tentant de briser les défenses de votre site afin d'accéder au trésor qui s'y cache. C'est à vous de les tenir à distance car si vous ne le faites pas, ils feront beaucoup de mal.

WordPress est une plate-forme CMS populaire avec plus de 60 % de part de marché. Selon les experts, plus de 500 sites Web sont créés chaque jour à l'aide du constructeur de sites Web WordPress. Si vous utilisez WordPress comme plate-forme de développement Web, il est important de prendre en compte la sécurité.

Mais comment les pirates peuvent-ils accéder à votre site et comment pouvez-vous les en empêcher ? Pour en savoir plus sur la sécurité des sites Web WordPress, consultez les sections ci-dessous :

Pourquoi les pirates informatiques ciblent-ils la sécurité de votre site Web ?

La protection de votre site Web contre les attaques de piratage est une priorité pour toute entreprise et encore plus pour ceux qui gèrent une boutique en ligne. Nous devrions examiner le « pourquoi » de la sécurité des sites Web avant de regarder le « comment ». Qu'est-ce qui pousse les pirates à cibler votre site Web ? Connaître la réponse peut vous aider à déterminer quelles parties de votre site nécessitent le plus de protection.

Voici une liste des raisons les plus courantes des menaces de sécurité des sites Web :

1. Pour obtenir des informations sensibles

Pour accéder à des informations confidentielles, les pirates tentent de pénétrer votre site Web pour plusieurs raisons. La première, et certainement la plus courante, consiste à obtenir des informations sensibles. Ces informations sont souvent liées à votre entreprise - documents d'entreprise, registres de vente et autres propriétés intellectuelles que les pirates pourraient exploiter à l'avenir pour nuire à votre entreprise.

Les pirates peuvent également être pour l'information des utilisateurs. Si vous stockez des données sur vos clients ou vos clients sur votre site, notamment des informations financières, les pirates peuvent les utiliser pour voler de l'argent à ceux qui ont acheté chez vous.

2. Pour héberger des logiciels malveillants

Une autre raison pour laquelle les pirates peuvent cibler votre site est de l'utiliser comme point de distribution de virus. Lorsque les pirates obtiennent l'accès à votre site Web, ils peuvent installer des virus et les utiliser comme rampe de lancement pour propager ces virus sur Internet.

Cette action portera atteinte à votre réputation auprès de Google, qui verra les logiciels malveillants sur votre site et vous éliminera des classements de recherche, en plus de rendre plus difficile l'éradication des virus. Tous vos efforts d'optimisation pour les moteurs de recherche (SEO) seront vains.

3. Pour le plaisir

Enfin, de nombreux pirates piratent des sites Web pour le simple plaisir de le faire. Ils aiment briser les pare-feu et violer toutes vos protections pour obtenir la satisfaction qui accompagne la prise de contrôle de votre site Web.

D'autres vont encore plus loin, espérant se faire un nom grâce à leurs arnaques. Lorsqu'un pirate informatique est appréhendé, il utilise souvent les réseaux sociaux pour se vanter de ses exploits. Malheureusement, même s'ils sont appréhendés, le mal à votre site a déjà été fait.

Quelles sont les menaces courantes pour la sécurité des sites Web ?

Examinons quelques méthodes courantes utilisées par les pirates pour contourner votre sécurité, maintenant que nous avons expliqué pourquoi les pirates attaquent votre site et pourquoi il peut être si dangereux. Trois principaux types de dangers pour la sécurité des sites Web à surveiller !

1. Virus et logiciels malveillants

Nous avons déjà discuté de la manière dont les logiciels malveillants peuvent être propagés via votre site Web par des pirates. Cependant, les logiciels malveillants sont un autre moyen pour les pirates d'accéder à votre site Web.

Cela commence souvent par quelque chose d'aussi simple que de cliquer sur un lien. Les pirates trouveront un moyen d'obtenir des liens devant vous, le plus souvent par e-mail. Lorsque vous cliquez sur les liens, un virus sera libéré qui entrera rapidement sur votre site à partir de votre propre ordinateur.

L'ensemble de votre site tombera en panne à ce moment-là, vous laissant coincé et vulnérable à tout ce que les pirates tenteront - sans oublier que vos ventes en souffriront !

2. Liens indésirables

Les pirates peuvent souvent essayer de persuader les visiteurs de votre site de cliquer sur des liens malveillants en plus de tenter de vous persuader de le faire. Laisser des commentaires sur votre site Web est l'une des méthodes les plus populaires pour ce faire.

Gardez un œil sur ce que disent vos lecteurs si vous avez un blog où ils peuvent faire des commentaires. Les pirates utilisent fréquemment le canal pour distribuer des liens qui téléchargent par erreur des logiciels malveillants sur les PC des consommateurs.

Lorsque Google remarque ces liens provenant de votre site Web, il vous pénalisera rapidement dans les résultats de recherche, vous devriez donc essayer d'éviter d'avoir ces commentaires sur votre site.

3. Attaques DDOS

Les attaques par déni de service distribué (DDoS) sont le troisième type de problème de sécurité de site Web le plus courant, et elles ont gagné en popularité ces dernières années. Lorsque des pirates informatiques plantent l'intégralité de votre site en l'inondant de faux trafic, on parle alors d'attaque DDoS.

Les pirates construisent des armées massives de fausses adresses IP et leur ordonnent à tous d'accéder à votre site en même temps. Votre site Web plantera car il ne peut pas gérer autant de visiteurs. Cela empêchera d'autres personnes de visiter le site, ce qui affectera votre classement et vos conversions.

Pourquoi la sécurité du site Web est-elle importante ?

Un site WordPress piraté peut nuire considérablement aux revenus et à la réputation de votre entreprise. Les pirates peuvent voler des informations sur les utilisateurs, des mots de passe, installer des logiciels nuisibles et même infecter vos utilisateurs avec des logiciels malveillants. Dans le pire des cas, vous pourriez être obligé de payer un rançongiciel aux pirates pour récupérer l'accès à votre site Web.

Selon Google, plus de 50 millions d'utilisateurs de sites Web ont été avertis qu'un site Web qu'ils visitent peut contenir des logiciels malveillants ou voler des informations. De plus, chaque semaine, Google met sur liste noire environ 20 000 sites Web pour les logiciels malveillants et environ 50 000 sites Web pour le phishing.

Si vous gérez un site Web d'entreprise, vous voudrez accorder une attention particulière à la sécurité de WordPress. Comme c'est l'obligation d'un véritable propriétaire de magasin de sécuriser son immeuble, il est également de la responsabilité d'un propriétaire d'entreprise en ligne de défendre son site Web.

Comment sécuriser votre site Web WordPress contre les pirates

Voici quelques conseils sur la façon de sécuriser votre site Web WordPress contre les pirates. Vous pouvez commencer par changer vos mots de passe, vous assurer de ne laisser aucune information personnelle dans les publications ou les commentaires, installer un pare-feu et un logiciel antivirus de haute qualité et profiter des nombreuses mesures de sécurité qui ont été intégrées à WordPress au fil des ans. . Suivons ces étapes pour sécuriser votre site WordPress :

1. Maintenir WordPress à jour

WordPress est un programme open source mis à jour et maintenu régulièrement. C'est pourquoi il est important de garder vos sites WordPress à jour pour les garder en sécurité. WordPress installe automatiquement les mises à jour mineures par défaut. Vous devez démarrer manuellement la mise à jour pour les versions majeures. WordPress nous rappelle également ces mises à jour dans la section "Mises à jour".

WordPress est également livré avec une bibliothèque de milliers de plugins et de thèmes que vous pouvez utiliser pour personnaliser votre site. Les développeurs tiers maintiennent ces plugins et thèmes et publient régulièrement des mises à jour.

Ces mises à niveau WordPress sont essentielles pour la sécurité et la stabilité de votre site WordPress. Vérifiez si votre noyau WordPress, vos plugins et votre thème sont tous à jour.

2. Mots de passe forts et autorisations utilisateur

Les mots de passe volés sont utilisés dans la majorité des tentatives de piratage WordPress. Utilisez des mots de passe plus difficiles qui sont uniques à votre site Web pour rendre cela plus difficile. Non seulement pour la zone d'administration de WordPress, mais également pour les comptes FTP, les bases de données, les comptes d'hébergement WordPress et les adresses e-mail personnalisées qui utilisent le nom de domaine de votre site Web.

Parce que les mots de passe forts sont difficiles à retenir, de nombreux débutants les évitent. La bonne nouvelle est que vous n'avez plus besoin de mémoriser les mots de passe. Vous pouvez utiliser un gestionnaire de mots de passe pour garder une trace de vos mots de passe.

Une autre stratégie pour réduire le danger consiste à ne fournir votre compte administrateur WordPress qu'aux personnes dont vous avez absolument besoin. Assurez-vous de bien comprendre les rôles et les capacités des utilisateurs dans WordPress avant d'ajouter de nouveaux comptes d'utilisateurs et auteurs à votre site WordPress si vous avez une grande équipe ou des auteurs invités.

3. Le rôle de l'hébergement WordPress

Votre service d'hébergement WordPress est l'aspect le plus critique de la sécurité de votre site WordPress. Une société d'hébergement mutualisé compétente irait au-delà pour sécuriser ses serveurs contre les menaces fréquentes.

Voici comment une entreprise d'hébergement Web compétente protège vos sites Web et vos données en arrière-plan.

• Ils gardent un œil sur leur réseau pour tout comportement douteux.
• Pour prévenir les attaques DDOS à grande échelle, toutes les bonnes sociétés d'hébergement ont des outils en place.
• Pour empêcher les pirates d'exploiter une faille de sécurité connue dans une ancienne version
• ils maintiennent à jour leur logiciel serveur, leurs versions PHP et leur matériel.

4. Installez une solution de sauvegarde WordPress

Les sauvegardes sont votre première ligne de défense en cas d'attaque contre WordPress. Rappelez-vous que rien n'est sûr. Si les sites Web du gouvernement peuvent être piratés, vous pouvez être sûr que le vôtre le peut aussi.

Les sauvegardes vous permettent de récupérer rapidement votre site WordPress en cas de problème. Vous pouvez utiliser une variété de plugins de sauvegarde WordPress gratuits et payants. La chose la plus importante à retenir à propos des sauvegardes est que les sauvegardes complètes du site doivent être enregistrées régulièrement dans un endroit distant (pas votre compte d'hébergement

Nous vous suggérons de le stocker sur un fournisseur de cloud comme Amazon, Dropbox ou Google Drive. Selon la fréquence à laquelle vous mettez à jour votre site Web, des sauvegardes quotidiennes ou des sauvegardes en temps réel peuvent être la meilleure option.

La sauvegarde de votre site Web WordPress se compose des éléments suivants :

• Installation du noyau WordPress
• Plugins WordPress
• Thèmes WordPress
• Images et fichiers
• JavaScript, PHP et autres fichiers de code
• Fichiers supplémentaires et pages Web statiques

5. Meilleur plugin de sécurité WordPress

Après les sauvegardes, l'étape suivante consiste à mettre en place un système d'audit et de surveillance qui enregistre tout ce qui se passe sur votre site Web.

La surveillance de l'intégrité des fichiers, les tentatives de connexion infructueuses, la détection de virus, etc. sont tous des éléments d'un plug-in de sécurité. Ce ne sont pas des modules complémentaires ou des extras, mais des composants essentiels de chaque site Web WordPress.

Le seul but des plugins de sécurité est de sécuriser votre site Web. Pour ce faire, il éloigne les pirates, prévient les attaques, détecte les vulnérabilités et les atténue avant qu'elles ne deviennent un problème. Il existe de nombreux plugins de sécurité parmi lesquels vous pouvez choisir pour sécuriser votre site.

Découvrez ce que les plugins de sécurité WordPress peuvent apporter :

• Surveillance active de la sécurité
• Surveillance de la liste noire
• Protection contre les attaques par force brute
• Numérisation de fichiers
• Pare-feu
• Analyse des logiciels malveillants
• Notifications lorsqu'une menace de sécurité est détectée
• Actions post-piratage
• Renforcement de la sécurité

Et beaucoup plus…

6. Activer le pare-feu d'application Web (WAF)

Un plugin de pare-feu pour WordPress (également connu sous le nom de pare-feu d'application Web ou WAF) fonctionne comme une barrière entre votre site Web et tout le trafic entrant. Ces pare-feu d'applications Web surveillent le trafic de votre site Web et empêchent de nombreux dangers de sécurité typiques d'accéder à votre site WordPress.

Ces pare-feu d'applications Web accélèrent et améliorent généralement les performances de votre site Web en plus de renforcer considérablement la sécurité de WordPress.

Les plugins de pare-feu WordPress sont divisés en deux catégories.

Pare-feu de site Web au niveau DNS - Ces pare-feu filtrent le trafic de votre site Web via des serveurs proxy cloud. Par conséquent, ils ne peuvent fournir que du trafic légitime à votre serveur Web.

Pare-feu au niveau de l'application - Ces plugins de pare-feu inspectent le trafic une fois qu'il atteint votre serveur, mais avant que la plupart des scripts WordPress ne soient chargés. En termes de minimisation de la charge du serveur, cette solution n'est pas aussi efficace qu'un pare-feu de niveau DNS.

Nous proposons d'utiliser un pare-feu de niveau DNS car ils sont très efficaces pour faire la distinction entre le trafic de site Web légitime et les requêtes malveillantes.

Pour ce faire, ils surveillent des milliers de sites Web, comparent les tendances, recherchent des botnets et des adresses IP malveillantes connues et limitent les connexions aux URL que vos visiteurs ne rechercheraient jamais.

De plus, les pare-feu de site Web de niveau DNS réduisent la charge sur votre serveur d'hébergement WordPress, garantissant que votre site Web ne tombe pas en panne.

Voici quelques noms de plugins de pare-feu WordPress :

• Sucuri
• Max CDN (StackPath)
• Nuageux
• Sécurité Wordfence
• Jet pack
• Sécurité à l'épreuve des balles
• Sécurité WP tout en un
• Pare-feu barbecue
• Pare-feu Ninja
• Astra
• MalCare
• Défenseur Sécurité
• WP Cerber

7. Déplacez votre site WordPress vers SSL/HTTPS

SSL (Secure Sockets Layer) est une technique de cryptage des données qui crypte la transmission des données entre votre site Web et le navigateur de l'utilisateur. Il est plus difficile pour quelqu'un de sonder et de voler des informations en utilisant ce cryptage. Votre site Web utilisera HTTPS au lieu de HTTP lorsque vous activerez SSL, et une icône de cadenas apparaîtra à côté de l'adresse de votre site Web dans le navigateur.

Les autorités de certification fournissaient traditionnellement des certificats SSL, dont le prix allait de 5 $ à 1 000 $ par an, selon le niveau des besoins de sécurité de votre site. La plupart des propriétaires de sites Web ont choisi de continuer à utiliser le protocole non sécurisé en raison du coût supplémentaire. Pour résoudre ce problème, Let's Encrypt, un groupe à but non lucratif, a décidé de fournir des certificats SSL gratuits aux propriétaires de sites Web. Google Chrome, Facebook, Mozilla et de nombreuses autres entreprises ont soutenu leurs efforts.

Commencer à utiliser SSL pour tous vos sites Web WordPress est maintenant plus facile que jamais. Un certificat SSL gratuit pour votre site WordPress est désormais disponible auprès de plusieurs sociétés d'hébergement.

8. Changer le nom d'utilisateur "admin" par défaut

Lorsque vous installez WordPress, le nom d'utilisateur par défaut de l'administrateur sera « admin ». Si vous continuez à utiliser "admin" comme nom d'utilisateur d'administrateur, il est facile pour un pirate d'accéder à votre site. Les pirates effectuent des attaques par force brute sur les comptes dont le nom d'utilisateur par défaut est "admin" pour essayer de récupérer les mots de passe. Lorsqu'un pirate se connecte à un compte avec le nom d'utilisateur d'administrateur WordPress par défaut, il aura une autorisation complète sur votre site Web.

La connexion par défaut de l'administrateur WordPress était « admin » à l'époque. Étant donné que les noms d'utilisateur représentent 50 % de tous les identifiants de connexion, les attaques par force brute ont été facilitées.

Heureusement, WordPress a corrigé cela par la suite et vous demande maintenant de fournir un nom d'utilisateur unique lors de l'installation du logiciel.

Cependant, certains installateurs WordPress en 1 clic continuent d'utiliser « admin » comme nom d'utilisateur d'administrateur par défaut. Si vous découvrez cela, c'est probablement une bonne idée de changer de fournisseur d'hébergement Web.

Parce que WordPress ne vous permet pas de modifier votre nom d'utilisateur par défaut, vous devrez utiliser l'une des trois techniques.

• Supprimez l'ancien nom d'utilisateur de l'administrateur et créez-en un nouveau.
• Mettre à jour le nom d'utilisateur depuis phpMyAdmin
• Utiliser le plugin Username Changer

9. Désactiver l'édition de fichiers

WordPress inclut un éditeur de code qui vous permet de modifier les fichiers de thème et de plug-in directement depuis la zone d'administration de WordPress. Cette fonctionnalité peut être un problème de sécurité entre de mauvaises mains, c'est pourquoi nous vous recommandons de la désactiver.

Les utilisateurs administrateurs peuvent accéder aux fichiers principaux s'ils ont activé la "modification de fichiers". Il s'agit d'un risque pour la sécurité, car n'importe qui pourrait entrer et aurait le contrôle total de vos données.

Pour réduire le risque d'atteinte à la sécurité, désactivez l'accès au code de votre site et ne l'activez que lorsque vous devez modifier des fichiers. Pour désactiver l'édition de fichiers dans l'administrateur WordPress, suivez ces étapes simples :

1. Connectez-vous au panneau de contrôle One.com.

2. Ouvrez le Gestionnaire de fichiers sous Fichiers et sécurité.

3. Localisez le fichier wp-config.php et cochez la case pour le sélectionner.

4. Cliquez sur Modifier dans la barre de menu en haut de votre écran.

5. Recherchez wp-config pour define('DISALLOW_FILE_EDIT', il est généralement situé vers le bas.

6. Si vous l'avez trouvé, vérifiez qu'il est défini sur "true" (voir ci-dessous). S'il n'y est pas, vous devez l'ajouter au bas du fichier, comme ceci :

définir ('DISALLOW_FILE_EDIT', vrai);

7. Cliquez sur Enregistrer en haut de votre écran.

Conseil : Si vous souhaitez autoriser temporairement l'édition de fichiers, vous pouvez simplement remplacer « vrai » par « faux ». Remettez-le en place lorsque vous avez terminé l'édition.

10. Limiter les tentatives de connexion

WordPress permet aux utilisateurs d'essayer de se connecter autant de fois qu'ils le souhaitent par défaut. Votre site WordPress est maintenant exposé aux attaques par force brute. Les pirates tentent de déchiffrer les mots de passe en se connectant avec diverses combinaisons.

Cela peut être facilement résolu en limitant le nombre de tentatives de connexion infructueuses d'un utilisateur. Si vous utilisez le pare-feu d'application Web mentionné précédemment, cela est pris en charge automatiquement.

Cependant, si vous n'avez pas de pare-feu, vous devrez en installer un.

Vous pouvez limiter les tentatives de connexion dans WordPress de deux manières :

1). Limiter les tentatives de connexion à l'aide d'un plugin

2). Limiter les tentatives de connexion sans plugin

11. Autorisation à deux facteurs

Les utilisateurs doivent se connecter à l'aide d'une procédure d'authentification en deux étapes lorsqu'ils utilisent la méthodologie d'authentification à deux facteurs. La première étape consiste à saisir votre identifiant et votre mot de passe, et la seconde consiste à vous authentifier à l'aide d'un autre appareil ou d'une autre application.

Vous pouvez l'activer pour vos comptes sur les sites Web les plus populaires, tels que Google, Facebook et Twitter. La même capacité peut être ajoutée à votre site WordPress.

L'exigence d'une authentification à deux facteurs (2FA) a augmenté avec les récentes cyberattaques. En activant l'authentification à deux facteurs dans WordPress, vous pouvez protéger votre site Web ou votre blog contre les pirates et les accès non autorisés. Vous pouvez activer l'authentification à deux facteurs (2FA) dans WordPress en suivant 2 méthodes différentes :

Méthode 1. Ajouter une authentification à deux facteurs dans WordPress

Il s'agit d'une méthode recommandée qui est vraiment facile pour tous les utilisateurs. Il vous permet de rendre votre compte plus sécurisé en définissant une authentification à deux facteurs.

Tout d'abord, vous devrez installer et activer le plugin WP 2FA - Two-factor Authentication.

Après l'activation, vous devez visiter la page Utilisateurs » Votre profil et faire défiler jusqu'à la section « Paramètres WP 2FA » pour terminer le processus.

Méthode 2. Ajout d'une authentification à deux facteurs à l'aide de deux facteurs

Pour activer 2FA dans WordPress via cette méthode, vous devez installer et activer le plugin Two Factor.

Après avoir activé le plugin, vous devez visiter la page Profil des utilisateurs et faire défiler jusqu'à la section Options à deux facteurs et suivre les instructions.

12. Changer le préfixe de la base de données WordPress

Parce que chaque élément d'information sur votre site WordPress est conservé dans la base de données, c'est la cible préférée d'un pirate. Les codes d'injection SQL automatisés sont utilisés par les spammeurs et les pirates. Malheureusement, lors de l'installation de WordPress, de nombreuses personnes négligent de mettre à jour le préfixe de la base de données. En ciblant le préfixe par défaut wp_, les pirates peuvent planifier une attaque de masse plus facilement. La stratégie la plus intelligente pour protéger votre base de données consiste à modifier le préfixe de la base de données, ce qui est assez simple à réaliser sur un nouveau site. Cependant, changer efficacement le préfixe de la base de données WordPress pour votre site existant sans le gâcher complètement nécessite quelques étapes.

13. Protection par mot de passe de l'administrateur WordPress et de la page de connexion

Vous pouvez renforcer la sécurité du point d'accès le plus important de votre site Web en verrouillant par mot de passe votre répertoire d'administration WordPress.

Votre tableau de bord d'administration WordPress sert de cœur à votre site Web. Vous pouvez l'utiliser pour créer des publications et des pages, changer de thème, installer des plugins WordPress, etc.

Lorsque les pirates tentent d'accéder à votre site Web, ils utilisent fréquemment le panneau wp-admin. En utilisant un mot de passe sécurisé et en limitant les tentatives de connexion, vous pouvez aider à protéger votre site Web contre les menaces potentielles. Protéger votre répertoire d'administration avec un mot de passe est une méthode intelligente pour ajouter une autre couche de sécurité par mot de passe à votre site Web.

Suivez ces étapes simples pour protéger par mot de passe votre administrateur WordPress

Étape 1 : Connectez-vous à cPanel et vérifiez l'onglet Fichiers.

Étape 2 : Trouvez le "Directory Privacy" et cliquez dessus.

Étape 3 : Modifiez le dossier wp-admin.

Étape 4 : Le mot de passe protège le wp-admin.

Étape 5 : Configurez l'utilisateur et le mot de passe.

14. Désactiver l'indexation et la navigation dans les répertoires

Les pirates peuvent utiliser la navigation dans les répertoires pour voir si vous avez des fichiers avec des vulnérabilités connues, afin qu'ils puissent exploiter ces fichiers pour obtenir un accès.

D'autres personnes peuvent utiliser la navigation dans les répertoires pour consulter vos fichiers, copier des photos, déterminer la structure de votre répertoire et obtenir d'autres informations. Par conséquent, il est fortement conseillé de désactiver l'indexation et la navigation dans les répertoires.

Vous devez vous connecter à votre site Web via FTP ou le gestionnaire de fichiers dans cPanel. Localisez le fichier .htaccess dans le répertoire racine de votre site Web. Après cela, à la toute fin du fichier .htaccess, ajoutez la ligne suivante :

Options Tous -Index

Le code modifié ressemblera à ceci :

N'oubliez pas de sauvegarder et de télécharger à nouveau le fichier .htaccess sur votre site.

15. Désactiver XML-RPC dans WordPress

Parce qu'il aide à intégrer votre site WordPress avec des applications Web et mobiles, XML-RPC a été activé par défaut dans WordPress 3.5.XML-RPC peut améliorer considérablement les attaques par force brute en raison de sa nature puissante.

Par exemple, si un pirate voulait essayer 500 mots de passe différents sur votre site Web dans le passé, il devrait faire 500 tentatives de connexion distinctes, que le plugin de verrouillage de connexion intercepterait et bloquerait.

Un pirate, d'autre part, peut utiliser le système avec XML-RPC. En utilisant la fonction multi-appel, vous pouvez essayer des dizaines de milliers de mots de passe différents avec aussi peu que 20 ou 50 requêtes. Par conséquent, si vous n'utilisez pas XML-RPC, nous vous recommandons de le désactiver. Vous pouvez désactiver XML-RPC en utilisant un plugin ou manuellement.

16. Déconnectez automatiquement les utilisateurs inactifs dans WordPress

Les utilisateurs connectés peuvent parfois s'éloigner de leurs écrans, ce qui présente un risque pour la sécurité. Quelqu'un peut prendre le contrôle de sa session, changer ses mots de passe et modifier son compte.

C'est pourquoi de nombreux sites Web bancaires et financiers verrouillent automatiquement les utilisateurs inactifs. Des fonctionnalités similaires peuvent également être implémentées sur votre site WordPress.

Le plugin Inactive Logout doit être installé et activé. Pour configurer les paramètres du plugin, cliquez sur Paramètres » Déconnexion inactive après l'activation.

Réglez la minuterie et un message de déconnexion et vous avez terminé. N'oubliez pas d'enregistrer vos modifications en cliquant sur le bouton Enregistrer les modifications.

17. Ajouter des questions de sécurité à l'écran de connexion WordPress

L'accès non autorisé à la zone d'administration de WordPress peut être empêché de différentes manières. Il est plus difficile de trouver un équilibre entre la sécurité et l'expérience utilisateur si vous gérez un site multi-utilisateurs ou WordPress.

Inclure des questions de sécurité sur votre écran de connexion peut être bénéfique. Vos utilisateurs seront invités à répondre à une ou plusieurs questions auxquelles les autres utilisateurs ne devraient pas connaître les réponses avant de pouvoir se connecter à votre site Web WordPress. L'authentification à deux facteurs, ou 2FA, est une alternative. Cette alternative est plus sûre, mais elle prend un peu plus de temps à mettre en place.

18. Analyse de WordPress à la recherche de logiciels malveillants et de vulnérabilités

Si vous avez installé un plugin de sécurité WordPress, il recherchera régulièrement les logiciels malveillants et les preuves de failles de sécurité.

Si vous constatez une baisse significative du trafic sur le site Web ou des classements de recherche, vous devez exécuter manuellement une analyse. Vous pouvez utiliser l'un de ces scanners de logiciels malveillants et de sécurité ou votre plugin de sécurité WordPress.

Il est simple d'utiliser ces scans en ligne ; entrez simplement les URL de votre site Web et leurs robots d'exploration rechercheront sur votre site des logiciels malveillants et des codes nuisibles connus.

N'oubliez pas que la majorité des scanners de sécurité WordPress ne peuvent analyser que votre site Web. Ils ne pourront pas se débarrasser de l'infection ou nettoyer un site WordPress piraté.

Voici les principaux noms des scanners de sécurité WordPress pour détecter les logiciels malveillants et les hacks :

1. Sucuri SiteCheck

2. Analyseur de sécurité IsItWP

3. Navigation sécurisée Google

4. WPSec

5. ScanWP

6. Analyse de sécurité WordPress

7. WPrécon

8. Quttera

9. Inspecteur Web

10. Analyseur de vulnérabilité WordPress

11. Analyseur de nuage UpGuard

12. Analyseur d'URL de requête d'URL

13. VirusTotal

14. Norton Safe Web

19. Réparer un site WordPress piraté

De nombreux utilisateurs de WordPress ignorent la nécessité des sauvegardes et de la sécurité du site Web jusqu'à ce qu'il soit trop tard.

Nettoyer un site WordPress peut être chronophage et difficile. Notre premier conseil est de déléguer la tâche à un expert.

Les portes dérobées sont installées par des pirates sur des sites piratés, et si ces portes dérobées ne sont pas correctement supprimées, votre site Web sera très probablement à nouveau piraté.

Permettre à une entreprise de sécurité qualifiée de réparer votre site Web garantit qu'il peut être utilisé à nouveau en toute sécurité. Cela vous protégera également des menaces futures.

20. Mettez à jour vos thèmes et plugins

Les plugins et les thèmes sont dans le même bateau. Votre thème existant, ainsi que tous les plugins que vous avez installés sur votre site, doivent être mis à jour. Cela vous protège des failles de sécurité, des bogues et des failles de sécurité potentielles.

De temps en temps, comme avec la plupart des produits logiciels, des plugins spécifiques peuvent être piratés ou présenter des failles de sécurité. Dans le passé, des plugins comme Ninja Forms et WooCommerce, par exemple, ont été en proie à de graves problèmes.

Alors, comment gardez-vous vos thèmes et plugins à jour ?

Tout d'abord, regardons les plugins. Accédez à Plugins / Plugins installés pour voir une liste de tous vos plugins. WordPress vous avertira si un plugin n'est pas mis à jour vers la version la plus récente :

Pour mettre à jour votre thème, allez dans Apparence / Thèmes, où vous verrez une liste de tous les thèmes que vous avez installés. Ceux qui ne sont plus utilisés seront identifiés de la même manière que les plugins. Sélectionnez simplement "Mettre à jour maintenant" dans le menu déroulant.

21. Limitez l'accès des utilisateurs à votre site

Si vous n'êtes pas la seule personne à avoir accès à votre site Web, soyez prudent lorsque vous ajoutez de nouveaux utilisateurs. Vous devez garder tout sous votre contrôle et vous efforcer d'interdire toute forme d'accès aux utilisateurs qui n'en ont pas besoin.

Vous pouvez limiter les fonctions et les autorisations de vos utilisateurs si vous en avez un grand nombre. Ils ne doivent avoir accès qu'aux fonctionnalités dont ils ont besoin pour s'acquitter de leurs fonctions.

Forcer des mots de passe forts peut également vous aider à résoudre ce problème. WordPress suggère un mot de passe sécurisé par défaut, mais il ne vous obligera pas à le changer si vous en choisissez un mauvais. Ce plugin ne vous permettra pas de continuer à moins que votre mot de passe ne soit suffisamment fort.

Cela pourrait être une bonne solution pour tous ceux qui entrent dans votre administrateur. C'est essentiellement votre seul moyen de vous assurer qu'ils utilisent des mots de passe forts de la même manière que vous.

22. Protégez votre wp-config.php

Le fichier wp-config.php est l'un des fichiers les plus cruciaux et donc les plus sensibles de votre site. Il stocke des informations et des données vitales sur votre installation WordPress dans son ensemble. C'est la base de votre site WordPress. Vous ne pourrez pas utiliser votre blog normalement si quelque chose d'horrible lui arrive.

Une chose simple que vous pouvez faire est de déplacer le fichier wp-config.php un répertoire au-dessus de votre répertoire racine WordPress. Ce changement n'aura aucun effet sur votre site WordPress, mais les pirates ne pourront plus le trouver.

23. Changez régulièrement vos mots de passe

Autoriser un nombre illimité de tentatives de nom d'utilisateur et de mot de passe sur votre formulaire de connexion est exactement ce qui aide un pirate à réussir. Leur permettre d'essayer un nombre infini de fois mènera éventuellement à la découverte de vos informations de connexion. Pour éviter cela, vous devez d'abord limiter le nombre de tentatives disponibles. Autoriser un nombre illimité de tentatives de nom d'utilisateur et de mot de passe sur votre formulaire de connexion est exactement ce qui aide un pirate à réussir. Leur permettre d'essayer un nombre infini de fois mènera éventuellement à la découverte de vos informations de connexion. Pour éviter cela, vous devez d'abord limiter le nombre de tentatives disponibles.

Certains plugins spécialisés peuvent être utilisés pour limiter le nombre de tentatives de connexion possibles.

De plus, changer fréquemment vos mots de passe réduit la probabilité qu'un pirate informatique s'introduit sur votre site. Je ne veux pas dire « tous les jours » quand on dit « fréquemment »… Une fois tous les 2-3 mois devrait suffire. Pour ceux qui tentent de s'introduire par effraction, la diversité gâche le plaisir.

Comment VOCSO peut vous aider ?

Avec l'émergence quotidienne de nouvelles technologies, il est difficile de suivre les dernières modifications et améliorations. Nous sommes une société leader dans le développement de sites Web WordPress qui s'efforce de fournir les meilleurs produits et services à nos clients. En plus de développer des sites Web sécurisés avec une programmation de haute qualité, nous fournissons également à nos clients d'autres services tels que la gestion de sites Web, la refonte de sites Web, le développement d'applications Web personnalisées, le développement d'applications mobiles, l'optimisation des moteurs de recherche et des solutions complètes de marketing numérique.

Conclusion

Comme vous pouvez le voir, il existe une variété de techniques pour améliorer la sécurité de votre installation WordPress. L'utilisation de mots de passe intelligents, la mise à jour du noyau et des plugins et le choix d'un serveur WordPress géré sécurisé ne sont que quelques façons de protéger votre site WordPress. Pour beaucoup d'entre vous, votre site WordPress sert à la fois d'entreprise et de source d'argent, vous devez donc prendre le temps d'adopter le plus rapidement possible certaines des meilleures pratiques de sécurité énumérées ci-dessus.

Sécuriser un site WordPress est un processus continu. Parce que les cyberattaques évoluent constamment, vous devez les réévaluer régulièrement. Le risque existera toujours, mais vous pouvez l'atténuer en utilisant les fonctionnalités de sécurité de WordPress.

Nous espérons que cet article vous a permis de mieux comprendre l'importance des mesures de sécurité WordPress et comment les mettre en place.

Si vous voulez plus de clarté , VOCSO peut vous aider à mettre ce guide de sécurité de site Web en action !