WordPress & sécurité : les bons reflexes

En matière de sécurité WordPress, vous pouvez verrouiller votre site de diverses manières pour empêcher les pirates informatiques et les vulnérabilités d’affecter votre business. Nous partageons aujourd’hui de nombreux conseils, stratégies et techniques afin d’améliorer la sécurité de votre plateforme WordPress et de rester protégé.

Si vous êtes un client Pangram, vous n’avez pas à vous en soucier. Toutes nos prestations sont réalisées sur ces bases afin de garantir le meilleur niveau de sécurité envisageable. Cela dit, même avec cette garantie, il est important de bien suivre les meilleures pratiques de sécurité.

Nous divisons ce tutoriel en 4 étapes clés :

  1. Sécuriser votre serveur
  2. Configurer WordPress efficacement
  3. Les meilleurs modules de sécurité
  4. Les bons gestes à adopter

1. Sécuriser votre serveur :

Un serveur sécurisé est la clé du maintien d’un environnement WordPress parfaitement sain. Il faut plusieurs couches de mesures de sécurité matérielles et logicielles pour garantir l’infrastructure informatique hébergeant des sites WordPress. Il doit être capable de se défendre contre les menaces sophistiquées, à la fois physiques et virtuelles.

Pour cette raison, les serveurs hébergeant WordPress doivent être mis à jour avec les systèmes d’exploitation et logiciels (de sécurité) les plus récents, ainsi que testés et analysés en profondeur pour rechercher les vulnérabilités et les logiciels malveillants. Des pare-feu de niveau serveur et des systèmes de détection d’intrusion doivent être en place avant une installation sur serveur afin de garder la plateforme bien protégée, même pendant les phases d’installation et de développement.

Le serveur doit également être configuré pour utiliser des protocoles de chiffrement de réseau et de transfert de fichiers sécurisés (tels que SFTP au lieu de FTP) afin de protéger les contenus sensibles des intrus malveillants.

Aussi, il est important d’utiliser le protocole SSL pour garantir des connexions sécurisés. C’est aussi un avantage pour le référencement naturel, puisque Google, par exemple, favorise le ranking des sites lorsqu’ils utilisent cette technologie.

Enfin, il est important de renforcer la sécurité de la base de données. Utilisez un nom de base de données et un préfixe difficile à deviner. Vous protégerez ainsi votre site en rendant plus difficile l’accès des pirates informatiques à l’identification de votre base de données.

2. Configurer WordPress efficacement :

– Vérifier les autorisations de fichiers et de serveur :

Les autorisations de fichiers sur votre installation et votre serveur Web sont aussi essentielles pour renforcer votre sécurité. Si les autorisations sont trop souples, quelqu’un pourrait facilement accéder à votre site et faire des dégâts. D’un autre côté, si vos autorisations sont trop strictes, cela pourrait endommager les fonctionnalités de votre site. Il est donc important que les autorisations correctes soient définies de manière globale.

– Déplacer wp-config.php :

Par défaut, votre fichier wp-config.php réside dans le répertoire racine de votre installation WordPress (votre dossier HTML / public). Mais vous pouvez déplacer ceci vers un répertoire accessible non-www et importer le contenu dans le moteur WordPress.

– Désactiver XML-RPC :

Au cours des dernières années, XML-RPC est devenu une cible de plus en plus grande pour les attaques par force brute. Comme Sucuri l’a mentionné, l’une des fonctionnalités cachées de XML-RPC utilise la méthode system.multicall pour exécuter plusieurs méthodes au sein d’une même requête. C’est utile à certaines application pour transmettre plusieurs commandes au sein d’une même requête HTTP. Mais c’est aussi un pont vers utilisations à des fins malveillantes. Si vous n’en avez pas besoin, désactivez-le.

– Masquez votre version de WordPress :

Moins l’utilisateur en sait sur la configuration de votre site WordPress, plus dure en sera l’attaque. S’ils voient que vous exécutez une installation WordPress obsolète, cela pourrait être un signe de bienvenue pour les intrus. Par défaut, la version de WordPress s’affiche dans l’en-tête du code source de votre site. Encore une fois, nous vous recommandons simplement de vous assurer que votre installation WordPress est toujours à jour afin que vous n’ayez pas à vous en préoccuper.

– Désactiver l’édition de fichier dans l’admin :

De nombreux sites WordPress ont plusieurs utilisateurs et administrateurs, ce qui peut rendre la sécurité de WordPress plus compliquée. Une très mauvaise pratique consiste à donner aux auteurs ou aux contributeurs un accès administrateur, mais malheureusement, cela se produit tout le temps. Il est important de donner aux utilisateurs les rôles et les autorisations appropriés pour ne rien casser. Pour cette raison, il peut être intéressant de désactiver simplement l’éditeur d’apparence dans WordPress.

3. Les modules de sécurité indispensables :

Chez Pangram, nous installons les meilleurs modules afin de garantir un niveau de sécurité optimale à nos clients. Nous avons donc beaucoup travaillé sur une sélection de modules de sécurité pertinents. Voici ci-dessous ceux que nous installons par défaut lors de chaque prestation.

WPS Hide Login

WPS Hide Login est un plugin très léger qui vous permet de changer facilement et en toute sécurité l’url de la page de formulaire de connexion. Il ne renomme pas littéralement ou ne modifie pas les fichiers dans le noyau, ni n’ajoute des règles de réécriture. Il intercepte simplement les demandes de pages et fonctionne sur n’importe quel site WordPress. Le répertoire wp-admin et la page wp-login.php deviennent inaccessibles aux inconnus.

Sucuri Security

Le plugin Sucuri Security WordPress est gratuit pour tous les utilisateurs de WordPress. Il s’agit d’une suite de sécurité destinée à compléter votre posture de sécurité existante. Il offre à ses utilisateurs un ensemble de fonctionnalités de sécurité pour leur site Web contre les attaques de force brute ou les divers hacks…

UpdraftPlus WordPress Backup Plugin

UpdraftPlus simplifie les sauvegardes et restaurations. C’est l’extension de sauvegarde planifiée la plus populaire au monde, avec plus de deux millions d’installations actuellement actives. Sauvegardez vos sauvegardes de fichiers et de bases de données dans le cloud et restaurez-les un seul clic.

4. Les bons gestes à adopter

Utilisez des noms d’utilisateur et mots de passe intelligents :

Étonnamment, l’un des meilleurs moyens de renforcer votre sécurité WordPress est simplement d’utiliser des noms d’utilisateur et des mots de passe difficiles à envisager. Les mots de passe avec caractères spéciaux, majuscules et chiffres sont les bienvenus…

Se protéger des liens externes :

Le concept de hotlinking est très simple. Vous trouvez une image sur Internet quelque part et utilisez l’URL de l’image directement sur votre site. Cette image sera affichée sur votre site web mais sera servie à partir de l’emplacement d’origine. En réalité, il s’agit d’un vol, car il utilise la bande passante du site avec liens dynamiques. Cela peut ne pas sembler grave, mais cela pourrait générer beaucoup de coûts supplémentaires.

Sauvegarder fréquemment votre plateforme :

La plupart des recommandations ci-dessus sont les mesures de sécurité indispensables afin de mieux protéger votre plateforme. Mais lorsque l’on sait qu’un site n’est jamais sécurisé à 100%, mieux vaut en avoir des sauvegardes récentes, au cas ou. Comme nous l’avons vu plus haut, les sauvegardes sont faciles à réaliser avec le module Updraft Plus. Elles permettrons un rétablissement du site rapidement en cas d’attaque irréparable.

Voici donc toutes les clés pour pouvoir travailler dans les meilleures conditions de sécurités envisageables sur votre business en ligne. N’hésitez pas à contacter notre équipe si vous avez besoin d’aide.

Fermer
Fermer

Votre compte

Fermer

Panier (0)

Le panier est vide Aucun produit dans le panier.

Pangram

Créateurs de prospérité digitale.