Quoi de mieux qu'un site Web bien construit? Un site Web bien construit avec une sécurité robuste.
Restez avec moi car je découvrirai certaines des meilleures pratiques de sécurité pour votre site Web WordPress. Non seulement ils sont adaptés aux débutants, mais ces pratiques sont très abordables, voire totalement gratuites.
À la fin de cet article, vous aurez un plan d'action pour protéger votre site contre toutes sortes de cybermenaces. Alors, attachez votre ceinture et commençons!
Votre site WordPress est-il sécurisé?
Bien que WordPress soit considéré comme le CMS le plus populaire à ce jour, cette réputation a quelques conséquences. Utilisé par plus 35% de sites Web sur Internet, WordPress devient une cible favorite pour les attaques de logiciels malveillants. Rien qu'en 2018, Sucuri a rapporté qu'environ 23,000 sites Web WordPress ont été victimes de failles de sécurité.
Cela signifie-t-il que WordPress a un système de sécurité terrible?
Pas du tout! Au contraire, la principale cause des failles de sécurité du site Web est le manque de sensibilisation des utilisateurs à la sécurité.
En tant que CMS réputé, WordPress fait sa part en publiant régulièrement des correctifs de sécurité et des mises à jour logicielles. Malgré cela, ces mises à niveau feront peu de différence à moins que vous ne sachiez quoi en faire.
En bref, vous jouez un rôle important dans la sécurisation de votre site Web.
Maintenant que vous connaissez votre rôle et vos responsabilités en tant que webmaster, il est temps d'explorer ce que vous pouvez faire pour améliorer la sécurité de votre site Web. Jetez un œil aux meilleures pratiques de sécurité ci-dessous et essayez de les mettre en œuvre sur votre site Web.
Use Strong Usernames and Passwords
La création d'identifiants de connexion solides peut être la pratique de sécurité la plus simple que l'on puisse pratiquer, mais de nombreux utilisateurs ne parviennent toujours pas à le faire. Croyez-le ou non, 23.2 millions de comptes utilisez toujours «123456» comme mot de passe. Le même problème s'applique aux noms d'utilisateur, où de nombreux utilisateurs utilisent les noms d'utilisateur standard tels que «admin» et «administrator».
Si vous avez besoin d'aide pour trouver des mots de passe forts, il existe de nombreux générateurs de mots de passe là-bas, vous pouvez utiliser gratuitement. En ce qui concerne les noms d'utilisateur, vous pouvez incorporer des chiffres et des caractères spéciaux dans les mots-clés pour les rendre plus uniques.
L'utilisation d'identifiants de connexion faibles rendra votre site Web vulnérable attaques par force brute. Ce type de cyber-attaque utilise une approche par essais et erreurs pour deviner vos informations de connexion. Par conséquent, il est préférable d'éviter d'utiliser des mots clés communs pour vos informations de connexion.
Si vous avez l'habitude d'oublier le mot de passe, vous pouvez envisager d'utiliser LastPass à retenir et à l'utiliser en un seul clic. En ce qui concerne les noms d'utilisateur, vous pouvez incorporer des chiffres et des caractères spéciaux dans les mots-clés pour les rendre plus uniques.
Hide WordPress Login
Cette astuce simple peut protéger vos sites WP des attaquants ciblant les attaques par force brute. Utilisation WPS Masquer Connexion plugin gratuit pour changer l'URL de connexion en quelque chose d'unique.
Enable Two-Factor Authentication
Une fois que vous avez sécurisé vos informations de connexion d'administrateur, vous pouvez encore améliorer le processus de connexion en activant l'authentification à deux facteurs. Ce processus de sécurité crée une couche de protection supplémentaire qui oblige les utilisateurs à obtenir un code unique à partir d'une application d'authentification. En l'implémentant sur votre site Web, seuls les utilisateurs disposant des informations de connexion et du code corrects peuvent se connecter à leur compte.
WordPress propose de nombreux plugins d'authentification à deux facteurs. Quelques-uns des meilleurs incluent Authentificateur Google, Authentification à deux facteurs et Deux facteurs.
Change WordPress Database Prefix
La base de données du site Web est la cible la plus préférée des attaques par injection SQL. Ces types de cyberattaques obligent la base de données à exécuter du code malveillant, permettant aux pirates de modifier ou d'éliminer librement les données qu'elle contient. Comme les attaques par injection SQL comprennent environ 80% des tentatives de piratage lancé par mois, vous ne devez pas prendre cette menace à la légère.
L'un des facteurs qui rendent votre base de données sujette aux attaques par injection SQL est l'utilisation de wp_ préfixe de base de données par défaut. En utilisant une base de données prévisible, le préfixe permet aux pirates de deviner les noms de vos tables et de faire des ravages dans votre base de données. Par conséquent, je vous recommande vivement de le changer au plus vite.
Voici un détail guide sur la façon de changer le préfixe de votre base de données WordPress. Vous pouvez également essayer le Changer le plugin de préfixe de table.
Disable PHP Error Reporting
La fonction de rapport d'erreur PHP vous aide à localiser les erreurs dans les fichiers PHP beaucoup plus rapidement. Cependant, cela permet également à d'autres personnes de voir les vulnérabilités de votre site. Par conséquent, je vous recommande de désactiver complètement cette fonction.
WordPress désactive la fonction de rapport d'erreur par défaut. S'il est activé pour une raison quelconque, vous devez le désactiver manuellement en modification du fichier wp-config.php. En fonction de votre service d'hébergement Web, plusieurs fournisseurs d'hébergement vous permettent également de gérer ce paramètre depuis leur panneau de contrôle.
Keep WordPress up-to-Date
Pour faire face aux types toujours croissants de cyberattaques, WordPress publie périodiquement des mises à jour ainsi que les derniers correctifs de sécurité. Cette amélioration ne s'applique pas seulement au noyau de Wordpress, mais aussi aux plugins et aux thèmes. Cela étant dit, l'utilisation de logiciels obsolètes est une recette pour le désastre.
Bien que WordPress implémente automatiquement des mises à jour logicielles mineures, vous devez toujours effectuer des mises à jour majeures manuellement. Assurez-vous donc de rechercher de nouvelles mises à jour dans le Actualités section de votre panneau d'administration WordPress régulièrement pour éviter d'avoir des failles de sécurité sur votre site.
Il existe également un plugin gratuit Gestionnaire de mises à jour facile, que vous pouvez utiliser pour contrôler la façon dont vous souhaitez mettre à jour votre noyau, vos thèmes et vos plugins WordPress.
Disable Directory Browsing
La navigation dans les répertoires peut vous donner un accès rapide à la structure du site et aux répertoires individuels. Cependant, il peut se transformer en une épée à double tranchant si d'autres personnes peuvent également y accéder. Les pirates l'utilisent souvent pour trouver des fichiers, des plugins et des thèmes vulnérables, puis les utilisent pour accéder à votre site Web.
Si vous hébergez votre site WP sur un plateforme premium, vous n'aurez peut-être pas à vous inquiéter car ils se chargeront de ces optimisations. Cependant, si vous êtes auto-hébergé ou avez besoin de le désactiver manuellement, vérifiez ceci article pour savoir comment désactiver la navigation dans les répertoires dans WordPress.
Remove WordPress Version Number
WordPress publie en permanence des mises à jour pour corriger les vulnérabilités de sécurité de la version précédente. Les versions plus anciennes sont généralement en proie à plus de vulnérabilités. Par conséquent, rendre votre version de WordPress publique n'est pas la meilleure idée pour votre système de sécurité Web.
Par défaut, votre version WordPress est visible en bas à droite de votre panneau d'administration et de la source de la page. Il apparaît également dans des endroits moins évidents comme le RSS, le CSS et les scripts du site. Il y a un grand article qui fournit un guide étape par étape sur la façon de supprimer la version WordPress de ces endroits.
Disable File Editing
L'éditeur de fichiers intégré à WordPress vous permet de modifier les scripts du plugin et du thème beaucoup plus facilement. Malgré cela, cette fonctionnalité peut mettre en danger votre site Web s'il tombe entre de mauvaises mains. Pour cette raison, il est préférable de désactiver complètement l'édition de fichiers. Vous pouvez le faire en ajoutant ci-dessous dans le wp-config.php fichier.
define('DISALLOW_FILE_EDIT', true);Perform Regular Backups
La création de sauvegardes est tout aussi importante que la sécurisation du site Web. Dans le pire des cas, les sauvegardes peuvent vous éviter d'avoir à reconstruire le site à partir de zéro.
Le processus peut sembler fastidieux, mais il existe de nombreux plugins de sauvegarde comme VaultPress et BlogVault qui peut le rendre sans tracas. Protip, utilisez le plugin qui a une fonction de sauvegarde automatique pour gagner du temps et éviter d'avoir des sauvegardes obsolètes encombrant votre système.
Si vous n'aimez pas utiliser trop de plugins, vous pouvez envisager d'utiliser iThemes Security Pro qui s'occupent avant tout et plus encore.
Stop Spam and Negative SEO
Le spam est partout et personne ne l'aime.
Si vous utilisez un site populaire et que vous ne disposez pas d'un système de prévention du spam approprié, vous pouvez attirer des milliers de spammeurs chaque jour. Avoir trop de spam est mauvais pour le référencement et l'expérience utilisateur. Imaginez, vous avez des centaines de commentaires non pertinents sur un article de blog.
Dites non au spam en utilisant le Anti-spam CleanTalk Solution.
Use WAF
L'un des meilleurs investissements que vous puissiez faire pour sécuriser votre site consiste à utiliser WAF (Web Application Firewall). Il aide à sécuriser votre site contre les 10 principales vulnérabilités OWASP, les failles de sécurité connues et inconnues, les codes malveillants, les attaques DDoS et bien plus encore.
Il y a quelques options - SUCURI, Malveillance, Cloudflare.
Manage Themes and Plugins
L'un des plus grands avantages de l'utilisation de WordPress est sa vaste collection de plugins et de thèmes. Ironiquement, les plugins et thèmes WordPress se présentent comme le la plus grande source de vulnérabilité cela pourrait mettre votre site en danger. Vous devez donc faire votre choix judicieusement et gérer soigneusement ceux que vous avez installés.
Le moyen le plus simple d'empêcher les pirates d'accéder à votre site Web via un logiciel défectueux consiste à utiliser des plugins et des thèmes avec d'excellentes critiques et évaluations. Ce sont d'excellents indicateurs qui vous diront qu'ils sont bien entretenus et fonctionnent correctement. De plus, assurez-vous de vérifier régulièrement les mises à jour pour améliorer leurs performances.
Récapitulation
Étant donné que les cybermenaces à travers le monde ne prévoient pas de se retirer très bientôt, il est essentiel de protéger votre site Web WordPress contre les dangers potentiels. Heureusement, il existe de nombreuses pratiques de sécurité simples mais efficaces que vous pouvez appliquer pour améliorer la sécurité globale de votre site.
Cet article prouve que vous n'avez pas besoin d'un gros budget ou de connaissances techniques avancées pour appliquer certaines des meilleures pratiques de sécurité. La question est, êtes-vous prêt à relever le défi?
Vous souhaitez accepter les paiements via votre site Web ? Voici les meilleurs plugins pour accepter le paiement sur les sites WordPress.
Relatif:
