6 étapes simples pour sécuriser votre site WordPress
La sécurité d’un site internet est une des préoccupations centrales des webmasters. Chaque semaine, Google blackliste environ 20 000 sites web, qui contiennent des malwares, et environ 50 000 sites web qui utilisent du phishing.
Concernant les failles de sécurité, les CMS ne sont pas en reste. Selon une étude de 2017 réalisée par Sucuri, WordPress figure au top du podium : parmi les sites sous CMS infectés, 83% sont développés avec WordPress.
Utilisé par plus de 31% des sites internet, WordPress met à disposition quelques centaines de milliers de plugins et thèmes. La présence de vulnérabilités n’est donc pas surprenante. C’est pourquoi une importante communauté s’affaire à améliorer le CMS WordPress et sa sécurité, nous garantissant une rapide correction de ces menaces.
Dans ce guide, nous partageons les meilleurs conseils de sécurité pour vous aider à protéger votre WordPress contre les pirates et les malwares. Ces techniques sont simples à mettre en place et ne demandent pas de connaissances en programmation.
Mettez en place une authentification à deux facteurs
Intégrer un module de double authentification sur la page de connexion est l’un des moyens les plus simples et efficaces pour protéger vote site. Cela consiste à empêcher l’hacker d’accéder à l’espace d’administration, même s’il possède votre mot de passe, car un deuxième mot de passe s’affichant sur votre smartphone sera requis pour accéder à votre espace de connexion.
Utilisez un email pour vous authentifier
Par défaut, un nom d’utilisateur est demandé pour se connecter à WordPress. Mais l’utilisation d’une adresse email à la place d’un pseudo est une approche plus sécurisée. Au contraire d’une adresse email, un nom d’utilisateur est simple à deviner pour un hackeur.
Renommez votre url de connexion
Changer l’url de connexion est simple à effectuer. Par défaut, la page de connexion WordPress est accessible via wp-login.php ou wp-admin.php.
Lorsque les pirates connaissent l’url de votre page de connexion, ils peuvent lancer des attaques par force brute afin d’accéder à votre espace admin. Cette petite astuce bloque l’accès à la page de connexion à une personne non autorisée.
Mettez vos mots de passe à jour
Modifiez régulièrement vos mots de passe et augmentez leur difficulté en mélangeant majuscules et minuscules, chiffres et caractères spéciaux. Évitez de sélectionner comme mot de passe des termes figurant dans un dictionnaire ou une simple suite de chiffres ou de lettres (ornithorynque ; 123456 ; azeqsdwxc), qui ne tiendront pas longtemps face à un pirate informatique.
Utilisez le certificat SSL pour chiffrer les données
L’implémentation d’un certificat SSL (Secure Socket Layer) est une solution intelligente pour sécuriser l’interface admin. Le certificat SSL garantit un transfert de données sécurisé entre les navigateurs et le serveur, ce qui complique la tâche aux hackers en cas d’attaque Spoofing.
Changez le préfixe des tables de la base de données WordPress
L’utilisation du préfixe wp- rend votre base de données vulnérable aux attaques de type SQL Injection, qui peuvent être évitées en changeant wp- par un autre terme comme monwp- ou monnvwp- par exemple. Là encore, vous pouvez effectuer ce changement de préfixe avec un plugin WordPress.
