Top

20 astuces pour sécuriser votre site WordPress

WPress Assist / Plugin  / 20 astuces pour sécuriser votre site WordPress
20 astuces pour securiser votre site wordpress

20 astuces pour sécuriser votre site WordPress

WordPress est le CMS le plus utilisé ce qui en fait une cible de choix pour de nombreux hackers.

Je vous propose dans cet article quelques astuces pour minimiser les risques de piratage.

Bien sur si vous ne souhaitez pas prendre de risque n’oubliez pas que WPress Assist peut sécuriser votre site

Sécuriser la page de connexion WordPress

1. Bloquer les attaques brute-force

La page de connexion pour accéder à l’administration de WordPress est connu de tous, c’est pour cela qu’il faut la sécuriser.

Pour bloquer les tentatives de connexions je vous conseille l’un de ces 2 plugins :

iThemes Security : très complet il protège et détecte les attaques, fait des sauvegardes et plus …

Login Lockdown : protège uniquement les tentatives d’intrusion par brute-force

2. Utiliser 2 facteurs d’identification

Google Authenticator for WordPress : Le principe de ce plugin est de proposer 2 façons de s’identifier (mot de passe, code, caractères spéciaux).

3. Se connecter avec une adresse mail

Par défaut vous devez entrer votre nom d’utilisateur pour vous connecter. Vous connecter via votre adresse e-mail sera plus sécurisé car le nom d’utilisateur est plus facile à trouver.

Grâce à WP Email Login vous pourrez vous connecter avec votre adresse mail. Il suffit de vous déconnecter et la page de connexion vous demandera votre adresse e-mail.

4. Renommer la page de connexion

Comme dit précédemment la page de connexion de base de WordPress est connu de tous, il est donc facile de lancer des attaques sur ces pages. La solution est de modifier l’url de cette page. Au lieu d’avoir une url du type /wp-admin ou /wp-login.php je vous conseille de la renommer, par exemple /nouvelle-page-connexion ou /mon-login …

iThemes Security permet de faire cela facilement.

5. Changer de mot de passe

Modifiez votre mot de passe régulièrement, ajouter des caractères spéciaux, des majuscules …

Passwords Générator est un très bon outil pour générer des mots de passe.

 

Sécuriser votre Dashboard Admin

6. Protéger le dossier wp-admin

Le répertoire wp-admin est le coeur de tout site Web WordPress. Par conséquent, si cette partie de votre site est violée, l’ensemble du site peut être endommagé.

Une possibilité d’éviter cela est de protéger le répertoire wp-admin par un mot de passe. Avec une telle mesure de sécurité, le propriétaire du site peut accéder au tableau de bord en soumettant deux mots de passe.

Vous pouvez utiliser le plugin AskApache Password Protect pour sécuriser la zone d’administration. Il génère automatiquement un fichier .htpasswd, crypte le mot de passe et configure les permissions d’accès aux fichiers sécurisés.

7. Utiliser SSL pour chiffrer les données

Bien qu’un peu plus technique à mettre en oeuvre, chiffrer les données via un certificat SSL permet de sécuriser les données qui transitent entre le serveur et le navigateur.

Si vous êtes chez un hébergeur type OVH il vous faudra certainement payer pour l’installation d’un certificat SSL.

Si vous avez un serveur dédié vous pouvez installer gratuitement un certificat en utilisant Let’s Encrypt. Cela demande des compétences en administration de serveur donc ne faites pas cela si vous ne vous y connaissez pas un minimum, une mauvaise manipulation peut mettre HS votre serveur, confiez cette tache à un professionnel.

8. Sécuriser l’ajout d’utilisateurs

Si pour n’importe quelle raison vous avez plusieurs utilisateurs sur votre site (rédacteurs pour vos articles par exemple), vous devez être sur qu’ils utilisent un mot de passe sécurisé, il serait dommage de faire tout ceci pour rien.

Force Strong Passwords permet de forcer l’utilisateur à utiliser un mot de passe sécurisé.

9. Changer le nom d’utilisateur de l’admin

N’utilisez jamais « admin » comme nom d’utilisateur pour un accès administrateur. Comme vous vous en doutez ce nom d’utilisateur est extrêmement facile à deviner et pourtant il est encore très utilisé, alors ne faites pas cette erreur.

10. Monitorer vos fichiers

Acunetix WP Security, Wordfence ou encore iThemes Security permet d’enregistrer toutes les modifications apportées à vos fichiers, cela permet de détecteur si quelqu’un a essayé de modifier des fichiers.

 

Sécuriser la base de données WordPress

11. Changer le préfixe des tables de la base de données

Par défaut WordPress propose le préfixe wp_ lors de l’installation. Changez ce préfixe pour sécuriser l’accès aux tables de votre base de données.

Si vous avez déjà installé votre base de données, vous pouvez changer le préfixe grâce à ce plugin : WP-DBManager (sauvegardez bien tout avant).

12. Faites des sauvegardes régulières

La meilleure chose à faire est de sauvegarder régulièrement vos fichiers et vos données. En cas de problème vous aurez toujours possibilité de revenir en arrière et donc ne pas perdre votre travail.

Voici quelques plugins :

VaultPress

BackupBuddy

BackUpWordPress

13. Utiliser un mot de passe sécurisé pour votre base de données

Un bon mot de passe utilisant des caractères complexes est la base de la sécurité. Utilisez donc Passwords Générator pour générer un mot de passe efficace.

 

Sécuriser le serveur

14. Protéger le fichier wp-config.php

Ce fichier est crucial pour le fonctionnement de votre site, et il contient les accès à votre base de données. Il se situe à la racine de votre installation. Déplacez ce fichier dans le répertoire parent. Ne vous inquiétez pas WordPress le détectera toujours et votre site fonctionnera.

15. Désactiver l’édition de fichier

Si quelqu’un arrive à se connecter en administrateur sur votre site il pourra, si il le veut, modifier ou supprimer tous les fichiers de votre site grâce à l’éditeur de WordPress. Vous devez désactiver cet éditeur en ajoutant define('DISALLOW_FILE_EDIT', true); à la fin de votre fichier wp-config.php.

16. Se connecter au serveur correctement

De base vous vous connectez en général en FTP. Préférez une connexion sécurisée en SFTP ou SSH.

17. Paramétrer les permissions des dossiers avec prudence

De mauvaises permissions sur vos fichiers ou dossiers peuvent être très dangereux car cela pourrait donner le droit de modifier ou supprimer vos fichiers.

Connectez vous à votre serveur (en SFTP ou SSH) et mettez les permissions 755 à vos dossiers et 644 à vos fichiers.

18. Désactiver le listing de dossier dans le .htaccess

Vous serez certainement surpris de voir qu’il est possible d’afficher le contenu d’un dossier de votre serveur si vous n’y mettez pas un fichier index.html. Pour corriger cela ajoutez Options All -Indexes dans votre fichier .htaccess.

 

Sécuriser vos thèmes et vos plugins WordPress

19. Faites les mises à jour. Régulièrement !

La création de thèmes et plugins et accessible à tous, et n’est pas soumis à des tests de sécurité, cela dépend donc du sérieux du développeur. Il se peut donc qu’une faille apparaisse, d’ou l’intérêt des mises à jour qui permettent de corriger une faille lorsqu’elle a été découverte.

Même chose pour WordPress, il est important de le maintenir à jour car même si il est développé par des professionnel il se peut qu’une faille de sécurité soit présente.

N’oubliez pas de faire une sauvegarde avant les mises à jour ;).

20. Cacher le numéro de version de WordPress

Le numéro de version de WordPress peut donner beaucoup d’information sur la vulnérabilité de votre site, notamment si vous ne le maintenez pas à jour.

iThemes Security permet entre autres de masquer ce numéro. Vous pouvez également le faire manuellement.

 

Le mot de la fin

Si vous suivez ce petit guide votre site sera déjà bien sécurisé. Même si le risque 0 n’existe pas vous serez ici en mesure de ne pas perdre vos données et d’éviter les attaques les plus utilisées.

Et si vous trouvez tout cela bien compliqué et que vous n’avez pas envi de prendre de risque ou vous prendre la tête nous pouvons faire cela pour vous et en toute SE CU RI TE. C’est par ici

1Commentaire
  • bob
    22 juin 2017 at 22 h 16 min

    Le SSL est gratuit chez ovh. Je viens de l’installer.

Poster un commentaire