Vous vous demandez pourquoi nous avons publié une liste de contrôle de sécurité WordPress si d’autres blogueurs l’ont déjà fait exceptionnellement bien ?
La vérité choquante est que l’utilisateur moyen de WordPress ne se soucie pas beaucoup de la sécurité et que les pirates se concentrent sur les vulnérabilités de WordPress. 70 % de tous les sites WordPress du Top 1 000 000 Alexa sont vulnérables aux attaques de pirates informatiques. Même les grands noms n’accordent pas l’attention nécessaire à la sécurité.
Sécuriser un site Web nécessite du temps et des ressources, mais cela s’avère certainement payant à long terme. Nous apprécions votre temps et comprenons pourquoi vous pouvez négliger la sécurité de votre site de temps en temps.
La particularité de cette liste de contrôle est qu’elle condense de précieux conseils dans un format concis et digeste. Utilisez-le périodiquement et vous renforcerez considérablement la sécurité de votre site.
Sauvegarder régulièrement
Votre site n'est pas plus sécurisé si vous en possédez une copie récente. Mais une sauvegarde récente vous offre la tranquillité d’esprit dont vous avez besoin lorsque vous travaillez à améliorer la sécurité du site.
De plus, une copie de site est en or lorsque votre site est infecté par un malware.
Les excellents plugins de sauvegarde ne manquent pas, et certains d'entre eux sont gratuits. UpDraftPlus , Duplicator et BackWPUp sont d'excellents plugins qui vous permettent de planifier des sauvegardes automatiques, d'enregistrer vos sauvegardes sur plusieurs emplacements distants et de restaurer facilement votre site.
Temps estimé
L'installation, l'activation et la configuration d'un plugin de sauvegarde prennent 10 minutes. Vous devez également vérifier périodiquement l’intégrité des copies.
Installer un plugin de sécurité
Un plugin de sécurité robuste est le meilleur ami d’un administrateur de site Web minutieux. Heureusement, tout comme les plugins de sauvegarde, les utilisateurs ont à leur disposition de nombreux plugins de sécurité, et des millions d'utilisateurs satisfaits en ont testé certains.
J'ai du mal à croire que vous ne trouverez pas un plugin de sécurité satisfaisant. Wordfence , All In One WP Security & Firewall et iThemes Security sont des plugins qui méritent pleinement votre attention.
Les actions les plus critiques d'un plugin de sécurité sont :
- Analyse des fichiers du site contre les logiciels malveillants
- Vérification des fichiers par rapport aux vulnérabilités de sécurité
- Bloquer les utilisateurs par IP ou par pays
- Liste blanche et liste noire des adresses IP.
Temps estimé
L'installation, l'activation et la configuration d'un plugin de sécurité prennent 20 minutes. Notez que la plupart des plugins de sécurité sont dotés de nombreuses fonctionnalités. Vérifiez toutes les fonctionnalités pour vous assurer de consolider la sécurité du site.
Auditez votre hébergement, vos thèmes et vos plugins
Cette suggestion est souvent ignorée, même par les experts et les blogueurs soucieux de la sécurité. Leur ignorance est due au fait que vous devez rarement auditer votre fournisseur d'hébergement, vos thèmes et vos plugins. Ne faites pas la même erreur !
Votre hébergeur est capital pour la sécurité et les performances de votre site. Considérez votre fournisseur d’hébergement comme la base de votre site Web. Vous ne pouvez pas créer un site Web solide sur des bases faibles.
Choisissez un fournisseur qui utilise les dernières technologies et garantit un environnement sécurisé. Vous pourriez être tenté d’économiser de l’argent en faisant appel à un fournisseur bon marché, et c’est compréhensible. Cependant, à long terme, un bon hébergeur est préférable car vos fichiers seront sécurisés. En plus de cela, l’hébergement est responsable de la vitesse de chargement. Il va sans dire à quel point la vitesse est vitale.
Attendez-vous à avoir des logiciels malveillants et des vulnérabilités si vous utilisez un thème ou des plugins provenant de fournisseurs douteux. Désinstallez tout ce qui soulève un point d'interrogation. Installez uniquement des thèmes et des plugins à partir du référentiel WordPress ou de sources fiables.
Temps estimé
30 à 45 minutes suffisent pour évaluer votre fournisseur d'hébergement, votre thème et vos plugins.
Renforcer les mots de passe des utilisateurs
Est-ce une astuce inutile présentée juste pour écrire davantage ? Malheureusement, ce n'est pas le cas ! Les mots de passe faibles sont responsables de 81 % des violations de données en entreprise . Par conséquent, réinitialiser les mots de passe de tous les utilisateurs et leur demander d’utiliser des informations d’identification plus complexes est une bonne idée.
Certains plugins de sécurité obligent les utilisateurs à utiliser des mots de passe complexes, donc encore une fois, un plugin fait le travail à votre place.
Temps estimé
Cela dépend de la complexité du site, mais la réinitialisation des mots de passe et l'envoi d'un e-mail aux utilisateurs concernant votre intention devraient prendre 15 à 20 minutes. Ajoutez cinq minutes supplémentaires pour configurer un plugin de sécurité permettant de demander des mots de passe complexes.
Gardez tout à jour
Une armée de développeurs talentueux fait de son mieux pour faire de WordPress un environnement toujours plus sécurisé. À l’inverse, une plus grande armée de hackers expérimentés fait tout pour identifier une vulnérabilité dans le cœur de WordPress, dans un plugin ou dans un thème.
Rien de ce qui est fabriqué par l’homme n’est parfait, donc chaque produit est piratable dans une certaine mesure. Oui, les pirates peuvent s'introduire dans votre site même si vous mettez tout à jour. Mais vous rationalisez leur travail en utilisant d’anciennes versions du noyau, des thèmes et des plugins WordPress.
Temps estimé
De temps en temps, cela prend moins d’une minute pour mettre à jour ces éléments. Cela permet de gagner du temps en utilisant un service comme ManageWP.
Supprimer tout ce qui n'est pas utilisé
Chaque thème ou plugin installé mais non utilisé constitue une vulnérabilité supplémentaire du point de vue de la sécurité. Accédez à votre tableau de bord et regardez les plugins et les thèmes que vous n'avez pas utilisés. Supprimez-les pour améliorer la sécurité de votre site.
Bonus : en supprimant ces éléments inutilisés, votre site se chargera plus rapidement !
Temps estimé – Il faut environ une minute pour supprimer les thèmes et plugins inutilisés.
Gestion des utilisateurs
Plus les utilisateurs disposent de privilèges, plus le site n’est pas sécurisé. De temps en temps, auditez les utilisateurs et déterminez leurs rôles. Par exemple, ne créez pas de compte éditeur pour un utilisateur qui est uniquement responsable de la création de éléments de contenu.
Consultez ce guide WPBeginner sur les rôles et autorisations des utilisateurs WordPress avant d'agir.
Temps estimé
Cela dépend de la complexité du site et du nombre de comptes créés. Mais il faut environ 15 minutes pour évaluer le rôle de chaque utilisateur et limiter les privilèges si nécessaire.
Désactiver l'édition de fichiers
Cette astuce a plus d’impact sur les sites comptant un grand nombre d’utilisateurs. L'éditeur intégré permet aux utilisateurs (en fonction de leurs rôles) de modifier le thème et les plugins directement depuis le tableau de bord WordPress. Cependant, c'est une arme à double tranchant.
En effet, cela n'a pas de prix lorsqu'il faut modifier le code, mais c'est une énorme vulnérabilité. Cela dépend fortement des compétences des utilisateurs, mais ils peuvent ajouter (volontairement ou non) des logiciels malveillants ou des extraits de code sournois, voire même faire planter votre site. Ne sous-estimez jamais le pouvoir d’un point-virgule manquant !
La meilleure solution consiste à désactiver l'édition de fichiers. Vous renoncez au confort de changer le code directement depuis le tableau de bord. Mais vous pouvez être assuré que des personnes non formées ne modifieront pas le code.
C'est assez simple de désactiver l'édition de fichiers. Insérez cette ligne de code dans le fichier
définir( 'DISALLOW_FILE_EDIT', true );
Supprimez cette ligne de code si vous souhaitez activer l'édition de fichiers.
Temps estimé
Cela prend une à cinq minutes, selon vos compétences.
Nous configurerons cela pour vous lorsque nous configurerons le plugin de sécurité premium que nous fournissons gratuitement à tous nos clients.
Limiter les tentatives de connexion
Essentiellement, les attaques par force brute surviennent lorsqu'un pirate informatique tente de deviner les informations d'identification de votre site. Il est presque impossible de deviner les informations d'identification correctes en tapant manuellement les noms d'utilisateur et les mots de passe. Mais cela est devenu réalisable grâce à l’utilisation d’un logiciel. Il essaie des milliers de combinaisons en une seconde seulement.
Vous pouvez ajouter une autre couche de sécurité à votre site Web en limitant le nombre de tentatives de connexion. C'est simple : installez et activez un plugin. Limit Login Attempts Reloaded et WP Limit Login Attempts sont deux plugins qui ont été essayés et testés par des milliers d'utilisateurs satisfaits.
Temps estimé – Il faut dix minutes pour configurer un plugin qui limite les tentatives de connexion.
Nous configurerons cela pour vous lorsque nous configurerons le plugin de sécurité premium que nous fournissons gratuitement à tous nos clients.
Conclusion
Il n’existe pas de site 100% inpiratable, mais appliquer les conseils ci-dessus suffit à sécuriser significativement votre site.
Bien entendu, cette liste de contrôle n’est pas exclusive. Il existe de nombreuses autres façons de sécuriser votre site Web. Par exemple, les utilisateurs experts pourraient insérer quelques extraits de code pour rendre le site impénétrable aux attaques des pirates.
Souhaitez-vous découvrir des conseils de sécurité plus avancés ? Veuillez nous le faire savoir et nous publierons un guide de sécurité pour les utilisateurs avancés.
Laisser un commentaire