Les points clés essentiels pour la sécurité d’un site WordPress

Bannière sécurité Wordpress

Webdesign,Développement,Webmarketing...Vous avez un projet ?

Contactez-nous
1/52/53/54/55/5
Aucun avis

1019 mots

4 images

6 min

La sécurité de WordPress est un sujet essentiel que tout administrateur système ne doit pas prendre à la légère! Aujourd’hui, on sait que se faire hacker peut arriver à n’importe qui. Afin de préserver au mieux votre site, vos créations et votre travail, et d’éviter d’ouvrir de nouvelles failles dans lesquelles les hackers ne cherchent qu’à s’engouffrer, voici, en treize points clés (et en treize points d’exclamations 😊 !), ce qu’il faut penser à faire… Et à ne pas faire !

 

1. Pensez à sauvegarder !

Avant toute intervention, faites une sauvegarde régulière de votre base de données MySOL et de votre compte FTP sur votre site WordPress.
Il se peut que votre hébergeur dispose d’un système de sauvegarde intégrale directement accessible via cPanel par exemple. Profitez-en pour obtenir un ZIP complet de votre site !

Capture d'écran - cPanel, module de sauvegarde assisté

Source : WPChanel

Vous pouvez également avoir recours au système de sauvegarde dans le cloud proposé par Automattic – l’organisation en charge de WordPress, qui s’intitule VaultPress. Il permet de télécharger une sauvegarde intégrale ou partielle (plugins, thèmes, MySQL) à intervalles réguliers (plusieurs sauvegardes quotidiennes).

N’oubliez pas de mettre en place un système de sauvegarde automatique de votre base de données MySQL !

2. Tenez votre site WordPress bien à jour !

Nous savons que 85% des sites WordPress qui se font hacker sont des sites qui n’avaient pas fait de mise à jour depuis longtemps. Cela est important car à chaque mise à jour, WordPress apporte des correctifs de sécurité. Et il en va de même pour vos plugins !

Notez que WordPress dispose d’un système de mise à jour et de réinstallation, entièrement automatisé.

3. Choisissez des mots de passe sécurisés !

Un compte administrateur disposant de privilèges élevés – que ce soit sur votre site WordPress ou votre ordinateur personnel, doit disposer d’un mot de passe d’au moins 8 caractères incluant des chiffres et des symboles : ainsi vous ne pourrez pas subir des attaques de hackers consistant à tester les mots du dictionnaire ! Bien entendu, utilisez des mots de passe uniques pour vos différents comptes et surtout pas un mot de passe unique !

Le mot de passe, un choix primoridal pour préserver la sécurité de votre site WordPress

Le mot de passe, un choix primordial pour préserver la sécurité de votre site WordPress.

 

Évitez toute donnée faisant référence à votre vie personnelle comme une date de naissance ou un numéro de département. Aujourd’hui, à l’heure des médias sociaux, la vie privée est très mal protégée sur Internet !

4. Changez le préfixe de votre base de données !

Lorsque vous procédez à l’installation de WordPress, le préfixe attribué à votre base MySQL est wp_
Si vous n’avez pas prêté attention à ce paramètre, il n’est pas trop tard. Pour ce faire, utilisez le plugin WP Security Scan.

5. Bloquez la navigation de vos dossiers WordPress !

Par défaut, n’importe qui peut accéder au contenu de vos dossiers via un simple navigateur. Il est primordial de bloquer l’accès aux répertoires de votre installation de WordPress.

6. Supprimez le compte Admin par défaut !

sécurité wordpress

Par défaut, WordPress vous propose de créer un compte intitulé admin lors de l’installation. Si vous ne pensez pas à changer cet identifiant commun, un hacker n’aura plus qu’à trouver votre mot de passe.

7. Ajoutez des clés de sécurité « secrètes » !

Vérifiez que votre fichier de configuration wp-config.php, (fichier stratégique situé à la racine de votre installation WordPress contenant vos données de connexion à la base de données MySQL), contient bel et bien des clés de sécurité générées aléatoirement.

8.Masquez la version de WordPress !

Si vous affichez le code source de votre site WordPress, vous remarquerez la présence d’une balise meta indiquant la version de votre WordPress.

Le problème ? Un hacker pourra identifier facilement les failles relatives à la version que vous utilisez… C’est pour cela qu’il faut mettre à jour votre installation WordPress !

9.Protégez l’accès au wp-config.php via .htaccess !

Ouvrez le fichier .htaccess situé à la racine de votre serveur FTP puis rajoutez la ligne suivante. Elle empêchera un hacker de récupérer votre identifiant et mot de passe en cas de problèmes avec PHP sur le serveur.

10. ! Bloquez les attaques…

…De type « brute force » ! Par défaut, il est possible de tester autant de couples [identifiant / mot de passe] que souhaitez pour se connecter à votre administration WordPress.
Installez donc le plugin Login LockDown pour restreindre le nombre de tentatives autorisées en un certain laps de temps.

11. Utilisez un scanner de failles de sécurité !

Le plugin WP Security Scan dispose d’outils très pratiques pour identifier vos failles de sécurité. Il vous indiquera notamment le CHMOD de vos répertoires et le CHMOD conseillé. Si tout est vert, vos données sont en sécurité. Un point rouge, il vous faut intervenir avec un client FTP.
Ce plugin vous permettra également de changer le préfixe de votre base de données WordPress et de générer des mots de passe costauds ! 💪🏻

12. Masquez les erreurs de connexion !

Lors du processus de connexion, WordPress affichera des messages d’erreurs explicites suite à une saisie. Il convient donc de masquer ces erreurs en intervenant dans le fichier functions.php de votre thème WordPress.

Rajoutez ensuite la ligne de code suivante :

Notez que cette sécurité est propre au thème utilisé et qu’il convient donc de la réitérer en cas de changement.

13. Désactivez Windows Live Writer !

Windows Live Writer est un logiciel Microsoft permettant de bloguer depuis une application de bureau. Or, pour des raisons de compatibilité, WordPress ajoute une ligne de code supplémentaire dans le header de votre blog. Inutile et source d’insécurité !

 

Vous aimez ? Partagez !

Vous en voulez plus ?Faites votre choix !

Faites nous part de vos penséesles plus intimes et les plus folles

Certains champs du formulaire sont invalides ...

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aucun commentaire