Il est important de maintenir la sécurité de WordPress dans le but de s’assurer que ton site n’est pas compromis.

 

SECURISER L’ACCES

Un endroit clé auquel les pirates vont vouloir s’attaquer est l’interface de WordPress. Si un internaute malveillant arrive à trouver tes identifiants et mots de passe, il fait ce qu’il veut de ton site internet.

Certains tenteront de se connecter en forçant une attaque, en mettant en place un botnet pour tenter à plusieurs reprises de se connecter à ton site, en utilisant différents noms d’utilisateurs et mots de passe.

Voici quelques changements que tu peux faire pour aider à sécuriser WordPress:

 

1.Utilise un unique nom d’utilisateur et mot de passe.

  • Evite d’utiliser le nom d’utilisateur et mot de passe par défaut.
  • Si tu es sur une ancienne installation, ou si tu es déjà actif sur le compte admin, tu peux utiliser un autre compte sur un plugin comme Username Changer pour changer ton nom d’utilisateur pour quelque chose de plus sécurisé.
  • Tu peux aussi créer un autre nom d’administrateur avec les mêmes droits en effaçant l’autre.
  • Evite de prendre pour nom d’administrateur, ton nom ou le nom de ton site internet
  • Utilise un mot de passe compliqué avec des lettres, des chiffres  et des symboles.
  • Tu peux utiliser un générateur de mots de passe comme celui ci.

 

2.Utilise une authentification à deux facteurs.

Une authentification à deux facteurs (Une 2FA) requiert des éléments pour se connecter et pas seulement ton identifiant et ton mot de passe mais aussi un code valable une seule fois envoyé sur ton propre téléphone. 

 

3.Vérifie que l’utilisateur soit humain.

Les formulaires reCAPTCHA demandent aux utilisateurs de cliquer sur les images ou de rentrer les chiffres ou les symboles qu’ils voient.

Les botnets ne peuvent pas passer cette étape d’accessibilité.

 

4. Protéger le wp-login.php avec un mot de passe.

Si tu es un développeur ou un utilisateur de wordpress confirmé, et que tu es à l’aise avec le changement de serveur annexe, tu peux demander un mot de passe d’un serveur annexe avant que le site n’apparaisse.

 

SECURISER LE CODE

Quand tu développes ton propre thème ou plugin, ou le fais développer par un tiers, assure toi que le code utilisé n’ouvre pas de portes à de potentielles attaques.

Un code peu sûr peu faire en sore que des hackers prenne la main sur votre site internet.

 

5. Met à jour WordPress

Depuis wordpress 3.7, qui couvre la sécurité et la maintenance, des sorties mineures sont automatiquement appliquées.

Quoiqu’il arrive tu peux aussi l’étendre à des mise à jours majeures de WordPress en ajoutant ce qui suit au fichier wp-config.php de ton site internet.

define( ‘WP_AUTO_UPDATE_CORE’, true );

Bien que ca puisse apparaître comme une bonne idée, ce pourrait résulter en une incompatibilité entre la nouvelle version de wordpress et le plugins utilisés pour votre site. C’est toujours mieux de tester avant.

Il y a des outils qui permettent de gérer tes différents sites wordpress depuis un interface unique.

 

6. Choisis tes thèmes et plugins optimaux

C’est important de choisir des plugins et des thèmes qui sont maintenus et régulièrement mis à jour comme:

iThemes Sync (free for up to 10 sites)

ManageWP (free for up to 5 sites)

Bien que ce ne soit pas une garantie de sécurité, cela signifie que si il y a des anomalies trouvé sur un thème ou un plugin, elles seront redressées et mise à jour rapidement.

Ainsi check les descriptions des plugins sachant que certains seront audités pour la sécurité par des tiers tel que Sucuri, ce qui peut vous faire dormir sur vos deux oreilles.

 

7. Développe des thèmes et plugins.

Que vous soyez nouveau au développement de WordPress ou que vous ayez développé des thèmes et des plugins avec wordpress, vous devez suivre ces clés élémentaires dans la sécurité de wordpress.

 

SECURISER L’HEBERGEMENT

 

Avec ton site bien codé et tes codes d’accès bien sécurisés il est important que ton hébergement soit bien supporté et sécurisé.

 

8.Utilise un hébèrgement managé

Il y a plusieurs sociétés maintenant offrant de l’hébergement managé WordPress comme WP Engine, Siteground et MediaTemple. Alors que tu paieras une prime en plus de l’hébergement partagé, une hébergement managé t’aideras à sécuriser ton site internet.

 

9.Assure toi que tes fichiers et dossiers de permissions sont corrects.

Si tu n’utilises pas un serveur managé, il est important que tu t’assures que les dossiers et fichiers wordpress ont les correctes propriétés et permissions.

Ça ne permet pas seulement à WordPress de se mettre à jour tout seul, ca permet aux pirates de ne pas s’attaquer à la sécurité de ton site et en prendre le contrôle.

Les dossiers WordPress doivent toujours avoir permission 755 et les fichiers WordPress doivent toujours avoir permissions  644 – bien que cela varie selon les hébergeurs.

Si tu obtiens des erreurs en tentant d’installer des plugins ou télécharger un nouveau média, ne soyez pas tenté de mettre les fichiers à 0777.

Si tu as accès au terminal, tu peux rentrer ces commandes pour t’assurer que WordPress est sécurisé:

 

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Si tu connais le nom ou le groupe de propriétaires du fichier WordPress:

sudo chown -R username:group /path/to/your/wordpress/install

 

10. Maintien des serveurs dédiés

Pour les utilisateurs avancés qui managent eux même l’hébergement, vous pouvez aussi faire ca:

Assure toi que l’utilisateur de ta base de donnée n’ait accès qu’aux privilèges SELECT, INSERT, UPDATE and DELETE.

Utilise des nom d’utilisateurs et mots de passe forts.

Interdit le fichier du serveur dédié à l’intérieur de wordpress en ajoutant define(‘DISALLOW_FILE_EDIT’, true); to your wp-config.php file

 

Conclusion

Dans cet article nous avons parlé des 10 astuces pour sécuriser votre site wordpress, de l’authentification basique aux pratiques de codages et réglages de l’hébergement. Pour les plus avancés , nous avons touché aux techniques pour s’assurer que WordPress soit le plus sécurisé possible.

Une autre option qui vaut la peine d’être considérée est l’usage de la sécurité via des plugins tel que WordFence  ou Bullet Proof Security. Le choix est  large et ils ont leurs avantages et inconvénients le mieux est de s’informer sur eux avant de les installer.
Il est toujours bon de se rappeler qu’il vaut mieux prévenir que guérir, il suffit d’une erreur pour se faire hacker son site internet. Ainsi il est vital d’installer un service de sauvegarde, tel que Vaultpress ou Backupbuddy,  ainsi ton site peut être restauré facilement en cas de piratage.