Comment améliorer la sécurité wordpress ?

11 astuces pour sécuriser wordpress

Selon le site “internet live stat”, plus de 100 000 sites web se font hackés par jour. Après avoir référencer WordPress il serait dommage de tout perdre à cause d’une inattention. Dans cet article nous vous proposons 12 astuces pour protéger votre site WordPress.

1. Supprimez la fonction admin et renforcez le mot de passe

Les hackers n’utilisent pas de formules complexes pour vous pirater. L’un des moyens les plus simples mais efficace pour la sécurité de WordPress est de supprimer la fonction admin. Changez de nom d’utilisateur et aussi utilisez un mot de passe complexe. Les mots de passe comme « 1234 » sont à bannir. Privilégiez des mots de passe long et uniques avec des caractères spéciaux. Si vous n’avez pas d’idée il existe des générateurs de mot de passe en ligne. Au cas où vous possédez plusieurs sites différenciez les mots de passe.

2. Cachez votre version de WordPress

Les hackers connaissent les failles de chaque version de WordPress. moins ils en savent sur votre version mieux c’est. Pour masquer il faut se rendre dans le fichier function.php ou readme.html qui est à la racine de votre wordpress. Celui là  peut être supprimé en toute sécurité. Attention une mauvaise manipulation du code source peut endommager votre site, faites appel à un professionnel au moindre doute.

3. L’authentification à deux facteurs 

En plus de votre mot de passe il faut aussi un deuxième moyen de reconnaissance pour solidifier votre sécurité. La plupart du temps il s’agit d’un SMS. Avec l’authentification à deux facteurs vous évitez les attaques brute. Il y a peu de chance que les malfaiteurs connaissent toutes vos informations personnelles.

4. Installez un plug in

Vous pouvez installer des plugs in. Vérifiez qu’il soit efficace et compatible avec votre WordPress. 

5. Faire les mises à jour régulièrement

Maintenir à jour votre wordpress est un point important pour la sécurité. cela concerne le CMS mais aussi les plug ins et thèmes. Plusieurs entreprises utilisent encore des versions obsolètes or de nouvelles failles sont trouvées tous les jours qui facilitent le travail des hackers. 

6. Sauvegardez votre travail

Cela peut paraître anodin, mais on n’est jamais sûr à 100 %. Faites-le régulièrement manuellement à l’automatiquement, il existe aujourd’hui plusieurs plug in et extensions WordPress.  Ainsi en cas d’attaque vous pourrez tout récupérer en un clin d’œil.

7. Désactivez XML-RPC 

XML-RPC est une interface de programme d’application (API) qui existe depuis un certain temps. Elle est devenue une cible majeure des attaques brutes. Quelques extensions WordPress comme Jetpack s’appuient sur XML-RPC, il est important de les désactiver.

8. Modifier l’adresse de connexion

Votre adresse de connexion est aussi la cible des hackers. L’URL par défaut de WordPress se présente comme ceci : mon-site.com/wp-admin. Vous pouvez le modifier en accédant au fichier htaccess. Ou à l’aide d’un plug in.

9. Supprimer l’éditeur

En cas d’attaque le moyen le plus simple pour eux de modifier vos fichiers serait d’aller dans « Apparence> Editeur depuis le tableau de bord. Pour désactiver cette option placez dans votre fichier  wp-config.php la ligne code : define(‘DISALLOW_FILE_EDIT’, true);

Vous ne pourrez plus modifier de fichier directement sur WordPress, mais en utilisant une application FTP.

10. Masquer les fichiers

Vos fichier wp-config.php et .htaccess contiennent souvent vos informations d’identification système et exposent des informations sur la structure et la configuration de votre site et sont donc vitaux à votre sécurité. Votre fichier wp-config.php se trouve dans le répertoire racine de votre installation WordPress. Pour votre sécurité vous devrez l’ajouter à votre .htaccess fichier pour protéger wp-config.php :

<Files wp-config.php>

order allow,deny

deny from all

</Files>

11. Les clés de sécurité

Les « clés d’authentification » font partie d’un ensemble de variables aléatoires, uniques à votre site Web, qui améliorent la sécurité des informations contenues dans les cookies. Assurez-vous que votre fichier wp-config.php contient bien des clés de sécurité générées aléatoirement.

12. Hébergement du WordPress

Malgré tous vos efforts si vous êtes hébergés par une entreprise qui ne l’est pas c’est peine perdue. Les options d’hébergements low coast sont à prendre avec des pincettes. Ils ne sont souvent pas accompagnés de sécurité adéquate, de sauvegarde ou de ravalement de site piraté.

L’hébergement partagé n’est pas la meilleure option, car les hackers peuvent avoir accès à votre site via un autre défaillant. Réfléchissez bien avant de faire votre choix, vous pouvez consulter les avis utilisateurs pour être sûre.

Enfin surveillez toujours votre site grâce aux journaux d’audits, car l’on n’est jamais à l’abri du danger. Avec cet article vous avez les bases pour sécuriser votre WordPress, à vous de jouer.