1 – Sécurisez votre protocole de connexion .
L’étape la plus fondamentale pour sécuriser votre site Web consiste à protéger vos comptes contre les tentatives de connexion malveillantes. Pour ce faire, vous devez :
- Utilisez des mots de passe forts : Nous pensions qu’il y aurait des voitures volantes dans le futur, mais depuis cette année, les gens utilisent toujours « 123456 » comme mot de passe. Assurez-vous que tous les utilisateurs ayant un compte sur votre backend WordPress utilisent des mots de passe forts pour se connecter. Il existe de nombreux générateur automatique de mots de passe sur Internet.
- Activez l’authentification à deux facteurs : L’authentification à deux facteurs (2FA) exige que les utilisateurs vérifient leur connexion avec un deuxième dispositif. Il s’agit de l’un des outils les plus simples, mais aussi les plus efficaces, pour sécuriser votre connexion. Il existe de nombreux plugins d’authentification à deux facteurs, sur Qweeble.com nous utilisons Two Factor Authentication couplé avec Google Authenticator.
- N’attribuez pas le nom d’utilisateur « admin » à un compte : Il est fort probable que ce soit le premier nom d’utilisateur que les attaquants utiliseront lors d’une tentative de connexion par force brute. Si vous avez déjà créé un utilisateur avec ce nom, créez un nouveau compte administrateur avec un nom d’utilisateur différent.
- Limitez les tentatives de connexion : En limitant le nombre de fois où un utilisateur saisit les mauvaises informations d’identification dans un certain laps de temps, vous empêcherez les pirates de forcer une connexion par force brute. Certains services d’hébergement et pare-feux peuvent s’en charger pour vous, mais vous pouvez aussi installer un plugin comme Limit Login Attempts pour cette tâche.
- Activez la déconnexion automatique : Alors que vous devriez vous souvenir de vous déconnecter de votre compte WP lorsque vous avez terminé, la déconnexion automatique empêche les personnes en contact avec votre ordinateur de fouiner dans votre compte si vous oubliez. Pour activer la déconnexion automatique sur votre compte WordPress, essayez le plugin Inactive Logout.
2 – Utilisez un hébergement WordPress sécurisé.
Lorsque vous choisissez le service qui héberge votre site Web, il y a de nombreux facteurs à prendre en compte, mais la sécurité doit être une priorité absolue. Considérez les services qui ont pris des mesures pour protéger vos informations et se rétablir rapidement en cas d’attaque.
3 – Mettez à jour votre version de WordPress.
Les versions obsolètes du logiciel WordPress sont une cible très courante pour les pirates. Assurez-vous de vérifier régulièrement les mises à jour de WordPress et de les installer dès que possible pour éliminer les vulnérabilités trouvées dans les anciennes versions.
Pour mettre à jour WordPress à la dernière version, sauvegardez d’abord votre site et vérifiez que vos plugins sont compatibles avec la dernière version de WordPress, en mettant à jour les plugins en conséquence.
4 – Mettez à jour vers la dernière version de PHP.
La mise à jour vers la dernière version de PHP est l’une des mesures les plus importantes que vous pouvez prendre pour assurer la sécurité de votre site Web WordPress. Lorsqu’une mise à jour est prête, WordPress vous en informera sur votre tableau de bord. Il vous invitera ensuite à vous rendre sur votre compte d’hébergement pour effectuer la mise à niveau vers la dernière version de PHP. Si vous n’avez pas accès à votre compte d’hébergement, contactez votre développeur web pour effectuer la mise à niveau.
5 – Installez un plugin de sécurité.
Nous vous recommandons vivement d’installer un plugin de sécurité réputés sur votre site Web. Ces plugins effectuent une grande partie du travail manuel lié à la sécurité à votre place, notamment en analysant votre site Web pour détecter les tentatives d’infiltration, en modifiant les fichiers sources qui pourraient rendre votre site vulnérable et en empêchant le vol de contenu comme les liens hypertextes. Certains plugins réputés couvrent presque tout ce qui figure sur cette liste.
Quel que soit le ou les plugins que vous décidez d’installer, liés à la sécurité ou non, assurez-vous qu’ils sont bien établis et légitimes.
6 – Utilisez un thème WordPress sécurisé.
Tout comme vous ne devriez pas installer un plugin douteux sur votre site, résistez à l’envie d’utiliser n’importe quel thème WordPress qui semble bon. Pour éviter les vulnérabilités causées par un thème WordPress, choisissez-en un qui est conforme aux normes de WordPress.
Pour vérifier si votre thème actuel répond aux exigences de WordPress, copiez l’URL de votre site Web (ou l’URL de tout site WordPress ou de la démo en direct de tout thème) dans le validateur du W3C. Si vous constatez que votre thème n’est pas conforme, recherchez un nouveau thème dans le répertoire officiel des thèmes WordPress.
7 – Activez SSL/HTTPS.
SSL (Secure Sockets Layer) est la technologie qui crypte les connexions entre votre site Web et les navigateurs Web des visiteurs, garantissant que le trafic entre votre site et les ordinateurs de vos visiteurs est à l’abri d’interceptions inopportunes.
Votre site WordPress doit être doté du protocole SSL. Non seulement cela renforcera le référencement, mais cela joue aussi directement sur la première impression que vos visiteurs auront de votre site Web. Google Chrome avertit même les utilisateurs si le site qu’ils visitent ne respecte pas le protocole SSL, ce qui réduit directement le trafic sur le site.
Pour savoir si votre site WordPress respecte le protocole SSL, visitez la page d’accueil de votre site WordPress. Si l’URL de la page d’accueil commence par « https:// » (le « s » signifie « secure »), votre connexion est sécurisée par SSL. Si l’URL commence par « http:// », vous devrez obtenir un certificat SSL pour votre site Web
8 – Installez un pare-feu.
Un pare-feu se situe entre le réseau qui héberge votre site WordPress et tous les autres réseaux, et empêche automatiquement le trafic non autorisé de pénétrer dans votre réseau ou système depuis l’extérieur. Les pare-feu empêchent les activités malveillantes de pénétrer sur votre site en éliminant une connexion directe entre votre réseau et les autres réseaux. De nombreux hébergeurs proposent un pare-feu directement intégré à l’hébergement, vérifier simplement si celui-ci est bien activé.
9 – Sauvegardez votre site Web.
Se faire pirater est une mauvaise chose. Perdre toutes vos informations est encore pire. Assurez-vous que les informations de votre site Web sont sauvegardées par WordPress et votre hébergeur en cas d’attaque (ou de tout autre incident) entraînant une perte de données. Nous recommandons que les sauvegardes soient également automatiques.
10 – Effectuez régulièrement des analyses de sécurité de WordPress.
C’est une bonne idée d’effectuer des contrôles de routine sur votre site. Visez au moins une fois par mois. Il existe de multiples plugins qui peuvent scanner votre site pour vous. Voici cinq plugins d’analyse WordPress que vous pourriez utiliser :
- Defender
- Wordfence
- iThemes Security
- BulletProof Security
- Jetpack