7 conseils essentiels pour la sécurité de WordPress
Il est essentiel de veiller à la sécurité d’un site web WordPress, car une violation des données pourrait nuire considérablement à la réputation et au chiffre d’affaires de votre entreprise. Sans une sécurité adéquate, les pirates pourraient voler des informations, installer des logiciels malveillants et en diffuser à vos utilisateurs.
Cependant, la sécurisation de votre site ne se fait pas en une seule fois. Il s’agit d’un processus continu que vous devez toujours garder à l’esprit lorsque vous effectuez des actions sur votre site, telles que l’installation de nouveaux plugins. Pour mieux protéger votre site WordPress contre les pirates, voici sept conseils de sécurité à suivre.
1. METTRE À JOUR RÉGULIÈREMENT
La mise à jour régulière de WordPress est la chose la plus importante lorsqu’il s’agit de la sécurité de votre site. Les mises à jour corrigent les vulnérabilités de WordPress. Si vous ne mettez pas votre site à jour, vous l’exposez à un risque accru. N’oubliez pas que vous devrez lancer manuellement les mises à jour pour les versions majeures.
N’oubliez pas vos plugins et thèmes lorsque vous effectuez les mises à jour. S’ils ne sont pas sécurisés, ils permettent aux pirates d’accéder facilement aux informations. Les pirates s’appuient souvent sur des plugins et des thèmes obsolètes, dont ils exploitent les vulnérabilités.
2. TÉLÉCHARGER UNIQUEMENT À PARTIR DE SOURCES CONNUES
L’option la plus sûre pour télécharger des plugins et des thèmes est de se rendre sur le site WordPress.org. WordPress vérifie tous les plugins et thèmes avant de les admettre dans ses répertoires.
Si vous allez ailleurs, tenez-vous en à des sources réputées telles que Themeforest ou les sites web de développeurs respectés. Avant de télécharger quoi que ce soit, vérifiez les avis et les commentaires des utilisateurs précédents. Ils peuvent avoir mentionné des vulnérabilités ou des problèmes avec l’auteur du plugin/thème.
3. SUPPRIMER TOUS LES PLUGINS INUTILISÉS
Le fait d’avoir moins de thèmes et de plugins installés réduit la probabilité que des pirates informatiques s’attaquent à votre site. Si vous n’utilisez pas un thème ou un plugin, supprimez-le pour éviter tout risque de sécurité, surtout si vous ne l’avez pas mis à jour. Les thèmes et les plugins peuvent toujours présenter un risque si vous les désactivez simplement, c’est pourquoi vous devez les supprimer complètement du site.
Il est également utile de le faire pour nettoyer votre site. La présence d’un grand nombre de thèmes ou de plugins inutilisés peut nuire aux performances, et rend le travail d’un professionnel de la sécurité beaucoup plus difficile si votre site est compromis.
4. CHANGER LE NOM D’UTILISATEUR DE L’ADMINISTRATEUR
Admin est le nom d’utilisateur par défaut de WordPress, ce qui en fait un mauvais choix, car c’est l’une des premières choses qu’un pirate devine. Veillez à ce que votre nom d’utilisateur ne soit pas trop simple ou trop courant.
Si vous avez choisi un nom d’utilisateur administrateur médiocre, créez un nouvel utilisateur avec des privilèges d’administrateur. Attribuez tout le contenu de votre site actuel au nouvel utilisateur, puis supprimez l’ancien.
Les identifiants de courrier électronique conviennent bien comme noms d’utilisateur pour les administrateurs, car ils sont plus difficiles à deviner. Étant donné que WordPress exige déjà une adresse électronique unique pour créer un compte, un identifiant électronique est valable comme identifiant de connexion.
5. AMÉLIORER LA FORCE DE VOTRE MOT DE PASSE
La façon la plus courante dont les pirates accèdent aux sites WordPress est par le biais de mots de passe compromis ou volés. La mise en place de mots de passe faibles et faciles à deviner constitue un risque important pour la sécurité de votre site.
Vous devez toujours vous assurer que vous et vos employés définissez des mots de passe forts, c’est-à-dire des mots de passe qui comprennent une combinaison d’au moins 12 lettres, chiffres et symboles. Si vous avez du mal à trouver des mots de passe, il existe de nombreux générateurs de mots de passe. En outre, veillez à modifier votre mot de passe tous les deux mois, car plus vous le conservez longtemps, plus il risque d’être compromis.
Il est important de rappeler que vous et vos employés ne devez jamais vous connecter au tableau de bord lorsque vous êtes connectés via un réseau Wi-Fi public. Votre mot de passe pourrait être volé par des pirates informatiques s’ils sont connectés au même réseau. Demandez à vos employés d’utiliser un VPN s’ils ne peuvent pas éviter de se connecter via des réseaux publics non sécurisés.
N’oubliez pas que, par défaut, WordPress fournit un indice en cas d’échec des tentatives de connexion en indiquant à l’utilisateur que son nom d’utilisateur est erroné ou que son mot de passe ne correspond pas. Désactivez cette fonction pour éviter de donner aux pirates des informations qu’ils pourraient utiliser pour accéder à votre compte.
6. MODIFIER LES AUTORISATIONS DES FICHIERS ET DES RÉPERTOIRES
Les droits d’accès aux fichiers et aux répertoires déterminent quels utilisateurs peuvent lire, écrire, modifier et accéder à ces fichiers et répertoires dans votre site. Les autorisations inappropriées présentent un risque énorme pour la sécurité de votre site web.
Les autorisations utilisent un système de numérotation et chaque autorisation comprend un numéro à trois chiffres. Vous pouvez définir les autorisations manuellement en utilisant le gestionnaire de fichiers de WordPress dans votre panneau de contrôle ou via votre terminal.
Utilisez 640 ou 644 pour les fichiers et 750 ou 755 pour les répertoires. Évitez d’utiliser 777 pour quoi que ce soit, car cela donne à n’importe quel utilisateur tous les privilèges.
7. SAUVEGARDE
Enfin, si tout le reste échoue et que votre site web est piraté, vous devez vous assurer que vous disposez d’une sauvegarde. Lorsque vous disposez d’une sauvegarde, vous pouvez restaurer le site tel qu’il était avant l’attaque.
Veillez à enregistrer les sauvegardes complètes du site dans des emplacements distants, c’est-à-dire ailleurs que dans votre compte d’hébergement. Il existe des plugins de sauvegarde de site qui s’en chargent pour vous.
À quelle fréquence devez-vous sauvegarder votre site ? Cela dépend de la fréquence des mises à jour, mais les sauvegardes quotidiennes et en temps réel fonctionnent toutes les deux.
DERNIÈRES RÉFLEXIONS
WordPress est une plateforme de site populaire, et c’est pourquoi les sites WordPress sont également des cibles privilégiées pour les pirates informatiques. En gardant tout à jour, en choisissant le bon nom d’utilisateur et les bons mots de passe, et en étant prudent avec les thèmes et les plugins, il sera beaucoup plus difficile pour les pirates d’accéder à votre site. En cas de problème, préparez une sauvegarde pour que votre site soit à nouveau opérationnel.
Note de l’éditeur : cet article a été publié à l’origine Lisa Michaels sur Mainstreet Host.
