Sites web : Les règles de sécurité de WordPress

WordPress : Les règles de sécurité

Ecrit parValentin Hui

13 octobre 2020

Sites web : Les règles de sécurité WordPress

WordPress est le CMS le plus populaire au monde. A ce jour, plus de 37% des sites Internet proviennent de ce CMS, ce qui en fait la cible privilégiée des hackers. Il faut savoir que les autres plateformes de gestion de contenu ne font pas exception. Ils sont également souvent visés. Les sites WordPress qui n’incluent pas encore de sécurité contiennent certaines vulnérabilités de base qui ouvrent la porte aux pirates qui souhaitent restaurer vos données ou simplement endommager votre site. Il est très important de prendre de bonnes mesures de sécurité dès le début de la création du site afin de ne pas avoir à lutter contre les intrusions toute la journée. C’est pourquoi dans ce guide, nous vous fournirons les bonnes pratiques simples pour assurer la sécurité de WordPress.

Changer l’adresse de connexion

Lors de l’installation de WordPress sur le serveur, il est recommandé de changer l’adresse de connexion. Comme CMS utilise toujours website.com/wp-admin, cela facilite les pirates. Cette opération se fait via le fichier .htaccess. Cependant, il existe des plugins qui peuvent apporter des modifications automatiquement, mais le nombre de plugins augmente la charge sur le site Web.

Sauvegardez régulièrement la base de données

Tous les sites ont une base de données pour stocker le contenu. En cas de problème avec le site, ces données doivent être archivées régulièrement. Même si votre site est super sécurisé, il est préférable de sauvegarder votre site lorsque vous en avez besoin, car « on ne sait jamais ». Vous voulez dire que le plus gros site Web qui dépense beaucoup d’argent pour la sécurité du site Web est parfois piraté, alors pourquoi ne pas choisir votre site Web ?

Les données doivent être sauvegardées. Comme nous l’avons vu, votre site Web peut ne pas avoir les derniers plugins, thèmes ou même de WordPress.

Ce comportement instable permet aux pirates, aux robots d’entrer dans votre système et de supprimer son contenu. Dans la deuxième image, vous avez installé un plug-in ou modifié le code, ce qui a endommagé votre site Web. Étant donné que les données stockées dans les bases de données FTP et MySQL sont sauvegardées régulièrement (mensuellement ou hebdomadairement), vous pouvez rapidement redémarrer le site Web.

Masquer la version de WordPress utilisée

WordPress est un logiciel, il sera donc mis à jour régulièrement pour corriger les vulnérabilités de sécurité. Pour empêcher les pirates de les utiliser, vous devez supprimer le fichier readme.html et modifier le fichier function.php. Cela masquera la version de WordPress que vous utilisez. 

Supprimer le compte admin avec l’ID  

Lorsque vous installez WordPress, le nom d’utilisateur fourni pour l’utilisateur 1 est admin. Par conséquent, il est recommandé de supprimer l’utilisateur avec l’ID 1 et de choisir un identifiant personnalisé difficile à deviner.

Créer des comptes utilisateurs sécurisés

Pour accéder au tableau de bord du CMS, vous avez besoin d’un identifiant et d’un mot de passe. Bien sûr, il est important de créer un mot de passe fort, et le mot de passe de chaque utilisateur est différent. Il est recommandé d’utiliser alternativement des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Installez les bons plugins et effectuer leurs maintenances

La popularité du CMS a incité de nombreux développeurs du monde entier à créer des extensions. La plupart d’entre eux sont parfaits, mais au fil du temps, nombre de ces auteurs ne les ont pas maintenus. Cela peut entraîner des failles de sécurité et des erreurs sur votre site Web. Par conséquent, cela ouvrira la porte aux pirates. Ne prenez pas de risques.

Mettre à jour les plugins et les thèmes

Pour protéger votre site WordPress, il doit être mis à jour. Les défauts seront régulièrement publiés et corrigés au cours de ce processus. Par conséquent, il est nécessaire de mettre à jour WordPress en vérifiant la compatibilité des thèmes et des plugins. Vous devez également vous concentrer sur votre thème de base et les plugins activés ou désactivés. Par conséquent, les extensions obsolètes peuvent entraîner beaucoup de risques pour votre site Web, mais vous devez procéder avec prudence afin de ne pas endommager votre site Web.

Installer des plugins de sécurité

Il existe de nombreux plugins sur le marché de WordPress.org. Bien sûr, pour éviter ces problèmes majeurs, il existe des plugins de sécurité : virus, scraping, injection de code malveillant, injection de bannières publicitaires indésirables, attaque par force brute, etc. Il est dans votre intérêt d’installer 1 ou 2 plug-ins antivirus et de défense. Voici des exemples de plugins : versions gratuites ou payantes de iThemes Security et Wordfence.

Nettoyez et sauvegardez votre base de données MySQL

Lorsque des sites Web basés sur CMS existent, la base de données MySQL continuera de croître. Par exemple, enregistrez et stockez vos brouillons et révisions automatiques sur chaque page et chaque article. Chaque plug-in installé ajoutera une ligne à votre base de données. Par conséquent, il est important de nettoyer via PhpMyAdmin ou via des plugins, et de les enregistrer chaque semaine ou chaque mois en fonction du niveau d’activité. Le nettoyage de la base de données MySQL est facile et votre site Web répondra plus rapidement lors de son chargement.

Sauvegarder vos fichiers

Les données doivent être sauvegardées. Comme nous l’avons vu, votre site Web peut ne pas avoir les derniers plugins, thèmes ou même WordPress. Cet état instable permet aux pirates, aux robots d’entrer dans votre système et de supprimer son contenu. Dans la deuxième image, vous avez installé un plug-in ou modifié le code, ce qui a endommagé votre site Web. Les données stockées sur les bases de données FTP et MySQL étant sauvegardées régulièrement (mensuellement ou hebdomadairement), vous pouvez redémarrer rapidement le site Web.

Certificat SSL pour votre site Web

Depuis 2017, Google recommande aux webmasters et à tous les webmasters d’utiliser des certificats SSL pour passer au format « HTTPS ». Ce protocole est utilisé pour crypter les données sensibles échangées sur votre site Web. Si vous avez un site e-commerce Woocommerce ou WP Ecommerce, le petit cadenas vert apparaîtra à côté de votre URL, ce qui rassurera les futurs clients. Google a déclaré que les sites HTTPS seront plus populaires que les sites HTTP, ce qui est une grande récompense. Une autre norme de référencement. En termes d’hébergement, la plupart des gens vous achètent un nom de domaine + hébergement pour fournir un certificat de type « Let’s Encrypt » gratuit. C’est le cas d’OVH.

Vous aimerez peut-être…

ProWebCenter-Logo-agence-web

Création de sites Internet dans les Vosges et Grand Est (Epinal, Remiremont, Nancy)

 

Notre agence web dans les Vosges vous accueille dans ses locaux situés à Gérardmer, mais nous allons également à votre rencontre dans tout le Grand Est ! Nous sommes spécialisés dans la création de sites Internet et e-commerce, mais aussi dans la communication visuelle : création de logos, chartes graphiques, brochures et plaquettes commerciales et réalisation de vidéos professionnelles d'entreprise.

Contact

25 Boulevard KELSCH, 88400 Gérardmer

+33(0) 6 15 11 88 95

ProWebCenter-Logo-agence-web

Création de sites Internet dans les Vosges et Grand Est (Epinal, Remiremont, Nancy)

 

Notre agence web dans les Vosges vous accueille dans ses locaux situés à Gérardmer, mais nous allons également à votre rencontre dans tout le Grand Est ! Nous sommes spécialisés dans la création de sites Internet et e-commerce, mais aussi dans la communication visuelle : création de logos, chartes graphiques, brochures et plaquettes commerciales et réalisation de vidéos professionnelles d'entreprise.

Contact

25 Boulevard KELSCH, 88400 Gérardmer

+33(0) 6 15 11 88 95

Share This