1. Mettez à jour vos identifiants de connexion et changez-les régulièrement
Vous devriez changer votre mot de passe au moins une fois tous les quelques mois, sinon plus fréquemment. La meilleure façon de le faire est d'utiliser une application de gestion de mots de passe comme Dashlane ou LastPass.
Si vous ne souhaitez pas utiliser un programme tiers, assurez-vous d'utiliser des mots de passe forts d'au moins 15 caractères, comprenant des lettres minuscules (a-z), des lettres majuscules (A-Z), des chiffres (0-9) et des signes de ponctuation (#$&’*()_+). Ne comptez pas seulement sur des mots courants ; créez plutôt quelque chose d'entièrement unique ! Par exemple :
Exemple 1 : MonMotDePasseEst12345678901234567890!
Exemple 2 : H&+7o8k(g3q3d%MvXPGWcX8yxdRt2jQRh!
2. Utilisez toujours des mots de passe forts et uniques
Un mot de passe fort est l'un des aspects les plus importants de la sécurité de WordPress. Si un hacker parvient à accéder à votre site web, il pourra voir les noms d'utilisateur et les mots de passe. Il pourra ensuite prendre le contrôle de votre compte ou mettre en place WordPress sur son propre serveur avec tous les mêmes privilèges que vous avez.
Un mot de passe fort devrait inclure :
Au moins huit caractères de long
Une combinaison de chiffres, de lettres et de symboles (de préférence pas seulement des 1 et des 0)
Ne pas être basé sur des informations personnelles vous concernant qui pourraient être devinées par quelqu'un vous connaissant (comme votre date de naissance ou votre nom d'utilisateur)
3. Limitez le nombre de rôles d'utilisateur au minimum
Une des premières choses à faire est de limiter le nombre de rôles d'utilisateur sur votre site. Plus il y a de personnes ayant accès à votre site web, plus le risque que quelque chose aille mal est grand et qu'elles puissent causer des dommages (soit intentionnellement, soit accidentellement).
En règle générale, il est préférable de donner accès aux comptes administratifs uniquement à ceux qui en ont vraiment besoin. Si vous souhaitez que quelqu'un d'autre—comme un gestionnaire de contenu—puisse faire des mises à jour par lui-même, envisagez de créer des comptes utilisateurs séparés pour eux avec des autorisations limitées telles que “auteur” ou “contributeur.”
4. N'installez des plugins que de sources de confiance (n'installez pas de plugins piratés, crackés ou nulled)
N'installez des plugins que de sources de confiance (n'installez pas de plugins piratés, crackés ou nulled)
Mettez régulièrement à jour les plugins et supprimez ceux qui ne sont plus utilisés.
Activez les mises à jour automatiques pour le noyau de WordPress, les thèmes et vos plugins afin de ne pas avoir à vous en soucier manuellement à l'avenir.
Utilisez un plugin comme WordFence Security pour analyser votre site Web périodiquement et trouver des problèmes de sécurité.
5. Ajoutez un Captcha pour prévenir le spam
Les Captchas empêchent les robots spams de publier des commentaires et des liens sur votre site. Vous verrez moins de commentaires indésirables, ce qui améliorera l'expérience pour les vrais utilisateurs qui visitent votre site.
La page de connexion par défaut de WordPress utilise un Captcha qui aide à prévenir les attaques par force brute. En ajoutant cette couche de sécurité supplémentaire, vous vous assurez que seules des personnes réelles se connectent à leur compte sur votre site.
Ajouter un Captcha à WordPress est facile ! Cela nécessite juste quelques étapes :
Allez dans « Réglages » sous l'option du menu Tableau de bord et cliquez sur « Discussion »
Cochez ensuite la case à côté de « Les utilisateurs doivent être enregistrés et connectés. » Cela affichera un nouveau champ avec deux options : « Inscription utilisateur » et « Champs de profil utilisateur » où vous pouvez entrer toutes les données requises sur les champs qui apparaissent sur chaque profil utilisateur lors de leur inscription à un compte avec WordPress (et d'autres informations pertinentes).
6. Limitez le nombre de tentatives de connexion échouées
Il est également important de définir une limite sur le nombre de tentatives de connexion échouées qui peuvent être effectuées. Cela se fait généralement en limitant la durée entre les connexions réussies et les tentatives de connexion échouées. Par exemple, si vous autorisez trois tentatives infructueuses par minute, alors les utilisateurs pourront accéder à votre site après avoir échoué trois fois en 60 secondes.
Cependant, cela n'est pas toujours une sécurité suffisante pour certains sites Web, en particulier ceux qui sont accessibles par plusieurs personnes ou utilisent des données critiques telles que des comptes bancaires et des cartes de crédit. Dans ces situations, il est recommandé d'implémenter une période de verrouillage : après plus de trois tentatives de connexion échouées en une minute (ou quel que soit le nombre qui semble approprié), l'accès à votre site sera temporairement bloqué jusqu'à ce qu'un administrateur réinitialise votre mot de passe ou déverrouille votre compte manuellement de son côté.
7. Assurez-vous que tous vos fichiers, thèmes et plugins sont correctement mis à jour (et si vous en utilisez des obsolètes, supprimez-les/remplacez-les)
Assurez-vous que tous vos fichiers, thèmes et plugins sont correctement mis à jour (et si vous en utilisez des obsolètes, supprimez-les/remplacez-les).
Mettez à jour le noyau de WordPress régulièrement (vous pouvez définir la fréquence des mises à jour dans wp-config.php).
Si un plugin ou un thème doit être mis à jour, mettez-le à jour !
Changez vos mots de passe régulièrement, surtout si vous avez été piraté ou si un incident de sécurité s'est produit sur un autre site où vous utilisez le même mot de passe.
8. Changez l'URL de connexion de votre site Web
Changer l'URL de connexion de votre site est un excellent moyen d'améliorer la sécurité de votre site WordPress.
Si vous n'êtes pas sûr de la façon de procéder, voici quelques étapes :
Ouvrez wp-config.php et trouvez la ligne qui dit « define( 'WP_HOME', 'http://exemple.com'); » (Copiez/collez-la pour ne manquer aucun caractère.)
Changez http://exemple.com en https://exemple.com et enregistrez le fichier !
Assurez-vous de changer les deux instances de « http » en « https », sinon vous verrez ce message d'erreur en visitant votre site : Problème de certificat SSL, vérifiez que le certificat CA est OK.
9. Sauvegardez régulièrement votre site Web
Sauvegarder régulièrement votre site est l'une des choses les plus importantes que vous puissiez faire pour en maintenir la sécurité. Lorsque votre site est sauvegardé, vous pouvez revenir en arrière sur tous les problèmes qui auraient pu survenir lors des changements ou ajouts.
Vous devriez faire des sauvegardes de votre site aussi souvent que possible. La fréquence dépend de l'ampleur des changements effectués depuis la dernière sauvegarde, de la quantité de données ajoutées et de si ces changements ont été réussis (c'est-à-dire, se sont-ils téléchargés avec succès ?). Si oui, alors une nouvelle sauvegarde pourrait être inutile ; si non - et surtout si quelque chose s'est mal passé pendant le processus de téléchargement - elle est probablement nécessaire.
10. Surveillez l'insertion de code malveillant
Vous pouvez également surveiller l'insertion de code malveillant en consultant les fichiers de votre site. Si un fichier a été inséré alors qu'il ne devrait pas être là, vous le saurez. Un outil appelé WPSSO est un exemple d'un plugin WordPress qui peut vous aider à détecter ce genre d'activité.
D'autres choses à surveiller incluent une activité suspecte et des URL, des adresses e-mail suspectes, des adresses IP suspectes, des agents utilisateurs suspects (le logiciel utilisé par les visiteurs) et des référents (les sites Web d'où viennent les visiteurs).
Conclusion
Nous espérons que ces conseils vous ont aidé à améliorer la sécurité de votre site Web. Si vous n'êtes toujours pas sûr de la manière de sécuriser votre site WordPress, nous vous recommandons de contacter un expert pour obtenir de l'aide.
Et si vous avez des questions ou besoin d'une équipe professionnelle pour concevoir et développer votre site Web WordPress, veuillez nous contacter !
Restons en contact.
Suivez Asia Media Studio pour des conseils en matière de design et des mises à jour sur Facebook, Instagram et LinkedIn.
