Pour faire suite à l’article de la semaine dernière sur la manière de réparer un site WordPress cassé, j’ai eu envie d’en remettre une couche 💪 en posant les règles de bases pour sécuriser son site.
Vous êtes propriétaire d’un site WordPress et vous vous inquiétez de sa sécurité ? Pas de panique !
Dans cet article, nous allons vous guider à travers les étapes essentielles pour protéger votre site WordPress, même si vous êtes débutant(e) dans le monde de la sécurité en ligne.
Prêt(e) à rester zen 🧘♂️tout en sécurisant votre site ? C’est parti !
Sécurité WordPress : La base
1. Mettez à jour régulièrement
Les mises à jour sont votre meilleur ami pour garder votre site à jour et sécurisé.
Assurez-vous de mettre à jour WordPress, les thèmes et les plugins dès qu’une nouvelle version est disponible.
2. Des mots de passe forts
Évitez les mots de passe faciles à deviner, comme “password” ou “123456”.
Utilisez des combinaisons de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
Plus le mot de passe est complexe, plus il est difficile à craquer.
3. Utilisez des plugins de sécurité
Les plugins de sécurité sont des outils pratiques pour protéger votre site sans avoir besoin de connaissances techniques.
Des plugins tels que Wordfence, iThemes Security ou Sucuri peuvent vous aider à renforcer la sécurité de votre site.
4. Protégez votre site avec un certificat SSL
Un certificat SSL protège les données échangées entre votre site et les utilisateurs.
Vous pouvez installer un certificat SSL gratuit ou payant via votre hébergeur.
Et puis, aujourd’hui, c’est un peu la base d’être en https !
5. Limitez les tentatives de connexion
Utilisez un plugin de sécurité (Login LockDown, WP Limit Login Attempts ou encoreiThemes Security) pour bloquer les adresses IP après un certain nombre d’échecs de connexion.
Activez la double authentification pour ajouter une couche supplémentaire de sécurité.
6. Effectuez des sauvegardes régulières
Sauvegardez régulièrement votre site pour pouvoir le restaurer en cas d’attaque ou de problème technique.
Utilisez un plugin de sauvegarde tel que UpdraftPlus ou BackupBuddy pour simplifier le processus.
7. Supprimez les plugins et thèmes inutilisés
On ne le dira jamais assez, autant pour la sécurité que pour le référencement, mais les plugins et thèmes inutilisés peuvent représenter une vulnérabilité pour votre site.
Supprimez-les pour réduire les risques potentiels.
Sécurité WordPress : pour aller plus loin
8. Limitez les autorisations des utilisateurs
Accordez uniquement les privilèges nécessaires à chaque utilisateur.
Évitez de donner un accès administratif à des utilisateurs non fiables.
9. Utilisez un pare-feu pour WordPress
Les pare-feu WordPress sont conçus pour détecter et bloquer les attaques malveillantes.
Des plugins tels que Sucuri Firewall ou All In One WP Security & Firewall peuvent vous aider à renforcer la sécurité de votre site.
10. Surveillez les journaux d'activité
Les journaux d’activité vous permettent de suivre les actions effectuées sur votre site.
Utilisez un plugin de journalisation tel que WP Security Audit Log pour détecter toute activité suspecte.
11. Protégez votre fichier wp-config.php
Le fichier wp-config.php est un fichier important de votre site WordPress, car il contient des informations sensibles telles que les informations de connexion à la base de données et les clés d’authentification. Voici quelques méthodes pour protéger le fichier wp-config.php :
- Déplacez le fichier wp-config.php
Vous pouvez déplacer le fichier wp-config.php dans un répertoire non accessible au public pour empêcher les utilisateurs non autorisés d’y accéder. Pour ce faire, vous devez modifier le chemin d’accès dans le fichier index.php situé à la racine de votre site. - Utilisez un plugin de sécurité
Certains plugins de sécurité tels que iThemes Security et All In One WP Security & Firewall proposent des fonctionnalités pour protéger le fichier wp-config.php. Ces plugins permettent notamment de restreindre l’accès au fichier en modifiant les règles d’accès dans le fichier .htaccess. - Restreignez les permissions du fichier
Vous pouvez également restreindre les permissions du fichier wp-config.php pour empêcher les utilisateurs non autorisés d’y accéder. Pour ce faire, vous devez modifier les permissions du fichier en utilisant un client FTP ou un gestionnaire de fichiers.
⚠️Il est important de noter que toute modification apportée au fichier wp-config.php peut affecter le fonctionnement de votre site WordPress, alors n’oubliez pas de faire une sauvegarde du fichier avant de le modifier.
12. Utilisez des outils de sécurité tiers
En plus des plugins de sécurité mentionnés, vous pouvez également utiliser des outils tiers tels que des scanners de vulnérabilités ou des services de surveillance de sites, comme :
- Sucuri
Sucuri est une plateforme de sécurité web qui offre des services de protection contre les attaques DDoS, la détection de logiciels malveillants, la surveillance de la sécurité du site, et bien plus encore. - MalCare
MalCare est un service de sécurité WordPress qui propose une analyse approfondie du site pour détecter les logiciels malveillants, une protection en temps réel contre les attaques, des sauvegardes automatisées et des fonctionnalités de gestion de la sécurité. - SiteLock
SiteLock est un service de sécurité web qui propose une gamme complète de fonctionnalités, y compris la détection des logiciels malveillants, la protection contre les attaques DDoS, la surveillance du site et des applications, ainsi que des certificats SSL.
Pour conclure
N’oubliez pas que la sécurité est un processus continu.
Restez vigilant.e et surveillez régulièrement l’état de votre site WordPress.
Avec ces astuces, vous serez sur la bonne voie pour protéger votre site et rester zen 🧘♂️.
N’hésitez pas à nous contacter si vous voulez qu’on s’en occupe (c’est notre métier 🤠) !