Tout d’abord, nous passerons en revue les mesures de base que vous pouvez prendre pour sécuriser votre site WordPress. Ensuite, nous examinerons quelques techniques et outils avancés qui assureront la sécurité de votre site.
Sommaire
Utiliser SSL
SSL, ou Secure Socket Layer, est un moyen de crypter la connexion entre votre ordinateur et le serveur. Cela signifie qu’il protège vos informations contre les personnes qui les espionnent pendant qu’elles voyagent sur l’internet. Le SSL les empêche également de lire ce qu’ils pourraient intercepter.
SSL est facile à installer, tout ce dont vous avez besoin est un plugin. Vous pouvez utiliser des plugins gratuits ou payer pour un certificat si vous souhaitez plus de fonctionnalités ou une meilleure assistance.
Maintenir WordPress à jour
Vous pouvez facilement mettre à jour votre installation WordPress en allant dans Tableau de bord > Mises à jour.
Les mises à jour de WordPress sont très importantes pour la sécurité. Veillez donc à maintenir votre installation WordPress à jour.
Modifier le préfixe de la table SQL
Le préfixe de table est constitué des caractères que vous utilisez avant les noms de vos tables. Par exemple, si votre site Web WordPress utilise le motpress_ comme préfixe de table, les tables dans MySQL seront nommées selon le format suivant : wordpress_[table].
Par exemple, si nous voulons créer une table nommée « users », nous devons d’abord créer l’utilisateur de la base de données qui pourra y accéder, puis attribuer des privilèges sur les tables qui nécessitent un contrôle d’accès. L’étape suivante consiste à définir notre structure de données pour les utilisateurs avec des colonnes représentant différentes propriétés pour chaque utilisateur : bases de données -> WordPress -> Utilisateurs -> champs -> nom (type varchar(100)) . Pour ajouter de nouveaux utilisateurs à cette table de base de données, nous devons utiliser phpMyAdmin ou tout autre outil capable de modifier les bases de données MySQL depuis PHP comme PhpMyAdmin .
Cacher vos messages d’erreur de connexion
Pour masquer les messages d’erreur sur votre site Web, vous devez :
- Masquer aux visiteurs les messages d’erreur liés aux performances. Il s’agit d’erreurs qui peuvent survenir en raison d’un mauvais codage de WordPress ou de plugins qui ne sont pas compatibles avec lui. Elles apparaissent généralement sous la forme d’un » écran blanc » ou d’une » page blanche » et font croire à l’utilisateur que quelque chose ne va pas avec son ordinateur plutôt qu’avec votre site. Pour éviter cela, désactivez l’option display_errors dans le fichier php.ini et définissez-la à 0 (zéro) dans le fichier wp-config.php. Vous pouvez également utiliser un plugin comme Debug Bar ou Advanced Custom Fields Pro pour activer la journalisation des erreurs et les afficher uniquement lorsque le mode débogage est activé.
- Masquez les messages d’erreur à des fins de développement et de test en utilisant un plugin comme WP Error Manager qui vous permet d’afficher ou de masquer les erreurs en fonction de conditions (par exemple, si les pages AMP sont activées).
Déplacez votre fichier wp-config.php un niveau plus haut
Le fichier wp-config.php est l’un des fichiers les plus importants de votre installation WordPress. Comme vous le savez peut-être, il contient des informations relatives à la configuration de votre base de données, afin que WordPress puisse y accéder à chaque chargement de page (et pas seulement lorsque vous vous connectez).
Cela signifie que si quelqu’un veut pirater votre site et accéder à toutes ses données, il devra modifier ce fichier (en changeant quelques lignes de code), puis redémarrer les processus du serveur Apache ou Nginx. Heureusement pour nous, la plupart des hackers ne savent pas comment ces systèmes fonctionnent ! En d’autres termes : apporter des modifications dans wp-config.php ne leur permettra pas de contourner notre pare-feu ou nos restrictions IP.
Cependant, il y a encore des risques associés à la conservation de ce fichier dans un répertoire accessible au public. Nous vous recommandons donc de le déplacer un niveau plus haut que celui où il se trouve actuellement : from /wp-content/uploads/2017/05/mywebsite_com/wp-config_php_file__to__say__mysite_org1_initiated/_files/_dirs___to__say____mysite___com2____initiated______/_files____dirs___where____you’ll_____find______wp3_____admin4-5*6*7*.8*9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150
Masquer le répertoire d’administration de WP
Pour masquer le répertoire d’administration de WP, vous pouvez :
- Modifier le fichier wp-config.php. Ce fichier est situé dans le répertoire racine de votre site Web, vous devrez donc y accéder via FTP (File Transfer Protocol). Pour modifier ce fichier, ouvrez un éditeur de texte ou de code sur votre ordinateur, puis sélectionnez « HTML » ou « PHP » dans le menu déroulant des extensions de fichiers en haut de la fenêtre de votre navigateur. Vous pouvez alors faire défiler ce fichier jusqu’à ce que vous voyiez une ligne qui dit :
define(‘WP_ADMIN’, false) ;
et remplacez false par true . Ainsi, WordPress affichera un message d’erreur au lieu de sa page d’administration lorsqu’on y accède sans identifiants de connexion. Si vous souhaitez empêcher les utilisateurs d’accéder à n’importe quelle partie de WordPress sans s’être connectés au préalable, remplacez simplement false par true partout où il apparaît dans wp-config.php (y compris la ligne ci-dessus) en suivant les mêmes étapes que ci-dessus
- Modifiez le fichier .htaccess en y ajoutant cet extrait :
Supprimer le fichier readme.html
Si vous avez installé WordPress et que vous souhaitez le maintenir à jour, vous devrez utiliser le « dispositif de mise à jour automatique ». Il s’agit d’un outil intégré à WordPress qui vous permet de mettre à jour votre site sans avoir à télécharger et à installer manuellement les mises à jour.
WordPress créera un fichier readme.html lors de son installation. Ce fichier contient des informations sur la version de WordPress qui a été installée sur votre site, mais il n’est nécessaire pour aucune autre raison. Vous pouvez supprimer ce fichier en toute sécurité dès que possible après l’installation de WordPress.
Renommer votre répertoire WP-Content
Renommez votre répertoire WP-Content.
Un moyen vraiment basique, mais efficace de protéger votre site est de renommer le répertoire wp-content. Vous avez peut-être déjà entendu cette étape, mais elle est si importante que je voulais lui consacrer une section à part entière. L’idée derrière cette astuce de sécurité est que les pirates recherchent tout fichier nommé « wp-content » sur un site Web – y compris le vôtre – et tentent d’accéder à cette zone afin d’y pénétrer et d’utiliser un code malveillant ou même de modifier quelque chose sur le site. En renommant votre dossier WP-Content ou en le déplaçant entièrement ailleurs (ou même en le supprimant), vous vous assurez que ces pirates ne trouveront jamais rien portant le nom « wp-content ». Cela les fait partir sans avoir obtenu ce qu’ils veulent !
Désactiver l’exécution de PHP dans le répertoire wp-content/uploads/.
Dans cette section, nous allons voir comment désactiver l’exécution de php dans le répertoire wp-content/uploads/. Ceci est important pour des raisons de sécurité car cela empêche les utilisateurs malveillants de télécharger des fichiers qui exécutent un code arbitraire sur votre serveur.
Vous pouvez le faire en ajoutant la ligne suivante à votre fichier .htaccess :
php_flag engine off
WordPress est relativement sûr, mais certaines précautions peuvent le rendre plus sûr.
WordPress est une excellente plateforme, mais il existe quelques moyens de la rendre plus sûre.
- Utilisez des mots de passe forts et changez-les fréquemment.
- Maintenez vos plugins à jour au fur et à mesure que de nouvelles vulnérabilités sont découvertes.
- Activez les mises à jour automatiques du noyau, des thèmes et des plugins de WordPress (dans le tableau de bord, sous Paramètres généraux).
Nous avons examiné plusieurs façons de sécuriser votre site WordPress et de prévenir les attaques les plus courantes. Si vous êtes nouveau sur WordPress ou si vous n’avez pas encore configuré la sécurité, nous vous recommandons de commencer par notre premier conseil : installer un plugin de sécurité WordPress. Ensuite, suivez les autres conseils dans l’ordre : choisir un mot de passe fort, maintenir les plugins et les thèmes à jour, protéger votre répertoire wp-admin avec une phrase de passe ou une authentification à deux facteurs.
