1. Accueil
  2. Actualités
  3. How-To : Sécuriser son Site Web Wordpress en 10 étapes?

How-To : Sécuriser son Site Web Wordpress en 10 étapes?

03 Nov
03Nov

WordPress est le système de gestion de contenu le plus utilisé au monde. Mais qui peux devenir très vulnérable si mal sécurisé. Il est donc important de mettre en place les bonnes pratiques de sécurité  dès le début de la création de votre site afin d'éviter les intrusions et le détournement de votre site a des fins Malveillantes.

1. Sauvegarder régulièrement la base de données

Tous les sites possèdent une base de données dans laquelle les données sont conservés. Il est essentiel d'effectuer des sauvegardes régulière de ces données. en cas de problème il vous sera possible de restaurer une copie des bases a une date données.  


2. Appliquer régulièrement les mises à jour


Pour protéger son site ou son blog WordPress, il faut procéder à des mises à jour régulières dés que celle ci sont disponible. Cette consigne est valable pour tous les CMS (Drupal, Wordpress, Prestashop etc.), mais aussi pour l’ensemble des plugins. 

De nouvelles failles sont révélées régulièrement par les hackeurs  ce qui conduit très souvent les développeurs à proposer souvent des correctifs.

Une extension obsolète présente donc un risque important…Quant aux mises à jour de vos plugin de sécurité, elles sont plus qu’essentielles.  Ces dernières tiennent notamment compte des nouveaux virus ou méthodes de piratage.

 3. Installer les plugin de sécurité

Il est également possible d'installer des plugin de sécurité dans WordPress, ces plugins vous protègerons protègent des logiciels malveillants qui pourraient être injecté sur votre site. Et permettrons également de monitoré/surveiller la sécurité globale de votre site WordPress.

les plugins les plus connus : 

4. Utiliser des extensions et thèmes officiels

Il est recommandé d'utiliser les thèmes officiels sur les sites officiels des développeurs. L’utilisation d’extensions ou thèmes "crackés" n'est pas du tout conseillé car très souvent vérolés.

Lorsque vous installez des versions non officielles, vous offrez potentiellement l’accès à votre site à n’importe qui. Les versions crackées n’étant pas validés par WordPress, il ne se peut que les personnes fournissant ces extensions et thèmes glissent à l’intérieur des fichiers des malwares, une porte d’accès à votre site ou tout autre code malveillant sans même que vous vous en rendiez compte.

5. Supprimer les extensions et thèmes inutilisés

 Pour désinstaller une extension WordPress : 

  • Aller sur l’écran Extensions.
  • Identifiez l’extension dont vous souhaitez vous séparer.
  • Cliquer sur le bouton-lien « Désactiver ».
  • Cliquer sur le bouton-lien « Supprimer ».

6. Modifier l’adresse de connexion

Pour réduire les risque de piratage, il est également recommandé de modifier son adresse de connexion. 

Par défaut, WordPress vous propose mon-site.com/wp-admin

Vous pouvez changer cette URL en modifiant le le fichier .htaccess ou en utilisant une extension comme Custom Login URL. Cette deuxième solution est parfaite pour les personnes qui s’y connaissent peu ou pas du tout en code. 

7. Supprimer le compte admin

Pour vous connecter à votre administration WordPress, l’identifiant admin est proposé par défaut. il est donc connu des pirates et utiliser pour le piratage de votre site web.

il est donc recommandé de créez un identifiant personnel, possible à deviner, avant de supprimer le compte admin => laissez faire votre imagination :)

8.Mettre en place du MFA ou authentification à 2 facteurs

Cette option de sécurité proposée par différentes extensions permet de sécuriser votre système de connexion quasiment à 100% !

Dans la plupart des cas, la 2ème étape de connexion sera un code envoyé par SMS, un appel téléphonique ou une connexion requise via une application mobile. 

Le pirate devra donc connaître à la fois votre mot de passe et avoir accès au périphérique utilisé pour la seconde étape de connexion, ce qui est presque impossible.

Parmi les extensions proposant l’authentification à double facteur on pourra retrouver :

9. Masquer la version de WordPress utilisée

Pour chaque version de WordPress, il existe des failles que les pirates se feront plaisir d’exploiter. 

Pensez donc à masquer la version de WordPress que vous utilisez. Le changement se fait à deux niveaux : dans le fichier function.php, ainsi que dans le fichier readme.html. Ce dernier est situé à la racine de votre WordPress et doit être absolument supprimé après l'installation du CMS

10. Empêcher la navigation dans les dossiers

Sur un site WordPress, par défaut, les dossiers sont accessibles à tous. Il est donc impératif de bloquer leur accès pour mieux les protéger.

Pour ce faire, il faut modifier les conditions d’accès via votre fichier .htaccess ou opter pour un plugin comme Hide My WordPress


Vous pouvez également consulter les Recommandation de la CNIL

A venir ...

Activer un certificats SSL ou TLS (https) sur votre nom de domaine

Bien choisir son hébergeur

Se prémunir des attaque DDOS

Soyez RGPD compliance !

Alternatives aux CMS

Comment faire auditer sont sites Web



web ddos plugin malware CMS WordPress How-To
20Oct
Processus d'infection du Malware Emotet
20Oct
Les bases des logiciels EDR (Endpoint Detection & Response)
03Nov
Quel CMS choisir pour son site WEB ?
Commentaires
* L'e-mail ne sera pas publié sur le site web.