12 conseils de sécurité WordPress 2021 – Empêchez les pirates de pirater votre site Web

40% de tous les sites Web sur Internet utilisent WordPress aujourd'hui. Et si je ne me trompe pas, vous en faites aussi partie !

WordPress a gagné en popularité ces dernières années. Cependant, une grande popularité invite également les hackers qualifiés !

Chaque jour, plus de 10 000 sites Web sont mis sur liste noire par Google pour contenir des codes de logiciels malveillants. Cela fait de la sécurité du site Web une question de première importance.

Dans l'article d'aujourd'hui, je vais discuter de 12 mesures de sécurité WordPress efficaces et de conseils de sécurité qui vous aideront à protéger votre site Web contre les vulnérabilités en ligne et les attaques de pirates !

Alors, sans plus tarder, plongeons-y dedans !

Conseils de sécurité WordPress et utilisation du plugin de sécurité WordPress

1) Utilisez un bon service d'hébergement

Un bon service d'hébergement est un ingrédient clé dans la création d'un site Web réussi. Savez-vous que le nombre maximum de tentatives de piratage est effectué sur les serveurs d'hébergement ?

Les sociétés d'hébergement avec des services de sécurité médiocres sont devenues un terrain fertile pour les cybercrimes.

Bluehost est tristement célèbre pour les failles de sécurité ! Leurs serveurs ont été piratés plusieurs fois à cause d'erreurs flagrantes et de failles dans leur code.

Votre site Web est-il hébergé sur Bluehost ? Avez-vous des vitesses de chargement de page extrêmement lentes ou des pannes fréquentes de site Web ? Il est alors temps de passer à un autre hébergeur.

Un mauvais hébergement peut compromettre toutes les données de votre site Web. Pour vous épargner, vous devez toujours faire très attention lors du choix de votre service d'hébergement.

2) Utilisez un bon plugin de sécurité

Un plugin peut faire toute la différence dans la sécurité et les performances de votre site. Mais si votre hébergement n'est pas satisfaisant, votre site Web risque toujours d'être piraté. Un bon hébergement est donc indispensable.

Je recommanderais deux plugins de sécurité très efficaces pour WordPress :

1. Sécurité Wordfence
2. Sécurité iThèmes

Ces deux plugins sont puissants, mais Wordfence Security a des vitesses de chargement lentes sur certains sites Web, donc je préfère iThemes Security pour mes sites Web.

3) Définir une page de connexion différente

Vous devez avoir remarqué que vous pouvez accéder à la page de connexion des sites Web WordPress via l'URL : yourwebsite.com/wp-admin . Mais il y a un hic !

Si vous pensez du point de vue d'un pirate informatique, cette information est un jackpot. Je peux littéralement accéder à la page de connexion de n'importe quel site WordPress en ajoutant wp-admin à la fin de l'URL !

Le maximum de tentatives de piratage est toujours effectué sur les pages de connexion.

Nous devons éviter tout risque de piratage. Avec iThemes Security, vous pouvez changer la page de connexion de wp-admin à autre chose comme yourwebsite.com/this_is_my_site ou littéralement tout ce qui n'est pas commun.

Mais conservez-le également en toute sécurité à 3-4 endroits différents. Si vous perdez cette URL, il n'y a pas d'autre moyen d'accéder à votre site.

Voici comment vous pouvez modifier votre page de connexion à l'aide d'iThemes Security :

4) Utilisez un nom d'utilisateur et un mot de passe forts

WordPress propose le nom d'utilisateur par défaut pour ses sites Web en tant que 'admin' . Et la plupart des utilisateurs ne prennent jamais la peine de le changer car il est facile et pratique de s'en souvenir.

Mais les noms d'utilisateur génériques comme « admin » permettent aux pirates de trouver facilement votre mot de passe, car ils connaissent déjà votre nom d'utilisateur.

Ils peuvent utiliser des techniques telles que l'attaque par force brute pour deviner votre mot de passe, puis vous priver de vos précieuses données. (Vous vous demandez ce qu'est Brute Force Attack? Continuez à lire pour le savoir.)

Ainsi, en tant qu'utilisateur de WordPress, ayez une longueur d'avance sur les pirates et commencez à appliquer des mots de passe forts sur votre site.

Avec le plugin iThemes Security, vous pouvez configurer ces paramètres en un rien de temps.

5) Fixez une limite au nombre de tentatives de connexion

Donc, nous parlions de Brute Force Attack. Il s'agit d'une sorte de cyberattaque où le pirate continue d'essayer différentes combinaisons de mots de passe pour se connecter à votre compte jusqu'à ce qu'il trouve le bon/mot de passe cible.

Les mots de passe faibles ne prennent que quelques secondes à se fissurer. Les plus forts peuvent prendre beaucoup de temps. Étant donné que le processus de devinette du mot de passe prend un temps considérable, cette attaque est également appelée recherche exhaustive.

Il s'agit d'une méthode très fiable pour déchiffrer le mot de passe de quelqu'un car finalement, après avoir essayé toutes les combinaisons, il trouvera sûrement le mot de passe cible, quelle que soit sa force !

Selon les statistiques, en 2017, environ 5 % des failles de sécurité sont survenues à cause d'attaques par force brute ! Vous pouvez donc imaginer à quel point cette attaque est simple !

Cependant, vous pouvez contrôler ces activités en fixant une limite au nombre de tentatives de connexion.

Par exemple, si un utilisateur essaie de se connecter à votre compte plus de 3 fois, il sera bloqué pendant 24 heures. Cela assurera une meilleure sécurité. iThemes Security vous offre d'excellents paramètres de personnalisation pour les tentatives de connexion.

6) Mettre en œuvre l'authentification à deux facteurs

Comme nous l'avons déjà vu, les pirates peuvent éventuellement trouver toutes les combinaisons de mots de passe en utilisant une attaque par force brute. Cela signifie que quelle que soit la force de votre mot de passe, votre compte n'est toujours pas sécurisé !

C'est là que 2FA marque sa présence. 2FA (Two Factor Authentication) est une couche de sécurité supplémentaire après avoir protégé vos comptes avec des mots de passe.

Il fournit une deuxième méthode de vérification de l'identité de l'utilisateur en combinant deux facteurs – ce que vous savez (par exemple votre mot de passe) et ce que vous avez (par exemple votre empreinte digitale ou autre élément d'identification).

Chaque fois que quelqu'un essaie de se connecter à votre compte, l'authentification à deux facteurs envoie un OTP (mot de passe à usage unique) unique à votre appareil par SMS. Une fois que vous avez entré ce code, il vous permet d'accéder au compte.

Cette méthode est de loin la méthode la plus sécurisée et la plus efficace de toutes, et chacun devrait l'utiliser sur son compte pour assurer une sécurité maximale.

6) Utilisez Cloudflare pour vous protéger contre les attaques DDoS

Le DDoS (Distributed Denial of Service) est une cyberattaque où les pirates utilisent un réseau d'ordinateurs zombies appelé "Botnet" pour perturber le trafic normal et casser votre site Web.

L'objectif principal d'une attaque DDoS est de rendre votre site Web indisponible pour les utilisateurs authentiques, en l'inondant de plus de requêtes que votre serveur Web ne peut en gérer.

En termes simples, c'est comme un embouteillage indésirable qui ne permet pas aux personnes authentiques de passer.

Alors, comment éviter cet embouteillage ? Cloudflare est votre bouée de sauvetage dans ce cas ! Il protège votre site Web de toutes les activités en ligne malveillantes telles que les attaques DDoS, les virus, les bots et autres éléments intrusifs.

Il améliore également la vitesse de chargement de votre page, aide au classement des moteurs de recherche et fournit un certificat SSL gratuit pour garantir une plus grande sécurité de vos communications en ligne avec des tiers.

Vous pouvez bénéficier d'un certificat SSL gratuit et d'une protection contre les attaques DDoS en suivant ces étapes simples :

1. Créer un compte sur Cloudflare.com
2. Ajoutez votre site web
3. Choisissez le forfait gratuit/payant selon votre choix
4. Ajoutez les serveurs de noms de Cloudflare dans vos enregistrements DNS.

Cela reliera votre site Web à Cloudflare et vous pourrez profiter de ses fonctionnalités de sécurité exceptionnelles.

7) Évitez d'utiliser des plugins et des thèmes nuls

La plupart des utilisateurs de WordPress ne savent même pas qu'ils utilisent des thèmes/plugins Nulled.

Les thèmes et plugins annulés sont des fonctionnalités premium distribuées gratuitement. Le distributeur pourrait ajouter son propre morceau de code malveillant dans son code source et voler vos données.

Un autre inconvénient des thèmes/plugins Nulled est le manque de mises à jour. Le développeur publie fréquemment des mises à jour pour résoudre les problèmes de sécurité du logiciel.

Mais pour les thèmes Nulled, le distributeur n'est pas un développeur légal. Donc, il n'y a pas de mises à jour disponibles. Ainsi, ils sont très vulnérables aux pirates tiers.

Enfin, il n'y a pas d'options de support ou de personnalisation avec les thèmes Nulled. Vous ne pouvez pas modifier les polices, les couleurs de police, la position des widgets ou d'autres éléments sur la page.

Donc, n'utilisez jamais de thèmes Nulled. Vous devez toujours opter pour les thèmes GPL (GNU General Public Licence). Une licence GPL est une licence libre et identifiée qui donne à ses utilisateurs la liberté d'utiliser et de modifier son code logiciel.

Donc, avant d'acheter ou d'installer, assurez-vous que votre thème relève de la licence GPL.

8) Mettez régulièrement à jour WordPress, les plugins et les thèmes

Les développeurs de thèmes et de plugins continuent de corriger constamment les défauts et de mettre à jour leurs thèmes/plugins. Mettez-les donc toujours à jour tous les 15 jours, sinon vous risquez de vous faire pirater.

De plus, ne manquez jamais de mettre à jour votre site Web WordPress vers la dernière version pour profiter d'une expérience fluide.

Par exemple, si quelqu'un a trouvé un moyen de pirater les données des gens en exploitant le code d'un thème/plugin. Vous utilisez également ce thème/plugin.

Maintenant, si vous oubliez de mettre à jour, vous serez vulnérable à ces attaques de piratage malveillantes !

9) Supprimer les plugins et thèmes inactifs

Supposons que vous souhaitiez afficher une galerie d'images sur votre publication. Vous installez un plugin pour celui-ci, et une fois votre travail terminé, il reste dans votre dossier de plugins inutilisé pendant des années ! Cela n'est-il pas arrivé à chacun de nous ?

Cette pratique peut mettre vos précieuses données en danger, car des pirates ont également tenté de falsifier vos données via des thèmes et des plugins inactifs. Assurez-vous donc toujours de les supprimer s'ils ne sont plus utilisés.

Combien de plugins inactifs avez-vous actuellement sur votre site Web ? Faites-le moi savoir dans la zone de commentaire!

10) Désactiver l'enregistrement des utilisateurs

Quel genre de site Web avez-vous? Oblige-t-il les utilisateurs à créer leur compte sur votre site ? Si ce n'est pas le cas, il est préférable de désactiver les "enregistrements d'utilisateurs".

Si vous utilisez votre site Web WordPress à des fins de blogging de base, désactivez cette fonctionnalité, car des tentatives de piratage peuvent également se produire via la page d'enregistrement des utilisateurs.

11) Effectuez des sauvegardes régulières

Cela va sans dire - Effectuez régulièrement des sauvegardes de sites Web. Mais la chose importante à retenir est qu'il devrait s'agir d'une sauvegarde hors site.

Les sauvegardes hors site chiffrent, compressent et sécurisent nos données sur un serveur différent du serveur principal. Cela a de nombreux avantages comme :

• Il économise de l'espace de stockage
• Nous avons une sauvegarde des données au cas où tout le système tomberait en panne
• Empêche les temps d'arrêt du site Web
• Protège nos données des attaques en ligne

Mais il faut savoir comment créer une sauvegarde, et comment la restaurer aussi.

Un maximum de personnes peut effectuer des sauvegardes, mais c'est en les restaurant que le problème se produit. Pour assurer la sécurité de votre site, apprenez tout de suite ces compétences de base !

12) Modifier le préfixe de table WordPress pour éviter l'injection SQL

Les tableaux WordPress contiennent toutes les informations sur votre site Web, y compris vos informations de connexion. Ainsi, c'est la cible préférée des pirates.

Et si vous l'avez remarqué, le préfixe des tables de base de données WordPress est wp_ par défaut. Parce que les utilisateurs normaux comme vous et moi ne trouvent pas le besoin de le changer, il devient plus facile pour les attaquants de cibler ce préfixe par défaut et d'effectuer une injection SQL sur notre site Web.

L'injection SQL est une technique de piratage où le pirate profite d'une vulnérabilité dans un thème/plugin pour s'emparer des tables de la base de données de l'utilisateur, obtenant ainsi le même niveau d'autorité sur la base de données que le propriétaire, c'est-à-dire vous.

Cela ne semble-t-il pas effrayant ? Le plugin iThemes Security nous offre des options simples pour modifier le préfixe de la table et empêcher l'injection SQL sans effort !

Comment utiliser le plugin de sécurité WordPress

Pour savoir comment utiliser WordPress Security Plugin, vous pouvez regarder cette vidéo. J'ai utilisé la version gratuite d'iThemes Security Pro pour configurer toutes les mesures de sécurité de WordPress.

Conclusion

Donc, c'était tout pour aujourd'hui. J'espère que cet article vous aidera à protéger votre site Web WordPress en suivant ces conseils et en utilisant les plugins de sécurité.

Quelles autres mesures de sécurité mettez-vous en œuvre sur vos sites Web ? Partagez-les dans la section des commentaires ci-dessous.

De plus, si vous aimez ce contenu, assurez-vous de vous abonner à ce blog . C'est la signature de Kripesh ! Rendez-vous dans le prochain. Prenez soin de vous et continuez à apprendre, les gars !