Lancer votre propre site WordPress ces jours-ci est assez facile. Malheureusement, les pirates informatiques ne mettront pas longtemps à cibler votre site.
La meilleure façon de sécuriser un site WordPress est de comprendre chaque point de vulnérabilité lié à l'exécution d'un site WordPress. Ensuite, installez la sécurité appropriée pour bloquer les pirates à chacun de ces points.
Dans cet article, vous apprendrez comment mieux sécuriser votre domaine, votre connexion WordPress et les outils et plugins disponibles pour sécuriser votre site WordPress .
Créer un domaine privé
Aujourd'hui, il est trop facile de trouver un domaine disponible et de l'acheter à un prix très bas. La plupart des gens n'achètent jamais d'addons de domaine pour leur domaine. Cependant, un module complémentaire que vous devriez toujours considérer est la protection de la confidentialité.
Il existe trois niveaux de base de protection de la confidentialité avec GoDaddy, mais ceux-ci correspondent également aux offres de la plupart des fournisseurs de domaine.
En général, la mise à niveau de votre domaine vers l'un de ces niveaux de sécurité nécessite simplement de choisir une mise à niveau à partir d'une liste déroulante sur la page de liste de votre domaine.
La protection de base du domaine est assez bon marché (généralement autour de 9,99 $ / an), et des niveaux de sécurité plus élevés ne sont pas Ce n'est pas beaucoup plus cher.
C'est un excellent moyen d'empêcher les spammeurs de supprimer vos coordonnées de la base de données WHOIS, ou d'autres personnes malveillantes qui souhaitent accéder à vos informations de contact.
Masquer wp- Fichiers config.php et .htaccess
Lors de la première installer WordPress, vous devrez inclure l'ID administratif et le mot de passe de votre base de données SQL WordPress dans le fichier wp-config.php .
Ces données sont chiffrées après l'installation, mais vous souhaitez également empêcher les pirates de modifier ce fichier et de casser votre site Web. Pour ce faire, recherchez et modifiez le fichier .htaccess dans le dossier racine de votre site et ajoutez le code suivant au bas du fichier.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Pour empêcher les modifications de. htaccess lui-même, ajoutez également ce qui suit au bas du fichier.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Enregistrez le fichier et quittez l'éditeur de fichiers.
Vous pouvez également envisager de cliquer avec le bouton droit de la souris sur chaque fichier et de modifier les autorisations pour supprimer entièrement l'accès en écriture pour tout le monde.
Bien que faire cela sur le fichier wp-config.php ne devrait pas causer de problèmes, le faire sur .htaccess pourrait causer des problèmes. Surtout si vous exécutez des plugins de sécurité WordPress qui peuvent avoir besoin de modifier le fichier .htaccess pour vous.
Si vous recevez des erreurs de WordPress, vous pouvez toujours mettre à jour les autorisations pour autoriser l'accès en écriture sur le. htaccess à nouveau.
Changer votre URL de connexion WordPress
Étant donné que la page de connexion par défaut pour chaque site WordPress est votredomaine / wp-admin.php, les pirates utiliseront cette URL pour essayer de pirater dans votre site.
Ils le feront grâce à ce que l'on appelle des attaques par «force brute» où ils enverront des variantes de noms d'utilisateur et de mots de passe typiques que beaucoup de gens utilisent couramment. Les pirates espèrent qu'ils auront de la chance et trouveront la bonne combinaison.
Vous pouvez arrêter complètement ces attaques en changeant votre URL de connexion WordPress en quelque chose de non standard.
Il existe de nombreux plugins WordPress pour vous aider à le faire. L'un des plus courants est Masquer la connexion WPS.
Ce plugin ajoute une section à l'onglet Généralsous Paramètresdans WordPress.
Là, vous pouvez saisir l'URL de connexion de votre choix et sélectionner Enregistrer les modificationspour l'activer. La prochaine fois que vous voudrez vous connecter à votre site WordPress, utilisez cette nouvelle URL.
Si quelqu'un essaie d'accéder à votre ancienne URL wp-admin, il sera redirigé vers la page 404 de votre site.
Remarque: si vous utilisez un plug-in de cache, assurez-vous d'ajouter votre nouvelle URL de connexion à la liste des sites pasà mettre en cache. Assurez-vous ensuite de purger le cache avant de vous reconnecter à votre site WordPress.
Installez un plugin de sécurité WordPress
Il y a beaucoup de Plugins de sécurité WordPress à choisissez parmi. De tous, Wordfence est le plus souvent téléchargé, pour une bonne raison.
La version gratuite de Wordfence comprend un moteur d'analyse puissant qui recherche les menaces de porte dérobée, code malveillant dans vos plugins ou sur votre site, les menaces d'injection MySQL, etc. Il comprend également un pare-feu pour bloquer les menaces actives telles que les attaques DDOS.
Cela vous permettra également d'arrêter les attaques par force brute en limitant les tentatives de connexion et en verrouillant les utilisateurs qui font trop de tentatives de connexion incorrectes.
De nombreux paramètres sont disponibles dans la version gratuite. Plus que suffisant pour protéger les petits et moyens sites Web de la plupart des attaques.
Il existe également une page de tableau de bord utile que vous pouvez consulter pour surveiller les menaces et les attaques récentes qui ont été bloquées.
Utilisez le WordPress Password Generator et 2FA
La dernière chose que vous voulez, c'est que les hackers devinent facilement votre mot de passe. Malheureusement, trop de gens utilisent des mots de passe très simples et faciles à deviner. Certains exemples incluent l'utilisation du nom du site Web ou du nom de l'utilisateur dans le cadre du mot de passe, ou l'absence de caractères spéciaux.
Si vous avez mis à niveau vers la dernière version de WordPress, vous avez accès à de puissants outils de sécurité par mot de passe pour sécuriser votre site WordPress.
La première étape pour améliorer la sécurité de votre mot de passe consiste à accéder à chaque utilisateur de votre site, à faire défiler la page jusqu'à la section Gestion du compte et à sélectionner le bouton Générer un mot de passe.
Cela générera un mot de passe long et très sécurisé comprenant des lettres, des chiffres et des caractères spéciaux. Enregistrez ce mot de passe dans un endroit sûr, de préférence dans un document sur un lecteur externe que vous pouvez déconnecter de votre ordinateur pendant que vous êtes en ligne.
Sélectionnez Se déconnecter partout ailleurspour vous assurer que tout les sessions actives sont fermées.
Enfin, si vous avez installé le plugin de sécurité Wordfence, vous verrez un bouton Activer 2FA. Sélectionnez cette option pour activer l'authentification à deux facteurs pour vos connexions utilisateur.
Si vous n'utilisez pas Wordfence, vous devrez installer l'un de ces plugins 2FA populaires.
Autres considérations de sécurité importantes
Il y a quelques autres choses que vous pouvez faire pour sécuriser entièrement votre site WordPress.
Les deux le Plugins WordPress et la version de WordPress lui-même doivent être mis à jour à tout moment. Les pirates tentent souvent d'exploiter les vulnérabilités des anciennes versions de code de votre site. Si vous ne mettez pas à jour ces deux éléments, vous laissez votre site en danger.
1. Sélectionnez régulièrement Pluginset Plugins installésdans votre panneau d'administration WordPress. Vérifiez tous les plugins pour un statut indiquant qu'une nouvelle version est disponible.
Lorsque vous en voyez un qui n'est pas à jour, sélectionnez mettre à jour maintenant. Vous pouvez également envisager de sélectionner Activer les mises à jour automatiques pour vos plugins.
Cependant, certaines personnes hésitent à faire cela car les mises à jour des plugins peuvent parfois endommager votre site ou votre thème. C'est donc toujours une bonne idée de tester les mises à jour des plugins sur un site de test WordPress local avant de les activer sur votre site en ligne.
2. Lorsque vous vous connectez à votre tableau de bord WordPress, vous verrez une notification indiquant que WordPress est obsolète si vous utilisez une version plus ancienne.
Encore une fois, sauvegardez le site et chargez-le dans un site de test local sur votre propre PC pour vérifier que la mise à jour de WordPress ne rompt pas votre site avant de le mettre à jour sur votre site Web en direct.
3. Profitez des fonctionnalités de sécurité gratuites de votre hébergeur. La plupart des hébergeurs Web offrent une variété de services de sécurité gratuits pour les sites que vous y hébergez. Ils le font parce que non seulement cela protège votre site, mais cela protège également l'ensemble du serveur. Ceci est particulièrement important lorsque vous utilisez un compte d'hébergement partagé où d'autres clients ont des sites Web sur le même serveur.
Cela inclut souvent sécurité SSL gratuite installations pour votre site, sauvegardes gratuites, la possibilité de bloquer les adresses IP malveillantes et même un scanner de site gratuit qui sera régulièrement scannez votre site pour tout code malveillant ou vulnérabilité.
L'exécution d'un site Web n'est jamais aussi simple que d'installer WordPress et de simplement publier du contenu. Il est important de rendre votre site Web WordPress aussi sécurisé que possible. Tous les conseils ci-dessus peuvent vous aider à le faire sans trop d'efforts.