WordPress est une plateforme populaire pour créer des sites web, mais cela signifie également qu’il est une cible populaire pour les attaques de sécurité. Il est important de prendre des mesures pour protéger votre site et les informations sensibles de vos utilisateurs. Certaines des étapes que vous pouvez prendre pour renforcer la sécurité de votre site WordPress comprennent la mise à jour régulièrement votre site, l’utilisation d’un mot de passe fort et la mise en place d’une authentification à deux facteurs.
Il existe quelques étapes courantes que vous pouvez suivre pour renforcer immédiatement votre installation WordPress. Le tableau ci-dessous énumère quelques précautions de base :
| Choses à surveiller | Détails |
|---|---|
| Connexions sécurisées |
|
| Maintenir le logiciel à jour |
|
| Suppression d’anciens logiciels |
|
| Vérification des journaux et des fichiers |
|
| Conserver les sauvegardes |
|
Cet article décrit chacun des éléments ci-dessus plus en détail.
Utilisez des mots de passe forts
L’une des mesures les plus importantes que vous puissiez prendre consiste à toujours utiliser des mots de passe forts pour toutes vos connexions d’utilisateur. Ceux-ci inclus:
- Utilisateur du site Web . Il s’agit de l’utilisateur que vous utilisez pour vous connecter à votre serveur via FTP , SFTP ou SSH .
- Utilisateur Mysql . Il s’agit de l’utilisateur qui a accès à votre base de données.
- Utilisateur WordPress . Il s’agit du nom d’utilisateur que vous utilisez pour vous connecter à votre site WordPress.
Pour plus d’informations sur la création de mots de passe sécurisés, consultez l’article suivant :
- Mots de passe
Utiliser des noms d’utilisateur différents
Un mot de passe sécurisé est un bon début. C’est aussi une bonne idée d’utiliser des noms d’utilisateur différents pour vos connexions. Par exemple, votre nom d’utilisateur SFTP doit être différent de votre nom d’utilisateur de base de données MySQL, qui doit être différent de votre nom d’utilisateur WordPress.
De plus, c’est aussi une bonne idée de n’héberger votre site WordPress que sous un nom d’utilisateur spécifique/unique. Dans votre panneau, vous pouvez attribuer un seul nom d’utilisateur à autant de domaines que vous le souhaitez. Consultez l’article suivant pour plus de détails :
- Un utilisateur par stratégie de domaine
Cependant, si cet utilisateur est compromis, tous les sites sous cet utilisateur sont alors vulnérables. Il est donc recommandé de créer un nouvel utilisateur SFTP et d’affecter cet utilisateur uniquement à votre site WordPress spécifique.
Si vous créez ensuite un nouveau site, créez un nouvel utilisateur. Cela garantira que toutes les données sont séparées sur le serveur Web.
Ajouter un utilisateur administrateur WordPress nommé
Assurez-vous que votre utilisateur admin ne s’appelle pas admin .
Si votre utilisateur administrateur s’appelle ‘admin’, créez un nouvel utilisateur avec un autre nom et donnez-lui des privilèges d’administrateur. Après avoir confirmé que ce compte fonctionne, connectez-vous en tant que ce compte et revenez à l’onglet des utilisateurs de gauche et supprimez l’utilisateur du compte nommé « admin ».
Ceci est très important car « admin » est le nom d’utilisateur le plus souvent attaqué. Consultez l’article suivant pour plus d’informations :
- Rôles des utilisateurs WordPress
Utilisez le protocole HTTPS pour votre site
Lorsque vous créez initialement un site Web, les connexions au site se font à l’aide du protocole HTTP qui n’est pas crypté. Cela signifie que si vous vous connectez à votre site WordPress en utilisant HTTP://example.com , votre mot de passe est envoyé en texte brut. C’est également le cas si vous vous connectez à votre base de données via phpMyAdmin .
Pour éviter que votre mot de passe soit transmis en clair, il est recommandé d’ajouter un certificat SSL à votre site. Cela ajoute un certificat SSL qui vous permet de vous connecter en utilisant HTTPS (notez le s à la fin). Lorsque vous vous connectez en utilisant HTTPS , votre connexion est cryptée et protégée de toute personne fouinant sur votre réseau.
Utilisez SFTP ou SSH pour vous connecter à votre serveur
Vous devez vous connecter de temps à autre à votre serveur Web pour apporter des modifications à votre site ou résoudre un problème. Il existe plusieurs façons de se connecter.
Options non chiffrées (non recommandées)
- FTP – Vous pouvez utiliser n’importe quel client FTP pour vous connecter à votre serveur via le port #21. Ceci n’est pas crypté, donc toutes les informations sont envoyées en texte brut pour que tout le monde puisse les voir.
Options chiffrées (recommandé)
- SFTP – La plupart des clients prenant en charge FTP prennent également en charge SFTP sur le port #22. Il s’agit d’un moyen sécurisé de se connecter à votre serveur et il est toujours recommandé.
- SSH – Il s’agit d’un moyen de se connecter à votre serveur à l’aide d’un programme de terminal tel que PuTTY pour Windows.
- Gestionnaire de fichiers – Ce client est disponible depuis le panneau DreamHost.
Dans la mesure du possible, utilisez toujours une connexion cryptée telle que SFTP ou SSH pour vous connecter à votre serveur.
Maintenir le logiciel à jour
Il est très important de continuellement mettre à jour votre logiciel. Les mises à jour logicielles sont souvent effectuées pour résoudre les problèmes de sécurité. Plus votre logiciel est à jour, moins il est vulnérable. Cela signifie garder votre version WordPress, vos plugins et vos thèmes à jour.
Mettre à jour votre version de WordPress
- Mise à jour de WordPress
- Mises à jour automatiques pour les installations DreamHost WordPress
- Utilisation de wp-cli pour mettre à jour les plugins, les thèmes et la version de WordPress
Mise à jour des plugins
- Mise à jour des plugins
- Utilisation de wp-cli pour mettre à jour les plugins, les thèmes et la version de WordPress
L’un des moyens les plus rapides de détruire votre crédibilité en tant que blog WordPress est d’avoir des tonnes de spam dans les zones de commentaires. Le moyen le plus simple de résoudre ce problème consiste à utiliser un plugin anti-spam tel que le suivant :
- Akismet
- Destructeur de spam
Consultez le guide suivant de WordPress pour plus d’informations :
- Durcissement des plugins WordPress
Mise à jour des thèmes
- Page des thèmes WordPress
- Utilisation de wp-cli pour mettre à jour les plugins, les thèmes et la version de WordPress
Suppression d’anciens logiciels
Même si un plugin ou un thème est inactif, il peut toujours poser un risque de sécurité. Si vous n’utilisez pas de thème ou de plug-in, assurez-vous de le supprimer de votre serveur Web. Les plugins et les thèmes sont situés dans le répertoire suivant. Assurez-vous de changer le nom d’ utilisateur en votre utilisateur Shell .
/home/username/example.com/wp-content/Dans ce dossier /wp-content , accédez au répertoire /plugins ou /themes et supprimez ceux que vous n’utilisez pas.
Il en va de même pour les installations supplémentaires de WordPress. Par exemple, il est possible qu’un site de test ait été créé sous example.com/wptest . Ou peut-être que vous aviez un ancien site mais que vous ne l’utilisez plus. Dans tous les cas, si vous avez une autre installation WordPress que vous n’utilisez pas, supprimez-la.
Enfin, si vous avez d’autres applications telles que Joomla, Drupal ou Moodle installées sous votre utilisateur que vous n’utilisez pas, assurez-vous de les supprimer également.
L’essentiel est que si vous n’utilisez pas le logiciel installé sous votre utilisateur, il est préférable de le supprimer. Ne gardez que ce dont vous avez besoin.
Vérification des journaux et des fichiers
Si vous suspectez un comportement inhabituel, nous vous conseillons de vérifier vos fichiers access.log et error.log . Consultez l’article suivant pour plus de détails :
- Journal des erreurs
Assurez-vous également de vérifier les autorisations de votre dossier :
- Autorisations de fichiers Unix
- Modification des autorisations de fichiers
Conserver des sauvegardes continues
Quel que soit le site Web, il est toujours important de sauvegarder en permanence vos données. Cela signifie sauvegarder à la fois les fichiers de votre site Web et toutes les bases de données. Consultez l’article suivant pour plus de détails :
Une option plus avancée consiste à utiliser un système de contrôle de version tel que Subversion ou git . Cependant, pour la majorité des utilisateurs, une sauvegarde normale suffit.
Protégez votre site avec un fichier .htaccess
Vous pouvez utiliser un fichier .htaccess pour mieux protéger votre site. Par exemple, le wp-config.php ne doit jamais être accessible au public. Pour protéger ce fichier, ajoutez ce qui suit à un fichier .htaccess dans le répertoire de votre site où se trouvent tous les autres fichiers WordPress :
<Fichiers wp-config.php>
commande autoriser, refuser
refuser de tous
</Fichiers>Il y a plusieurs autres choses que vous pouvez faire avec un fichier .htaccess pour protéger votre site. Consultez l’article suivant pour plus de détails :
Que puis-je faire avec un fichier .htaccess ?
Vous pouvez faire plusieurs choses avec un fichier .htaccess pour personnaliser votre site. Ci-dessous quelques exemples :
- Modification des paramètres PHP dans un fichier .htaccess
- Contrôlez les extensions de fichiers avec un fichier .htaccess
- Comment puis-je rediriger et réécrire mes URL ?
- Refuser l’accès à un site avec un fichier .htaccess
- Forcez votre site à se charger en toute sécurité
- Mot de passe protégeant votre site avec un fichier .htaccess
- Empêcher les liens d’image
- Définir des en-têtes avec un fichier .htaccess
- Utilisation de SSI sur des fichiers avec une extension .html
- Créer un message de maintenance du site avec un fichier .htaccess
- Forcer le téléchargement d’un fichier
- Mettre en cache un site Web avec un fichier .htaccess
- Contrôlez les index de répertoire avec un fichier .htaccess
- Redirigez votre répertoire racine vers un sous-répertoire
