fbpx

Blog

Sécurité Web Comment protéger son site WordPress en 2023 ? Les meilleures pratiques de sécurité en ligne !

web_diamond 30 mars, 2023 0 Commentaires
Protéger son site WordPress en 2023 : Blog - Web Diamond

Pour protéger son site WordPress, Suivez ce guide de sécurité WordPress avec huit étapes simples et efficaces.

Avec plus de 40% des sites Web alimentés par WordPress, il est devenu un choix populaire pour les propriétaires de sites Web en raison de sa simplicité, de sa convivialité et de sa flexibilité. Cependant, avec une telle popularité, les sites WordPress sont de plus en plus visés par des cyberattaques et des menaces en ligne.

La sécurité en ligne est devenue une priorité absolue pour tous les propriétaires de sites Web, en particulier pour ceux qui utilisent WordPress. C’est pourquoi nous avons créé ce guide complet de sécurité WordPress 2023 pour vous aider à protéger votre site contre les menaces en ligne et garantir sa sécurité.

Dans ce guide, nous allons vous fournir des conseils, des astuces et des meilleures pratiques pour renforcer la sécurité de votre site WordPress en 2023.

Comment protéger son site WordPress ?

Il existe huit actions fondamentales que tous les éditeurs WordPress doivent prendre en compte afin d’atténuer les activités malveillantes et les vulnérabilités.

Le respect de ces meilleures pratiques vous aidera à vous assurer qu’un site WordPress est prêt à faire face à l’assaut des pirates qui explorent les sites Web chaque jour :

  • Utilisez HTTPS.
  • N’utilisez pas le mot « admin » comme nom d’utilisateur d’administrateur.
  • Imposez l’utilisation de mots de passe forts.
  • Mettre à jour les plugins et les thèmes.
  • Plan de sauvegarde du site Web.
  • Minimiser l’utilisation des plugins.
  • Authentification à deux facteurs.
  • Installez un pare-feu WordPress et un scanner de vulnérabilité.

Passons en revue chacun de ces éléments un peu plus en détail.

1. Ajouter HTTPS/SSL :

À l’heure actuelle, la plupart des sites utilisent HTTPS. Mais si votre site n’utilise pas HTTPS, consultez votre hébergeur pour ajouter un certificat SSL gratuit.

Définissez simplement l’adresse WordPress et l’adresse du site en utilisant https://. Cela peut être accompli dans l’onglet Paramètres généraux.

Si le site passe d’un état non sécurisé à un état sécurisé, le plug-in Really Simple SSL (utilisé par plus de 5 millions de sites Web) mérite d’être examiné, car il simplifie vraiment la conversion en HTTPS en gérant les redirections et d’autres tâches connexes.

Really Simple SSL aide également à atténuer les menaces de sécurité telles que le détournement de clic et les attaques de falsification intersites en offrant la possibilité d’ajouter des en-têtes de sécurité.

De nos jours, l’installation d’un certificat SSL est une tâche facile.

De nombreux hébergeurs proposent des certificats SSL gratuits. De plus, il s’agit d’un facteur de classement connu chez Google.

Après la conversion en HTTPS, il est conseillé de vérifier qu’aucune page ne demande de liens ou de contenu HTTP.

La vérification du contenu mixte est un obligatoire.

Le contenu mixte se produit lorsque des éléments de site Web non sécurisés (scripts, images, vidéos, etc.) sont liés à des pages HTTPS.

Explorez votre site avec Missing Padlock pour identifier rapidement les instances de contenu mixte, puis corrigez les erreurs en créant un lien vers les ressources HTTPS.

2. Utiliser un nom d’utilisateur administrateur sécurisé

Un nombre écrasant d’attaques de sécurité contre l’écran de connexion WordPress sont effectuées avec le nom d’utilisateur « Admin ».

Il existe deux principaux types d’attaques qui tentent de déchiffrer le mot de passe de connexion :

  • Force brute.
  • Attaque de dictionnaire.

L’attaque par force brute se produit lorsque le logiciel de piratage automatisé essaie de deviner le mot de passe administrateur en utilisant différentes combinaisons de mots, de lettres et de chiffres.

Une attaque par dictionnaire se produit lorsque le logiciel de piratage utilise des mots de passe communs pour essayer de deviner la connexion de l’administrateur.

Dans de nombreux cas, le nom d’utilisateur administrateur utilisé par ces logiciels est « Admin ».

Ne pas utiliser le mot « Admin » comme nom d’utilisateur est une étape simple qui aidera à sécuriser un site WordPress.

Pour aller plus loin, vous pouvez créer une règle de pare-feu avec le plug-in de sécurité Wordfence pour bloquer automatiquement tout humain ou bot qui tente de se connecter avec le nom d’utilisateur Admin.

3. Appliquer des mots de passe forts

N’autorisez personne, en particulier les utilisateurs disposant de privilèges de niveau administrateur, à créer un mot de passe qui n’est pas fort.

Même les utilisateurs disposant de faibles privilèges sur le site Web, comme le niveau d’abonné, peuvent devenir un vecteur d’attaque. Il est donc important d’imposer des mots de passe forts à tous ceux qui peuvent se connecter au site WordPress.

Le populaire plugin iThemes Security WordPress, avec plus d’un million d’utilisateurs, offre une application de la force du mot de passe de connexion, ainsi qu’une authentification à deux facteurs.

Une politique de sécurité des mots de passe qui applique des mots de passe forts peut également être activée à l’aide du plugin de sécurité Wordfence WordPress.

4. Mettre à jour les plugins et les thèmes

Certaines mises à jour des plugins, des thèmes et de l’installation principale de WordPress elle-même visent à corriger les vulnérabilités.

L’absence de mise à jour du logiciel peut rendre le site vulnérable.

La plupart des mises à jour fonctionnent correctement. En de rares occasions, une mise à jour peut modifier quelque chose dans le logiciel qui commence à entrer en conflit avec un autre plugin ou thème, provoquant le blocage du site.


Si cela se produit, il est facile de restaurer le site à un état antérieur si le site a été sauvegardé.

La meilleure façon de mettre à jour les plugins et les thèmes est de mettre en scène le site et de vérifier si le site fonctionne comme il se doit avec le logiciel mis à jour.

Mais si vous ne mettez pas en scène le site, la deuxième option consiste à sauvegarder le site, puis à le mettre à jour.

Testez le site pour vous assurer que tout fonctionne. Si le site fonctionne mal, restaurez-le avec la sauvegarde.

La troisième option consiste à configurer tous les plugins pour qu’ils se mettent à jour automatiquement afin que vous n’ayez même pas à y penser. Si quelque chose se casse, ramenez-le à son état précédent.

5. Sauvegardez votre site Web WordPress

La sauvegarde quotidienne d’un site Web est essentielle pour protéger son site WordPress.

Il y a beaucoup de choses qui peuvent mal tourner, et une sauvegarde sauvera le jour où quelque chose de catastrophique arrivera au site.

L e plugin UpdraftPlus, avec plus de 3 millions d’utilisateurs, est une solution populaire et fiable.

Je l’utilise sur tous mes sites Web et je peux le recommander en toute confiance.

Cela m’a épargné à l’occasion d’une refonte de site web qui ne s’était pas si bien passée, me permettant de restaurer facilement le site à une version précédente.

Une autre solution populaire est appelée WP Rollback.

WP Rollback compte plus de 200 000 installations et les personnes qui créent le logiciel sont des développeurs WordPress de confiance et experts.

Cela fonctionne bien avec les thèmes et les plugins téléchargés depuis WordPress.org.

6. Minimiser l’utilisation des plugins

Chaque plugin installé augmente les chances que l’un d’entre eux expose le site à une vulnérabilité.

Outre des raisons de sécurité, l’utilisation d’un trop grand nombre de plugins peut avoir un impact sur les performances du site, ainsi qu’augmenter le risque que le code entre deux plugins ou plus ait un conflit et plante le site.

Planifiez à l’avance les plugins que vous souhaitez utiliser pour accomplir ce dont vous avez besoin.

Certains plugins peuvent effectuer plusieurs tâches, éliminant ainsi le besoin d’installer un plugin autonome pour accomplir cette seule chose.

7. Mettre en œuvre l’authentification à deux facteurs

L’authentification à deux facteurs est ainsi appelée pour protéger son site WordPress, car il faut deux formes d’identification pour se connecter à un site WordPress avec cette fonctionnalité activée.

Le premier facteur est le nom d’utilisateur et le mot de passe.

Le deuxième facteur est une deuxième forme d’authentification, généralement avec une application comme Authy ou Google Authenticator qui se trouve sur le téléphone portable de l’utilisateur.

Ainsi, même si un pirate accède au nom d’utilisateur et au mot de passe, il ne pourra pas se connecter sans la deuxième authentification.

Il existe de nombreux plugins WordPress parmi lesquels choisir pour ajouter cette fonctionnalité, notamment :

WP 2FA

WP 2FA est un choix populaire pour ajouter une authentification à deux facteurs.

Il prend en charge plusieurs méthodes d’authentification à deux facteurs, notamment Google Authenticator, Authy, le lien par e-mail, l’OTP par e-mail et la notification push.

Il existe des méthodes supplémentaires telles que l’authentification vocale et WhatsApp disponibles avec la version Pro.

Sécurité de connexion Wordfence

Wordfence est une marque digne de confiance. son plug-in d’authentification à deux facteurs autonome prend en charge Authenticator, Authy, 1Password et FreeOTP.

De plus, les plugins de sécurité comme Wordfence et iThemes Security ont également des options pour activer l’authentification à deux facteurs.

8. Installer un plugin de sécurité WordPress

Les plugins de sécurité sont utiles car ils peuvent combler toutes les failles de sécurité et bloquer les pirates qui tentent de tirer parti de ces vulnérabilités.

Il existe deux types de plugins de sécurité WordPress :

  • Renforcement et analyse de la sécurité.
  • Pare-feu.

Voici quelques outils que je recommanderais.

Sucuri Sécurité

Sucuri est un choix de confiance pour un plugin de sécurité. Il appartient à GoDaddy.

Sucuri analyse un site à la recherche de logiciels malveillants et propose des options pour renforcer le site contre les exploits.

Jetpack Protect

Jetpack Protect est créé par Automattic, la société derrière WordPress.com, Akismet, WPScan et WooCommerce, entre autres.

Jetpack Protect effectue une analyse quotidienne des logiciels malveillants du noyau, des plugins et des thèmes WordPress.

Ce plugin gratuit est relativement nouveau, il a été transformé en un plugin autonome en 2022.

iThemes Security

iThemes Security est un plugin tout-en-un qui analyse et renforce un site Web et bloque les mauvais bots en tant que pare-feu. Il y a plus d’un million d’installations actives.

iThemes gère de nombreuses activités liées à la sécurité, ce qui en fait un choix populaire pour ceux qui préfèrent un plugin pour tout faire.

L’avenir de la sécurité WordPress

Les pirates attaquent tous les sites, quel que soit le système de gestion de contenu (CMS) utilisé.

WordPress est le CMS le plus populaire au monde, ce qui en fait une cible privilégiée des hackers.

Heureusement, WordPress a une communauté massive qui travaille pour le garder en sécurité, ce qui est un avantage que les autres plates-formes n’ont pas.

Si vous avez des questions ou des préoccupations sur la sécurité de votre site WordPress, notre agence Web Diamond est là pour vous aider. N’hésitez pas à nous contacter ou à nous laisser un commentaire ci-dessous pour toute question ou demande d’assistance. Protégez votre site WordPress dès maintenant pour assurer la sécurité et la tranquillité d’esprit.

Auteur Details

author thumbnail image
web_diamond

Articles Similaires

http ou https : définition et différence - Web Diamond
20 décembre 2022 HTTP ou HTTPS ? Pourquoi avez-vous besoin d’un site sécurisé
sécurité WordPress | Web Diamond
28 mars 2022 Sécurité WordPress

Inscrivez-vous à notre newsletter pour rester à jour avec les nouvelles technologies!