Les pratiques de base pour sécuriser son site WordPress
Mises à jour régulières : Assurez-vous que WordPress, vos thèmes et vos plugins sont toujours à jour. Les mises à jour contiennent souvent des correctifs de sécurité.
Utilisez des mots de passe forts : Utilisez des mots de passe uniques et complexes pour votre compte administrateur et votre base de données.
Limitez les tentatives de connexion : Utilisez un plugin pour limiter le nombre de tentatives de connexion infructueuses afin de prévenir les attaques par force brute.
Utilisez un plugin de sécurité : Des plugins comme Wordfence, Sucuri ou iThemes Security peuvent ajouter une couche supplémentaire de protection.
Sauvegardes régulières : En cas de problème, avoir une sauvegarde récente de votre site peut être très utile.
Utilisez un certificat SSL : Un certificat SSL (Secure Socket Layer) crypte les données entre votre site et vos utilisateurs, ajoutant une couche supplémentaire de sécurité.
Restreignez l’accès à l’administration : Limitez l’accès à votre zone d’administration WordPress (wp-admin) à certaines adresses IP si possible.
Changez le préfixe de la base de données : Par défaut, le préfixe de la base de données WordPress est “wp_”. Le changer peut aider à prévenir les attaques SQL.
Quelques étapes indispensables pour sécuriser votre site WordPress des attaques extérieures.
Il y a plein de choses à faire évidemment mais voici les premières manipulations quasi obligatoires dès le départ.
Changer son admin
Vous savez, lorsque vous vous connecter à votre WordPress, le site vous demande alors votre identifiant et votre mot de passe. Le problème, c'est qu'un admin suivi de 4 chiffres, c'est super facile à trouver pour les bots ! Alors pour changer cela, l'astuce est simple.
1. Allez dans votre Tableau de Bord
2. Allez dans Compte, Ajouter un profil
3. Ajoutez un administrateur et donnez-lui un nom compliqué
4. Une fois validé, supprimez l'ancien admin avec les 4 chiffres.
Mettre un mot de passe compliqué
On oublie évidemment les 00000, 123456, password, motdepasse, wordpress....
Utilisez des mots de passe complexes et changez-les de temps en temps.
L'idéal :
- Une majuscule
- Une minuscule
- Chiffres
- Caractères spéciaux
Minimum de 8 caractères
Utilisez une extension
Pour éviter certaines attaques, vous pouvez vous munir d'extensions telles que :
WORDFENCE
Modifier votre URL de connexion
Nous avons eu l'occasion de le voir dans nos cours, mais lorsque vous souhaitez accéder à votre WordPress, vous tapez dans l'URL :
nomsite.fr/wp-admin
Vous êtes d'accord que là aussi, c'est trop simple à deviner pour un bot.
Pour changer l'URL de connexion, utilisez encore iThemes Security. Lorsque vous aurez paramétré l'extension, dans Avancé sur le tableau de bord du module, vous pourrez changer le slug. Mettez quelque chose de compliqué à deviner.
Pour paramétrer efficacement votre extension, n’hésitez pas à aller sur Youtube et regardez les tutos de configuration.