Sécuriser son site WordPress (bases)

Les pratiques de base pour sécuriser son site WordPress

  1. Mises à jour régulières : Assurez-vous que WordPress, vos thèmes et vos plugins sont toujours à jour. Les mises à jour contiennent souvent des correctifs de sécurité.

  2. Utilisez des mots de passe forts : Utilisez des mots de passe uniques et complexes pour votre compte administrateur et votre base de données.

  3. Limitez les tentatives de connexion : Utilisez un plugin pour limiter le nombre de tentatives de connexion infructueuses afin de prévenir les attaques par force brute.

  4. Utilisez un plugin de sécurité : Des plugins comme Wordfence, Sucuri ou iThemes Security peuvent ajouter une couche supplémentaire de protection.

  5. Sauvegardes régulières : En cas de problème, avoir une sauvegarde récente de votre site peut être très utile.

  6. Utilisez un certificat SSL : Un certificat SSL (Secure Socket Layer) crypte les données entre votre site et vos utilisateurs, ajoutant une couche supplémentaire de sécurité.

  7. Restreignez l’accès à l’administration : Limitez l’accès à votre zone d’administration WordPress (wp-admin) à certaines adresses IP si possible.

  8. Changez le préfixe de la base de données : Par défaut, le préfixe de la base de données WordPress est “wp_”. Le changer peut aider à prévenir les attaques SQL.

Quelques étapes indispensables pour sécuriser votre site WordPress des attaques extérieures. 

Il y a plein de choses à faire évidemment mais voici les premières manipulations quasi obligatoires dès le départ.

Changer son admin

Vous savez, lorsque vous vous connecter à votre WordPress, le site vous demande alors votre identifiant et votre mot de passe. Le problème, c'est qu'un admin suivi de 4 chiffres, c'est super facile à trouver pour les bots ! Alors pour changer cela, l'astuce est simple.

1. Allez dans votre Tableau de Bord
2. Allez dans Compte, Ajouter un profil
3. Ajoutez un administrateur et donnez-lui un nom compliqué
4. Une fois validé, supprimez l'ancien admin avec les 4 chiffres.

ajouter un profil admin sur son site wordpress

Mettre un mot de passe compliqué

On oublie évidemment les 00000, 123456, password, motdepasse, wordpress....
Utilisez des mots de passe complexes et changez-les de temps en temps.

L'idéal :
- Une majuscule
- Une minuscule
- Chiffres
- Caractères spéciaux
Minimum de 8 caractères

Utilisez une extension

Pour éviter certaines attaques, vous pouvez vous munir d'extensions telles que :
WORDFENCE

Modifier votre URL de connexion

Nous avons eu l'occasion de le voir dans nos cours, mais lorsque vous souhaitez accéder à votre WordPress, vous tapez dans l'URL :
nomsite.fr/wp-admin

Vous êtes d'accord que là aussi, c'est trop simple à deviner pour un bot.

Pour changer l'URL de connexion, utilisez encore iThemes Security. Lorsque vous aurez paramétré l'extension, dans Avancé sur le tableau de bord du module, vous pourrez changer le slug. Mettez quelque chose de compliqué à deviner.

page de connexion deplacement ithemes security

Pour paramétrer efficacement votre extension, n’hésitez pas à aller sur Youtube et regardez les tutos de configuration.