5 façons simples de renforcer votre sécurité WordPress

Sécurité du site et sauvegardes

La sécurité de WordPress est actuellement un sujet brûlant dans la blogosphère. Les récentes attaques de botnet sur un grand nombre de sites WordPress ont poussé certaines personnes à se battre pour récupérer leurs précieuses données et vous devriez agir rapidement pour renforcer votre sécurité WordPress.


Ensuite, il y a ceux qui ont anticipé et pris des mesures avant que cela ne soit nécessaire. Les chances sont qu’ils n’ont rencontré aucun problème parce qu’ils se sont fait une cible difficile.

Le fait est le suivant: bien qu’il n’existe pas de site 100% sécurisé, on peut réduire considérablement la probabilité de piratage en consacrant un peu de temps à rendre votre site plus sûr que 99% des autres. Dans cet esprit, je vais vous guider dans un processus simple en cinq étapes qui transformera votre site d’une cible souple en un véritable cookie dur.

Étape 1: tout mettre à jour

Les éléments obsolètes sur votre site représentent des risques de sécurité potentiels car ils peuvent être utilisés par des pirates pour se frayer un chemin dans le backend de votre site. C’est pourquoi il est si important de tout garder à jour.

Et quand je dis tout, je signifier tout:

  • Le noyau WordPress
  • Thèmes
  • Plugins

Les thèmes et plugins désactivés doivent également être tenus à jour – leur simple présence sur votre site fait d’eux un risque de sécurité potentiel, vous devez donc les garder à jour pour renforcer votre sécurité WordPress.

Gestionnaire de mises à jour faciles

Vous ne vous connectez pas très souvent? Pas de soucis – vous pouvez utiliser un plugin comme le Gestionnaire de mises à jour faciles pour activer les mises à jour automatiques de votre noyau, thème et plugins WordPress. Il existe également des tonnes de paramètres avancés intégrés pour personnaliser vos mises à jour et des journaux pour voir ce qui a été mis à jour et quand..

Beaucoup de gens arriveront loin, puis s’arrêteront, mais il y a en fait une étape supplémentaire que vous devez prendre: vous devriez très sérieusement envisager de supprimer tous les thèmes et plugins sur votre site qui n’ont pas été récemment mis à jour. Vous pouvez facilement surveiller la dernière mise à jour des plugins avec Plugin Last Updated. Cela ajoute la date de dernière mise à jour à votre liste de plugins sur le backend (qui devrait sans doute être affichée par défaut).

D’une manière générale, je dirais que tout plugin non mis à jour au cours des douze derniers mois devrait être considéré pour suppression.

Étape 2: tout sauvegarder (et régulièrement)

Je sais que c’est une suggestion évidente mais il serait négligent de ma part de ne pas inclure de sauvegardes WordPress. Le simple fait est que peu de choses (le cas échéant) sont plus importantes pour la sécurité de votre site.

Si votre site est soumis à un hack vraiment destructeur (qui est toujours possible), votre dernière ligne de défense est une sauvegarde récente. Cela signifie que même si le pire devait arriver, vous aurez toujours quelque chose sur quoi vous rabattre. Si vous ne fais pas garder des sauvegardes régulières, puis pour être assez franc, vous êtes foutu.

Il existe un grand nombre de solutions de sauvegarde, mais ma première suggestion serait de choisir un fournisseur d’hébergement qui inclut des sauvegardes automatiques au sein de leur service. Si vous êtes victime d’une tentative de piratage qui endommage votre site, vous devriez constater que votre fournisseur est rapide pour restaurer le site à sa gloire précédente.

VaultPress pour WordPress

Au-delà de cela, les options de crème de la crème sont VaultPress et BackupBuddy. Ils coûtent de l’argent, mais mon conseil est de jamais lésinez sur votre solution de sauvegarde. Personnellement, je suis un utilisateur de VaultPress (tout comme WPExplorer) – ils offrent une solution de sauvegarde complète ainsi que des fonctionnalités de sécurité supplémentaires.

Étape 3: modifier votre nom d’utilisateur par défaut

Si vous utilisez toujours le profil «admin» par défaut fourni avec votre installation WordPress, il est temps de changer.

Pourquoi? Parce que la première étape pour toute tentative de connexion par force brute consiste à tenter de se connecter avec le nom d’utilisateur «admin», puis à exécuter un nombre énorme de tentatives de mot de passe pour entrer. Si vous créez un nom d’utilisateur plus unique, vous arrêtez cette tentative de piratage sur ses traces.

Changer de profil et tout ce qui y est potentiellement associé (transfert de propriété des publications, etc.) peut sembler une tâche assez intimidante, mais c’est une étape importante pour sécuriser votre site et c’est beaucoup plus facile qu’il n’y paraît. Consultez YouTube pour des didacticiels si vous souhaitez des conseils supplémentaires.

Étape 4: Créez un mot de passe fort unique (et changez-le régulièrement)

La plupart des gens sont assez avertis ces jours-ci pour savoir que leur mot de passe ne devrait pas être «mot de passe». Ce qu’ils peuvent ne pas sait que les tentatives de piratage par force brute essaieront un nombre étonnant de combinaisons de mots de passe pour accéder aux sites Web. Si votre mot de passe a un sens ou est prévisible (par exemple, il est composé de mots ou de schémas numériques reconnaissables), votre site est en danger.

En réalité, il existe trois règles d’or pour la génération des meilleures pratiques de mot de passe:

  1. Ce doit être vraiment aléatoire et unique
  2. Il ne doit être utilisé qu’une seule fois (c’est-à-dire pas sur plusieurs sites)
  3. Il doit être changé périodiquement (par exemple une fois par mois)

Si vous suivez ces trois règles, votre site sera beaucoup plus sécurisé. En termes de génération de mots de passe vraiment aléatoires, vous pouvez utiliser un générateur en ligne gratuit tel que je vous recommande de vous inscrire à un compte gratuit avec Dernier passage et utiliser ce service pour (a) générer et (b) stocker tous vos mots de passe.

Étape 5: installer la protection des plugins

Il existe un grand nombre de plugins qui prétendent renforcer la sécurité de votre site. Le choix peut être écrasant, mais je vais couper la balle et recommander ce que je considère comme le plugin le plus simple et le plus efficace à utiliser.

Pare-feu de sécurité et scan anti-malware

Ce plugin est Wordfence: un plugin gratuit populaire et hautement coté. Il comprend une grande variété de fonctionnalités de sécurité, notamment (mais sans s’y limiter):

  • Un pare-feu
  • Protection IP malveillante
  • Analyses de porte dérobée
  • Analyses de logiciels malveillants
  • Sécurité de connexion améliorée

Bien que Wordfence soit un modèle freemium et dispose d’une version payante avec plus d’options, le plugin lui-même et le service de base ne vous coûtent rien. Installer cela sur votre site est une évidence.


En réalité, je ne fais qu’effleurer la surface ici. Bien que la mise en place des mesures de sécurité ci-dessus aidera à renforcer votre sécurité WordPress au-dessus de la grande majorité des autres, vous pouvez toujours faire plus et toujours une chance que vous puissiez toujours être piraté de toute façon.

J’ai couvert des moyens simples de renforcer votre sécurité WordPress dans cet article. Si vous les avez tous mis en œuvre et que vous en avez toujours envie, je vous conseille de commencer par consulter la page de sécurité officielle de WordPress sur le Codex WordPress.org.

Maintenant, c’est votre tour – j’aimerais savoir quelles recommandations simples vous avez pour renforcer votre sécurité WordPress. Il peut s’agir de simples conseils et astuces, de suggestions de plugins ou même d’un service premium recommandé comme le VaultPress susmentionné. Lancez-vous dans la section des commentaires!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me