En ce qui concerne la sécurité WordPress, il y a beaucoup de choses que vous pouvez faire pour sécuriser votre site afin d’empêcher les pirates et les vulnérabilités affecte votre site de commerce électronique ou votre blog ou site vitrine. La dernière chose que vous voulez faire est de vous réveiller un matin pour découvrir votre site en pagaille.
Aujourd’hui, nous allons partager de nombreux conseils, stratégies et techniques que vous pouvez utiliser pour améliorer votre sécurité WordPress et rester protégé.
WordPress est-il sécurisé?
La première question que vous vous posez probablement, est-ce que WordPress est sécurisé? Pour la plupart, oui. Cependant, WordPress obtient généralement un mauvais coup parce qu’il est sujet à des vulnérabilités de sécurité et n’est pas intrinsèquement une plate-forme sûre à utiliser pour une entreprise. Le plus souvent, cela est dû au fait que les utilisateurs continuent de suivre les pires pratiques de sécurité éprouvées par l’industrie.
L’utilisation du CMS WordPress complètement dépassé, de plugins abandonnés, d’une mauvaise administration du site, d’une gestion des informations d’identification et du manque de connaissances nécessaires sur le Web et la sécurité chez les utilisateurs WordPress non technophiles permet aux pirates de rester au top de leur jeu de cybercriminalité.
Même les leaders de l’industrie n’utilisent pas toujours les meilleures pratiques.
Voici nos top plugins pour se protéger
Selon les statistiques en direct sur Internet, plus de 100 000 sites Web sont piratés chaque jour. C’est pourquoi il est si important de prendre un peu de temps et de suivre les recommandations ci-dessous pour améliorer la sécurité de WordPress.
Nous veillerons à maintenir ce post à jour avec des informations pertinentes à mesure que les choses évoluent avec la plateforme WordPress et que de nouvelles vulnérabilités émergent.
Utiliser la dernière version de PHP
PHP est l’épine dorsale de votre site WordPress et il est donc très important d’utiliser la dernière version sur votre serveur. Chaque version majeure de PHP est généralement entièrement prise en charge pendant deux ans après sa sortie. Pendant ce temps, les bogues et les problèmes de sécurité sont corrigés et corrigés régulièrement. À l’heure actuelle, toute personne exécutant la version PHP 7.1 ou inférieure n’a plus de support de sécurité et est exposée à des vulnérabilités de sécurité non corrigées.
Utilisez des noms d’utilisateur et des mots de passe intelligents
L’un des meilleurs moyens de renforcer votre sécurité WordPress est d’utiliser simplement des noms d’utilisateur et des mots de passe complexe. Cela semble assez facile non? Eh bien, consultez la liste annuelle 2018 de SplashData des mots de passe les plus populaires volés tout au long de l’année (triés par ordre de popularité). SplashData’s 2018 annual list
- 123456
- iloveyou
- password
- azerty
- qwerty
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
Alors alors ! Le mot de passe le plus populaire est «123456», suivi d’un «passsword» étonnant. C’est une des raisons pour lesquelles chez Kinsta sur les nouvelles installations WordPress, nous forcons en fait à utiliser un mot de passe complexe pour votre connexion wp-admin (comme indiqué ci-dessous sur notre processus d’installation en un clic). Ce n’est pas facultatif.
Utilisez toujours la dernière version de WordPress, des plugins et des thèmes
Un autre moyen très important de renforcer votre sécurité WordPress est de toujours la maintenir à jour. Cela inclut le noyau WordPress, les plugins et les thèmes (à la fois ceux du référentiel WordPress et premium). Celles-ci sont mises à jour pour une raison, et souvent elles incluent des améliorations de sécurité et des corrections de bugs. Nous vous recommandons de lire notre guide détaillé sur le fonctionnement des mises à jour automatiques de WordPress.
Malheureusement, des millions d’entreprises utilisent des versions obsolètes des logiciels et plugins WordPress, et croient toujours qu’elles sont sur la bonne voie du succès commercial. Ils citent des raisons de ne pas mettre à jour telles que « leur site va se casser » ou « les modifications de base auront disparu » ou « le plugin X ne fonctionnera pas » ou « ils n’ont tout simplement pas besoin de la nouvelle fonctionnalité ».
En fait, les sites Web se brisent principalement en raison de bogues dans les anciennes versions de WordPress. Les modifications de base ne sont jamais recommandées par l’équipe WordPress et les développeurs experts qui comprennent les risques impliqués. Et les mises à jour WordPress incluent principalement des correctifs de sécurité indispensables ainsi que les fonctionnalités supplémentaires requises pour exécuter les derniers plugins.
Mettre à jour le coeur de WordPress
Il est important de rester à jour de sa version de WordPress. C’est le moteur de votre site. Il est impératif d’effectuer une sauvegarde avec des plugins ou de façon manuel, il est également possible de faire des mises à jour grâce à votre hébergeur, de nombreux le propose !
Comment mettre à jour les plugins WordPress
La mise à jour de vos plugins WordPress est un processus très similaire à la mise à jour de WordPress. Cliquez sur «Mises à jour» dans votre tableau de bord WordPress, sélectionnez les plugins que vous souhaitez mettre à jour et cliquez sur «Mettre à jour les plugins».
De même, vous pouvez également mettre à jour un plugin manuellement. Récupérez simplement la dernière version du développeur du plugin ou du référentiel WordPress et téléchargez-la via FTP, en écrasant le plugin existant dans le répertoire / wp-content / plugins.
Comment changer votre URL de connexion WordPress
Par défaut, l’URL de connexion admin ( back-office ) de votre site WordPress est domain.com/wp-admin. L’un des problèmes avec cela est que tous les bots, hackers et scripts le savent également. En modifiant l’URL, vous pouvez vous rendre moins cible et mieux vous protéger contre les attaques par force brute. Ce n’est pas une solution globale, c’est simplement une petite astuce qui peut certainement vous aider à vous protéger. Pour changer votre URL de connexion WordPress.
Nous vous recommandons d’utiliser le plugin de connexion WPS Hide gratuit ou le plugin Premium Perfmatters. Les deux plugins ont un champ de saisie simple.
N’oubliez pas de choisir quelque chose d’unique qui ne figurera pas déjà sur une liste qu’un bot ou un script pourrait tenter d’analyser.
Utiliser HTTPS pour des connexions cryptées – Le certificat SSL
L’une des façons les plus négligées de renforcer votre sécurité WordPress consiste à installer un certificat SSL et à exécuter votre site sur HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) est un mécanisme qui permet à votre navigateur ou application Web de se connecter en toute sécurité à un site Web.
Une grande idée fausse est que si vous n’acceptez pas les cartes de crédit, vous n’avez pas besoin de SSL. Eh bien, laissez-nous vous expliquer quelques raisons pour lesquelles HTTPS est important au-delà du simple commerce électronique.
La sécurité
Bien sûr, la principale raison de HTTPS est la sécurité supplémentaire, et oui, cela se rapporte fortement aux sites de commerce électronique. Cependant, quelle est l’importance de vos informations de connexion? Pour ceux d’entre vous qui exécutent des sites Web WordPress multi-auteurs, si vous utilisez HTTP, chaque fois qu’une personne se connecte, ces informations sont transmises au serveur en texte brut. HTTPS est absolument vital pour maintenir une connexion sécurisée entre un site Web et un navigateur. De cette façon, vous pouvez mieux empêcher les pirates informatiques et / ou un intermédiaire d’accéder à votre site Web. Donc, que vous ayez un blog, un site d’actualités, une agence, etc., ils peuvent tous bénéficier du HTTPS car cela garantit que rien ne passe jamais en texte brut.
Le SEO
Google a officiellement déclaré que le HTTPS est un élément clé sur le référencement de Google. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous profiteraient probablement de tout avantage que vous pouvez obtenir dans les SERPs pour battre vos concurrents.
Conclusion
Comme vous pouvez le voir, il existe de nombreuses façons de renforcer votre sécurité WordPress. L’utilisation de mots de passe intelligents, la mise à jour du noyau et des plugins et le choix d’un hôte WordPress géré sécurisé ne sont que quelques-uns qui permettront à votre site WordPress de fonctionner en toute sécurité. Pour beaucoup d’entre vous, votre site WordPress est à la fois votre entreprise et votre revenu, il est donc important de prendre un peu de temps et de mettre en œuvre certaines des meilleures pratiques de sécurité mentionnées ci-dessus, le plus tôt possible. Avez-vous des conseils de sécurité WordPress importants que nous avons manqués? Si oui, n’hésitez pas à nous le faire savoir ci-dessous dans les commentaires