Comment sécuriser votre site WordPress en 16 étapes simples
💡 En résumé : La sécurité d’un site WordPress est essentielle pour protéger vos données et celles de vos utilisateurs. Dans cet article, nous vous guiderons à travers 16 étapes simples mais efficaces pour renforcer la sécurité de votre site. De la création d’un identifiant administrateur sécurisé à l’update régulier de votre CMS et de vos plugins, chaque conseil vous aidera à réduire les risques d’intrusion. Suivez ces recommandations et sécurisez votre site contre les attaques potentielles.
SOMMAIRE
Sécurité des comptes administrateurs
Indice 1 : Vous utilisez l’identifiant “admin”
Lors de l’installation de WordPress, le compte administrateur est souvent créé avec l’identifiant “admin”. En conservant ce nom, vous facilitez les tentatives d’intrusion. Les pirates utilisent des outils automatisés qui se concentrent sur ce login par défaut pour lancer leurs attaques.
Solution : Créez un nouvel utilisateur avec un identifiant unique et complexe. Supprimez ensuite l’identifiant “admin” après avoir transféré tous les contenus à ce nouvel utilisateur.
Indice 2 : Votre compte admin possède l’ID 1
Le compte d’administrateur WordPress a une occurrence d’ID de 1. Cela facilite le travail des attaquants qui peuvent identifier le nom d’utilisateur de l’administrateur via une requête simple.
Solution : Comme pour l’indice 1, il est préférable de créer un nouvel utilisateur avec un ID qui n’est pas 1.
Indice 3 : Tous vos utilisateurs ont des droits administratifs
Accorder les droits d’administrateur à chaque membre de l’équipe augmente considérablement les risques de sécurité. Si l’un d’entre eux se fait pirater, l’ensemble du site peut être compromis.
Solution : Passez en revue les nécessités de chaque utilisateur et modifiez leurs droits en conséquence. Par exemple, les rédacteurs n’ont pas besoin de droits d’administrateur.
Indice 4 : Utilisation de son email administrateur comme destinataire des formulaires de contact
Utiliser l’adresse email de l’administrateur augmente le risque de compromission de votre compte. Cela permet aux pirates d’avoir accès à votre compte facilement.
Solution : Créez un alias ou utilisez une autre adresse email pour les formulaires de contact.
Indice 5 : Votre Login est affiché publiquement
WordPress affiche par défaut les identifiants des comptes, ce qui n’est pas sécurisé. Cela donne un avantage aux attaquants qui peuvent facilement identifier les utilisateurs.
Solution : Modifiez le nom d’affichage dans les paramètres de chaque compte pour le rendre moins identifiable.
Procédures d’identification standards
Indice 6 : Votre page d’identification est encore wp-login.php
L’adresse wp-login.php est la porte d’entrée standard pour le panneau admin. Les hackers peuvent facilement la trouver et lancer des attaques.
Solution : Installez un plugin comme WPS Hide Login pour changer l’URL d’accès.
Indice 7 : Vous ne limitez pas le nombre de tentatives d’accès
En ne restreignant pas le nombre de tentatives de connexion, vous ouvrez la porte aux attaques par « brute force ». Les hackers peuvent essayer des milliers de mots de passe.
Solution : Utilisez des plugins qui limitent les tentatives de connexion, comme WPS Limit Login ou Loginizer Security.
Sûreté de votre base de données
Indice 8: Les tables de votre base de données utilisent le préfixe “wp_”
Ce préfixe est par défaut et connu de tous, ce qui facilite les attaques par injection SQL.
Solution : Modifiez le préfixe des tables en utilisant un plugin comme Brozzme DB Prefix.
Vulnérabilités des fichiers critiques sur votre serveur
Indice 9 : Le fichier wp-config.php n’est pas sécurisé
Ce fichier contient des informations sensibles essentielles au fonctionnement de WordPress. Sa sécurité est primordiale.
Solution : Changez les clés SALT, déplacez le fichier à un niveau supérieur, et bloquez son accès via .htaccess.
Indice 10 : Le fichier .htaccess n’est pas sécurisé
Ce fichier gère les accès et doit être configuré pour restreindre les accès non autorisés.
Solution : Ajoutez des instructions spécifiques au fichier pour protéger wp-config.php. Assurez-vous de modifier les droits d’accès à 644.
Version de WordPress et mises à jour
Indice 11 : Votre site affiche la version de WordPress
Rendre la version publique facilite le travail des attaquants qui cherchent des vulnérabilités spécifiques.
Solution : Supprimez le fichier readme.html et masquez la version en ajoutant un extrait de code dans le fichier function.php.
Indice 12 : Votre WordPress n’est pas à jour
Les mises à jour corrigent des failles de sécurité. Un site obsolète est un site soumis à des risques accrus.
Solution : Effectuez des sauvegardes régulières et activez les mises à jour automatiques.
Indice 13 : Vos extensions ne sont pas à jour
Les plugins vieillissants peuvent avoir des failles de sécurité non corrigées. Ils représentent un danger potentiel.
Solution : Faites régulièrement le point sur vos plugins, désactivez les anciens ou non maintenus, et mettez-les à jour.
Votre thème et sa mise à jour
Indice 14 : Vous utilisez un thème gratuit téléchargé sur le net
Certaines ressources gratuites peuvent contenir des infections malveillantes.
Solution : Privilégiez des thèmes bien réputés ou achetez un thème premium.
Indice 15 : Votre thème n’est pas mis à jour
Les thèmes, comme les plugins, doivent être mis à jour régulièrement pour garantir leur sécurité.
Solution : Assurez-vous de conserver une version à jour et d’utiliser un thème enfant pour vos ajustements.
Indice 16 : Des thèmes inactifs sont installés
Les thèmes inactifs peuvent représenter un vecteur d’attaque même s’ils ne sont pas utilisés.
Solution : Supprimez tous les thèmes non utilisés dans wp-content/themes/.
En conclusion !
La mise en place de ces 16 étapes peut paraître complexe, mais elles sont essentielles pour sécuriser votre site WordPress. Certaines procédures sont simples et peuvent être réalisées rapidement, tandis que d’autres nécessitent des compétences plus techniques.
Pour une sécurité renforcée, envisagez d’utiliser des solutions adaptées comme des hébergeurs spécialisés qui offrent des fonctionnalités de sécurité poussées. Gardez à l’esprit que la sécurité de votre site est un investissement indispensable pour protéger votre présence en ligne et vos données.
