Cela va sans dire, la sécurité de WordPress est vitale. L’importance d’avoir un site sécurisé ne peut pas être sous-estimée si vous voulez être protégé contre les logiciels malveillants, éviter d’être piraté et rester en haut de la page sur Google..
La bonne nouvelle est qu’il existe des mesures simples que vous pouvez prendre pour sécuriser votre site WordPress gratuitement !
Pour commencer, regardez cette courte vidéo. Ensuite, nous passerons en revue des informations plus détaillées dans cet article.
Si votre site n’est pas sécurisé ou est piraté, les informations, telles que les mots de passe et les informations personnelles, sont vulnérables. Les pirates peuvent voler les informations des utilisateurs et les utiliser à des fins malveillantes.
De plus, votre site peut perdre sa bonne réputation. Si votre site n’est pas sécurisé et devient vulnérable, vous pouvez être bloqué par Google, et votre classement pourrait même plonger dans les SERPs. Beurk !
Cet article explore les principales mesures de réduction des coûts que vous pouvez mettre en œuvre pour arrêter les pirates informatiques, garder les bots à l’écart et rester au premier rang sur Google.
Nous verrons comment renforcer la sécurité de l’administration WordPress et également avec l’aide du plugin de sécurité gratuit, Defender.
Defender est passionné par la sécurité gratuite!
Voici ce que je vais couvrir :
- Moyens rapides et faciles pour sécuriser votre site dans l’administration WordPress
- Garder votre site sécurisé en surveillant les plugins et les thèmes obsolètes
- Création de mots de passe sécurisés et forts
- Quelques ajustements de sécurité supplémentaires à prendre en compte dans l’administrateur
- Sécuriser votre site gratuitement avec Defender
- Ajustements de sécurité
- Analyses de sécurité
- Authentification à 2 facteurs
- Pare-feu, détection 404 et gestion IP
- Protection de connexion
- Masquage de l’écran de connexion
Au moment où vous lirez ceci, vous aurez de nombreuses façons de sécuriser gratuitement votre site WordPress.
Alors, rangez votre portefeuille. Vous n’en aurez pas besoin ici.
1. Moyens rapides et faciles pour sécuriser votre site dans l’administration WordPress
Nous commencerons par quelques éléments essentiels pour éviter tout problème de sécurité malheureux. Certaines de ces précautions peuvent vous sembler évidentes, mais elles méritent d’être mentionnées.
Un WordPress mis à jour est un WordPress sécurisé
L’une des précautions les plus importantes que vous puissiez prendre est de garder votre WordPress, vos plugins et votre thème à jour.
Où vous pouvez voir toutes les mises à jour nécessaires dans le tableau de bord WordPress. Le nombre dans le cercle rouge indique le nombre de mises à jour disponibles.
WordPress installe régulièrement des mises à jour pour garder les choses à jour. En plus de cela, les thèmes et les plugins sont fréquemment mis à jour et maintenus.
Si les thèmes et les plugins ne sont pas correctement maintenus, ils deviendront obsolètes et présenteront un risque de sécurité en devenant vulnérables aux bogues. Il est essentiel de garder tous ces éléments de WordPress à jour.
WordPress rend tout cela rapide et facile à faire. En cliquant sur l’onglet Mises à jour dans le tableau de bord, vous verrez un aperçu détaillé de ce qui doit être mis à jour.
De plus, vous pouvez activer les mises à jour automatiques pour toutes les nouvelles versions de WordPress à partir d’ici, vous n’avez même pas à vous soucier de le faire manuellement.
Vous pouvez voir la version actuelle de WordPress et la possibilité d’activer les mises à jour automatiques.
Garder un œil sur votre version, vos thèmes et vos plugins WordPress est un élément crucial pour assurer la sécurité de votre site. Cela ne coûte pas un centime à faire et est facile à entretenir.
Bonne nouvelle si vous êtes membre de WPMU DEV … tous les plugins, thèmes et fichiers WordPress sont automatiquement mis à jour avec la fonction d’automatisation (qui est fournie gratuitement avec The Hub) – vous êtes donc déjà pris en charge !
2. Garder votre site sécurisé en surveillant les plugins et les thèmes obsolètes
Il est important de souligner que vous ne souhaitez pas utiliser de plugins ou de thèmes obsolètes pour commencer. Heureusement, WordPress donne une notification pour les plugins et les thèmes qui n’ont pas été mis à jour.
Par exemple, si vous recherchez un plugin sur wordpress.org et que vous voyez ceci vers le haut de la page du plugin…
Un signe certain que ce plugin n’est pas bien entretenu.
… Vous devez éviter ce plugin. De même, un thème obsolète affichera le même type de message.
Deux ans, c’est long sans mise à jour.
Évitez les plugins ou les thèmes qui ne sont pas mis à jour pour commencer.
Il y a de fortes chances que les développeurs qui les ont créés l’ont abandonné et qu’il ne sera pas mis à jour de sitôt.
Si vous constatez que vous avez des thèmes et des plugins obsolètes, supprimez-les. Même s’ils ne sont pas utilisés, ils ne valent pas la peine d’être utilisés et sont sensibles aux bugs.
3. Création de mots de passe sécurisés et forts
L’une des tentatives de piratage les plus fréquentes concerne les mots de passe. Il est donc de plus en plus courant de nos jours avec n’importe quel compte en ligne d’utiliser un mot de passe fort, et il en va de même avec WordPress.
Rendez vos mots de passe uniques, avec des caractères, des chiffres et des combinaisons de lettres qui seraient extrêmement difficiles à reproduire. Vous devez également le faire avec vos comptes FTP, votre hébergement, votre messagerie électronique et votre base de données.
WordPress créera automatiquement un mot de passe fort pour vous dans l’administrateur. Vous pouvez choisir de créer les vôtres ou utiliser leur suggestion.
Vous pouvez facilement créé un nouveau mot de passe en accédant à Utilisateur> Profil> Définir un nouveau mot de passe.
De plus, ne donnez pas les informations de votre compte à qui que ce soit et ne leur donnez pas accès (je pense que nous le savons tous, mais quand même, je devais le mentionner…). Vous pouvez configurer des utilisateurs et des rôles dans WordPress pour d’autres, mais gardez vos mots de passe privés.
De plus, changez régulièrement vos mots de passe. Il est suggéré que 30 jours environ est un bon délai pour générer un nouveau mot de passe.
4. Quelques ajustements de sécurité supplémentaires à prendre en compte dans l’administration WordPress
Vous pouvez prendre quelques autres précautions de sécurité gratuites en ce qui concerne WordPress.
La déconnexion de votre compte lorsque vous ne l’utilisez pas, la suppression des commentaires contenant du spam et la limitation des rôles pour les autres utilisateurs sont d’autres moyens simples de rester en sécurité.
Au-delà de l’administrateur, vous verrez qu’il y a une tonne de choses qui peuvent être accomplies à l’aide d’un plugin pour renforcer votre sécurité.
5. Sécuriser votre site gratuitement avec Defender
La majorité des précautions de sécurité que vous pouvez mettre en œuvre gratuitement peuvent être gérées facilement avec le plugin Defender.
Defender peut arrêter les attaques par force brute, les injections SQL, les scripts intersites XSS, et bien d’autres comme les analyses de logiciels malveillants et antivirus, le blocage IP, le journal de sécurité et la sécurité de connexion par authentification à deux facteurs.
Defender est là pour vous aider !
Lorsqu’il s’agit d’une solution de sécurité gratuite, Defender est une option parfaite pour garder votre site sûr et sécurisé ! De plus, tout est facilement gérable depuis Defender.
Voici un aperçu de ce que Defender peut faire pour arrêter les pirates ou les robots qui ne servent à rien.
Ajustements de sécurité
Defender mentionne les recommandations de sécurité que vous pouvez faire pour améliorer la sécurité du site, comme la désactivation de XML-RPC, le masquage des rapports d’erreurs, la désactivation des trackbacks et pingbacks, etc.
De nombreuses recommandations peuvent être traitées en un seul clic et en bloc via la zone Recommandations de sécurité.
Tous les ajustements sont suggérés dans la zone Recommandations de sécurité.
Il est suggéré de prendre en charge toutes les modifications de sécurité recommandées ; cependant, certains pourraient ne pas être pratiques pour votre site WordPress.
Si jamais vous avez besoin de revenir sur une modification, vous pouvez le faire avec l’option Rétablir.
Vous pouvez obtenir un aperçu détaillé de toutes les modifications recommandées dans le menu déroulant.
Là, vous pourrez voir un aperçu de la vulnérabilité, de l’état, de la manière de la corriger, d’une option à ignorer, ainsi que d’un bouton d’action propre à la correction suggérée.
Analyses de sécurité
Malware Scanning est une excellente ressource pour protéger votre site. Il vérifie vos fichiers de base WordPress pour le code suspect.
Cet outil compare votre installation WordPress avec la copie principale dans le répertoire WordPress, signale les modifications et vous permet de restaurer le fichier d’origine en un clic.
Démarrez une nouvelle analyse en un clic ou planifiez-en une.
Les résultats de l’analyse sont affichés directement sur le tableau de bord de Defender. Vous pouvez obtenir un aperçu détaillé des résultats sous Afficher le rapport, en affichant les correctifs suggérés pour chaque problème.
À partir de là, vous pouvez vous en occuper en vrac.
Vous pouvez également créer une nouvelle analyse en un clic et être averti des rapports par e-mail, même si aucun problème n’est détecté.
L’analyse des logiciels malveillants et la prise en charge des problèmes de sécurité n’ont jamais été aussi simples.
Authentification à 2 facteurs
Rendez les comptes pour vous et vos utilisateurs encore plus sécurisés grâce à l’authentification à 2 facteurs.
Avec Defender, vous pouvez choisir les rôles d’utilisateur pour lesquels vous souhaitez activer l’authentification à 2 facteurs en un seul clic à partir du tableau de bord.
Sélectionnez autant de rôles utilisateur que vous le souhaitez pour l’authentification à 2 facteurs.
Vous pouvez également activer une fonction Téléphone perdu si un utilisateur ne peut pas accéder à son appareil mobile.
En outre, personnalisez le titre de l’application qui apparaît dans l’application Authenticator, affichez les utilisateurs actifs et personnalisez la copie de l’e-mail pour les e-mails d’authentification à deux facteurs.
De plus, vous pouvez choisir quelle application utiliser pour 2FA. Vous pouvez choisir entre Google Authenticator, Microsoft Authenticator et Authy.
L’authentification à deux facteurs est une excellente ligne de défense contre les pirates et une couche de protection supplémentaire bienvenue.
Pare-feu, détection 404 et gestion IP
Votre site WordPress est protégé en toute sécurité avec le pare-feu et la gestion IP de Defender. Vous pouvez bloquer manuellement des adresses IP spécifiques, définir des verrouillages automatiques programmés et permanents, importer une liste d’adresses IP interdites, etc.
Defender vous indique tous les verrouillages de votre site au cours des dernières 24 heures et plus – directement dans le tableau de bord.
Defender verrouille les utilisateurs après un nombre défini de tentatives de connexion infructueuses. Vous pouvez personnaliser le nombre d’échecs de connexion et la durée du verrouillage.
De plus, vous pouvez personnaliser le message de verrouillage.
Le défenseur informera le coupable de ce qui se passe.
Activez également la détection 404, qui gardera un œil sur les adresses IP qui sont des récidivistes essayant d’accéder à une page Web qui n’existe pas.
Cela les empêchera alors temporairement d’accéder à votre site WordPress.
Comme pour les échecs de connexion, vous pouvez ajouter un message personnalisé et choisir la durée du verrouillage. En outre, vous pouvez ajouter des fichiers, des dossiers et des types de fichiers que vous souhaitez interdire automatiquement.
En ce qui concerne l’interdiction d’IP, choisissez simplement les adresses IP que vous souhaitez interdire d’accéder à votre site WordPress dans une liste de blocage .
De même, vous pouvez choisir les adresses IP que vous souhaitez exclure de toute règle d’interdiction dans la liste verte.
Les autres fonctionnalités de gestion IP comprennent :
- La possibilité d’afficher les verrouillages actifs
- Option pour interdire les pays dont vous ne voulez pas de trafic
- Message de verrouillage personnalisé que les utilisateurs verront
- Importation et exportation de la liste de blocage et de la liste d’autorisation
De plus, Defender enregistre tous les verrouillages IP avec des informations détaillées, l’heure et la date d’occurrence.
À partir de là, vous pouvez cliquer sur le menu déroulant des occurrences individuelles et bannir instantanément l’IP ou l’ajouter à la liste d’autorisation.
La gestion du pare-feu et des adresses IP gardera votre site sous contrôle de toute adresse IP suspecte cherchant à causer des ravages. Pour en savoir plus, lisez notre article, Comment créer un pare-feu personnalisé puissant et sécurisé avec Defender.
Protection de connexion
Limitez rapidement les tentatives de connexion pour empêcher les utilisateurs d’essayer de deviner les mots de passe. C’est facile avec la protection de connexion de Defender.
Avec cela, vous pouvez également interdire définitivement les adresses IP ou déclencher un verrouillage chronométré après un nombre défini de tentatives de connexion infructueuses.
Cette fonctionnalité se trouve dans la catégorie Pare–feu dans le tableau de bord. Choisissez le seuil du nombre de tentatives de connexion échouées par l’utilisateur et la durée du verrouillage.
Dans cet exemple, il est défini sur cinq échecs de connexion dans les 300 secondes pour un verrouillage. Le verrouillage restera pendant 300 secondes.
Vous pouvez ajouter un message personnalisé expliquant le verrouillage. Ajoutez également des noms d’utilisateurs interdits en les ajoutant dans le système.
Masquage de l’écran de connexion
Pour empêcher les pirates et les robots de découvrir votre écran de connexion, vous pouvez modifier votre URL par défaut.
Avec le masquage de l’écran de connexion, vous ajouterez un nouveau slug d’URL pour vous connecter. Et vous pouvez rediriger le trafic vers n’importe quel visiteur ou bot qui tente de visiter la connexion WordPress par défaut.
C’est un excellent moyen d’empêcher les pirates et les bots de s’approcher même de votre zone de connexion. Comme tout méchant, s’ils ne trouvent pas la porte, il n’y a pas beaucoup de chance qu’ils entrent.
La sécurité WordPress n’a pas de prix
Comme vous pouvez le voir, vous pouvez faire beaucoup pour sécuriser votre site WordPress gratuitement! Vous n’avez pas besoin de dépenser votre argent durement gagné pour la sécurité – en particulier avec l’aide de notre plugin, Defender.
Il faut du temps et du dévouement pour mettre en œuvre ce dont nous avons discuté. Plus vous consacrez à votre sécurité WordPress, plus il est difficile pour les pirates et les robots de tirer parti de votre site et de provoquer le chaos.
De plus, votre site ne sera pas bloqué par Google et conservera sa bonne réputation.
Sur cette note, pour un aperçu des fonctionnalités de sécurité de Defender, regardez cette courte vidéo.
Et pour en savoir plus sur la sécurité, assurez-vous de lire notre guide ultime de la sécurité WordPress et de tirer le meilleur parti de Defender.
Profitez de ces ressources gratuites et dormez bien, sachant que vous avez intensifié votre jeu de sécurité pour assurer la sécurité de votre site.
source : https://wpmudev.com/blog/secure-wordpress-site-free/