8 astuces WordPress simples et rapides pour améliorer la sécurité de votre site Web
Une mise à jour de sécurité de Wordfence a indiqué qu'il y avait eu plus de 20 millions d'attaques contre plus d'un demi-million de sites WordPress en mai 2020. Le volume considérable de ces attaques au cours de ce seul mois confirme à quel point votre site peut être vulnérable.
Cela ne veut pas dire que le système de gestion de contenu WordPress n'est pas un endroit sûr - il l'est. Ce qui en fait une cible juteuse pour les attaquants, c'est que la plupart des administrateurs n'adhèrent pas au WordPress nécessaire. sécurité les meilleures pratiques.
Comment optimiser votre site WordPress pour la sécurité
Désormais, il est pratiquement impossible de créer et de maintenir un site parfaitement sécurisé. Cependant, certains éléments peuvent vous aider à améliorer votre sécurité globale et à réduire le risque de cyberattaques :
Choisissez judicieusement votre hébergeur
Il y a quelque temps, les fonctionnalités et le prix étaient les considérations clés lors du choix de la société d'hébergement avec laquelle aller. Pour la plupart des gens, la sécurité venait en dernier, c'est-à-dire si elle figurait dans leur liste de préoccupations. Mais à une époque où le piratage est devenu si endémique, les priorités ont changé. L'hébergement sécurisé devrait être votre guide lors du choix de la société d'hébergement à laquelle faire confiance pour votre site Web.
Il y a quelques caractéristiques de sécurité essentielles que vous devez surveiller lorsque vous choisissez le meilleurs fournisseurs d'hébergement Web WordPress en 2021. Il s'agit notamment de :
- Sécurité du serveur fiable
- Balayage des logiciels malveillants
- Capacités de serveur sécurisées - il doit être sécurisé par SFTP. Vérifiez également le type de certificat SSL.
- Prévention des attaques DDoS (vérifiez si cela fonctionne avec une société CDN, telle que Cloudflare).
- Protection pare-feu
- Possibilité de redémarrer manuellement
Sécurisez le fichier wp-config[.]php
Le wp-config[.]php est un fichier de base contenant des informations d'identification et de connexion critiques dont WordPress a besoin pour stocker et récupérer les données de la base de données. Ces informations incluent l'hôte local, le nom, le nom d'utilisateur et le mot de passe.
Le fichier wp-config[.]php est parmi les zones les plus ciblées par les acteurs malveillants car il leur donne un accès facile à la base de données où le contenu critique du site est stocké. Rendre ce fichier inaccessible signifie que vous renforcez votre site à partir du noyau.
Protéger le fichier wp-config[.]php implique de le déplacer de son emplacement par défaut. Heureusement, WordPress vous permet de le masquer en dehors de l'installation de WordPress, et cela fonctionnera toujours.
Déployer WordPress sur Kubernetes
WordPress est une plate-forme intrinsèquement simple à utiliser pour les débutants et un outil puissant pour les développeurs. Pas étonnant que ce soit le choix de près de 30% des sites Web du monde, des petits blogs individuels aux entreprises géantes.
Vous pouvez rendre votre site WordPress plus gérable et sécurisé en l'hébergeant via des conteneurs Docker orchestrés à l'aide de Kubernetes. L'exécution de WordPress sur Kubernetes vous offre quelques avantages, notamment l'intégration continue (CI). En tant que développeur, CI réduit de 10 à 15 % le temps que vous prenez pour publier de nouvelles mises à jour.
De plus, la dockerisation de votre site WordPress signifie qu'un seul conteneur sera compromis en cas de vulnérabilité.
Le transfert d'un site établi vers des conteneurs Docker peut demander du travail. Cependant, étant donné que les conteneurs sont l'avenir de l'hébergement, nous vous conseillons d'apprendre Docker et Sécurité Kubernetes dès que vous le pouvez.
Installer un plugin de sécurité WordPress
Les conseils pour savoir si vous avez besoin d'un plugin de sécurité WordPress sont omniprésents. À moins que vous n'ayez l'un de ces sites à haut risque qui exigent une protection sur tous les fronts, il est possible de sécuriser votre site sans engager un plugin de sécurité WordPress dédié.
Cependant, si vous prenez la sécurité de votre site au sérieux (ce que nous parions que vous faites), un plugin de sécurité WordPress est quelque chose que vous devrez considérer. Les meilleurs plugins de sécurité WordPress, tels que Sucuri et Wordfence, offrent une ligne de défense supplémentaire à votre site en renforçant votre page de connexion, en analysant votre site à la recherche de logiciels malveillants et en créant un pare-feu.
Rendez ces mots de passe difficiles !
Les mots de passe sont destinés à être la première ligne de défense contre les pirates et les malveillants. Mais il est assez surprenant que la plupart des propriétaires de sites Web WordPress utilisent toujours des mots de passe simples et faciles à deviner, tels que 123456, QWERTY et Password. 'iloveyou' n'est pas fort non plus.
Lorsque vous créez un mot de passe pour votre site, assurez-vous qu'il est long et complexe. En combinant des lettres, des chiffres et des caractères, tels que des parenthèses, des crochets et des signes de pourcentage, il sera encore plus difficile et plus long pour les attaquants de deviner vos mots de passe.
Surtout, éviter d'utiliser le même mot de passe pour différents sites et appareils. Les conséquences peuvent être dévastatrices si le mot de passe est compromis.
Activer l'authentification à 2 facteurs WordPress
Les pirates et les acteurs malveillants sont toujours au top de leur jeu de devinette de mots de passe. Malgré les campagnes sans fin sur l'importance d'utiliser des identifiants de connexion robustes, il n'est pas surprenant que les attaques liées aux mots de passe continuent d'augmenter.
L'application de mots de passe ultra-forts pour vos sites WordPress ne suffit pas. La mise en œuvre d'une authentification à 2 facteurs est cruciale car elle crée une étape de vérification supplémentaire où les utilisateurs doivent fournir une information connue d'eux seuls. Il peut s'agir d'un code ou d'un SMS envoyé par téléphone ou par e-mail, d'une preuve biométrique, telle qu'un scan du visage, ou d'un code temporel provenant d'une autre application.
Désactiver l'édition de fichiers
Par défaut, les utilisateurs administrateurs peuvent ouvrir Apparence >> Éditeur de thème et utilisez ce plugin d'édition pour modifier tous les fichiers qu'ils souhaitent directement depuis leur panneau WordPress. Cela peut être très utile, mais cela comporte également un risque potentiellement élevé.
Au cas où un attaquant s'introduirait dans votre tableau de bord, l'activation de cette option d'édition de fichier lui donne un accès absolu à tous les codes de votre site Web. Si vous apportez rarement des modifications à vos fichiers, ce plugin peut ne pas être nécessaire pour vous ou pour les autres utilisateurs.
La désactivation de ce plugin est simple et directe. Vous n'avez qu'à ajouter le texte define('DISALLOW_FILE_EDIT', true); à la fin de wp-config[.]php fichier.
Évitez les thèmes annulés comme la peste
Lorsque vous recherchez les meilleurs plugins WordPress, vous rechercherez probablement un plugin qui offre d'excellentes fonctionnalités tout en réduisant les coûts. Les thèmes WordPress annulés sont une option préférée pour la plupart des gens. Les thèmes nuls font référence à des copies piratées de thèmes WordPress premium souvent vendus à une fraction du coût d'origine.
Bien que la promesse de bénéficier de fonctionnalités premium sans dépenser beaucoup soit tentante, ne tombez pas dans le piège. Les thèmes et plugins nuls sont parmi les principales raisons pour lesquelles la plupart des sites WordPress sont piratés aujourd'hui. En effet, ces produits contiennent souvent des logiciels malveillants qui se propagent facilement dans différents fichiers de votre site, ce qui les rend difficiles à détecter et à corriger.
Ces thèmes et plugins crackés contiennent également des codes malveillants, que les pirates utilisent pour voler vos informations d'identification, telles que votre adresse e-mail, votre nom d'utilisateur et vos mots de passe, et les rendre disponibles pour d'autres acteurs sur le dark web.
messages recommandés
Meilleurs plugins de marques WooCommerce en 2024
30 avril 2024
