WordPress est le système de gestion de contenu le plus utilisé au monde, ce qui en fait une cible privilégiée des pirates informatiques, des attaques par force brute et des bots. Conserver les paramètres par défaut peut entraîner de graves problèmes de sécurité, comme la perte d'accès à votre site ou l'injection de code malveillant. Voici 22 recommandations pour protéger votre site WordPress et renforcer sa sécurité.
1. Modifier le préfixe wp_ de la base de données
Lors de l'installation de WordPress, un préfixe par défaut est généré. wp_ Cela concerne les tables de base de données, une vulnérabilité connue des pirates informatiques. Modifiez ce préfixe pour le personnaliser et empêcher les attaques ciblant les tables standard de WordPress.
2. Évitez d'utiliser le compte utilisateur « Admin ».
N'utilisez pas de noms d'utilisateur courants comme admin o root Pour l'utilisateur principal de WordPress, car il sera la première cible d'un attaquant, choisissez un nom unique et difficile à deviner.
3. Utilisez des mots de passe forts
Utilisez des mots de passe robustes comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Cela réduit le risque d'être victime d'attaques par force brute.
4. Maintenez WordPress à jour
Les pirates informatiques ciblent souvent les versions plus anciennes car elles peuvent présenter des vulnérabilités connues. Assurez-vous d'utiliser la dernière version de WordPress pour maintenir une protection optimale.
5. Mettez à jour les plugins
Les extensions sont une cible fréquente des pirates informatiques. Mettez-les à jour régulièrement, surtout celles qui ne font pas partie du répertoire officiel de WordPress.
6. Mettre à jour le thème actif
Les thèmes obsolètes peuvent également constituer une porte d'entrée pour les pirates informatiques. Si vous utilisez des thèmes tiers, assurez-vous de suivre les mises à jour proposées par leurs développeurs.
7. Évitez les plugins et thèmes obsolètes
Les plugins et thèmes obsolètes présentent un risque. Vérifiez régulièrement qu'ils sont à jour ou remplacez-les par des alternatives sûres et fonctionnelles.
8. Supprimez les plugins et thèmes inactifs
Les plugins et thèmes inactifs peuvent devenir des failles de sécurité s'ils ne sont pas mis à jour. Supprimez tout ce que vous n'utilisez pas, en ne conservant que votre thème de sauvegarde WordPress.
9. Téléchargez les plugins et les thèmes depuis des sites de confiance.
Évitez de télécharger des fichiers depuis des sites inconnus ou des réseaux P2P comme Torrent, car ils peuvent contenir des logiciels malveillants. Utilisez toujours le dépôt officiel ou des sites de confiance comme Envato.
10. Protéger le fichier de configuration wp-config.php
L'archive wp-config.php Ce fichier contient des données sensibles. Déplacez-le dans un dossier sécurisé et modifiez ses autorisations. 444 et restreint l'accès avec des règles dans .htaccess.
11. Protéger le dossier des téléchargements
Le tapis uploads Il est vulnérable aux attaques. Limitez les extensions de fichiers autorisées en ajoutant des règles dans .htaccess pour plus de sécurité
12. Effectuez des sauvegardes
Les sauvegardes sont essentielles. Assurez-vous que votre hébergeur les effectue automatiquement et envisagez d'utiliser une extension comme BackWPup pour les programmer dans le cloud.
13. Limiter les tentatives de connexion
Installez des plugins comme Limit Login Attempts pour protéger l'écran de connexion et empêcher les utilisateurs indésirables de s'inscrire, grâce à des mesures de sécurité supplémentaires comme reCaptcha.
14. Installez un plugin de sécurité
Des plugins comme WordFence ou iThemes Security contribuent à protéger votre site contre les attaques par force brute et autres méthodes malveillantes, en vous avertissant en cas de risque.
15. Utilisez des autorisations sécurisées sur les fichiers et les dossiers
Assurez-vous que les fichiers disposent des autorisations nécessaires. 644 et les dossiers 755 pour éviter les vulnérabilités.
16. Mettez en place un proxy inverse comme Cloudflare
Cloudflare propose non seulement la mise en cache, mais aussi des mesures de sécurité telles que l'obfuscation des e-mails et le blocage des adresses IP suspectes.
17. Enregistrez votre site dans Google Search Console.
Outre l'analyse du trafic, Google Search Console propose des alertes concernant les problèmes d'ergonomie, les problèmes de vitesse et les injections de code potentielles sur votre site.
18. Évitez l'enregistrement Splogger
Si vous autorisez l'inscription des utilisateurs, utilisez un plugin comme WangGuard pour détecter les faux utilisateurs ou les utilisateurs malveillants qui tentent d'injecter du spam ou des logiciels malveillants.
19. Protéger le fichier .htaccess
Ajouter des règles dans .htaccess pour empêcher les tiers d'accéder à ce fichier, car il contrôle des paramètres importants de votre site.
20. Contrôler le spam dans les commentaires
Protégez vos formulaires de commentaires contre le spam grâce à un plugin comme Akismet et vérifiez vos paramètres de commentaires pour améliorer la sécurité.
21. Désactiver la vulnérabilité de rétrolien
Désactiver le protocole xmlrpc.php en .htaccess pour éviter les attaques par pingback si vous n'utilisez pas d'applications d'administration à distance.
22. Surveiller les modifications apportées aux fichiers
Des plugins comme WordFence peuvent vous alerter en cas de modifications inattendues dans les fichiers de votre site, vous permettant ainsi de détecter et de contrer les menaces potentielles.
Article original de Fernando Tellado | 20 novembre Publié en 2023 Salle de classe CM
