J’ai entendu de nombreux propriétaires de sites Web se plaindre de la sécurité de WordPress. L’idée est qu’un script open source est vulnérable à toutes sortes d’attaques. Est-ce un fait? Et si oui, comment sécurisez-vous votre site web WordPress?
Heureusement, le manque de sécurité WordPress intégrée est un mythe. En fait, c’est parfois l’inverse: les sites Web WordPress sont beaucoup plus sécurisés que leurs frères et sœurs en ligne.
Aujourd’hui, j’ai l’intention de discuter de quelques astuces simples qui peuvent vous aider à sécuriser davantage votre site Web WordPress.
Après avoir mis en œuvre ces tactiques et suivi les contrôles de sécurité continus dans WordPress, vous serez sur la bonne voie pour sécuriser définitivement votre site Web WordPress.
Table des matières:
Prévenir les attaques de connexion et la force brute
Sécurisez votre tableau de bord WordPress
Sécurisez votre base de données WordPress
Sécurisez votre hébergement
Sécurisez vos thèmes et plugins
Découvrez le moyen de sécuriser votre site Web #WordPress dès aujourd’hui
Cliquez pour tweeter
Partie (a): Sécurisez votre site Web WordPress en protégeant la page de connexion et en empêchant les attaques par force brute
Tout le monde connaît l’URL de la page de connexion WordPress standard. L’arrière-plan du site Web est accessible à partir de là, et c’est la raison pour laquelle les gens essaient de forcer brutalement leur chemin vers l’intérieur. Il suffit d’ajouter /wp-login.php ou / wp-admin / à la fin de votre nom de domaine et vous voilà .
Ce que je recommande, c’est de personnaliser l’URL de la page de connexion et même l’interaction de la page. C’est la première chose que je fais lorsque je commence à sécuriser mon site Web.
Pourquoi? C’est généralement la faute de l’utilisateur si son site a été piraté. En tant que propriétaire de site Web, vous devez assumer certaines responsabilités. La question clé est donc: que faites-vous pour que votre site ne soit pas piraté? Protéger la page de connexion et prévenir les attaques par force brute est l’une des meilleures choses que vous puissiez faire.
Voici quelques suggestions pour sécuriser votre page de connexion à un site Web WordPress:
1. Configurer une fonctionnalité de verrouillage du site Web et interdire les utilisateurs
Une fonctionnalité de verrouillage des tentatives de connexion infructueuses peut résoudre le problème énorme des tentatives de force brute continues. Chaque fois qu’il y a une tentative de piratage avec des mots de passe erronés répétitifs, le site est verrouillé et vous êtes averti de cette activité non autorisée.
J’ai découvert que le plugin iThemes Security était l’un des meilleurs de ce type, et je l’utilise depuis un certain temps. Le plugin a beaucoup à offrir à cet égard. Outre plus de 30 autres mesures de sécurité impressionnantes dans WordPress, vous pouvez spécifier un certain nombre de tentatives de connexion infructueuses avant que le plug-in n’interdit l’adresse IP de l’attaquant.
iThemes Security (anciennement Better WP Security)
Auteur (s): iThemes
Version actuelle: 7.4.1
Dernière mise à jour: le 15 août 2019
better-wp-security.7.4.1.zip
94%
Évaluations
0
Téléchargements
WP 4.7+
A besoin
2. Utiliser une authentification à deux facteurs pour la sécurité WordPress
L’introduction d’un module d’authentification à deux facteurs (2FA) sur la page de connexion est une autre bonne mesure de sécurité. Dans ce cas, l’utilisateur fournit les informations de connexion pour deux composants différents. Le propriétaire du site décide quels sont ces deux éléments. Il peut s’agir d’un mot de passe normal suivi d’une question secrète, d’un code secret, d’un ensemble de caractères ou, plus largement, de l’application Google Authenticator, qui envoie un code secret à votre téléphone. De cette façon, seule la personne avec votre téléphone (vous) pouvez vous connecter à votre site.
Je préfère utiliser un code secret lors du déploiement de 2FA sur l’un de mes sites Web. Le plugin Google Authenticator m’aide à résoudre ce problème en quelques clics.
Google Authenticator – Authentification WordPress à deux facteurs (2FA)
Auteur (s): miniOrange
Version actuelle: 5.2.5
Dernière mise à jour: le 19 septembre 2019
miniorange-2-factor-authentication.5.2.5.zip
90%
Évaluations
0
Téléchargements
3.0.1
A besoin
3. Utilisez votre email pour vous connecter
Par défaut, vous devez entrer votre nom d’utilisateur pour vous connecter à WordPress. L’utilisation d’un identifiant de messagerie plutôt que d’un nom d’utilisateur est une approche plus sécurisée. Les raisons sont assez évidentes. Les noms d’utilisateur sont faciles à prédire, contrairement aux identifiants de messagerie. En outre, tout compte utilisateur WordPress est créé avec une adresse électronique unique, ce qui en fait un identifiant valide pour la connexion.
Plusieurs plugins de sécurité WordPress vous permettent de configurer des pages de connexion de sorte que tous les utilisateurs doivent utiliser leurs adresses électroniques pour se connecter.
4. Renommez votre URL de connexion pour sécuriser votre site WordPress
Changer l’URL de connexion est une chose facile à faire. Par défaut, la page de connexion WordPress est facilement accessible via wp-login.php ou wp-admin ajouté à l’URL principale du site.
Lorsque les pirates informatiques connaissent l’URL directe de votre page de connexion, ils peuvent essayer d’entrer brutalement. Ils tentent de se connecter avec leur base de données Guess Work, c’est-à-dire une base de données contenant des noms d’utilisateur et des mots de passe supposés; par exemple, nom d’utilisateur: admin et mot de passe: p @ ssword… avec des millions de combinaisons de ce type).
À ce stade, nous avons déjà restreint les tentatives de connexion de l’utilisateur et échangé les noms d’utilisateur pour les identifiants de messagerie. Maintenant, nous pouvons remplacer l’URL de connexion et éliminer 99% des attaques directes par force brute.
Cette petite astuce empêche une entité non autorisée d’accéder à la page de connexion. Seul quelqu’un avec l’URL exacte peut le faire. Encore une fois, le plugin iThemes Security peut vous aider à vous changer
