Comment sécuriser son site WordPress

Sécuriser son site avec All In One WP Security

Important : vous pouvez vous affranchir de cette extension et configurer WordPress de façon à protéger votre installation manuellement.

Mais ces manipulations requièrent des connaissances dans la gestion de base de données, et je sais d’expérience que nombre d’entre vous n’auront pas envie de les réaliser sans une interface pour les accompagner 🙂 .

All In One WordPress Security and Firewall

All In One WP Security and Firewall est une extension tout en un gratuite très complète qui gère pratiquement tout ce que vous pourriez associer à la sécurisation de votre site WordPress.

 

Présentation de All In One WP Security

L’installer ? Pas l’installer ?

Beaucoup vous diront que l’installation d’extensions de sécurité alourdis le système, ou que les pirates les connaissent et exploitent leurs failles.

Mais avec plus de 300 000 installations actives, cette extension est suffisamment soutenue pour constituer un rempart fiable et efficace.

 

Une extension de sécurité pour débutant

Les développeurs ont pensé à tout le monde. Ils sont partis du principe que la majorité des utilisateurs n’étaient pas des experts en sécurité WordPress.

Pour cette raison, ils ont organisé les réglages d’All In One WP Security and Firewall en trois catégories : débutant, intermédiaire et avancée.

Les réglages de base sont généralement non-invasives, c’est à dire qu’elle ne provoqueront pas de modifications profondes des paramètres de votre base de données.

Ce sont les caractéristiques que vous devez activer immédiatement après l’installation du plugin afin de fournir un niveau minimum de sécurité.

Les fonctionnalités intermédiaires et avancées sont plus complexes et, bien que les chances soient faibles, elles sont plus susceptible de perturber le fonctionnement de votre site.

 

Installer All In One WP Security

Installation et accès aux réglages

  • Installez l’extension ;

All In One WordPress Security and Firewall

 

  • Accédez aux réglages :

All In One WordPress Security and Firewall

 

Le tableau de bord

La première page sur laquelle vous êtes redirigé est le tableau de bord que vous voyez ci-dessous :

All In One WordPress Security and Firewall

Cette interface pratique vous propose un indicateur de la puissance de votre sécurité. Il fonctionne sur un système de points dépendants des réglages effectués :

All In One WordPress Security and Firewall

Un mode maintenance vous est proposé, vous permettant de bloquer l’accès de votre site à vos visiteurs. Très utile en cas de grosses modifications ou de refonte du site.

All In One WordPress Security and Firewall

 

Les réglages basiques

Je vais maintenant vous accompagner dans les réglages les plus importants à réaliser. Cet encart regroupe les sécurités minimum à activer :

All In One WordPress Security and Firewall

Je vous invite à activer toutes les options “basiques” dans les rubriques qui vont suivre.

 

User Accounts (Comptes utilisateur)
  • Détecte la présence d’un compte “Admin”. Il s’agit souvent de l’identifiant par défaut, facilitant le travail des hackers. Si tel est le cas, changez-le pour un identifiant plus personnalisé :

All In One WordPress Security and Firewall

 

  • Détecte la présence de noms de comptes d’utilisateurs identiques. Même punition qu’à l’étape précédente, ne facilitez pas le travail des pirates :

All In One WordPress Security and Firewall

 

  • L’extension propose un outil pour tester la force de vos mots de passe ;

All In One WordPress Security and Firewall

 

User Login (Connexion)
  • Vous protège contre les attaques de force brute (attaques cherchant à trouver votre identifiant et votre mot de passe) en bloquant la connexion au bout de trois tentatives :

All In One WordPress Security and Firewall

 

Filesystem Security (Sécurité des fichiers)

Activer cette option va vous permettre de :

  • Protéger l’accès aux fichiers et dossier de votre site en réglant les paramètres d’autorisation ;
  • Protégez votre code PHP en désactivant l’édition de fichiers à partir de la zone d’administration de WordPress ;
  • Empêchez l’accès aux fichiers readme.html, license.txt et wp-config-sample.php.

 

Firewall (Pare-feu)

All In One WordPress Security and Firewall

 

User Registration (Enregistrement de l’utilisateur)
  • Active l’approbation manuelle lorsque des utilisateurs souhaitent créer leurs propres comptes via le formulaire d’inscription :

All In One WordPress Security and Firewall

 

  • Ajoute la possibilité d’afficher un captcha à la page d’inscription des utilisateurs :

All In One WordPress Security and Firewall

 

Database Security (Sécurité base de données)
  • Change le préfixe par défaut wp_ de vos tables de données, rendant plus difficile le piratage :

All In One WordPress Security and Firewall

 

Brute Force
  •  Ajoute un captcha sur la page de connexion :

All In One WordPress Security and Firewall

 

Spam Prevention (Prévention du Spam)
  • Ajoute un captcha lorsque qu’un utilisateur souhaite laisser un commentaire :

All In One WordPress Security and Firewall

 

En conclusion

Comme vous pouvez le voir, All In One WP Security and Firewall est une extension relativement facile à prendre en main. Vous disposez maintenant d’un WordPress sécurisé.

Bien sûr, vous pouvez aller encore plus loin et opter pour d’avantages de protection intermédiaires et avancées, mais ne connaissant pas vos configurations, je ne m’aventurerai pas à vous recommander des réglages supplémentaires pouvant déstabiliser le fonctionnement de votre site.

 

Mettre à jour WordPress

WordPress est un outil en constante évolution et les développeurs travaillent depuis plusieurs années à l’amélioration du logiciel. Ceci se traduit par des mises à jour régulière de WordPress, des thèmes, des extensions et des traductions.

Installer WordPress implique de le tenir à jour afin de pouvoir bénéficier des dernières fonctionnalités et corrections de failles de sécurité.

Maintenant nous allons apprendre à le mettre à jour de façon manuel, mais également à le configurer pour que les mises à jour se réalisent de façon automatique.

 

Mettre ou ne pas mettre à jour ?

Les mises à jour ajoutent certes de nouvelles fonctionnalités, mais elles sont également destinées à corriger les éventuelles failles de protection que pourraient exploiter les pirates.

Bien qu’il soit recommandé d’attendre quelques temps avant d’installer les dernières mises à jour afin de s’assurer de leurs stabilités, ne restez pas trop longtemps avec une ancienne version de WordPress ou avec des extensions périmées.

 

Mises à jour manuelle

Sur votre tableau de bord, les alertes de mises à jour sont indiquées à ces deux endroits :

sécurisation de wordpress mise à jour

sécurisation de wordpress mise à jour

Lorsque l’on est entrepreneur, l’on manque très souvent de temps.

Apprendre à automatiser un maximum de tâches est indispensable si l’on veut pouvoir se concentrer sur les tâches qui rapportent.

 

Mise en place de la mise à jour automatique

Pour les thèmes et extensions

  • Allez sur “Apparence” puis “Editeur” ;

 

  • A droite, recherchez le fichier “function.php”;

 

  • Copiez-collez ce code à la fin du fichier :

// Activation de la màj automatique des plugins
add_filter( ‘auto_update_plugin’, ‘__return_true’ );

// Activation de la màj automatique des thèmes
add_filter( ‘auto_update_theme’, ‘__return_true’ );

// Activation de la màj des traductions
add_filter( ‘auto_update_translation’, ‘__return_true’ );

 

 

Pour WordPress

  • Rendez-vous sur le serveur FTP de votre site. J’utiliserai pour cet exemple le logiciel Filezilla ;

  • Saisissez vos identifiants de connexion. Ils sont fournis par votre hébergeur.

 

  • Recherchez le fichier “wp-config.php”, faites clic droit et cliquez sur “Afficher / Editer”;

 

  • Copiez-collez ce code à la fin du fichier :

// Activation màj des versions dev, majeure et mineure
define( ‘WP_AUTO_UPDATE_CORE’, true );

 

Sauvegarder son site avec l’extension BackWPup

Sans doute votre ordinateur a déjà été infecté par un virus informatique, ou pire, un pirate s’est introduit dans vos dossiers… retenez que même votre site n’est pas à l’abri !

sécurisation de wordpress anonymous

Pourquoi sauvegarder son site ?

Ne vivez pas l’expérience de tout perdre !

Avez-vous déjà fait l’expérience d’un PC ou d’une clé USB qui ne fonctionne plus ?

sécurisation de wordpress déprime

Il est indispensable de penser à régulièrement faire des copies de votre travail.

Mes interventions en tant que prestataire informatique m’ont permis de constater que trop peu de personnes pensent à sauvegarder leurs documents, photos, vidéos et autres fichiers personnelles.

Un disque dur cassé, une clé USB qui ne se connecte plus…et vous perdez tout !

Même s’il ne génère pas énormément de trafics, vous subirez quand même les assauts des hackers et autres pirates qui chercheront à accéder à votre base de données.

S’en prémunir est obligatoire, au risque un jour ou l’autre de tout perdre.

 

Aucune protection n’est infaillible !

Il faut garder à l’esprit qu’aucune solution n’est parfaite, et qu’aucune protection n’est infaillible.

Que ce soit de la faute d’une tierce personne ou d’une mauvaise manipulation de votre part, vous serez content de pouvoir revenir en arrière en quelques clics.

 

La solution : BackWPup !

Installer BackWPup

BackWPup est une extension gratuite permettant de sauvegarder et télécharger votre base de données en quelques clics :

  • Téléchargez BackWPup ;

 

sécurisation de wordpress backwpup

 

  • L’extension apparaît sur le menu en haut de l’écran ;

sécurisation de wordpress backwpup

 

  • Cliquez sur ajouter ;

sécurisation de wordpress backwpup

 

  • Les configurations de base sont :

sécurisation de wordpress backwpup

sécurisation de wordpress backwpup

sécurisation de wordpress backwpup

sécurisation de wordpress backwpup

 

Lancer votre sauvegarde

  • Une fois la configuration réalisée, vous pouvez lancer votre sauvegarde :

 

sécurisation de wordpress backwpup

 

  • Rendez-vous ensuite dans “Sauvegardes” pour la télécharger :

sécurisation de wordpress backwpup

 

Pensez à sauvegarder régulièrement votre site et à en garder au moins trois versions !

 

Mise en place de la sauvegarde automatique de votre site

Afin de vous libérer d’une tâche, vous avez la possibilité d’automatiser le processus ci-dessus en configurant BackWPup pour qu’il lance les sauvegardes en automatique et les télécharge sur votre DropBox.

  • Lancer une nouvelle Opération ;

 

  • Donnez un nom à cette nouvelle opération ;

 

  • Allez plus bas sur la page et sélectionnez “Sauvegarde vers DropBox”;

 

  • Un nouvel onglet est apparu à droite “A: DropBox”. Cliquez dessus ;

 

  • Cliquez sur “Récupérer le code d’authentification App de DropBox” ;

 

  • Autorisez l’extension à accéder à votre compte DropBox (si vous n’avez pas de compte, créez en un) ;

 

  • Copiez le code ;

 

  • Collez le code dans l’encadré “Accès App à DropBox” et re-cliquez sur “Récupérer le code d’authentification App de DropBox” ;

 

  • Sauvegardez les changements ;

 

  • Pour terminer, rendez-vous dans l’onglet programmation et choisissez “Démarrer l’opération avec le cron de WordPress” ;

 

  • Vous pouvez programmer la sauvegarde suivant le rythme que vous souhaitez ;

 

  • Sauvegardez les changements.

 
Souhaitez-vous générer de nouveaux clients avec votre site Internet ?SI OUI, CLIQUEZ-ICI >>>
+