Sécuriser WordPress : WP est-il un CMS non sécurisé ?
J’ai entendu de nombreuses personnes se plaindre de la sécurité de WordPress. La question principale est de savoir si vous êtes capable ou non de sécuriser complètement votre site Web WordPress. Allez-vous trouver qu’il est facile pour quelqu’un de pirater votre site ?
Car dans les faits WordPress n’est pas moins sécurisé qu’un autre CMS, le niveau de sécurité dépend du niveau de configuration de votre site internet.
L’idée générale est qu’un script open source est vulnérable à toutes sortes d’attaques car il est gratuit et disponible simplement sur internet.
Heureusement, dans les faits ce n’est pas du tout vrai. En fait, c’est parfois l’inverse.
La force de WordPress réside dans sa communauté et bien heureusement de nombreux experts en sécurité passent leur temps à tester WordPress dans le but de trouver de nouvelles failles de sécurité pour le bien de tous.
WordPress, le CMS le plus sûr pour votre créer votre site internet ?
Alors oui, WordPress est dans bien des cas le CMS le plus sûr pour créer le site internet de votre société.
Le CMS a eu une adoption tellement importante ces dernières années que de nombreuses entreprises sont maintenant sur le créneau de la sécurité et vous allez le voir dans cet article, de simples précautions dans la configuration de votre site internet permettent de bloquer les attaques.
Sécuriser la page de login de votre site WordPress dans le but de bloquer les attaques par dictionnaires.
L’url de connexion à votre interface d’administration est connue de tout le monde. Il suffit d’ajouter /wp-login.php ou /wp-admin/ à la fin de votre nom de domaine et l’interface s’affichera.
Il est préférable de personnaliser l’URL de la page de connexion et même l’interaction de la page. C’est la première chose à faire lorsque vous souhaitez sécuriser votre site web.
Bloquer la page de login et bannir le visiteur après plusieurs échecs de connexion.
Une fonction de verrouillage en cas d’échec des tentatives de connexion peut résoudre l’énorme problème des tentatives continues d’attaques par dictionnaires appelé « Brute force ». Chaque fois qu’il y a une tentative de piratage avec des mots de passe erronés et répétitifs, le site est verrouillé et vous êtes averti de cette activité non autorisée.
Sécuriser votre page de connexion avec le plugin iThemes Security.
Le plugin iThemes Security permet de répondre à ce problème. Il propose également plus de 30 autres mesures de sécurité, vous pouvez spécifier un certain nombre d’échecs de tentatives de connexion avant que le plugin n’interdise l’adresse IP de l’attaquant.
Utilisez l’authentification par double facteur Google Authenticator.
L’introduction d’un module d’authentification à 2 facteurs (2FA) sur la page de connexion est une autre bonne mesure de sécurité. Dans ce cas, l’utilisateur fournit les détails de connexion pour deux composants différents.
C’est le propriétaire du site Web qui décide de ce que sont ces deux-là. Il peut s’agir d’un mot de passe régulier suivi d’une question secrète, d’un code secret, d’un ensemble de caractères, ou plus populaire, l’application Google Authenticator, qui envoie un code secret à votre téléphone.
De cette façon, seule la personne qui a votre téléphone (vous) peut se connecter à votre site.
Plusieurs plugins sont disponibles à cet effet dans le répertoire des plugins WordPress.
Sécuriser WordPress : Configuration de l’interface d’administration.
Sécuriser le tableau de bord de votre site WordPress est cruciale en cas de piratage de votre site web.
De plus la plupart du temps, le pirate utilisera votre site internet pour stocker des fichiers, diffuser des campagnes de SPAM ou pirater vos propres visiteurs.
Il est donc important d’avoir des outils permettant de monitorer et de s’assurer que votre site n’a pas été piraté.
Vous avez raté notre précédent article sur la sécurité de site WordPress ?
Nous vous conseillons de jeter un oeil à notre précédent article « Les 10 symptômes d’un site piraté ».
Monitorer l’état de santé de votre site WordPress.
Des plugins comme WordFence ou iThemes Security vous permettent de recevoir une alerte en cas de détection de modification de vos fichiers. C’est très efficace !
Gardez un oeil sur l’activité de vos utilisateurs
Lorsque vous utilisez un site WordPress multisites ou que vous gérez un site Web avec plusieurs utilisateurs, il est essentiel de garder un oeil sur l’activité de vos utilisateurs.
Vos rédacteurs et contributeurs peuvent changer de mots de passe, mais il y a d’autres choses que vous ne voulez peut-être pas qu’il se produise.
Par exemple, les changements de thème et de widget ne sont évidemment réservés qu’aux administrateurs. Lorsque vous vérifiez le journal d’audit, vous êtes en mesure de vous assurer que vos administrateurs et contributeurs n’essaient pas de changer quelque chose sur votre site sans approbation.
WP Security Audit Log, le plugin qui permet de garder un oeil sur l’activité de votre interface d’administration.
Le plugin WP Security Audit Log fournit une liste affichant les actions de vos utilisateurs, ainsi que des notifications et des rapports par courriel. Dans sa forme la plus simple, le journal d’audit pourrait vous aider à voir qu’un rédacteur a du mal à se connecter. Mais le plugin peut aussi révéler une activité malveillante de l’un de vos utilisateurs.
Vous avez aimé cet article ? Partagez le.
Bonjour,
Excellent article, je vais essayer d’appliquer les mêmes conseils sur mon blog. Je ne connaissais pas du tout WordFence et je crois que si j’avais lu votre article avant ça m’aurait évité d’avoir un domaine redirigé sur un site arabe ^^ !
[…] Comment sécuriser son site WordPress. […]