6 étapes simples pour renforcer votre sécurité WordPress

Illustration 6 étapes simples pour renforcer votre sécurité WordPress

Renforcer un site Web signifie ajouter des couches de sécurité pour réduire les risques d’attaques et de piratages. Vous pouvez sécuriser votre site WordPress en suivant ces six étapes simples:

1 – Gardez WordPress à jour
Il est important de suivre les dernières mises à jour de WordPress. Qu’il s’agisse d’une version de sécurité ou d’une version de maintenance, assurez-vous que votre site WordPress fonctionne sur la dernière version. Vous pouvez consulter les communiqués sur le site officiel de WordPress.
La mise à jour automatique de WordPress s’active en ajoutant cette simple ligne à votre fichier wp-config.php :

define( 'WP_AUTO_UPDATE_CORE', true );

2 – Nettoyez vos plugins WordPress
Première étape – Moins, c’est plus. Jetez un œil à votre inventaire de plugins WordPress et assurez-vous de ne conserver que ceux que vous utilisez réellement sur votre site Web. Rappelez-vous ce plugin que vous avez installé il y a quelque temps et que vous n’avez jamais vraiment utilisé? Débarrassez-vous-en! Cela signifie supprimer complètement le plugin de l’installation WordPress et non pas simplement le désactiver via l’interface wp-admin.

Deuxième étape – Maintenant que vous n’avez que ce dont vous avez besoin, assurez-vous que tous vos plugins sont mis à jour. S’il existe un plugin WordPress qui n’a reçu aucune mise à jour de son développeur depuis plus de six mois, pensez à le supprimer et à rechercher un autre plugin qui fasse le job. Certains développeurs cessent de prêter attention à leurs plugins. Lorsque les pirates s’en emparent, ces mauvais acteurs utiliseront un plugin vulnérable pour pirater des sites Web.

Troisième étape – Assurez-vous que tous les plugins que vous avez installés sur votre site WordPress se trouvent dans le référentiel officiel des plugins WordPress. Certains plugins sont expulsés du référentiel officiel pour des problèmes de sécurité.
Une fois que vous n’avez que des plugins mis à jour et utiles dans votre site Web, il sera plus difficile pour les utilisateurs malveillants d’utiliser un plugin vulnérable comme porte d’entrée dans votre installation WordPress.

3 – Tout le monde n’a pas besoin d’être un administrateur WordPress
Si plusieurs personnes travaillent sur votre site Web, vous devez vous assurer que tout le monde a un rôle d’utilisateur qui a du sens en fonction des tâches qu’il effectue. Il s’agit d’une forme de contrôle d’accès qui est primordiale pour sécuriser un actif.
Dans WordPress lui-même, nous pouvons utiliser le système de contrôle d’accès basé sur les rôles existant en attribuant des rôles spécifiques à nos utilisateurs enregistrés. Il existe six rôles d’utilisateur dans WordPress. Chaque rôle d’utilisateur a son ensemble de capacités, notamment:
A – Super Admin: quelqu’un qui a accès aux fonctionnalités d’administration du réseau du site
B – Administrateur: quelqu’un qui a accès aux fonctionnalités d’administration du site
C – Éditeur: quelqu’un qui peut publier et apporter des modifications à tous les messages
D – Auteur: quelqu’un qui peut publier et apporter des modifications à ses propres articles
E – Contributeur: quelqu’un qui peut écrire et apporter des modifications à ses propres articles sans pouvoir les publier
F – Abonné: quelqu’un qui n’a accès qu’à son profil
Lorsque vous créez un nouvel utilisateur dans WordPress, pensez aux tâches que cet utilisateur va effectuer et quel rôle leur conviendra le mieux. Par exemple, si un nouveau rédacteur rejoint votre entreprise, il peut avoir besoin d’un rôle d’auteur ou d’éditeur.
Si vous avez déjà plus d’utilisateurs dans votre installation WordPress, il est fortement conseillé d’auditer leurs rôles existants et de vous assurer qu’ils n’ont accès qu’à ce qui est nécessaire pour leur rôle spécifique.

4 – Utiliser l’authentification à deux facteurs (2FA)
Il existe de nombreux plugins qui peuvent vous offrir 2FA pour une installation WordPress. Le plus courant est le plugin Google Authenticator.

Après avoir téléchargé et activé le plugin dans WordPress, il est très simple à utiliser. Tout ce dont vous avez besoin est d’avoir l’application Google Authenticator dans votre smartphone et de scanner un code QR.
L’authentification multifacteur ajoute une couche de sécurité à la porte d’entrée de votre site Web.

5 – Mettez à jour tous vos mots de passe WordPress
Oui, peu importe à quel point vous pensez que votre mot de passe est difficile, les pirates informatiques travaillent sans relâche pour trouver des moyens de casser même les mots de passe les plus difficiles.
Quelques conseils rapides:
• N’utilisez jamais de mots de passe prévisibles, comme votre anniversaire ou le nom de votre conjoint.
• Ajoutez autant de caractères que possible.
• Utilisez un gestionnaire de mots de passe, tel que LastPass, pour générer et conserver vos mots de passe dans un coffre-fort sécurisé.
• Ne réutilisez jamais un mot de passe.
Cela dit, la meilleure pratique consiste à modifier tous vos mots de passe dès maintenant à l’aide d’un gestionnaire de mots de passe. De cette façon, il vous suffit de mémoriser un seul mot de passe – le mot de passe maître LastPass, par exemple – et de suivre toutes les meilleures pratiques en matière de mots de passe.

6 – Derrière un pare-feu WordPress
Même en suivant toutes les meilleures pratiques de sécurité WordPress, un site Web peut toujours être piraté. Cependant, si vous avez un pare-feu de site Web actif filtrant tout le trafic que reçoit votre site Web, les chances d’être affecté par un piratage WordPress sont vraiment minimes.