Protéger votre blog WordPress est crucial pour assurer sa sécurité. Avant de commencer, voici quelques points importants à garder à l’esprit :

• Mettez toujours à jour votre blog WordPress, vos plugins et vos thèmes pour installer les correctifs de sécurité.
• Utilisez un mot de passe fort pour sécuriser votre blog. Évitez d’utiliser des mots de passe courants comme “12345” ou “qwerty”.
• Connectez-vous à votre site uniquement à l’aide d’un client SFTP.
• Installez un logiciel antivirus sur votre PC pour le protéger des attaques malveillantes.

Étape 1 : Sauvegarde

Sauvegarder votre site WordPress est essentiel pour protéger vos données en cas de violation de sécurité. Suivez ces étapes pour sauvegarder votre site :

1. Créez une sauvegarde de votre base de données en utilisant phpMyAdmin ou un plugin WordPress tel que BackWPUp.
2. Sauvegardez vos fichiers de thème et votre dossier de téléchargements à l’aide d’un client SFTP ou de toute autre méthode.
3. Vous n’avez pas besoin de sauvegarder les fichiers principaux de WordPress et les plugins à moins que leurs fichiers aient été modifiés. Vous pouvez toujours télécharger la dernière version propre de WordPress et installer les plugins pour supprimer tout code malveillant qui aurait pu infecter les fichiers de votre site.

Étape 2 : Chmod

Configurer les bonnes permissions pour les fichiers et dossiers WordPress est crucial pour empêcher tout accès non autorisé. Voici les droits chmod recommandés pour les fichiers et dossiers WordPress :

Vous pouvez utiliser votre client SFTP pour configurer les droits chmod.

Étape 3 : Sécuriser la zone d’administration

La zone d’administration est le cœur de votre site WordPress et est une cible privilégiée pour les pirates. Voici deux moyens efficaces pour la sécuriser :

Protection par mot de passe supplémentaire

Cette méthode ajoute une couche de protection supplémentaire en exigeant un mot de passe pour accéder à la zone d’administration. Cependant, cela n’est pas recommandé si vous utilisez le gestionnaire admin-ajax.php sur votre site ou si vous n’êtes pas le seul auteur sur le blog. Voici comment ajouter une protection par mot de passe supplémentaire :

1. Créez deux fichiers dans le répertoire wp-admin – .htaccess et .htpasswd
2. Incluez le code suivant dans le fichier .htaccess :

AuthType Basic
  AuthName "Salut, Dude!"
  AuthUserFile /home/rudrastyh.com/public_html
file should contain the username and password that you want to use to access the admin area. Here's how to create the .htpasswd file:

1. 1. Visitez le site générateur htpasswd.

1. 1. Entrez votre nom d’utilisateur et mot de passe souhaités et cliquez sur “Create .htpasswd file”.

1. 1. Copiez le code généré et collez-le dans votre fichier .htpasswd.

Limiter l’accès aux adresses IP

Vous pouvez également limiter l’accès à la zone d’administration en autorisant uniquement certaines adresses IP à y accéder. Voici comment procéder :

1. 1. Ajoutez le code suivant à votre fichier .htaccess :

order deny,allow
  allow from xxx.xxx.xxx.xxx
  deny from all

Remplacez “xxx.xxx.xxx.xxx” par l’adresse IP que vous souhaitez autoriser à accéder à la zone d’administration. Vous pouvez répéter cette ligne pour chaque adresse IP que vous souhaitez autoriser.

Étape 4 : Modifier votre URL de connexion

Par défaut, l’URL de connexion WordPress est “/wp-admin/”. La changer peut rendre plus difficile pour les pirates de la trouver. Voici comment changer votre URL de connexion :

1. Installez et activez le plugin WPS Hide Login.
2. Allez dans Réglages > WPS Hide Login.
3. Entrez votre URL de connexion souhaitée et cliquez sur “Enregistrer les modifications”.

Étape 5 : Désactiver l’édition de fichiers

Par défaut, WordPress vous permet de modifier les fichiers de plugins et de thèmes depuis la zone d’administration. Désactiver cette fonctionnalité peut empêcher les pirates d’injecter du code malveillant dans votre site. Voici comment désactiver l’édition de fichiers :

1. Ajoutez le code suivant à votre fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Étape 6 : Utiliser le chiffrement SSL

Utiliser le chiffrement SSL peut empêcher les pirates d’intercepter les données transmises entre votre site et ses visiteurs. Voici comment activer le chiffrement SSL :

1. Achetez un certificat SSL auprès de votre fournisseur d’hébergement web ou d’un fournisseur tiers.
2. Installez le certificat SSL sur votre serveur.
3. Activez le chiffrement SSL en ajoutant le code suivant à votre fichier wp-config.php :

define('FORCE_SSL_ADMIN', true);

Étape 7 : Protéger votre fichier WP-Config

Le fichier wp-config.php contient des informations sensibles sur votre installation WordPress, telles que votre nom d’utilisateur et mot de passe de base de données. Protéger ce fichier est crucial pour assurer la sécurité de votre site. Voici comment protéger votre fichier wp-config.php :

1. Ajoutez le code suivant à votre fichier .htaccess :

<files wp-config.php>
  order allow,deny
  deny from all
  </files>

Étape 8 : Limiter les tentatives de connexion

Limiter les tentatives de connexion est un moyen simple mais efficace de prévenir les attaques par force brute. Voici deux plugins qui peuvent vous aider :

• Limit Login Attempts Reloaded : Ce plugin limite le nombre de tentatives de connexion et bloque une adresse IP après un certain nombre d’échecs.
• Jetpack : Jetpack est un plugin tout-en-un qui inclut une fonctionnalité pour limiter les tentatives de connexion.

Les deux plugins peuvent être facilement installés depuis le dépôt de plugins WordPress.

Étape 9 : Installer un plugin de sécurité

Installer un plugin de sécurité peut vous aider à détecter et prévenir les menaces de sécurité sur votre site WordPress. Voici quelques plugins de sécurité populaires :

• Wordfence Security : Wordfence est un plugin de sécurité complet qui inclut un pare-feu, un scanner de logiciels malveillants et des fonctionnalités de sécurité de connexion.
• iThemes Security : iThemes Security offre plus de 30 façons de sécuriser et protéger votre site WordPress, y compris l’authentification à deux facteurs, l’analyse des logiciels malveillants et la protection contre les attaques par force brute.
• All In One WP Security & Firewall : Ce plugin offre une gamme de fonctionnalités de sécurité, y compris la protection contre les attaques par force brute, la surveillance de l’intégrité des fichiers et la sauvegarde de la base de données.

Choisissez un plugin de sécurité qui répond à vos besoins et installez-le depuis le dépôt de plugins WordPress.

Étape 10 : Désactiver l’édition de fichiers

Par défaut, WordPress vous permet de modifier les fichiers de plugins et de thèmes depuis le tableau de bord. Cela peut être dangereux si un pirate accède à votre tableau de bord. Voici comment désactiver l’édition de fichiers :

1. Ouvrez votre fichier wp-config.php dans un éditeur de texte.
2. Ajoutez le code suivant pour désactiver l’édition de fichiers :

define( 'DISALLOW_FILE_EDIT', true );

Étape 11 : Restez informé

Se tenir au courant des dernières vulnérabilités et correctifs de sécurité de WordPress est crucial pour assurer la sécurité de votre site. Voici quelques ressources pour vous aider à rester informé :

• Blog de sécurité WordPress : Le blog officiel de sécurité WordPress fournit les dernières informations sur les vulnérabilités et correctifs de sécurité.
• Base de données de vulnérabilités WPScan : WPScan est une base de données en ligne gratuite des vulnérabilités WordPress.
• Alertes de plugins de sécurité : Si vous avez installé un plugin de sécurité, il vous notifiera de toute menace ou vulnérabilité de sécurité sur votre site.

Assurez-vous de consulter régulièrement ces ressources pour rester informé et garder votre site WordPress sécurisé.