WordPress est un système complexe qui s’est développé au fil du temps. En tant que tel, il existe de nombreux coins et recoins dans le code où des vulnérabilités potentielles peuvent se cacher. À leur crédit, les principaux développeurs de WordPress sont très bons pour les détecter et les corriger. Pourtant, aucun logiciel n’est à l’épreuve des bogues.
Puis qu’aucun logiciel n’est à l’épreuve des bogues, il nous incombe, à nous les propriétaires du site, de faire tout ce que nous pouvons pour sécuriser notre WordPress. Heureusement, il y a trois choses simples que chaque propriétaire de site peut faire – généralement sans l’aide d’un développeur – pour rendre son site plus sécurisé.
1- Changer le nom d’utilisateur de l’administrateur
Celui-ci est une évidence. Si vous utilisez toujours admin, administrator ou tout autre élément très facile à deviner comme nom d’utilisateur de votre administrateur, STOP! Regardez, pour compromettre votre site, un attaquant a besoin de deux choses, un nom d’utilisateur et un mot de passe. Si vous utilisez un nom d’utilisateur d’administrateur par défaut, vous leur avez donné la moitié de ce dont ils ont besoin. Rendons les choses un peu plus difficiles, d’accord?
Pour changer le nom de l’administrateur, vous pouvez le faire manuellement ou vous pouvez installer un plugin. Étant donné que les plugins ralentissent votre site et que vous n’en avez besoin que pour cette seule chose, faisons-le manuellement.
Connectez-vous en utilisant votre compte administrateur existant.
Sous «Utilisateurs», cliquez sur «Ajouter un nouveau».
Créez un nouveau compte utilisateur et faites-en un administrateur. Définissez le nom d’utilisateur comme vous le souhaitez, SAUF pour Admin, Administrateur ou votre nom. (Ouais, les attaquants le savent probablement puisque le compte Facebook de votre entreprise est lié hors de la page d’accueil.
Déconnectez-vous de WordPress et reconnectez-vous à l’aide de votre nouveau compte administrateur.
Cliquez sur Utilisateurs pour répertorier les utilisateurs, et sous votre compte administrateur d’origine, cliquez sur « Supprimer ». Assurez-vous de sélectionner « Attribuer le contenu à » et sélectionnez votre nouveau compte administrateur, afin de ne perdre aucun contenu.
Là, vous avez maintenant un nouveau compte administrateur avec un nom qui n’est pas « admin ». Votre site est déjà un peu plus sécurisé. De plus, pour mettre à niveau le niveau de sécurité en ce qui concerne la connexion de votre site, assurez-vous d’activer l’authentification à 2 facteurs sur votre WordPress.
2- Appliquer des mots de passe forts
Oui, tout le monde aime utiliser son anniversaire comme mot de passe. Vous savez qui l’aime le plus? Attaquants. Vous voyez, les mots de passe faibles sont faciles à deviner.
Tout ce que vous avez publié sur les réseaux sociaux donne aux attaquants un peu plus d’informations sur lesquelles travailler. le remplacement des lettres par des chiffres ne trompe pas non plus les attaquants. Ils ont compris celui-là avant vous.
Alors qu’est-ce qui fonctionne? Mots de passe forts. Les longues chaînes aléatoires de lettres et de symboles sont excellentes. Le problème avec cela est que nous avons tendance à les écrire car ils sont difficiles à retenir. Si vous perdez le livre dans lequel vous les avez écrits, un attaquant a les clés du royaume. (Le livre est physique OU électronique). D’autres fois, nous générons des mots de passe forts, mais nous les utilisons encore et encore, donc tôt ou tard, ils finissent par fuir en ligne. Si vous avez l’habitude de le faire, je vous conseille vivement de consulter cet article sur la sécurisation des mots de passe avec Have I Been Pwned.
WordPress a désormais la fonctionnalité de générer des mots de passe forts, mais il n’en a pas besoin. Il existe cependant des plugins qui appliqueront cela pour vous. Je n’ai pas l’habitude de recommander des plugins de sécurité WordPress, mais si vous allez sur wordpress.org/plugins et entrez des mots de passe forts, vous en trouverez plusieurs parmi lesquels choisir.
Installez l’un de ces plugins.
Si vous avez des utilisateurs réguliers ainsi que des administrateurs, des auteurs, etc., vous souhaiterez peut-être appliquer uniquement des mots de passe forts sur vos comptes de niveau supérieur afin de réduire les frictions de vos utilisateurs lors de l’enregistrement et de la connexion à votre site.
Oh, si vous vous demandez comment gérer les mots de passe forts sans les écrire, investissez dans un gestionnaire de mots de passe. La plupart des applications modernes fonctionnent à la fois sur ordinateur et sur mobile et synchroniseront vos données sur tous vos appareils.
3- Appliquer HTTPS
Honnêtement, vous devriez déjà le faire. Si vous vivez sous un rocher, cependant, il y a quelques années, Google a déclaré que si votre site n’utilisait pas https, il classerait votre site plus bas que les autres sites exécutant https. Le référencement mis à part, cependant, https garde tout votre trafic crypté et à l’abri des regards indiscrets, et c’est un élément essentiel de toute stratégie de sécurité WordPress. Si vous n’utilisez pas HTTPS, tout utilisateur assis dans un café diffuse tout à quiconque souhaite regarder. (techniquement, «reniflez le wifi»)
Si vous n’utilisez pas 02system, cela implique de travailler avec votre fournisseur d’hébergement pour acheter et installer un certificat sécurisé. Ensuite, vous devez dire à WordPress de changer son URL en HTTPS.
Si 02system est votre partenaire d’hébergement, tout ce que vous avez à faire est d’utiliser le gestionnaire SSL pour obtenir un certificat gratuit «Let’s Encrypt». Une fois que le panneau de contrôle de 02system a obtenu et installé le certificat pour vous, tout ce que vous avez à faire est de cliquer sur « Appliquer HTTPS » et voilà, tout votre site est désormais chiffré.
Ces trois tâches simples vous aideront à garder votre site un peu plus sécurisé. Le secret de la sécurité des sites Web est que ce n’est pas une grande chose que vous faites, c’est de faire beaucoup de petites choses. Chaque couche de sécurité que vous ajoutez à votre site rend l’accès un peu plus difficile pour les attaquants. Vous n’avez pas besoin d’avoir un WordPress absolument sécurisé pour être en sécurité, il vous suffit de créer plus de travail pour l’attaquant qu’il ne vaut la peine de le casser Les attaquants finissent par se fatiguer et passent à des cibles plus faciles… les sites dont les propriétaires n’ont pas lu cet article.