WordPress est un système  de gestion de contenu (Content Management System : CMS ) destiné  à la création de blog et de site web le plus populaire, ce qui le rend une cible de choix pour les pirates. Avoir un site WordPress signifie que vous devez faire un effort supplémentaire pour protéger vos données et celles de vos visiteurs. Voici un résumé des meilleures pratiques pour sécuriser un  site WordPress. Il est important de mentionner que ces mesures ne garantissent pas une protection à 100% contre les tentatives de piratage, principalement parce qu’un site Web 100% sécurisé n’existe pas, mais elles vous protégeront contre la majorité des attaques.

1- Gardez votre site WordPress et vos plugins à jour

Il est vraiment important de garder vos fichiers WordPress de base et tous vos plug-ins à jour avec leurs dernières versions. La plupart des nouvelles versions de WordPress et de plug-in contiennent des correctifs de sécurité. Même si ces vulnérabilités ne peuvent pas être facilement exploitées la plupart du temps, il est important de les corriger.

2- Protégez votre espace d'administration WordPress

Il est important de restreindre l'accès à votre espace d'administration WordPress uniquement aux personnes qui en ont réellement besoin. Si votre site ne prend pas en charge l'enregistrement ou la création de contenu frontal, vos visiteurs ne peuvent pas accéder à votre dossier / wp-admin / ou au fichier wp-login.php. Le mieux que vous puissiez faire est d'obtenir votre adresse IP personnelle (vous pouvez utiliser un site comme whatismyip.com pour cela) et d'ajouter ces lignes au fichier .htaccess de votre dossier d'administration WordPress en remplaçant xx.xxx.xxx.xxx par votre adresse IP. adresse:

<Files wp-login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>

Si vous souhaitez autoriser l'accès à plusieurs ordinateurs (comme votre bureau, votre ordinateur personnel, votre ordinateur portable, etc.), ajoutez simplement une autre instruction Allow from xx.xxx.xxx.xxx sur une nouvelle ligne.

Si vous souhaitez pouvoir accéder à votre zone d'administration depuis n'importe quelle adresse IP (par exemple, si vous utilisez souvent des réseaux Wi-Fi gratuits), limiter votre zone d'administration à une adresse IP unique ou à quelques adresses IP peut s'avérer peu pratique. Dans ce cas, nous vous recommandons de limiter le nombre de tentatives de connexion incorrectes à votre site. De cette façon, vous protégerez votre site WordPress des attaques par force et des personnes essayant de deviner votre mot de passe. À cette fin, vous pouvez utiliser le plug-in appelé tentatives de connexion WP Limit.

3- Ne pas utiliser le nom d'utilisateur "admin"

La plupart des attaquants supposent que votre nom d’administrateur est "admin". Vous pouvez facilement bloquer beaucoup d'attaques brutes et autres attaques simplement en utilisant un nom d'utilisateur différent. Si vous installez un nouveau site WordPress, il vous sera demandé le nom d'utilisateur admin lors du processus d'installation de WordPress. Si vous avez déjà un site WordPress, vous pouvez suivre les instructions de notre tutoriel sur la modification de votre nom d'utilisateur WordPress.

4- Utilisez des mots de passe forts

Des milliers de personnes utilisent des expressions telles que "mot de passe" ou "123456" pour connaître leurs identifiants de connexion. Inutile de dire que de tels mots de passe peuvent être facilement devinés et ils sont en haut de la liste de toute attaque de dictionnaire. Un bon conseil est d'utiliser une phrase entière qui a du sens pour vous et dont vous vous souviendrez facilement. Ces mots de passe sont beaucoup, beaucoup mieux que ceux à phrase unique.

5- Assurez-vous que votre ordinateur est dépourvu de virus et de logiciels malveillants

Si votre ordinateur est infecté par un virus ou un logiciel malveillant, un attaquant potentiel peut accéder à vos informations de connexion et établir une connexion valide à votre site, en contournant toutes les mesures que vous avez prises auparavant. C'est pourquoi il est très important de disposer d'un programme antivirus à jour et de conserver la sécurité globale de tous les ordinateurs que vous utilisez pour accéder à votre site WordPress à un niveau élevé.

Younes Derfoufi
CRMEF OUJDA