Sécurisez votre site WordPress !

1 – Sauvegarder intégralement et régulièrement votre site WordPress.

Sécurisez votre site WordPress, votre hébergeur dispose normalement de jeux de sauvegardes. N’importe quel hébergeur sérieux  permet de restaurer entièrement son espace web à une date de son choix (attention par exemple chez OVH il est possible de remonter au mieux de une semaine en arrière avec les outils de l’espace client et 3 semaines à 1 mois maximum sur demande express au support)

IL est possible de complémenter cette méthode avec un utilitaire de sauvegarde tel que Updraft Plus. Cet utilitaire permet de sauvegarder intégralement votre site (fichiers et  base de données). Très pratique et automatique. La configuration est simple : en définissant la fréquence des sauvegardes, le nombre de jeux de sauvegardes à conserver etc. Il est même possible de programmer l’upload les jeux de sauvegarde sur un serveur FTP distant ou sur un service de stockage en ligne (Dropxbox par exemple).

 

2 – Maintenez votre site à jour

85% des sites WordPress hackés sont des sites qui n’ont pas fait de mise à jour depuis plusieurs mois et parfois même plusieurs années. Chaque mise à jour du cœur de WordPress apporte des correctifs de sécurité. Il en va de même pour les plugins.

WordPress bénéficie d’un système de mises à jour entièrement automatisé. Mais il est nécessaire d’intervenir manuellement pour les plugins et les thèmes.

 

3 – Utilisez des mots de passe sécurisés

Un compte administrateur disposant de privilèges élevés, il est nécessaire de définir un mot de passe sécurisé. Depuis la mise à jour 4.3, WordPress propose un bouton permettant la génération automatique d’un mot de passe hautement sécurisé. Il est bien sûr possible de le définir soi-même, l’assistant indique si le mot de passe choisi est suffisamment sécurisé ou non. Si le mot de passe n’est pas assez sécurisé (de l’avis de WordPress), il faut cocher une case indiquant que vous avez bien compris la mise en garde et que vous acceptez d’utiliser un mot de passe faiblement sécurisé…!
Choisir un mot de passe sécurisé évite de subir des attaques de hacker, bien souvent opérées automatiquement par des robots (via des attaques de type Brute Force).
Éviter toute donnée faisant référence à sa vie personnelle (date de naissance, un numéro de département etc…) : la vie privée est très mal protégée sur Internet.
NB : pour le login, inutile de préciser que vous devez absolument éviter d’utiliser des termes génériques tels que « admin », « user », « administrateur »… qui sont les premiers testés par les robots avec des attaques de type Brute Force !

 

4 – Changer le préfixe des tables de la base de données

Lorsque l’on procède à l’installation de WordPress, le préfixe attribué à la base MySQL est wp_
Il faut changer systématiquement ce paramètre sur tout site internet. Il est possible à posteriori de le changer avec le plugin WP Security Scan.

 

5 – Masquer la version de WordPress et les informations sur les feuilles de style

En affichant le code source du site WordPress, on remarque la présence d’une balise meta indiquant la version de votre WordPress.
<meta name= »generator » content= »WordPress 4.3.1″ />
Grâce à cette information, un hacker peut identifier facilement les failles relatives à la version utilisée – d’où le conseil de mettre à jour régulièrement l’installation WordPress et de masquer cette information histoire de rendre la tâche plus difficile et de décourager les moins persévérants.
Si vous disposez d’un contrat de maintenance WordPress chez PIXELYS, ce type d’information ne sera bien entendu pas accessible.

De nombreuses autres pistes de piratage existent, notre équipe reste à votre disposition pour vous aider à améliorer la protection de votre site internet.

Si vous souhaitez souscrire un contrat de maintenance pour votre site WordPress, Notre solution de maintenance

Clients