Lorsque nous pensons à la sécurité Web, nous imaginons souvent une batterie de serveurs géante foisonnante de professionnels de l’informatique, ainsi que de développeurs qui analysent chaque code. Nous pensons également aux violations très médiatisées qui fuient des données privées et ont un impact négatif sur l’économie.

Cependant, la sécurité Web doit être une préoccupation pour tous ceux qui travaillent sur ou possèdent un site. C’est particulièrement le cas lorsque vous utilisez une plate-forme populaire telle que WordPress. Pourquoi? Parce que nous sommes tous assis des cibles.

Que votre site compte des millions de visiteurs ou seulement une poignée, des robots et d’autres acteurs malveillants s’imposent. Ils tentent des attaques par force brute sur les connexions, ajoutant du code toxique à des fichiers légitimes et à d’autres types de problèmes.

Et, même si nous ne pouvons pas nécessairement prendre en compte toutes les possibilités, nous pouvons toutefois prendre certaines mesures pour atténuer les risques. Mieux encore, ce n’est pas difficile à faire!

Cela dit, voici quelques étapes simples à suivre pour sécuriser davantage votre site Web WordPress.

Comprendre les rôles et les capacités des utilisateurs WordPress

Si vous créez des sites pour des clients, il est important de réaliser que tout le monde n’a pas besoin du même niveau d’accès au back-end. Les comptes d’administrateur sont excellents en ce qu’ils fournissent un contrôle total sur les paramètres et les plugins. Mais entre de mauvaises mains, ils peuvent être dangereux.

Les développeurs derrière WordPress le comprennent bien et c’est la raison pour laquelle ils ont créé divers rôles d’utilisateur. Chaque rôle (administrateur, éditeur, auteur, contributeur et abonné étant les valeurs par défaut) est fourni avec son propre ensemble de fonctionnalités. Plus le rôle de l’utilisateur est bas, moins il aura de fonctionnalités.

Ainsi, pour les clients qui n’auront pas nécessairement besoin d’installer des plugins ou de modifier d’autres paramètres sensibles, un compte Editor leur convient parfaitement. Ils disposent de toute la puissance nécessaire pour gérer le contenu, tout en restant isolés des éléments potentiellement dangereux. Même s’ils ont besoin d’un accès occasionnel à d’autres objets, ils peuvent utiliser un compte administrateur le cas échéant.

Soyons clairs: nous n’avons pas nécessairement peur que nos clients fassent des choses néfastes (bien qu’un aventureux puisse faire des dégâts inattendus). C’est plutôt la possibilité que le compte de cet utilisateur soit compromis. Si cela se produisait, un rôle d’utilisateur inférieur n’aurait pas le même impact qu’un administrateur.

Si les rôles par défaut ne correspondent pas vraiment à vos besoins, vous avez également la possibilité de créer les vôtres. Cela pourrait être utilisé, par exemple, pour permettre aux utilisateurs d’accéder uniquement à un type de publication spécifique. Cela permet de mieux contrôler qui a accès à quoi.

Soit dit en passant, il est également judicieux de créer des comptes d’utilisateur distincts pour chaque personne devant accéder au back-end. Cela simplifie la maintenance des comptes, car vous pouvez simplement supprimer des comptes individuels au fur et à mesure que les personnes entrent et sortent de l’organisation. De plus, moins vous partagez vos mots de passe, mieux c’est!

Installer un plugin de sécurité

Bien sûr, vous pouvez passer beaucoup de temps en ligne. Mais vous ne pouvez pas être là pour surveiller votre site web 24h / 24 et 7j / 7. Par conséquent, il est judicieux d’utiliser des outils permettant de garder un œil sur vous.

Un certain nombre de plug-ins de sécurité peuvent gérer le travail. Les versions gratuites de Wordfence, iThemes Security ou All In One WP Security & Firewall peuvent offrir d’énormes avantages. Ils peuvent par exemple verrouiller les adresses IP, arrêter les tentatives de connexion brutales et analyser votre site à la recherche de programmes malveillants ou de failles de sécurité existantes. Certains vont même vous envoyer un email lorsqu’un problème est trouvé ou que votre installation est obsolète.

Si vous gérez plusieurs sites Web, un plugin de sécurité constitue un excellent moyen de rester au courant de ces problèmes. Cependant, ils sont également utiles lorsque vous cédez un site à vos clients. Les clients qui ne sont pas très soucieux de la sécurité auront cet œil supplémentaire qui les tiendra bien informés.

Il est à noter qu’il existe plus de plugins que ceux mentionnés ci-dessus. Et chacun a ses propres forces. Celui que vous choisissez doit répondre à vos besoins de base en matière de sécurité et ne pas ralentir votre site trop rapidement. Les performances sont particulièrement problématiques sur les plates-formes d’hébergement de bas de gamme et doivent être prises en compte.

Bien sûr, ces plugins ne sont pas une panacée pour la sécurité. Vous devez encore utiliser d’autres meilleures pratiques. Mais ils sont parfaits pour attraper les fruits à portée de main qui constituent la majorité des menaces pour votre site.

Utiliser le bon sens

À présent, tout le monde devrait savoir qu’il devrait utiliser des mots de passe uniques et difficiles à deviner. Mais bon nombre d’entre nous prenons des raccourcis parce que c’est plus facile.

Tellement de sécurité utilise en fait votre propre bon sens et encourage les autres à faire de même. Parfois, cela nécessite un peu de travail supplémentaire – mais cela en vaut la peine. Voici quelques exemples:

Installer un certificat SSL

L’activation de SSL cryptera les communications des utilisateurs avec votre site (sur les faces avant et arrière). Les navigateurs Web appelant maintenant des sites qui n’utilisent pas SSL, il est également quasiment indispensable d’avoir un certificat pour défendre votre réputation. Et avec de nombreux hôtes offrant des options gratuites ou bon marché, vous n’avez aucune excuse pour ne pas en ajouter.

Soyez prudent avec les plugins

Tous les plugins ne sont pas créés égaux. Avant d’installer et d’en activer un, assurez-vous de faire des recherches. Consultez l’historique de ses versions, les forums d’assistance et les avis des utilisateurs. Vous aurez une meilleure idée de son entretien et de sa pertinence. Et recherchez les plugins installés qui n’ont pas été mis à jour depuis un moment. Ils pourraient être un point faible de votre sécurité.

Rester au courant

Non seulement votre installation WordPress (y compris les plugins et les thèmes) doit-elle être tenue à jour, mais votre environnement d’hébergement doit en faire de même. Assurez-vous d’exécuter une version prise en charge de PHP et des autres logiciels requis. En cas de doute, demandez plus d’informations à votre hôte.

Maintenir les sauvegardes actuelles

Nous nous croisons tous les doigts et espérons que quelque chose de grave ne se produira pas. Mais si tel est le cas, il est beaucoup plus facile de restaurer une sauvegarde en toute sécurité! Vous souhaiterez notamment disposer de plusieurs copies actuelles de la base de données de votre site et du dossier / wp-content /.

Reste attentif

S’il semble que les menaces à la sécurité deviennent de plus en plus nombreuses et complexes, c’est parce qu’elles le sont! Bien que WordPress soit bien écrit et sécurisé, il a la plus grande cible sur le dos de tout CMS. Cela signifie que nous devons rester alertes et développer de bonnes habitudes.

Cela n’a pas besoin d’être aussi difficile. Les étapes décrites ci-dessus ne prendront pas beaucoup de temps, mais peuvent littéralement faire la différence entre le piratage ou non de votre site Web. C’est en soi une raison suffisante pour déployer des efforts supplémentaires.

📰