Accueil » Freelance wordpress » 10 astuces pour sécuriser votre site wordpress

10 astuces pour sécuriser votre site wordpress

    sécurité wordpress

    Vous ne voulez pas que votre site internet soit piraté par des hackers ? Hors mis les conseils de base du type mettre à jour sa version de WordPress, ses plugins et son thème, voici des astuces pour éviter de vous retrouver le bec dans l’eau et de perdre le fruit de votre travail. Pour renforcer la sécurité de votre wordpress, voici quelques conseils avisés glanés au fil de mes lectures.

     

    Ajouter un Captcha sur la page de connexion

    Pour renforcer votre connexion à votre tableau de bord WordPress, vous pouvez avoir un capcha pour indiquer que vous êtes bien une personne et non un robot. Le cacha empêche qui pourrait tester vos identifiants de connexion afin de rentrer dans votre interface.

    Login No Captcha reCAPTCHA
    Par Robert Peake

    • Version : 1.6.10
    • Dernière mise à jour : il y a 8 mois
    • Installations actives : 80 000+
    • Version de WordPress : 4.6 ou plus Testé jusqu’à : 5.4.4

    Désactiver la fonction XML-RPC

    XML-RPC permet la communication entre WordPress et d’autres systèmes qui sont à ce jour obsolètes, mais ceci est toujours actif nativement. Nous vous conseillons de le désactiver en plaçant ce code dans votre « .htaccess » :

    # Désactiver la fonction XML-RPC
    <Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
    </ Files>

    Empêcher l’indexation des repertoires

    Si vous créez un nouveau répertoire dans votre site web et que vous n’y mettez pas de fichier index.html, vous serez peut-être surpris de constater que vos visiteurs peuvent obtenir une liste complète de tout ce qui se trouve dans ce répertoire.
    Pour remédier à cela, vous pouvez ajouter cette ligne de code dans votre fichier « .htaccess » :

    # empêcher la lecture des répertoires
    <IfModule mod_autoindex.c>
    Options -Indexes
    </IfModule>

     

    Bloquer l’accès aux fichiers « readme.html » et « license.txt »

    Dans votre fichier « .htaccess », il faudra placer ce code :

    <files readme.html>
    deny from all
    </ Files>

    <files license.txt>
    deny from all
    </ Files>

     

    Protéger votre fichier wp-config

    Toutes les informations confidentielles de votre blog sont stockées dans le fichier wp-config.php dans le répertoire WordPress principal. Les clés secrètes sont des bits d’informations stockées dans ce fichier.

    Il est donc très important de le protéger correctement. Un moyen facile de protéger ce fichier est de placer le code suivant dans votre fichier .htaccess sur votre serveur.

    # empêcher l’accès à votre wp-config.php

    <Files wp-config.php>
    Afin allow, deny
    deny from all
    </ Files>

     

    Empêcher la lecture des fichiers sensibles

    Il est également important de protéger correctement les fichiers sensibles. Un moyen facile de protéger ce fichier est de placer le code suivant dans votre fichier .htaccess sur votre serveur.

    # empêcher la lecture des fichiers sensibles
    # reconnus par leur exension

    <FilesMatch “\.(htaccess|htpasswd|ini|log)$”>
    Order Deny,Allow
    Deny from All
    </ Files>

     

    Désactiver l’édition de vos fichiers directement depuis le backoffice

    Dans votre fichier « wp-config.php », qui se trouve dans la source de votre thème, après la mention placez cette ligne de code

    define('disallow_file_edit',true);
    

    Masquer les erreurs de connexion

    Dans votre fichier « function.php », vous pouvez placez cette ligne de code :

    add_filter('login_errors',create_function('$a', "return null;"));
    

    Masquer la version de WordPress

    Toujours dans votre fichier « function.php », il faudra placer ce code :

    remove_action('wp_head', 'wp_generator');

    Masquer Windows Live Writer

    Microsoft dispose de ce logiciel permettant de bloguer depuis une application de bureau. WordPress ajoute une ligne de code dans le header de votre blog pour la compatibilité, mais cette dernière est non sécuritaire et inutile.
    Dans votre fichier « function.php », il faudra placer ce code :

    remove_action('wp_head', 'wlwmanifest_link');

    Conclusion

    Vous l’aurez compris, la sécurité WordPress passe par un peu de travail sur le .htaccess et le fichier wp-config.php. Faites de bonnes sauvegardes et effectuez vos mises à jour afin de dormir sur vos deux oreilles !

    Vous pouvez toujours ajouter un plugin de sécurité tel Secupress ou Wordfence

    Si vous n’avez pas le temps de faire tout cela, webmaster freelance peut s’occuper de la maintenance de votre site internet wordpress.


    BESOIN DE CONSEILS ?

    Si vous voulez discuter de votre projet web, n’hésitez pas à en parler avec Webmaster freelance!


    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *