Votre site est il Protégé ?

Découvrez comment sécuriser votre site wordpress.

securiser son site wordpress

1) Faire les mises à jour de son site !

Mettre à jour la version de son thème et de ses extensions est la première chose à faire régulièrement.
C’est l’une des premières causes de site hackés. C’est quelque chose de simple, souvent négligé et de grande importance pour garder son site WordPress en bon état de marche.

2) Sécuriser votre mot de passe et votre nom de login

Ne pas utiliser comme identifiant:le nom de son site ou son identité (nom, prénom) ou le mot Admin mis par défaut dans WordPress.
Pour le mot de passe:
On évite d’utiliser le nom de son site, son prénom, celui de ses enfants.
a bannir: 123Nomdemonsite ou 67votreprénom
exemple de bon mot passe: Px(u)A75kaP!

Pour sécuriser votre mot de passe: utiliser au moins une majuscule, des chiffres, un caractère spécial.


TUTO : Apprendre à faire une mise à jour WordPress

Lien vers le tuto: Faire les mises à jour de son site


3) Changer l’adresse de connexion à l’admin de son site

Quand on démarre sur wordpress, on ne sait pas forcément que c’est la première chose à changer.

On ne se connecte pas à l’administration du site par :
https://www.monsite.fr/wp-admin
https://www.monsite.fr/wp-login

Pour vous connecter autrement, on ajoute une extension qui permet de de changer l’accès et de se connecter par une page personnalisée.


Extension à installer :

Choisissez parmi ces deux extensions pour changer l’accès à l’administration de votre site.

WPS Hide Login

Login Lockdown

TUTO : Apprendre à installer une extension/plugin WordPress

Lien vers le tuto: installer un plugin
Avant d’installer une extension, on vérifie:

  • Vérifier la date de la dernière mise à jour
  • Le nombre de téléchargement
  • Les avis et notes
  • Vérifier la compatibilité avec la version WordPress

securiser votre site wordpres


4) Les extensions complémentaires

Sécuriser votre site

ASKIMET pour supprimer les spams dans vos commentaires

LIMIT LOGIN limite les tentatives de connexion

WPS BIDOUILLE vous aide a checker la sécurité de votre site et supprimer les versions sur vos articles


Sauvegarder votre site

Votre hébergeur garde en mémoire un historique de votre site pour une période d’un mois. Si vous découvrez le problème bien après, il n’y a pas moyen de retrouver une version saine de votre site.
Faire vos sauvegarde vous permet de garder des versions plus anciennes.

UPDRAFT PLUS


5) Sécuriser son site, modifier .htaccess

On sécurise son fichier .htaccess

Ce fichier est à la source de votre site sur votre hébergement.
Sa modification permet de:
  • Cacher la version de WordPress
  • Protéger le fichier .htaccess
  • Limiter le spam pour les commentaires
  • Interdir l’accès aux fichiers wp-config et wp-login
  • Empêcher l’accès aux fichiers contenus dans wp-includes. pour vérifier si c’est déjà le cas ajouter:/wp-includes à l’adresse de votre site.

Comment modifier son fichier .htaccess ?

vous y avez accès avec l’extension SEO par Yoast (qui vous sert pour le référencement, version gratuite ).
En cliquant sur SEO ( dans le tableau de bord, à gauche)
> Outils > Editeur de fichiers.
Lien vers le tuto: accéder au fichier .htaccess sur son site WordPress

Ajouter ce code au fichier .htaccess

AVANT TOUTE INTERVENTION !!
faites une sauvegarde, en copiant dans outil de note (notepad…)sur votre ordinateur.
Si vous avez déjà installé l’extension wp-login vous avez déjà des lignes de codes commençant par:
# BEGIN SF Move Login
RewriteEngine On
RewriteBase /
….

# END SF Move Login

Les articles sources:

Pour écrire cet article, je me suis servi des conseils de ces deux articles pour en faire une synthèse.

Vidéo à regarder avant de vous lancer :

Eléments à copier/coller à la suite:


# Éviter que l'on découvre l'identifiant d'un auteur

RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F]

#fin identifiant auteur

#protect wp-config

    order deny,allow
    deny from all

#fin wp config

# Protéger les fichiers .htaccess et .htpasswds

order allow,deny
deny from all
satisfy all

#fin de htaccess protect

# Éviter le spam de commentaires

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.monsite.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

# fin spam de commentaires


# Mise en cache des fichiers dans le navigateur

ExpiresActive On
ExpiresDefault "access plus 1 month"

ExpiresByType text/html "access plus 0 seconds"
ExpiresByType text/xml "access plus 0 seconds"
ExpiresByType application/xml "access plus 0 seconds"
ExpiresByType application/json "access plus 0 seconds"
ExpiresByType application/pdf "access plus 0 seconds"

ExpiresByType application/rss+xml "access plus 1 hour"
ExpiresByType application/atom+xml "access plus 1 hour"

ExpiresByType application/x-font-ttf "access plus 1 month"
ExpiresByType font/opentype "access plus 1 month"
ExpiresByType application/x-font-woff "access plus 1 month"
ExpiresByType application/x-font-woff2 "access plus 1 month"
ExpiresByType image/svg+xml "access plus 1 month"
ExpiresByType application/vnd.ms-fontobject "access plus 1 month"

ExpiresByType image/jpg "access plus 1 month"
ExpiresByType image/jpeg "access plus 1 month"
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/png "access plus 1 month"

ExpiresByType video/ogg "access plus 1 month"
ExpiresByType audio/ogg "access plus 1 month"
ExpiresByType video/mp4 "access plus 1 month"
ExpiresByType video/webm "access plus 1 month"

ExpiresByType text/css "access plus 6 month"
ExpiresByType application/javascript "access plus 6 month"

ExpiresByType application/x-shockwave-flash "access plus 1 week"
ExpiresByType image/x-icon "access plus 1 week"


#fin mise en cache

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
IndexIgnore *
Options +FollowSymLinks
ServerSignature Off


# END WordPress

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *