Votre site est il Protégé ?
Découvrez comment sécuriser votre site wordpress.

1) Faire les mises à jour de son site !
Mettre à jour la version de son thème et de ses extensions est la première chose à faire régulièrement.C’est l’une des premières causes de site hackés. C’est quelque chose de simple, souvent négligé et de grande importance pour garder son site WordPress en bon état de marche.
2) Sécuriser votre mot de passe et votre nom de login
Ne pas utiliser comme identifiant:le nom de son site ou son identité (nom, prénom) ou le mot Admin mis par défaut dans WordPress.Pour le mot de passe:
On évite d’utiliser le nom de son site, son prénom, celui de ses enfants.
a bannir: 123Nomdemonsite ou 67votreprénom
exemple de bon mot passe: Px(u)A75kaP!
Pour sécuriser votre mot de passe: utiliser au moins une majuscule, des chiffres, un caractère spécial.
TUTO : Apprendre à faire une mise à jour WordPress
Lien vers le tuto: Faire les mises à jour de son site3) Changer l’adresse de connexion à l’admin de son site
Quand on démarre sur wordpress, on ne sait pas forcément que c’est la première chose à changer.
On ne se connecte pas à l’administration du site par :
https://www.monsite.fr/wp-admin
https://www.monsite.fr/wp-login
Pour vous connecter autrement, on ajoute une extension qui permet de de changer l’accès et de se connecter par une page personnalisée.
Extension à installer :
Choisissez parmi ces deux extensions pour changer l’accès à l’administration de votre site.
TUTO : Apprendre à installer une extension/plugin WordPress
Lien vers le tuto: installer un plugin
Avant d’installer une extension, on vérifie:
- Vérifier la date de la dernière mise à jour
- Le nombre de téléchargement
- Les avis et notes
- Vérifier la compatibilité avec la version WordPress
4) Les extensions complémentaires
Sécuriser votre site
ASKIMET pour supprimer les spams dans vos commentaires
LIMIT LOGIN limite les tentatives de connexion
WPS BIDOUILLE vous aide a checker la sécurité de votre site et supprimer les versions sur vos articles
Sauvegarder votre site
Votre hébergeur garde en mémoire un historique de votre site pour une période d’un mois. Si vous découvrez le problème bien après, il n’y a pas moyen de retrouver une version saine de votre site.
Faire vos sauvegarde vous permet de garder des versions plus anciennes.
5) Sécuriser son site, modifier .htaccess
On sécurise son fichier .htaccess
Ce fichier est à la source de votre site sur votre hébergement.Sa modification permet de:
- Cacher la version de WordPress
- Protéger le fichier .htaccess
- Limiter le spam pour les commentaires
- Interdir l’accès aux fichiers wp-config et wp-login
- Empêcher l’accès aux fichiers contenus dans wp-includes. pour vérifier si c’est déjà le cas ajouter:/wp-includes à l’adresse de votre site.
Comment modifier son fichier .htaccess ?
vous y avez accès avec l’extension SEO par Yoast (qui vous sert pour le référencement, version gratuite ).En cliquant sur SEO ( dans le tableau de bord, à gauche)
> Outils > Editeur de fichiers.
Ajouter ce code au fichier .htaccess
AVANT TOUTE INTERVENTION !!faites une sauvegarde, en copiant dans outil de note (notepad…)sur votre ordinateur.
Mon but est de vous donner les bases.Si vous voulez plus d’infos et aller plus loin, vous trouverez des articles complets sur ce sujet en faisant une recherche sur comment sécuriser le fichier htaccess de WordPress
# Désactiver l'affichage du contenu des répertoires Options All -Indexes # Alternative pour empêcher le listage des répertoires IndexIgnore * # Protéger le fichier wp-config.phporder allow,deny deny from all # Protéger les fichiers .htaccess et .htpasswdsorder allow,deny deny from all satisfy all
Les articles sources:
Pour écrire cet article, je me suis servi des conseils de ces deux articles pour en faire une synthèse.
Vidéo à regarder avant de vous lancer :
Eléments à copier/coller à la suite:
# Éviter que l'on découvre l'identifiant d'un auteurRewriteCond %{QUERY_STRING} ^author=([0-9]*) RewriteRule .* - [F] #fin identifiant auteur #protect wp-configorder deny,allow deny from all #fin wp config # Protéger les fichiers .htaccess et .htpasswdsorder allow,deny deny from all satisfy all #fin de htaccess protect # Mise en cache des fichiers dans le navigateurExpiresActive On ExpiresDefault "access plus 1 month" ExpiresByType text/html "access plus 0 seconds" ExpiresByType text/xml "access plus 0 seconds" ExpiresByType application/xml "access plus 0 seconds" ExpiresByType application/json "access plus 0 seconds" ExpiresByType application/pdf "access plus 0 seconds" ExpiresByType application/rss+xml "access plus 1 hour" ExpiresByType application/atom+xml "access plus 1 hour" ExpiresByType application/x-font-ttf "access plus 1 month" ExpiresByType font/opentype "access plus 1 month" ExpiresByType application/x-font-woff "access plus 1 month" ExpiresByType application/x-font-woff2 "access plus 1 month" ExpiresByType image/svg+xml "access plus 1 month" ExpiresByType application/vnd.ms-fontobject "access plus 1 month" ExpiresByType image/jpg "access plus 1 month" ExpiresByType image/jpeg "access plus 1 month" ExpiresByType image/gif "access plus 1 month" ExpiresByType image/png "access plus 1 month" ExpiresByType video/ogg "access plus 1 month" ExpiresByType audio/ogg "access plus 1 month" ExpiresByType video/mp4 "access plus 1 month" ExpiresByType video/webm "access plus 1 month" ExpiresByType text/css "access plus 6 month" ExpiresByType application/javascript "access plus 6 month" ExpiresByType application/x-shockwave-flash "access plus 1 week" ExpiresByType image/x-icon "access plus 1 week" #fin mise en cache # BEGIN WordPressRewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] IndexIgnore * Options +FollowSymLinks ServerSignature Off # END WordPress