Votre site est il Protégé ?

par caroline tchiakpe · Publié 2 septembre 2018 · Mis à jour 14 février 2020

Découvrez comment sécuriser votre site wordpress.

1) Faire les mises à jour de son site !

Mettre à jour la version de son thème et de ses extensions est la première chose à faire régulièrement.
C’est l’une des premières causes de site hackés. C’est quelque chose de simple, souvent négligé et de grande importance pour garder son site WordPress en bon état de marche.

2) Sécuriser votre mot de passe et votre nom de login

Ne pas utiliser comme identifiant:le nom de son site ou son identité (nom, prénom) ou le mot Admin mis par défaut dans WordPress.
Pour le mot de passe:
On évite d’utiliser le nom de son site, son prénom, celui de ses enfants.
a bannir: 123Nomdemonsite ou 67votreprénom
exemple de bon mot passe: Px(u)A75kaP!

Pour sécuriser votre mot de passe: utiliser au moins une majuscule, des chiffres, un caractère spécial.

TUTO : Apprendre à faire une mise à jour WordPress

Lien vers le tuto: Faire les mises à jour de son site

3) Changer l’adresse de connexion à l’admin de son site

Quand on démarre sur wordpress, on ne sait pas forcément que c’est la première chose à changer.

On ne se connecte pas à l’administration du site par :
https://www.monsite.fr/wp-admin
https://www.monsite.fr/wp-login

Pour vous connecter autrement, on ajoute une extension qui permet de de changer l’accès et de se connecter par une page personnalisée.

Extension à installer :

Choisissez parmi ces deux extensions pour changer l’accès à l’administration de votre site.

WPS Hide Login

Login Lockdown

TUTO : Apprendre à installer une extension/plugin WordPress

Lien vers le tuto: installer un plugin
Avant d’installer une extension, on vérifie:

Vérifier la date de la dernière mise à jour
Le nombre de téléchargement
Les avis et notes
Vérifier la compatibilité avec la version WordPress

securiser votre site wordpres

4) Les extensions complémentaires

Sécuriser votre site

ASKIMET pour supprimer les spams dans vos commentaires

LIMIT LOGIN limite les tentatives de connexion

WPS BIDOUILLE vous aide a checker la sécurité de votre site et supprimer les versions sur vos articles

Sauvegarder votre site

Votre hébergeur garde en mémoire un historique de votre site pour une période d’un mois. Si vous découvrez le problème bien après, il n’y a pas moyen de retrouver une version saine de votre site.
Faire vos sauvegarde vous permet de garder des versions plus anciennes.

UPDRAFT PLUS

5) Sécuriser son site, modifier .htaccess

On sécurise son fichier .htaccess

Ce fichier est à la source de votre site sur votre hébergement.
Sa modification permet de:

Cacher la version de WordPress
Protéger le fichier .htaccess
Limiter le spam pour les commentaires
Interdir l’accès aux fichiers wp-config et wp-login
Empêcher l’accès aux fichiers contenus dans wp-includes. pour vérifier si c’est déjà le cas ajouter:/wp-includes à l’adresse de votre site.

Comment modifier son fichier .htaccess ?

vous y avez accès avec l’extension SEO par Yoast (qui vous sert pour le référencement, version gratuite ).
En cliquant sur SEO ( dans le tableau de bord, à gauche)
> Outils > Editeur de fichiers.

Ajouter ce code au fichier .htaccess

AVANT TOUTE INTERVENTION !!
faites une sauvegarde, en copiant dans outil de note (notepad…)sur votre ordinateur.

Mon but est de vous donner les bases.Si vous voulez plus d’infos et aller plus loin, vous trouverez des articles complets sur ce sujet en faisant une recherche sur comment sécuriser le fichier htaccess de WordPress

# Désactiver l'affichage du contenu des répertoires
Options All -Indexes
# Alternative pour empêcher le listage des répertoires
IndexIgnore *
# Protéger le fichier wp-config.php

order allow,deny
deny from all

# Protéger les fichiers .htaccess et .htpasswds

order allow,deny
deny from all
satisfy all

Les articles sources:

Pour écrire cet article, je me suis servi des conseils de ces deux articles pour en faire une synthèse.

Vidéo à regarder avant de vous lancer :

Eléments à copier/coller à la suite:


# Éviter que l'on découvre l'identifiant d'un auteur

RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F]

#fin identifiant auteur

#protect wp-config

    order deny,allow
    deny from all

#fin wp config

# Protéger les fichiers .htaccess et .htpasswds

order allow,deny
deny from all
satisfy all

#fin de htaccess protect

# Mise en cache des fichiers dans le navigateur

ExpiresActive On
ExpiresDefault "access plus 1 month"

ExpiresByType text/html "access plus 0 seconds"
ExpiresByType text/xml "access plus 0 seconds"
ExpiresByType application/xml "access plus 0 seconds"
ExpiresByType application/json "access plus 0 seconds"
ExpiresByType application/pdf "access plus 0 seconds"

ExpiresByType application/rss+xml "access plus 1 hour"
ExpiresByType application/atom+xml "access plus 1 hour"

ExpiresByType application/x-font-ttf "access plus 1 month"
ExpiresByType font/opentype "access plus 1 month"
ExpiresByType application/x-font-woff "access plus 1 month"
ExpiresByType application/x-font-woff2 "access plus 1 month"
ExpiresByType image/svg+xml "access plus 1 month"
ExpiresByType application/vnd.ms-fontobject "access plus 1 month"

ExpiresByType image/jpg "access plus 1 month"
ExpiresByType image/jpeg "access plus 1 month"
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/png "access plus 1 month"

ExpiresByType video/ogg "access plus 1 month"
ExpiresByType audio/ogg "access plus 1 month"
ExpiresByType video/mp4 "access plus 1 month"
ExpiresByType video/webm "access plus 1 month"

ExpiresByType text/css "access plus 6 month"
ExpiresByType application/javascript "access plus 6 month"

ExpiresByType application/x-shockwave-flash "access plus 1 week"
ExpiresByType image/x-icon "access plus 1 week"


#fin mise en cache

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
IndexIgnore *
Options +FollowSymLinks
ServerSignature Off


# END WordPress