8 secrets essentiels de sécurité WordPress

Sep 11, 2025
Comment

Au cours des 15 dernières années, WordPress est devenu le système de gestion de contenu le plus populaire au monde. Facile à commencer avec et extrêmement polyvalent, c'est l'un des meilleures plateformes de blogs autour - la maison idéale pour votre Portefeuille de design , ou quelque chose de plus ambitieux.

Il y a un énorme assortiment de Thèmes WordPress choisir parmi, pendant que si vous n'êtes pas accusé d'un peu de code, vous trouverez des charges de Tutoriels WordPress Cela vous aidera à vous aider à saisir ses fonctionnalités plus complexes. Pour d'autres options, essayez nos guides au meilleur Générateur de site Web et hébergement Web un service.

  • Le meilleur logiciel antivirus

Un grand inconvénient de la popularité de WordPress, cependant, est que c'est une cible primordiale pour les pirates informatiques. Si vous souhaitez éviter de perdre le contrôle de votre nouveau site brillant, suivez ces conseils pour le garder en sécurité.

01. Ajouter une sécurité supplémentaire aux comptes d'utilisateurs

Lock down user permissions to prevent unauthorised access to admin areas

Verrouillez les autorisations de l'utilisateur pour empêcher l'accès non autorisé aux zones d'administration

Une grande quantité de vulnérabilité provient des comptes d'utilisateurs qui donnent volontairement accès à votre site, en particulier les rôles administrateurs et éditeurs. Si un pirate informatique gagne l'accès à l'un de ces comptes, de tout utilisateur sur le site non seulement l'administrateur principal, ils peuvent modifier la volonté sur le site Web.

Assurez-vous toujours que les comptes n'ont que l'accès dont ils ont besoin. Par exemple, si un utilisateur n'allait pas écrire des articles, envisagez de lui donner uniquement un contributeur ou un accès en éditeur, jamais d'administration. N'oubliez pas que le niveau de capacité de vos utilisateurs, en veillant à ce que toute personne ayant accès à l'administrateur ou à l'éditeur est entièrement formée pour utiliser toutes les fonctionnalités du compte pour éviter les accidents.

Vous pouvez ajouter des fonctionnalités permettant d'accéder temporairement à un certain niveau de rôle, c'est-à-dire que si vous avez un entrepreneur travaillant sur le site et qu'il a besoin d'un accès à l'administrateur temporaire, vous pourriez leur donner une heure définie pour expirer afin que vous n'ayez pas besoin de Se souvenir de révoquer leur accès plus tard dans la ligne.

Si un certain niveau de rôle n'a pas besoin de toutes les autorisations par défaut, vous pouvez installer un plug-in Rôles et autorisations pour désactiver certaines autorisations qui ne seront jamais utilisées. Vous pouvez également créer d'autres rôles avec un accès spécifique spécifique. Restreindre les utilisateurs uniquement aux autorisations dont ils ont besoin pour éviter toute utilisation abusive accidentelle ou intentionnelle d'une fonctionnalité.

Pour aider à prévenir les attaques provenant des connexions utilisateur, placez une limite sur le nombre de fois qu'un compte peut effectuer une tentative de connexion échouée avant que celui-ci soit verrouillé pendant une période de temps. Cela attrape principalement des bots qui devinent des mots de passe, mais n'oubliez pas d'avertir vos utilisateurs qu'ils ne devraient pas tenter de se connecter plus que le nombre de fois que vous avez défini dans une ligne. S'ils ne peuvent pas se souvenir de leur mot de passe et s'ils oublient leur mot de passe, ils devraient le réinitialiser au lieu d'essayer de deviner!

Il est également utile de rappeler aux utilisateurs d'utiliser des mots de passe sécurisés (plus de huit chiffres, avec des numéros supérieurs, minuscules, etc.), etc.), et de les changer de plus. Rappelez-leur de ne jamais écrire leurs mots de passe et déconnectez-vous quand ils sont terminés avec leur session pour éviter un accès non autorisé à leurs comptes.

L'authentification à deux facteurs est un niveau de sécurité supplémentaire pouvant être ajouté aux connexions. Ils ont besoin que des utilisateurs utilisent leurs auteurs authentificateurs lors de la connexion pour augmenter le nombre de références nécessaires à la norme. Les utilisateurs auront besoin d'un code supplémentaire ou d'une goupille pour vous connecter, généralement générées au hasard par une application ou envoyée à un téléphone par texte. Cela peut se sentir comme une barrière supplémentaire de se connecter pour les utilisateurs, mais c'est aussi une barrière supplémentaire pour les pirates informatiques.

02. Changer d'anciennes valeurs par défaut

Changing the name of your admin account will make a hacker's job a lot harder

Changer le nom de votre compte administrateur fera beaucoup plus de travail d'un pirate

Les nouvelles installations WordPress vous permettent de choisir un nom d'utilisateur personnalisé pour votre compte administrateur, mais si vous avez installé votre site il y a un moment, votre compte administrateur peut avoir le nom par défaut de 'admin' - cela facilite la tâche des pirates de connexion en tant que moitié. Le travail est déjà fait pour eux. Modifiez le nom d'utilisateur de l'administrateur par défaut à quelque chose d'autre pour améliorer la sécurité. Vous pouvez le faire manuellement via la base de données de la table wp_users ou créer un nouveau profil d'administrateur et supprimer l'ancien via le panneau d'administration (assurez-vous d'attribuer tous les anciens postes de compte à la nouvelle).

Vous pouvez également modifier le préfixe de la base de données par défaut sur autre chose que WP_ pour ajouter une autre couche d'obscurité à vos configurations par défaut. Le moyen le plus simple de le faire sur une installation existante est via un plugin, mais sauvegardez d'abord vos bases de données.

03. Gardez Mise à jour WordPress

Make sure you're running the latest stable build of WordPress

Assurez-vous d'exécuter la dernière construction stable de WordPress

WordPress met toujours à jour et améliore sa sécurité intégrée, assurez-vous que votre version est la plus récente de rester en avance sur les anciennes vulnérabilités et exploits. La plupart des installations WordPress sont automatiquement mis à jour, mais si vous ne le faites pas, gardez un œil sur votre panneau d'administration ou votre boîte de réception à notifier lorsque de nouvelles mises à jour sont prêtes à installer. Les pirates sont à l'affût des sites qui n'ont pas été mis à jour et que seuls 22% des sites WordPress exécutent la dernière version. Puisque WordPress fonctionne Près de 30% de tous les sites Web sur le Web C'est beaucoup de sites Web obsolètes!

Si vous exécutez un site de mise en scène, vous pouvez tester toutes les mises à jour de compatibilité avec votre thème et plugins actuels avant de pousser en direct. C'est une bonne pratique pour éviter toute mise à jour automatique en conflit accidentellement avec les installations existantes. Cela vous donne une chance d'attraper des problèmes avant d'entrer dans la production. N'oubliez pas de mettre à jour vos plugins et vos thèmes. Ce ne sont pas que des vulnérabilités de WordPress anciennes anciennes qui peuvent donner des pirates informatiques; Tout ce que vous installez sur votre site Web WordPress doit également être sécurisé. Le prochain conseil vous indiquera davantage sur le choix des plugins dignes de confiance.

04. Installer régulièrement les plugins de confiance et la maison

Not using an old plugin any more? Get rid of it!

Ne pas utiliser un ancien plugin plus? Éloignez-vous!

Il y a une tentation d'installer autant de plugins que vous rencontrez des problèmes à résoudre, mais trop de plugins peuvent causer un gonflement et qu'un plugin peu fiable puisse entraîner un risque de sécurité. Vérifiez toujours que les plugins sont dignes de confiance avant d'installer. Téléchargez via l'interface ou le site Web officiel de WordPress, et vérifiez toujours la cote d'étoile et les examens de commentaires négatifs pouvant indiquer une faille de sécurité.

Les plugins sont créés par des développeurs avec tous les niveaux de capacité différents. Même si les plugins sont vérifiés avant d'être ajoutés au site WordPress, vous devez toujours faire vos propres recherches pour vous assurer que le code que vous installez est solide.

Le site Web WordPress vous indiquera l'âge d'un plugin, quand il a été mis à jour pour la dernière fois, et surtout, s'il est compatible avec votre version de WordPress. Un plugin qui n'a pas été mis à jour dans un moment n'est pas nécessairement un mauvais, il peut simplement signifier qu'il n'avait pas besoin d'une mise à jour à cette époque. Vérifiez les commentaires récents pour confirmer que le plugin est toujours viable et qu'il est toujours compatible avec votre version. Un ancien plugin avec des critiques de basse étoile récentes et une compatibilité inconnue vaut la peine d'éviter.

Supprimer régulièrement des thèmes et des plugins inutilisés, car même un plugin désactivé peut être un risque de sécurité si une vulnérabilité est trouvée et exploitée. Gardez votre répertoire de plug-in propre. Vous ne devez avoir que des plugins installés que vous utilisez actuellement. Vérifiez les anciens plugins lorsque vous mettez à jour pour voir s'ils sont toujours compatibles.

Examinez vos plug-ins périodiquement pour vous assurer que vous avez toujours le meilleur pour le travail. Il pourrait y avoir un nouveau plugin qui combine les caractéristiques de quelques-uns que vous avez déjà et pourrait être mieux supporté, plus sécurisé et plus facile à entretenir.

05. Considérez l'hébergement géré

Managed hosting will cost you more but will prevent cross-server contamination

L'hébergement géré vous coûtera plus que vous éviterez la contamination du serveur de contre-serveur

Ce n'est pas seulement la sécurité de votre propre site dont vous avez besoin. Si vous hébergez vos sites sur des serveurs partagés, vous exécutez le risque de contamination croisée du serveur, où les pirates ont accès à un autre site et peuvent endommager d'autres sites partager le même espace. Envisager d'hébergement géré ou d'hôte privé virtuel (VPS) hébergement pour éliminer cette menace, où votre site est hébergé séparément.

Le coût est une implication évidente, mais pour des sites à fortes charges et de trafic, des serveurs dédiés peuvent améliorer les performances ainsi que la sécurité. Différents hôtes ont des solutions différentes; Comparez quelques-uns pour évaluer lesquels correspondent le mieux à vos besoins.

06. Masque, verrouillage et cache

Hide your WordPress version number and change the name of your login page

Cachez votre numéro de version WordPress et modifiez le nom de votre page de connexion.

Les pirates ont moins d'effet de levier s'ils ne savent pas où commencer. Cachez votre numéro de version WordPress à partir de votre code afin que les administrateurs savent uniquement la version de WordPress que vous utilisez. De cette façon, les pirates informatiques ne savent pas quelles vulnérabilités sont présentes à exploiter.

Déplacez votre page de connexion de / wp-login à quelque chose qui n'est pas par défaut. Cela constitue une énorme pierre d'achoppement pour les bottes d'attaque DOS et de force brute que les sites de chalut à la recherche de formulaires de connexion à la cible. Il ajoute également une valeur plus esthétique, en ce que vous pouvez modifier l'URL en quelque chose de plus mémorable pour vos utilisateurs.

Deny Accès externe à WP-CONFIG.PHP et .HTtaccess en utilisant le code suivant dans votre fichier .htaccess: 

 & lt; fichiers wp-config.php & gt;
Commande Autoriser, nier
nier de tout
& lt; / fichiers et gt;
& lt; fichiers .htaccess & gt;
Commande Autoriser, nier
nier de tout
& lt; / dossiers & gt;

Vous pouvez également désactiver l'édition de fichiers à partir du panneau Admin si vous savez que vos thèmes ne seront que modifiés via des téléchargements de fichier sur un FTP. Cela empêche toute personne ayant accès au panneau d'administration d'éditer directement des fichiers accidentellement ou en tant que pirate informatique avec une intention malveillante. Insérez le texte suivant dans votre fichier wp-config.php:

Définir ("DISLALE_FILE_EDIT", vrai);

07. Exécuter des sauvegardes fréquemment

Never forget: if it's not backed up then it's not important

N'oubliez jamais: si ce n'est pas sauvegardé, il n'est pas important

Assurez-vous que votre site est sauvegardé dans le cas où votre site est piraté et que vous devez revenir à une version propre antérieure. La fréquence à laquelle vous devriez exécuter des sauvegardes dépend de la fréquence de mise à jour de votre site.

Il fait partie intégrante de sauvegarder dans un endroit où votre site n'hérent pas à éviter toute activité malveillante sur votre hébergement WordPress à partir de vous infecter vos sauvegardes. Les sauvegardes peuvent être stockées sur votre propre ordinateur ou un service basé sur le cloud comme Google Drive, Dropbox ou Amazon S3 (Découvrez d'autres stockage en ligne options ici).

Sauvegarde dans un endroit qui n'est pas votre serveur actuel aide également si vous avez un plug-in ou un conflit de thème non impesserve et ne peut pas accéder à votre site, ou s'il existe un dysfonctionnement du serveur catastrophique et que vous perdez tout votre travail.

Des plug-ins de sauvegarde dédiés existent pour vous aider à rester sur la bonne voie, la plupart des options pour des sauvegardes planifiées ou manuelles. Les versions gratuites et Premium vous offrent différentes options, Backupbuddy étant le service payé le plus populaire car ils ont leur propre stockage tiers pour vos fichiers, ainsi que la possibilité de restaurer directement une sauvegarde. Comparez les autres plugins tels que UPDraftPlus et BackWPUP pour leurs versions GRATUITES et Premium pour voir les fonctionnalités que vous valorisez le plus.

08. Installer les plugins de sécurité et anti-spam

A good set of security plugins will keep your site safer

Un bon ensemble de plugins de sécurité gardera votre site plus sûr

De nombreuses fonctions de sécurité peuvent être ajoutées avec un plug-in complet de sécurité, tel que les Ithèmes Security ou Sucuri, qui ont tous deux des versions gratuites et primaires. Les plugins de sécurité sont livrés avec une suite d'outils pour verrouiller les vulnérabilités sur votre site, tels que ceux déjà mentionnés dans cet article; De masquer votre numéro de version, pour installer une authentification à deux facteurs pour les connexions, les listes de fonctionnalités sont souvent nombreuses.

Ces types de plugins peuvent être inestimables pour rendre votre site WordPress plus sécurisé et la plupart des plugins de sécurité sont faciles à utiliser avec une installation à un clic pour les fonctionnalités les plus importantes et une installation optionnelle pour les fonctionnalités plus avancées ou complexes. Cela les rend parfait pour les débutants WordPress, car il n'ya aucun codage nécessaire pour obtenir un site bien protégé en quelques minutes. Les utilisateurs plus avancés auront accès à des fonctionnalités qui peuvent facilement sécuriser votre site, telles que la fermeture d'un accès inutile à des protocoles tels que XML-RPC et la mise à jour des sels WordPress utilisés dans le codage.

De tels plugins contribueront à protéger votre site contre les attaques de force brute et de DOS, qui peuvent prendre vos sites hors ligne s'il y a trop de chargement sur le serveur. Ils peuvent également raffermir le processus de connexion avec des niveaux de sécurité supplémentaires afin d'éviter que vos comptes d'utilisateurs soient utilisés comme méthode d'attaque. Les journaux de numérisation de logiciels malveillants et des journaux d'activité conservent des enregistrements de tout comportement suspect ou de fichiers corrompus pour examen, vous avertissent de toutes les attaques en cours et de vous donner une idée de l'endroit où se trouvent les vulnérabilités de votre site afin que vous puissiez les résoudre.

Certains plugins de sécurité sont également livrés avec des options de sauvegarde, pour ce service tout compris. Avoir tous vos besoins de sécurité organisés par un plug-in signifie que les caractéristiques sont faciles à organiser, avec moins de risques de conflit entre plug-ins similaire. Assurez-vous de faire vos recherches, cependant, car ce plugin sera la chose debout dans la voie de votre site et que quiconque souhaitait causer des dommages. Vous devrez en choisir un qui fera le travail admirablement.

De plus, un plugin anti-spam, tel que Akismet, gardera des spammeurs de votre site avec des commentaires non liés. Si votre plugin de sécurité ne fonctionne pas déjà, cela peut aider le plug-in de sécurité en ajoutant une couche supplémentaire de sécurité à votre interaction communautaire en utilisant des outils de validation tels que CAPTCHA et d'autres appareils anti-bot pour vous assurer que seules les personnes réelles commencent. Un plug-in anti-spam aide à garder votre site propre, ainsi que votre base de données dans les coulisses. Le dépistage des commentaires précieux a le bonus supplémentaire de donner à votre contenu plus de poids en montrant seulement un engagement approprié des lecteurs.

Chaque plugin est livré avec ses propres outils différents, comparez les options pour quelque chose qui convient à vos besoins. Considérons des versions premium de plugins pour des fonctionnalités supplémentaires car cela fait partie intégrante de votre site et de manière générale, les plugins payants vous donneront le service le plus complet. Idéalement, vous voulez une suite qui couvre au moins les bases de la sécurité, telles que les autres conseils nommés dans cet article.

Cet article a été publié à l'origine dans le numéro 272 de la création Web Design Magazine Web Designer. Achetez le numéro 272 ici ou Abonnez-vous à Web Designer ici .

Articles Liés:

  • 37 meilleurs thèmes WordPress gratuits
  • 9 conseils de sécurité pour protéger votre site Web de pirates
  • Power Un blog à l'aide de l'API WordPress

Comment - Most Popular Articles

Jamstack: Construisez des sites plus rapides et plus efficaces aujourd'hui

Comment Sep 11, 2025

[DIX] [DIX] [DIX] [dix] (Crédit d'image: Ford / Joseph Ford) [DIX] Jamstack Est une..

Principale étape: comment imiter la peinture à l'huile dans le peintre Corel

Comment Sep 11, 2025

Il ne se sent que hier quand j'étais à jouer avec des amis de lycée dans des mondes fantastiques pleins de chevaliers, de magiciens, de barbares et de trésors cachés dans des donjons. En..

Créer des nuages ​​avec Fumefx pour 3Ds max

Comment Sep 11, 2025

[dix] [dix] [dix] [dix] Ce guide étape par étape est défini pour révéler comment faire la créat..

10 conseils pour la maîtrise de l'application Photos Apple

Comment Sep 11, 2025

[dix] [dix] [dix] [dix] L'application MacOS photos a commencé la vie comme IPhoto: une application d..

Dessine une geisha Bad-Ass

Comment Sep 11, 2025

[dix] [dix] [dix] [dix] Dans cette illustration de Geisha, je voulais capturer une ambiance urbaine g..

Personnages de jeux de niveau de niveau avec montage créatif

Comment Sep 11, 2025

[dix] [dix] [dix] [dix] Avec une grande variété de créatures et de personnages redoutables pour cr..

Faites un composite dans Photoshop

Comment Sep 11, 2025

Adobe lance une nouvelle série de tutoriels vidéo aujourd'hui appelés le faire maintenant, ce qui vise à décrire comment créer des projets de conception spécifiques utilisant divers ..

Le guide ultime pour composer des images dans Photoshop

Comment Sep 11, 2025

[dix] [dix] [dix] [dix] Parmi tous les projets Photoshop, la composition d'images dans un cadre fanta..

Catégories