1. Gardez WordPress \u00e0 jour<\/h2>\n\n- Si, lorsque vous vous connectez \u00e0 votre tableau de bord, vous voyez qu\u2019une mise \u00e0 jour est disponible, installez-la d\u00e8s que possible<\/strong>.<\/li>\n
- Ne vous laissez pas arr\u00eater par la crainte que votre site ne fonctionne plus correctement du fait qu\u2019un des plugins ou un des th\u00e8mes n\u2019est pas compatible avec cette nouvelle version.<\/li>\n
- Faites toujours une sauvegarde<\/strong> avant l\u2019installation, de mani\u00e8re \u00e0 pouvoir revenir \u00e0 l\u2019ancienne version (si n\u00e9cessaire).<\/li>\n<\/ul>\n
<\/p>\n
2. Pour les plugins et les th\u00e8mes, jouez la carte de la s\u00e9curit\u00e9<\/h2>\n\n- Veillez \u00e9galement \u00e0 garder les plugins et les th\u00e8mes \u00e0 jour<\/strong>. Ils peuvent en effet \u00eatre une porte d\u00e9rob\u00e9e qui donne acc\u00e8s \u00e0 la partie d\u00e9di\u00e9e \u00e0 l\u2019administration de votre site\u00a0! Pensez-y\u00a0: d\u2019apr\u00e8s la plupart des sources, dans l\u2019affaire des Panama Papers, les informations auraient \u00e9t\u00e9 d\u00e9tourn\u00e9es via un plugin obsol\u00e8te qui n\u2019avait pas \u00e9t\u00e9 mis \u00e0 jour \u00e0 temps\u00a0!<\/li>\n
- Supprimez les plugins et les th\u00e8mes que vous n\u2019utilisez pas<\/strong>. Il ne suffit pas de les d\u00e9sactiver.<\/li>\n
- Ne t\u00e9l\u00e9chargez que les plugins et les th\u00e8mes provenant de sources fiables<\/strong>, comme le Theme Directory<\/a> et le Plugin Directory<\/a> propos\u00e9s par WordPress m\u00eame, les sites de d\u00e9veloppeurs tels que org<\/a> ou les sites qui jouissent d\u2019une excellente r\u00e9putation, comme p. ex. Themeforest<\/a>.<\/li>\n<\/ul>\n
<\/p>\n
3. Prenez de bonnes habitudes en mati\u00e8re de mots de passe<\/h2>\n\n![\"S\u00e9curisez](\"https:\/\/www.combell.com\/fr\/blog\/files\/2016\/05\/S\u00e9curisez-vos-WordPress-plugins.png\" "\\"S\u00e9curisez")
N\u2019utilisez jamais \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019utilisateur<\/strong>. Pour leurs attaques, les hackers partent \u00e0 la recherche de sites qui utilisent \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019administrateur. L\u2019avez-vous fait malgr\u00e9 tout\u00a0? Dans ce cas, suivez les instructions fournies dans cette vid\u00e9o pour modifier le nom de l\u2019administrateur\/utilisateur<\/a>.<\/li>\n- Utilisez un mot de passe difficile \u00e0 trouver<\/strong>, compos\u00e9 de chiffres et de lettres minuscules et majuscules. Depuis la version 3.7, WordPress propose un outil qui indique \u00e0 quel point le mot de passe est s\u00fbr.<\/li>\n
- Modifiez r\u00e9guli\u00e8rement votre mot de passe\u00a0<\/strong>; utilisez un gestionnaire de mots de passe comme 1Password<\/a> ou Lastpass<\/a>, qui retiendra vos mots de passe pour vous.<\/li>\n
- Veillez \u00e0 ce que vos utilisateurs utilisent eux aussi <\/strong>des noms d\u2019utilisateur et des mots de passe difficiles \u00e0 trouver.<\/li>\n
- N\u2019utilisez JAMAIS<\/strong> le m\u00eame mot de passe pour plusieurs sites.<\/li>\n<\/ul>\n
<\/p>\n
4. Limitez le nombre de connexions<\/h2>\n
Les hackers utilisent souvent des attaques par \u00ab\u00a0force brute\u00a0\u00bb<\/strong>, via lesquelles ils effectuent de tr\u00e8s nombreuses tentatives de connexion au site, jusqu\u2019\u00e0 ce qu\u2019ils aient devin\u00e9 le mot de passe. Prenez donc les mesures suivantes\u00a0:<\/p>\n\n- Installez un plugin qui limite le nombre de fois<\/strong> qu\u2019un utilisateur peut tenter de se connecter depuis une certaine adresse IP dans un certain laps de temps, comme p. ex. Login LockDown<\/a>. Ce genre d\u2019outil est g\u00e9n\u00e9ralement inclus dans des packs de s\u00e9curit\u00e9, qui offrent bien d\u2019autres fonctions de s\u00e9curit\u00e9, comme iThemes Security<\/a> ou Securi Scanner<\/a>.<\/li>\n
- Si vous visez une s\u00e9curit\u00e9 maximale, utilisez l\u2019authentification \u00e0 deux facteurs<\/strong>, qui exigera l\u2019utilisation d\u2019un mot de passe et d\u2019un \u00ab\u00a0token\u00a0\u00bb (un code envoy\u00e9 par SMS sur votre t\u00e9l\u00e9phone). Les plugins Clef<\/a> ou Duo<\/a> permettent p. ex. une authentification \u00e0 deux facteurs.<\/li>\n<\/ul>\n
<\/p>\n
5. Limitez le nombre d\u2019utilisateurs poss\u00e9dant des droits<\/h2>\n
Si vous travaillez sur un site web avec une \u00e9quipe, attribuez \u00e0 chaque membre de l\u2019\u00e9quipe le r\u00f4le qui lui convient lors de la cr\u00e9ation de son compte sur votre site\u00a0:<\/p>\n
\n- Administrator<\/strong> (Gestionnaire)\u00a0: g\u00e8re l\u2019enti\u00e8ret\u00e9 du site web, se charge des mises \u00e0 jour des plugins et des th\u00e8mes, cr\u00e9e des comptes d\u2019utilisateurs et les g\u00e8re, peut modifier le code du site web. Limitez le nombre d\u2019utilisateurs ayant ce r\u00f4le au strict minimum.<\/li>\n
- Editor<\/strong> (R\u00e9dacteur)\u00a0: cr\u00e9e, modifie et publie ses messages et ceux des autres.<\/li>\n
- Author<\/strong> (Auteur)\u00a0: cr\u00e9e, modifie et publie des messages.<\/li>\n
- Contributor <\/strong>(Contributeur)\u00a0: cr\u00e9e des messages, mais ne peut pas les publier (c\u2019est un gestionnaire ou un r\u00e9dacteur qui doit le faire pour lui).<\/li>\n
- Subscriber<\/strong> (Abonn\u00e9)\u00a0: un invit\u00e9 qui a cr\u00e9\u00e9 un compte, de mani\u00e8re \u00e0 ne pas devoir \u00e0 chaque fois r\u00e9introduire ses identifiants lorsqu\u2019il souhaite r\u00e9agir \u00e0 un article.<\/li>\n<\/ul>\n
<\/p>\n
La r\u00e8gle d\u2019or\u00a0: ne vous connectez pas en tant que gestionnaire lorsque vous ne devez effectuer aucune op\u00e9ration d\u2019entretien.<\/p><\/blockquote>\n
<\/p>\n
6. Ex\u00e9cutez des analyses de s\u00e9curit\u00e9<\/h2>\n
Tout comme, sur votre ordinateur, vous avez un antivirus qui v\u00e9rifie si des virus ou logiciels malveillants sont install\u00e9s sur votre machine, vous devriez en fait aussi utiliser ce m\u00eame genre de programme pour WordPress. Celui-ci analysera le code de vos plug-ins, vos fichiers du noyau et vos th\u00e8mes pour s\u2019assurer que personne ne l\u2019ait modifi\u00e9. Theme Authenticity Checker<\/a>, Antivirus<\/a> et Sucuri Security<\/a> font partie des logiciels les plus populaires.<\/p>\n <\/p>\n
7. Surveillez l\u2019activit\u00e9 dans votre tableau de bord<\/h2>\n
Installez un outil qui permet de garder un \u0153il sur ce qui se passe dans votre module d\u2019administration.<\/strong> WordPress enregistre automatiquement ces informations, mais les donn\u00e9es ne sont pas faciles \u00e0 lire. Utilisez donc WP Security Audit Log<\/a>, Aryo Activity Log<\/a> ou Simple History<\/a>. Lorsque quelque chose ne tourne pas rond sur votre site, vous pouvez revenir en arri\u00e8re jusqu\u2019au moment crucial (l\u2019installation d\u2019un certain plugin, une modification dans votre code, le t\u00e9l\u00e9chargement d\u2019un fichier\u2026).<\/p>\n <\/p>\n
8. Toujours HTTPS\u00a0!<\/h2>\n
Chaque fois que vous vous connectez \u00e0 votre tableau de bord, votre navigateur joint un cookie d\u2019authentification \u00e0 la requ\u00eate qui est envoy\u00e9e au serveur. Si la communication n\u2019est pas chiffr\u00e9e, une autre personne peut intercepter ce cookie et l\u2019utiliser pour se connecter au serveur et ex\u00e9cuter des commandes.<\/p>\n
En utilisant le protocole https, la communication (y compris le cookie) est chiffr\u00e9e. Pour ce faire, vous avez cependant besoin d\u2019un certificat SSL. N\u2019h\u00e9sitez pas \u00e0 consulter nos articles \u00ab\u00a0SSL : qu\u2019est-ce que c\u2019est et comment cela fonctionne-t-il ?<\/a>\u00a0\u00bb\u00a0et \u00ab\u00a0Le certificat SSL : que devez-vous faire au juste ?<\/a> \u00a0\u00bb<\/p>\n\nUtilisez l\u2019assistant SSL qui vous aidera \u00e0 choisir le certificat SSL adapt\u00e9 \u00e0 vos besoins<\/a><\/p>\n<\/div>\n <\/p>\n
9. Choisissez un h\u00e9bergement de qualit\u00e9<\/h2>\n
![\"H\u00e9bergement](\"https:\/\/www.combell.com\/fr\/blog\/files\/2016\/04\/Combell-Shield-arr\u00eate-les-attaques.jpg\" "\\"H\u00e9bergement")
Sans un bon h\u00e9bergeur, tous vos efforts seront vains. D\u2019apr\u00e8s les experts en s\u00e9curit\u00e9 de WP White Security<\/a>, 41 % des piratages de sites WordPress seraient dus \u00e0 des failles de s\u00e9curit\u00e9 sur l\u2019h\u00f4te m\u00eame. Choisissez donc votre h\u00e9bergeur avec grand soin\u00a0!<\/p>\nUn fournisseur d\u2019h\u00e9bergement infog\u00e9r\u00e9 qui se sp\u00e9cialise dans les syst\u00e8mes de gestion de contenu, comme les diff\u00e9rentes formules d\u2019h\u00e9bergement WordPress de Combell<\/a>, offre g\u00e9n\u00e9ralement (outre l\u2019h\u00e9bergement) un pare-feu<\/strong>, lance r\u00e9guli\u00e8rement des analyses dans le but de d\u00e9tecter d\u2019\u00e9ventuels logiciels malveillants<\/strong>, veille \u00e0 ce que PHP et MySQL soient \u00e0 jour<\/strong>, et dispose d\u2019une \u00e9quipe d\u2019assistance <\/strong>qui conna\u00eet WordPress sur le bout des doigts.<\/p>\n <\/p>\n
10. Restez toujours sur vos gardes<\/h2>\n
Soyez toujours prudent et faites surtout attention aux choses suivantes\u00a0:<\/p>\n
\n- Ne vous connectez pas \u00e0 votre compte d\u2019administrateur depuis un r\u00e9seau Wi-Fi public (comme p. ex. chez Starbucks ou dans un h\u00f4tel).<\/li>\n
- Utilisez exclusivement une connexion Internet de confiance, comme celle de votre domicile ou de votre bureau.<\/li>\n
- Utilisez de pr\u00e9f\u00e9rence un RPV (R\u00e9seau Priv\u00e9 Virtuel).<\/li>\n
- Pensez comme un hacker\u00a0: quels sont les points les plus vuln\u00e9rables de mon installation\u00a0? Comment quelqu\u2019un pourrait-il facilement p\u00e9n\u00e9trer dans mon syst\u00e8me\u00a0?<\/li>\n
- En tant que d\u00e9veloppeur, vous ne devriez jamais faire confiance les yeux ferm\u00e9s au contenu de vos utilisateurs.<\/li>\n
- Partez de l\u2019hypoth\u00e8se qu\u2019il y aura toujours quelqu\u2019un qui tentera de pirater votre site.<\/li>\n<\/ul>\n
Les astuces ci-dessus ne requi\u00e8rent aucune connaissance technique particuli\u00e8re. Il suffit d\u2019avoir un brin de bon sens et d\u2019\u00eatre habitu\u00e9 \u00e0 installer des plugins. Dans un prochain article, nous approfondirons la question et vous fournirons des exemples concrets de codes que vous pourrez ajouter et des param\u00e8tres que vous pourrez modifier pour rendre votre site WordPress encore plus s\u00fbr. <\/em><\/p>\nLISEZ AUSSI:\u00a0Panama Papers\u00a0: une faille d\u2019un plug-in de WordPress aux cons\u00e9quences tr\u00e8s f\u00e2cheuses<\/a><\/strong><\/p>\n
<\/p>\n
2. Pour les plugins et les th\u00e8mes, jouez la carte de la s\u00e9curit\u00e9<\/h2>\n\n- Veillez \u00e9galement \u00e0 garder les plugins et les th\u00e8mes \u00e0 jour<\/strong>. Ils peuvent en effet \u00eatre une porte d\u00e9rob\u00e9e qui donne acc\u00e8s \u00e0 la partie d\u00e9di\u00e9e \u00e0 l\u2019administration de votre site\u00a0! Pensez-y\u00a0: d\u2019apr\u00e8s la plupart des sources, dans l\u2019affaire des Panama Papers, les informations auraient \u00e9t\u00e9 d\u00e9tourn\u00e9es via un plugin obsol\u00e8te qui n\u2019avait pas \u00e9t\u00e9 mis \u00e0 jour \u00e0 temps\u00a0!<\/li>\n
- Supprimez les plugins et les th\u00e8mes que vous n\u2019utilisez pas<\/strong>. Il ne suffit pas de les d\u00e9sactiver.<\/li>\n
- Ne t\u00e9l\u00e9chargez que les plugins et les th\u00e8mes provenant de sources fiables<\/strong>, comme le Theme Directory<\/a> et le Plugin Directory<\/a> propos\u00e9s par WordPress m\u00eame, les sites de d\u00e9veloppeurs tels que org<\/a> ou les sites qui jouissent d\u2019une excellente r\u00e9putation, comme p. ex. Themeforest<\/a>.<\/li>\n<\/ul>\n
<\/p>\n
3. Prenez de bonnes habitudes en mati\u00e8re de mots de passe<\/h2>\n\n- N\u2019utilisez jamais \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019utilisateur<\/strong>. Pour leurs attaques, les hackers partent \u00e0 la recherche de sites qui utilisent \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019administrateur. L\u2019avez-vous fait malgr\u00e9 tout\u00a0? Dans ce cas, suivez les instructions fournies dans cette vid\u00e9o pour modifier le nom de l\u2019administrateur\/utilisateur<\/a>.<\/li>\n
- Utilisez un mot de passe difficile \u00e0 trouver<\/strong>, compos\u00e9 de chiffres et de lettres minuscules et majuscules. Depuis la version 3.7, WordPress propose un outil qui indique \u00e0 quel point le mot de passe est s\u00fbr.<\/li>\n
- Modifiez r\u00e9guli\u00e8rement votre mot de passe\u00a0<\/strong>; utilisez un gestionnaire de mots de passe comme 1Password<\/a> ou Lastpass<\/a>, qui retiendra vos mots de passe pour vous.<\/li>\n
- Veillez \u00e0 ce que vos utilisateurs utilisent eux aussi <\/strong>des noms d\u2019utilisateur et des mots de passe difficiles \u00e0 trouver.<\/li>\n
- N\u2019utilisez JAMAIS<\/strong> le m\u00eame mot de passe pour plusieurs sites.<\/li>\n<\/ul>\n
<\/p>\n
4. Limitez le nombre de connexions<\/h2>\n
Les hackers utilisent souvent des attaques par \u00ab\u00a0force brute\u00a0\u00bb<\/strong>, via lesquelles ils effectuent de tr\u00e8s nombreuses tentatives de connexion au site, jusqu\u2019\u00e0 ce qu\u2019ils aient devin\u00e9 le mot de passe. Prenez donc les mesures suivantes\u00a0:<\/p>\n\n- Installez un plugin qui limite le nombre de fois<\/strong> qu\u2019un utilisateur peut tenter de se connecter depuis une certaine adresse IP dans un certain laps de temps, comme p. ex. Login LockDown<\/a>. Ce genre d\u2019outil est g\u00e9n\u00e9ralement inclus dans des packs de s\u00e9curit\u00e9, qui offrent bien d\u2019autres fonctions de s\u00e9curit\u00e9, comme iThemes Security<\/a> ou Securi Scanner<\/a>.<\/li>\n
- Si vous visez une s\u00e9curit\u00e9 maximale, utilisez l\u2019authentification \u00e0 deux facteurs<\/strong>, qui exigera l\u2019utilisation d\u2019un mot de passe et d\u2019un \u00ab\u00a0token\u00a0\u00bb (un code envoy\u00e9 par SMS sur votre t\u00e9l\u00e9phone). Les plugins Clef<\/a> ou Duo<\/a> permettent p. ex. une authentification \u00e0 deux facteurs.<\/li>\n<\/ul>\n
<\/p>\n
5. Limitez le nombre d\u2019utilisateurs poss\u00e9dant des droits<\/h2>\n
Si vous travaillez sur un site web avec une \u00e9quipe, attribuez \u00e0 chaque membre de l\u2019\u00e9quipe le r\u00f4le qui lui convient lors de la cr\u00e9ation de son compte sur votre site\u00a0:<\/p>\n
\n- Administrator<\/strong> (Gestionnaire)\u00a0: g\u00e8re l\u2019enti\u00e8ret\u00e9 du site web, se charge des mises \u00e0 jour des plugins et des th\u00e8mes, cr\u00e9e des comptes d\u2019utilisateurs et les g\u00e8re, peut modifier le code du site web. Limitez le nombre d\u2019utilisateurs ayant ce r\u00f4le au strict minimum.<\/li>\n
- Editor<\/strong> (R\u00e9dacteur)\u00a0: cr\u00e9e, modifie et publie ses messages et ceux des autres.<\/li>\n
- Author<\/strong> (Auteur)\u00a0: cr\u00e9e, modifie et publie des messages.<\/li>\n
- Contributor <\/strong>(Contributeur)\u00a0: cr\u00e9e des messages, mais ne peut pas les publier (c\u2019est un gestionnaire ou un r\u00e9dacteur qui doit le faire pour lui).<\/li>\n
- Subscriber<\/strong> (Abonn\u00e9)\u00a0: un invit\u00e9 qui a cr\u00e9\u00e9 un compte, de mani\u00e8re \u00e0 ne pas devoir \u00e0 chaque fois r\u00e9introduire ses identifiants lorsqu\u2019il souhaite r\u00e9agir \u00e0 un article.<\/li>\n<\/ul>\n
<\/p>\n
La r\u00e8gle d\u2019or\u00a0: ne vous connectez pas en tant que gestionnaire lorsque vous ne devez effectuer aucune op\u00e9ration d\u2019entretien.<\/p><\/blockquote>\n
<\/p>\n
6. Ex\u00e9cutez des analyses de s\u00e9curit\u00e9<\/h2>\n
Tout comme, sur votre ordinateur, vous avez un antivirus qui v\u00e9rifie si des virus ou logiciels malveillants sont install\u00e9s sur votre machine, vous devriez en fait aussi utiliser ce m\u00eame genre de programme pour WordPress. Celui-ci analysera le code de vos plug-ins, vos fichiers du noyau et vos th\u00e8mes pour s\u2019assurer que personne ne l\u2019ait modifi\u00e9. Theme Authenticity Checker<\/a>, Antivirus<\/a> et Sucuri Security<\/a> font partie des logiciels les plus populaires.<\/p>\n <\/p>\n
7. Surveillez l\u2019activit\u00e9 dans votre tableau de bord<\/h2>\n
Installez un outil qui permet de garder un \u0153il sur ce qui se passe dans votre module d\u2019administration.<\/strong> WordPress enregistre automatiquement ces informations, mais les donn\u00e9es ne sont pas faciles \u00e0 lire. Utilisez donc WP Security Audit Log<\/a>, Aryo Activity Log<\/a> ou Simple History<\/a>. Lorsque quelque chose ne tourne pas rond sur votre site, vous pouvez revenir en arri\u00e8re jusqu\u2019au moment crucial (l\u2019installation d\u2019un certain plugin, une modification dans votre code, le t\u00e9l\u00e9chargement d\u2019un fichier\u2026).<\/p>\n <\/p>\n
8. Toujours HTTPS\u00a0!<\/h2>\n
Chaque fois que vous vous connectez \u00e0 votre tableau de bord, votre navigateur joint un cookie d\u2019authentification \u00e0 la requ\u00eate qui est envoy\u00e9e au serveur. Si la communication n\u2019est pas chiffr\u00e9e, une autre personne peut intercepter ce cookie et l\u2019utiliser pour se connecter au serveur et ex\u00e9cuter des commandes.<\/p>\n
En utilisant le protocole https, la communication (y compris le cookie) est chiffr\u00e9e. Pour ce faire, vous avez cependant besoin d\u2019un certificat SSL. N\u2019h\u00e9sitez pas \u00e0 consulter nos articles \u00ab\u00a0SSL : qu\u2019est-ce que c\u2019est et comment cela fonctionne-t-il ?<\/a>\u00a0\u00bb\u00a0et \u00ab\u00a0Le certificat SSL : que devez-vous faire au juste ?<\/a> \u00a0\u00bb<\/p>\n\nUtilisez l\u2019assistant SSL qui vous aidera \u00e0 choisir le certificat SSL adapt\u00e9 \u00e0 vos besoins<\/a><\/p>\n<\/div>\n <\/p>\n
9. Choisissez un h\u00e9bergement de qualit\u00e9<\/h2>\n
Sans un bon h\u00e9bergeur, tous vos efforts seront vains. D\u2019apr\u00e8s les experts en s\u00e9curit\u00e9 de WP White Security<\/a>, 41 % des piratages de sites WordPress seraient dus \u00e0 des failles de s\u00e9curit\u00e9 sur l\u2019h\u00f4te m\u00eame. Choisissez donc votre h\u00e9bergeur avec grand soin\u00a0!<\/p>\nUn fournisseur d\u2019h\u00e9bergement infog\u00e9r\u00e9 qui se sp\u00e9cialise dans les syst\u00e8mes de gestion de contenu, comme les diff\u00e9rentes formules d\u2019h\u00e9bergement WordPress de Combell<\/a>, offre g\u00e9n\u00e9ralement (outre l\u2019h\u00e9bergement) un pare-feu<\/strong>, lance r\u00e9guli\u00e8rement des analyses dans le but de d\u00e9tecter d\u2019\u00e9ventuels logiciels malveillants<\/strong>, veille \u00e0 ce que PHP et MySQL soient \u00e0 jour<\/strong>, et dispose d\u2019une \u00e9quipe d\u2019assistance <\/strong>qui conna\u00eet WordPress sur le bout des doigts.<\/p>\n <\/p>\n
10. Restez toujours sur vos gardes<\/h2>\n
Soyez toujours prudent et faites surtout attention aux choses suivantes\u00a0:<\/p>\n
\n- Ne vous connectez pas \u00e0 votre compte d\u2019administrateur depuis un r\u00e9seau Wi-Fi public (comme p. ex. chez Starbucks ou dans un h\u00f4tel).<\/li>\n
- Utilisez exclusivement une connexion Internet de confiance, comme celle de votre domicile ou de votre bureau.<\/li>\n
- Utilisez de pr\u00e9f\u00e9rence un RPV (R\u00e9seau Priv\u00e9 Virtuel).<\/li>\n
- Pensez comme un hacker\u00a0: quels sont les points les plus vuln\u00e9rables de mon installation\u00a0? Comment quelqu\u2019un pourrait-il facilement p\u00e9n\u00e9trer dans mon syst\u00e8me\u00a0?<\/li>\n
- En tant que d\u00e9veloppeur, vous ne devriez jamais faire confiance les yeux ferm\u00e9s au contenu de vos utilisateurs.<\/li>\n
- Partez de l\u2019hypoth\u00e8se qu\u2019il y aura toujours quelqu\u2019un qui tentera de pirater votre site.<\/li>\n<\/ul>\n
Les astuces ci-dessus ne requi\u00e8rent aucune connaissance technique particuli\u00e8re. Il suffit d\u2019avoir un brin de bon sens et d\u2019\u00eatre habitu\u00e9 \u00e0 installer des plugins. Dans un prochain article, nous approfondirons la question et vous fournirons des exemples concrets de codes que vous pourrez ajouter et des param\u00e8tres que vous pourrez modifier pour rendre votre site WordPress encore plus s\u00fbr. <\/em><\/p>\nLISEZ AUSSI:\u00a0Panama Papers\u00a0: une faille d\u2019un plug-in de WordPress aux cons\u00e9quences tr\u00e8s f\u00e2cheuses<\/a><\/strong><\/p>\n
<\/p>\n
3. Prenez de bonnes habitudes en mati\u00e8re de mots de passe<\/h2>\n\n- N\u2019utilisez jamais \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019utilisateur<\/strong>. Pour leurs attaques, les hackers partent \u00e0 la recherche de sites qui utilisent \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019administrateur. L\u2019avez-vous fait malgr\u00e9 tout\u00a0? Dans ce cas, suivez les instructions fournies dans cette vid\u00e9o pour modifier le nom de l\u2019administrateur\/utilisateur<\/a>.<\/li>\n
- Utilisez un mot de passe difficile \u00e0 trouver<\/strong>, compos\u00e9 de chiffres et de lettres minuscules et majuscules. Depuis la version 3.7, WordPress propose un outil qui indique \u00e0 quel point le mot de passe est s\u00fbr.<\/li>\n
- Modifiez r\u00e9guli\u00e8rement votre mot de passe\u00a0<\/strong>; utilisez un gestionnaire de mots de passe comme 1Password<\/a> ou Lastpass<\/a>, qui retiendra vos mots de passe pour vous.<\/li>\n
- Veillez \u00e0 ce que vos utilisateurs utilisent eux aussi <\/strong>des noms d\u2019utilisateur et des mots de passe difficiles \u00e0 trouver.<\/li>\n
- N\u2019utilisez JAMAIS<\/strong> le m\u00eame mot de passe pour plusieurs sites.<\/li>\n<\/ul>\n
<\/p>\n
4. Limitez le nombre de connexions<\/h2>\n
Les hackers utilisent souvent des attaques par \u00ab\u00a0force brute\u00a0\u00bb<\/strong>, via lesquelles ils effectuent de tr\u00e8s nombreuses tentatives de connexion au site, jusqu\u2019\u00e0 ce qu\u2019ils aient devin\u00e9 le mot de passe. Prenez donc les mesures suivantes\u00a0:<\/p>\n\n- Installez un plugin qui limite le nombre de fois<\/strong> qu\u2019un utilisateur peut tenter de se connecter depuis une certaine adresse IP dans un certain laps de temps, comme p. ex. Login LockDown<\/a>. Ce genre d\u2019outil est g\u00e9n\u00e9ralement inclus dans des packs de s\u00e9curit\u00e9, qui offrent bien d\u2019autres fonctions de s\u00e9curit\u00e9, comme iThemes Security<\/a> ou Securi Scanner<\/a>.<\/li>\n
- Si vous visez une s\u00e9curit\u00e9 maximale, utilisez l\u2019authentification \u00e0 deux facteurs<\/strong>, qui exigera l\u2019utilisation d\u2019un mot de passe et d\u2019un \u00ab\u00a0token\u00a0\u00bb (un code envoy\u00e9 par SMS sur votre t\u00e9l\u00e9phone). Les plugins Clef<\/a> ou Duo<\/a> permettent p. ex. une authentification \u00e0 deux facteurs.<\/li>\n<\/ul>\n
<\/p>\n
5. Limitez le nombre d\u2019utilisateurs poss\u00e9dant des droits<\/h2>\n
Si vous travaillez sur un site web avec une \u00e9quipe, attribuez \u00e0 chaque membre de l\u2019\u00e9quipe le r\u00f4le qui lui convient lors de la cr\u00e9ation de son compte sur votre site\u00a0:<\/p>\n
\n- Administrator<\/strong> (Gestionnaire)\u00a0: g\u00e8re l\u2019enti\u00e8ret\u00e9 du site web, se charge des mises \u00e0 jour des plugins et des th\u00e8mes, cr\u00e9e des comptes d\u2019utilisateurs et les g\u00e8re, peut modifier le code du site web. Limitez le nombre d\u2019utilisateurs ayant ce r\u00f4le au strict minimum.<\/li>\n
- Editor<\/strong> (R\u00e9dacteur)\u00a0: cr\u00e9e, modifie et publie ses messages et ceux des autres.<\/li>\n
- Author<\/strong> (Auteur)\u00a0: cr\u00e9e, modifie et publie des messages.<\/li>\n
- Contributor <\/strong>(Contributeur)\u00a0: cr\u00e9e des messages, mais ne peut pas les publier (c\u2019est un gestionnaire ou un r\u00e9dacteur qui doit le faire pour lui).<\/li>\n
- Subscriber<\/strong> (Abonn\u00e9)\u00a0: un invit\u00e9 qui a cr\u00e9\u00e9 un compte, de mani\u00e8re \u00e0 ne pas devoir \u00e0 chaque fois r\u00e9introduire ses identifiants lorsqu\u2019il souhaite r\u00e9agir \u00e0 un article.<\/li>\n<\/ul>\n
<\/p>\n
La r\u00e8gle d\u2019or\u00a0: ne vous connectez pas en tant que gestionnaire lorsque vous ne devez effectuer aucune op\u00e9ration d\u2019entretien.<\/p><\/blockquote>\n
<\/p>\n
6. Ex\u00e9cutez des analyses de s\u00e9curit\u00e9<\/h2>\n
Tout comme, sur votre ordinateur, vous avez un antivirus qui v\u00e9rifie si des virus ou logiciels malveillants sont install\u00e9s sur votre machine, vous devriez en fait aussi utiliser ce m\u00eame genre de programme pour WordPress. Celui-ci analysera le code de vos plug-ins, vos fichiers du noyau et vos th\u00e8mes pour s\u2019assurer que personne ne l\u2019ait modifi\u00e9. Theme Authenticity Checker<\/a>, Antivirus<\/a> et Sucuri Security<\/a> font partie des logiciels les plus populaires.<\/p>\n <\/p>\n
7. Surveillez l\u2019activit\u00e9 dans votre tableau de bord<\/h2>\n
Installez un outil qui permet de garder un \u0153il sur ce qui se passe dans votre module d\u2019administration.<\/strong> WordPress enregistre automatiquement ces informations, mais les donn\u00e9es ne sont pas faciles \u00e0 lire. Utilisez donc WP Security Audit Log<\/a>, Aryo Activity Log<\/a> ou Simple History<\/a>. Lorsque quelque chose ne tourne pas rond sur votre site, vous pouvez revenir en arri\u00e8re jusqu\u2019au moment crucial (l\u2019installation d\u2019un certain plugin, une modification dans votre code, le t\u00e9l\u00e9chargement d\u2019un fichier\u2026).<\/p>\n <\/p>\n
8. Toujours HTTPS\u00a0!<\/h2>\n
Chaque fois que vous vous connectez \u00e0 votre tableau de bord, votre navigateur joint un cookie d\u2019authentification \u00e0 la requ\u00eate qui est envoy\u00e9e au serveur. Si la communication n\u2019est pas chiffr\u00e9e, une autre personne peut intercepter ce cookie et l\u2019utiliser pour se connecter au serveur et ex\u00e9cuter des commandes.<\/p>\n
En utilisant le protocole https, la communication (y compris le cookie) est chiffr\u00e9e. Pour ce faire, vous avez cependant besoin d\u2019un certificat SSL. N\u2019h\u00e9sitez pas \u00e0 consulter nos articles \u00ab\u00a0SSL : qu\u2019est-ce que c\u2019est et comment cela fonctionne-t-il ?<\/a>\u00a0\u00bb\u00a0et \u00ab\u00a0Le certificat SSL : que devez-vous faire au juste ?<\/a> \u00a0\u00bb<\/p>\n\nUtilisez l\u2019assistant SSL qui vous aidera \u00e0 choisir le certificat SSL adapt\u00e9 \u00e0 vos besoins<\/a><\/p>\n<\/div>\n <\/p>\n
9. Choisissez un h\u00e9bergement de qualit\u00e9<\/h2>\n
Sans un bon h\u00e9bergeur, tous vos efforts seront vains. D\u2019apr\u00e8s les experts en s\u00e9curit\u00e9 de WP White Security<\/a>, 41 % des piratages de sites WordPress seraient dus \u00e0 des failles de s\u00e9curit\u00e9 sur l\u2019h\u00f4te m\u00eame. Choisissez donc votre h\u00e9bergeur avec grand soin\u00a0!<\/p>\nUn fournisseur d\u2019h\u00e9bergement infog\u00e9r\u00e9 qui se sp\u00e9cialise dans les syst\u00e8mes de gestion de contenu, comme les diff\u00e9rentes formules d\u2019h\u00e9bergement WordPress de Combell<\/a>, offre g\u00e9n\u00e9ralement (outre l\u2019h\u00e9bergement) un pare-feu<\/strong>, lance r\u00e9guli\u00e8rement des analyses dans le but de d\u00e9tecter d\u2019\u00e9ventuels logiciels malveillants<\/strong>, veille \u00e0 ce que PHP et MySQL soient \u00e0 jour<\/strong>, et dispose d\u2019une \u00e9quipe d\u2019assistance <\/strong>qui conna\u00eet WordPress sur le bout des doigts.<\/p>\n <\/p>\n
10. Restez toujours sur vos gardes<\/h2>\n
Soyez toujours prudent et faites surtout attention aux choses suivantes\u00a0:<\/p>\n
\n- Ne vous connectez pas \u00e0 votre compte d\u2019administrateur depuis un r\u00e9seau Wi-Fi public (comme p. ex. chez Starbucks ou dans un h\u00f4tel).<\/li>\n
- Utilisez exclusivement une connexion Internet de confiance, comme celle de votre domicile ou de votre bureau.<\/li>\n
- Utilisez de pr\u00e9f\u00e9rence un RPV (R\u00e9seau Priv\u00e9 Virtuel).<\/li>\n
- Pensez comme un hacker\u00a0: quels sont les points les plus vuln\u00e9rables de mon installation\u00a0? Comment quelqu\u2019un pourrait-il facilement p\u00e9n\u00e9trer dans mon syst\u00e8me\u00a0?<\/li>\n
- En tant que d\u00e9veloppeur, vous ne devriez jamais faire confiance les yeux ferm\u00e9s au contenu de vos utilisateurs.<\/li>\n
- Partez de l\u2019hypoth\u00e8se qu\u2019il y aura toujours quelqu\u2019un qui tentera de pirater votre site.<\/li>\n<\/ul>\n
Les astuces ci-dessus ne requi\u00e8rent aucune connaissance technique particuli\u00e8re. Il suffit d\u2019avoir un brin de bon sens et d\u2019\u00eatre habitu\u00e9 \u00e0 installer des plugins. Dans un prochain article, nous approfondirons la question et vous fournirons des exemples concrets de codes que vous pourrez ajouter et des param\u00e8tres que vous pourrez modifier pour rendre votre site WordPress encore plus s\u00fbr. <\/em><\/p>\nLISEZ AUSSI:\u00a0Panama Papers\u00a0: une faille d\u2019un plug-in de WordPress aux cons\u00e9quences tr\u00e8s f\u00e2cheuses<\/a><\/strong><\/p>\n
N\u2019utilisez jamais \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019utilisateur<\/strong>. Pour leurs attaques, les hackers partent \u00e0 la recherche de sites qui utilisent \u00ab\u00a0admin\u00a0\u00bb comme nom d\u2019administrateur. L\u2019avez-vous fait malgr\u00e9 tout\u00a0? Dans ce cas, suivez les instructions fournies dans cette vid\u00e9o pour modifier le nom de l\u2019administrateur\/utilisateur<\/a>.<\/li>\n<\/p>\n
4. Limitez le nombre de connexions<\/h2>\n
Les hackers utilisent souvent des attaques par \u00ab\u00a0force brute\u00a0\u00bb<\/strong>, via lesquelles ils effectuent de tr\u00e8s nombreuses tentatives de connexion au site, jusqu\u2019\u00e0 ce qu\u2019ils aient devin\u00e9 le mot de passe. Prenez donc les mesures suivantes\u00a0:<\/p>\n <\/p>\n Si vous travaillez sur un site web avec une \u00e9quipe, attribuez \u00e0 chaque membre de l\u2019\u00e9quipe le r\u00f4le qui lui convient lors de la cr\u00e9ation de son compte sur votre site\u00a0:<\/p>\n <\/p>\n La r\u00e8gle d\u2019or\u00a0: ne vous connectez pas en tant que gestionnaire lorsque vous ne devez effectuer aucune op\u00e9ration d\u2019entretien.<\/p><\/blockquote>\n <\/p>\n Tout comme, sur votre ordinateur, vous avez un antivirus qui v\u00e9rifie si des virus ou logiciels malveillants sont install\u00e9s sur votre machine, vous devriez en fait aussi utiliser ce m\u00eame genre de programme pour WordPress. Celui-ci analysera le code de vos plug-ins, vos fichiers du noyau et vos th\u00e8mes pour s\u2019assurer que personne ne l\u2019ait modifi\u00e9. Theme Authenticity Checker<\/a>, Antivirus<\/a> et Sucuri Security<\/a> font partie des logiciels les plus populaires.<\/p>\n <\/p>\n Installez un outil qui permet de garder un \u0153il sur ce qui se passe dans votre module d\u2019administration.<\/strong> WordPress enregistre automatiquement ces informations, mais les donn\u00e9es ne sont pas faciles \u00e0 lire. Utilisez donc WP Security Audit Log<\/a>, Aryo Activity Log<\/a> ou Simple History<\/a>. Lorsque quelque chose ne tourne pas rond sur votre site, vous pouvez revenir en arri\u00e8re jusqu\u2019au moment crucial (l\u2019installation d\u2019un certain plugin, une modification dans votre code, le t\u00e9l\u00e9chargement d\u2019un fichier\u2026).<\/p>\n <\/p>\n Chaque fois que vous vous connectez \u00e0 votre tableau de bord, votre navigateur joint un cookie d\u2019authentification \u00e0 la requ\u00eate qui est envoy\u00e9e au serveur. Si la communication n\u2019est pas chiffr\u00e9e, une autre personne peut intercepter ce cookie et l\u2019utiliser pour se connecter au serveur et ex\u00e9cuter des commandes.<\/p>\n En utilisant le protocole https, la communication (y compris le cookie) est chiffr\u00e9e. Pour ce faire, vous avez cependant besoin d\u2019un certificat SSL. N\u2019h\u00e9sitez pas \u00e0 consulter nos articles \u00ab\u00a0SSL : qu\u2019est-ce que c\u2019est et comment cela fonctionne-t-il ?<\/a>\u00a0\u00bb\u00a0et \u00ab\u00a0Le certificat SSL : que devez-vous faire au juste ?<\/a> \u00a0\u00bb<\/p>\n Utilisez l\u2019assistant SSL qui vous aidera \u00e0 choisir le certificat SSL adapt\u00e9 \u00e0 vos besoins<\/a><\/p>\n<\/div>\n <\/p>\n Un fournisseur d\u2019h\u00e9bergement infog\u00e9r\u00e9 qui se sp\u00e9cialise dans les syst\u00e8mes de gestion de contenu, comme les diff\u00e9rentes formules d\u2019h\u00e9bergement WordPress de Combell<\/a>, offre g\u00e9n\u00e9ralement (outre l\u2019h\u00e9bergement) un pare-feu<\/strong>, lance r\u00e9guli\u00e8rement des analyses dans le but de d\u00e9tecter d\u2019\u00e9ventuels logiciels malveillants<\/strong>, veille \u00e0 ce que PHP et MySQL soient \u00e0 jour<\/strong>, et dispose d\u2019une \u00e9quipe d\u2019assistance <\/strong>qui conna\u00eet WordPress sur le bout des doigts.<\/p>\n <\/p>\n Soyez toujours prudent et faites surtout attention aux choses suivantes\u00a0:<\/p>\n Les astuces ci-dessus ne requi\u00e8rent aucune connaissance technique particuli\u00e8re. Il suffit d\u2019avoir un brin de bon sens et d\u2019\u00eatre habitu\u00e9 \u00e0 installer des plugins. Dans un prochain article, nous approfondirons la question et vous fournirons des exemples concrets de codes que vous pourrez ajouter et des param\u00e8tres que vous pourrez modifier pour rendre votre site WordPress encore plus s\u00fbr. <\/em><\/p>\n LISEZ AUSSI:\u00a0Panama Papers\u00a0: une faille d\u2019un plug-in de WordPress aux cons\u00e9quences tr\u00e8s f\u00e2cheuses<\/a><\/strong><\/p>\n\n
5. Limitez le nombre d\u2019utilisateurs poss\u00e9dant des droits<\/h2>\n
\n
6. Ex\u00e9cutez des analyses de s\u00e9curit\u00e9<\/h2>\n
7. Surveillez l\u2019activit\u00e9 dans votre tableau de bord<\/h2>\n
8. Toujours HTTPS\u00a0!<\/h2>\n
9. Choisissez un h\u00e9bergement de qualit\u00e9<\/h2>\n
Sans un bon h\u00e9bergeur, tous vos efforts seront vains. D\u2019apr\u00e8s les experts en s\u00e9curit\u00e9 de WP White Security<\/a>, 41 % des piratages de sites WordPress seraient dus \u00e0 des failles de s\u00e9curit\u00e9 sur l\u2019h\u00f4te m\u00eame. Choisissez donc votre h\u00e9bergeur avec grand soin\u00a0!<\/p>\n10. Restez toujours sur vos gardes<\/h2>\n
\n