Pourquoi et comment sécuriser son site internet ?

par | 5 Juil 2023 | Optimisation de site, Site internet | 0 commentaires

Comment sécuriser son site internet, pourquoi est-ce vital ?

Le temps que vous passez, vous ou vos équipes à corriger, réparer, tenter d’améliorer votre site internet est du temps qui pourrait être consacré à des tâches à plus grande valeur ajoutée pour vous !

comment sécuriser son site internet

WordPress propulse presque 40% des sites Internet dans le monde

Quelques statistiques pour vous donner une idée des vulnérabilités :

sécuriser-son-site-internet-version-wordpress

sécuriser-son-site-internet-version-php

 

 

 

 

 

 

 

La dernière version de WordPress actuelle est la 6.2.
Les versions PHP en dessous de la 8.0 ne sont plus maintenues Ă  jour…

source : https://wordpress.org/about/stats/

  • 4,3 milliards de tentatives d’exploitation de vulnĂ©rabilitĂ©s ciblant WordPress
  • 39,3% des sites Web WordPress piratĂ©s utilisent une version obsolète
  • 8% des sites Web WordPress sont piratĂ©s en raison de mots de passe faibles
  • Les plugins sont la plus grande source de vulnĂ©rabilitĂ©s de sĂ©curitĂ© WordPress

Comment sécuriser son site internet WordPress

Utiliser des mots de passes sécurisés

Les mots de passe volés sont la cause de la plupart des piratages de sites WordPress.
Vous pouvez rendre cela plus difficile en utilisant un mot de passe fort et unique pour votre site Web. Utilisez également un mot de passe fort et si possible différent pour votre compte FTP, votre base de données ainsi que pour votre compte d’hébergement.

Mettre à jour votre version de WordPress dès que possible

WordPress est régulièrement entretenu et mis à jour afin de corriger les failles de sécurité connues par la communauté. Par défaut, des mises à jour automatiques ont lieu pour les corrections mineurs. Vous pouvez lancer les mises à jour manuellement pour les corrections majeures.

Mettre à jour les extensions et thème

Pour mettre à jour vos extensions (ou plugins), rendez-vous dans l’onglet « extensions » de votre back-office et sélectionnez les extensions à mettre à jour.

Faire des sauvegardes régulières

La base de données sert à stocker le contenu de votre site WordPress.
Si bien qu’il ne faut pas oublier de faire des sauvegardes rĂ©gulières de cette base de donnĂ©es physiquement, soit sur votre ordinateur, soit sur un disque dur externe.

SĂ©curiser votre site WordPress avec la double authentification

Cette méthode permet d’ajouter un double niveau de sécurité à la connexion à l’administration de votre site WordPress.
Le premier niveau de sécurité provient des processus normaux. L’utilisateur saisit un nom d’utilisateur et un mot de passe.
Le deuxième niveau quant à lui, prend ensuite le relais en passant un appel ou en envoyant un SMS.

Personnaliser le lien d’accès au back-office

En utilisant par exemple un plugin comme WPS Hide login :

WPS Hide Login est un plugin très léger qui vous permet de changer facilement et en toute sécurité l’url de la page de formulaire de connexion. Il ne renomme pas littéralement ou ne modifie pas les fichiers dans le noyau, ni n’ajoute des règles de réécriture. Il intercepte simplement les demandes de pages et fonctionne sur n’importe quel site WordPress. Le répertoire wp-admin et la page wp-login.php deviennent inaccessibles, vous devez donc ajouter un signet ou vous souvenir de l’URL. Désactiver ce plugin ramène votre site exactement à l’état dans lequel il était auparavant.

Cacher les répertoires et fichiers sensibles de votre site

Il faut pour cela modifier le fichier .htaccess de votre site qui se situe à la racine de votre hébergement. Vous pouvez le modifier en le téléchargeant via Filezilla par exemple.
Codes Ă  ajouter Ă  votre fichier :

# Désactiver l'affichage du contenu des répertoires
Options All -Indexes
# Masquer les informations du serveur
ServerSignature Off
# Activation du suivi des liens symboliques
Options +FollowSymLinks
# Protéger le fichier wp-config.php 
<files wp-config.php> order allow,deny 
deny from all 
</files>
# Protéger les fichiers .htaccess et .htpasswds 
<Files ~ "^.*\.([Hh][Tt][AaPp])"> 
order allow,deny 
deny from all 
satisfy all 
</Files>
# Éviter le spam de commentaires (N’oubliez pas de remplacer monsite.com par votre nom de domaine.) <IfModule mod_rewrite.c> RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post\.php* RewriteCond %{HTTP_REFERER} !.monsite.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L] </IfModule> # Redirection vers HTTPS RewriteCond %{SERVER_PORT} ^80$ RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R] # Protection contre les injections de fichiers RewriteCond %{REQUEST_METHOD} GET RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR] RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR] RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC] RewriteRule .* - [F] # Protections diverses (XSS, clickjacking et MIME-Type sniffing) <ifModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options: "nosniff” </ifModule>

Choisissez aussi un hébergeur sécurisé

Activez le protocole HTTPS (certificat SSL). Généralement, votre hébergeur vous le propose.

Pour conclure

Toutefois, cela suppose que vous ayez le temps de vous consacrer aux tâches requises, ainsi que la capacité de faire des économies ainsi que les outils et le savoir-faire technique. Pour la plupart des sites Web d’entreprise, ou lorsque vous avez plusieurs sites de clients à gérer, la meilleure option consiste à faire appel à un service de maintenance de sites Web qui comprend généralement :

  • Les Mises Ă  jour (noyau, thèmes, plugins, etc.)
  • Le Support technique
  • Les Analyses et rapports
  • Les Sauvegardes
  • Le suivi SEO
  • Le renouvellement des Plugins, thèmes et outils premium
  • La SĂ©curitĂ© et surveillance du temps de fonctionnement

Faire sécuriser son site par un expert

En confiant la maintenance de WordPress à un expert comme Showave, vous minimisez considérablement les risques associés à un site mal entretenu. De plus, vous avez quelqu’un qui travaille continuellement à la gestion des tâches qui maintiennent votre site rapide, sécurisé et dans les bonnes grâces de Google. Cela se traduit par un plus grand nombre de visiteurs, des sessions d’utilisation plus longues et des taux de conversion plus élevés.

Un projet ?
Rencontrons-nous facilement

Créons votre vague

J'utilise des cookies pour personnaliser le contenu, pour fournir des fonctionnalités de médias sociaux et pour analyser mon trafic. Je partage également des informations sur votre utilisation de mon site uniquement avec mes outils d'analyse. View more
Cookies settings
Accepter
Politique de confidentialité et de cookies
Privacy & Cookies policy
Cookie name Active

Qui suis-je ?

L’adresse de mon site est : https://www.showave.fr.  

Commentaires

Quand vous laissez un commentaire sur mon site, les donnĂ©es inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectĂ©s pour m'aider Ă  la dĂ©tection des commentaires indĂ©sirables. Une chaĂ®ne anonymisĂ©e crĂ©Ă©e Ă  partir de votre adresse e-mail (Ă©galement appelĂ©e hash) peut ĂŞtre envoyĂ©e au service Gravatar pour vĂ©rifier si vous utilisez ce dernier. Les clauses de confidentialitĂ© du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement Ă  cotĂ© de votre commentaire.  

MĂ©dias

Si vous tĂ©lĂ©versez des images sur le site, nous vous conseillons d’éviter de tĂ©lĂ©verser des images contenant des donnĂ©es EXIF de coordonnĂ©es GPS. Les personnes visitant votre site peuvent tĂ©lĂ©charger et extraire des donnĂ©es de localisation depuis ces images.  

Cookies

Si vous dĂ©posez un commentaire sur mon site, il vous sera proposĂ© d’enregistrer votre nom, adresse e-mail et site dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir Ă  saisir ces informations si vous dĂ©posez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous vous rendez sur la page de connexion, un cookie temporaire sera crĂ©Ă© afin de dĂ©terminer si votre navigateur accepte les cookies. Il ne contient pas de donnĂ©es personnelles et sera supprimĂ© automatiquement Ă  la fermeture de votre navigateur. Lorsque vous vous connecterez, je mettrai en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos prĂ©fĂ©rences d’écran. La durĂ©e de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservĂ© pendant deux semaines. Si vous vous dĂ©connectez de votre compte, le cookie de connexion sera effacĂ©. En modifiant ou en publiant une publication, un cookie supplĂ©mentaire sera enregistrĂ© dans votre navigateur. Ce cookie ne comprend aucune donnĂ©e personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.  

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intĂ©grĂ©s (par exemple des vidĂ©os, images, articles…). Le contenu intĂ©grĂ© depuis d’autres sites se comporte de la mĂŞme manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des donnĂ©es sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarquĂ©s si vous disposez d’un compte connectĂ© sur leur site web.  

Utilisation et transmission de vos données personnelles

Si vous demandez une rĂ©initialisation de votre mot de passe, votre adresse IP sera incluse dans l’e-mail de rĂ©initialisation.  

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses mĂ©tadonnĂ©es sont conservĂ©s indĂ©finiment. Cela permet de reconnaĂ®tre et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modĂ©ration. Pour les comptes qui s’inscrivent sur notre site (le cas Ă©chĂ©ant), nous stockons Ă©galement les donnĂ©es personnelles indiquĂ©es dans leur profil. Tous les comptes peuvent voir, modifier ou supprimer leurs informations personnelles Ă  tout moment (Ă  l’exception de leur identifiant). Les gestionnaires du site peuvent aussi voir et modifier ces informations.  

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissĂ© des commentaires sur le site, vous pouvez demander Ă  recevoir un fichier contenant toutes les donnĂ©es personnelles que nous possĂ©dons Ă  votre sujet, incluant celles que vous nous avez fournies. Vous pouvez Ă©galement demander la suppression des donnĂ©es personnelles vous concernant. Cela ne prend pas en compte les donnĂ©es stockĂ©es Ă  des fins administratives, lĂ©gales ou pour des raisons de sĂ©curitĂ©.  

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent ĂŞtre vĂ©rifiĂ©s Ă  l’aide d’un service automatisĂ© de dĂ©tection des commentaires indĂ©sirables.  
Save settings
Cookies settings
Accueil
eMail
Appeler