10 Conseils de sécurité avancés pour WordPress

La sécurité de WordPress est quelque chose que tout propriétaire de site Web devrait prendre au sérieux. Assurer la sécurité de votre site Web est essentiel pour protéger votre entreprise et vos clients.

Bienvenue dans la deuxième partie de notre série sur la sécurité WordPress ! Je m’appelle Seb et je suis développeur WordPress chez Fhoke, une agence de conception de sites Web basée à Londres, je m’occupe donc quotidiennement de WordPress et de la sécurité des sites Web. Une partie de mes responsabilités consiste à veiller à ce que tous les sites de nos clients soient tenus à jour, fonctionnent correctement et, surtout, soient sécurisés.

Cet article de blog examinera 10 conseils de sécurité WordPress avancés pour vous aider à assurer la sécurité de votre site Web et à protéger votre présence en ligne. Si vous n’êtes pas très sûr de PHP et de la modification des fichiers de code, nous vous suggérons de vous en tenir aux conseils que nous avons donnés dans notre premier article, car les conseils qu’il contient sont des conseils plus généraux que de véritables modifications de code.

Tous les extraits de code ci-dessous doivent être placés dans le fichier function.php de votre thème, sauf indication contraire.

1 Utilisez les touches SALT dans WordPress

Ouvrez votre client FTP (nous recommandons FileZilla).
Connectez-vous à votre site Web et accédez à votre installation WordPress.
Double-cliquez sur le fichier intitulé wp-config.php pour le télécharger. Nous vous conseillons de sauvegarder une copie de ce fichier avant d’apporter des modifications, juste au cas où quelque chose se passerait mal.
Dans le volet de gauche, faites un clic droit sur le fichier et allez dans « Ouvrir ».
Faites défiler jusqu’à la ligne 49 ; vous devriez voir vos clés SALT.
Important : si l’un d’entre eux dit « mettez votre phrase unique ici », cela signifie que vous n’avez pas de clé salt pour cette ligne. Pour résoudre ce problème, accédez à https://api.wordpress.org/secret-key/1.1/salt/, qui générera un nouvel ensemble pour vous. Maintenant, copiez/collez simplement ce code dans votre fichier wp-config.php là où se trouvait l’ancien code, téléchargez à nouveau sur votre serveur et testez que votre site fonctionne toujours comme avant.

2 Autorisations de fichiers et de dossiers dans WordPress

Il est crucial de vérifier et de mettre à jour régulièrement les autorisations de vos fichiers et dossiers, surtout après avoir apporté des modifications à votre site Web. Des autorisations incorrectes peuvent rendre votre site Web vulnérable aux attaques et compromettre la sécurité de vos données.

Les autorisations correctes pour votre installation WordPress doivent être les suivantes :

Dossiers 755 (ou 750 si votre hébergeur n'autorise pas 755)
Fichiers 644 (ou 640 si votre hébergeur n'autorise pas le 644)

3 – Secure wp-includes sécurisés et wp-config.php dans WordPress

.htaccess file:


<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>