Assurer la sécurité de ton site

Nous allons aborder un point crucial de ton site : sa sécurité.

Assurer la sécurité de son site est accessible à tous à l’aide de seulement 4 extensions performantes.
Pour le paramétrage, il suffit de suivre les instructions détaillées comme une recette de cuisine.

Ce que tu vas apprendre :

• Les mesures de sécurité à prendre en dehors de WordPress
• Les mesures simples pour se protéger : compte éditeur et mises à jour
• L’extension Antivirus
• Protéger ton site avec Secupress
• Sauvegarder ton site avec Updraftplus
• Éviter les procédures juridiques avec Cookie Notice

Débutant

Les mesures de sécurité à prendre en dehors de WordPress

La première chose à faire est d’installer un antivirus à jour pour protéger ton ordinateur.

Si tu n’en possèdes pas, tu peux par exemple utiliser Avast en version gratuite qui  recherche les virus et les logiciels à mettre à jour.

En complément, je te conseille une recherche des malwares une fois par mois avec Malwarebytes qui détecte gratuitement les infections passées au travers des antivirus classiques.

Les mesures simples pour se protéger

Utiliser d’un compte éditeur

Pour protéger au maximum son compte administrateur, il est préférable d’écrire ses publications sur un profil éditeur. Voici la procédure à suivre.

Les mises à jour

Il faut mettre à jour ses extensions et son thème le plus régulièrement possible. La grande majorité des mises à jour concernent des questions de sécurité.

Antivirus

• Extensions > Ajouter une extension
• Rechercher Antivirus dans la barre de recherche
• Bouton Installer
• Bouton Activer
• Extensions > Extensions installées
• Cliquer sur réglages

• Cocher les 2 cases
• Entrer son adresse e-mail pour recevoir les alertes
• Bouton Enregistrer les modifications
• Bouton Scan the theme templates now

Secupress

Cette extension fait une énorme partie du boulot pour toi dans sa version gratuite.

J’envisagerai la version payante à 59 $/an dans le futur car la partie sauvegarde intégrée permet, en plus des fonctionnalités avancées, de supprimer l’extension dédiée à la sauvegarde ce qui accélèrera un peu le site.

Je trouve le travail effectué tout simplement remarquable. L’extension, en français, couvre tous les principaux thèmes liés à la sécurité et sa version gratuite est, je trouve, particulièrement généreuse et nous évite de multiplier les extensions.

Du fait du large éventail couvert, il va falloir être attentif car c’est un peu long mais sans aucune difficulté.

• Extensions > Ajouter une extension
• Rechercher Secupress
• Bouton Installer
• Bouton Activer

Tu trouves désormais un onglet Secupress dans ton menu de gauche.

• Cliquer sur Scanner

• Cliquer sur scanner mon site

Secupress donne une note de sécurité à ton site. Ne t’inquiète pas. C’est juste pour te montrer la liste des tâches qu’il va effectuer pour toi. Comme tu le vois, j’ai eu D au test car j’avais déjà effectué une partie du boulot avant de tomber sur cette pépite.

Nous allons passer en revue les modules gratuits disponibles et leurs réglages.

• Sélectionner modules dans le menu de gauche

Utilisateurs & Login

• Cocher Limiter le nombre de tentatives de connexions
• Cocher Bannir les tentatives de connexions avec des noms d’utilisateurs inconnus
• Combien de tentatives avant de bannir ? : le minimum : 3
• Combien de temps de bannissement ? : le maximum : 60 minutes
• Bouton Tout sauver

• Cocher Oui, utiliser un Captcha
  Attention : si tu utilises Dashlane, ne surtout pas cocher cette option car non compatible. Je me suis retrouvé banni de mon propre site : (
• Bouton Tout sauver

• Cocher : Oui, demander l’ancien mot de passe quand un utilisateur veut changer le sien
• Je n’ai pas encore d’utilisateurs que je souhaite bannir. Mais bon, c’est possible. En mode : Attention : toi. Je t’ai à l’œil. Oui, c’est bien à toi que je m’adresse. Ne fais pas l’innocent. Je t’ai bien vu faire le mariolou dans le coin avec Suzanne-Berthe.

• Cocher oui, déplacer la page de connexion et d’administration
• Indiquer une nouvelle adresse de connexion, par exemple xdf.giu47rt2k6
• Copier l’adresse complète qui apparaît en dessous. C’est désormais ton URL d’accès à WordPress
  C’est le moment de la noter soigneusement pour être certain de ne pas l’égarer.
• Refaire l’opération pour la page d’enregistrement qui ne sera pas utilisée
• Bouton Tout sauver

Plugins & Thèmes

• Cocher Oui, désactiver l’envoi des thèmes et plugins
• Cocher Oui, désactiver l’installation de nouveaux plugins
  Note : A cocher quand l’installation de tout le site est finalisée
• Bouton Tout sauver

• Cocher Oui, désactiver l’installation de nouveaux thèmes
  Attention : créer le thème enfant avant
• Bouton Tout sauver

Cœur de WordPress

• Cocher Oui, essayer de forcer WordPress à autoriser les mises à jour de versions mineures.
• Ne pas cocher Oui, essayer de forcer WordPress à autoriser les mises à jour de versions majeures.
  Je ne suis pas 100% fan car si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Beaucoup suggèrent de laisser 2-3 semaines aux créateurs d’extensions pour mettre à jour. Dès que toutes les extensions sont compatibles et si aucune plainte n’est enregistrée alors il est temps de réaliser la mise à jour.
• Bouton Tout sauver

 

• Cocher Oui, désactiver l’éditeur de fichiers
  Attention : à faire après installation du site car l’éditeur est vraiment pratique pour modifier simplement les fichiers CSS qui régissent l’aspect du site
• Cocher Oui, filtrer le HTML de l’éditeur des articles
• Cocher Oui, filtrer les uploads
• Bouton Tout sauver

Données sensibles

• Cocher Désactiver toutes les fonctionnalités du XML-RPC
• Cocher Oui, désactiver les fonctionnalités de l’API REST
• Bouton Tout sauver

• Cocher Oui, ajouter un trou noir dans mon fichier robots.txt.
• Cocher Oui, désactiver l’affichage des fichiers dans les dossiers
• Cocher Oui, interdire l’accès à la divulgation des modules PHP
• Cocher Oui, supprimer l’affichage de la version de PHP
• Cocher Oui, supprimer l’affichage de la version de WordPress
• Cocher Oui, empêcher l’accès à ces fichiers
• Cocher Oui, empêcher l’accès à ces fichiers
• Bouton Tout sauver

Parefeu

• Cocher Oui, protéger mon site des mauvais user-agents
• Cocher Oui, protéger mon site des mauvaises méthodes de requêtes
• Bouton Tout sauver

• Cocher Oui, protéger mon site des mauvais contenus des URLs
• Cocher Oui, protéger mon site des URLs trop longues
• Cocher Oui, protéger mon site des scanners d’injections SQL
• Bouton Tout sauver

Tu peux tester à nouveau ton site et obtenir la note la plus haute (B) sans acheter la version Pro (Ils sont sympas les gars mais il y a des limites). C’est très largement suffisant pour l’instant. Quand tu auras un peu de finances, il sera temps d’acheter la version Pro. Je ferais un complément si je l’acquière.

Tu as franchi un grand pas en assurant la sécurité de ton site. C’est largement suffisant pour l’instant. Passons à la sauvegarde de ton site.

UpdraftPlus

• Installer l’extension UpdraftPlus WordPress Backup Plugin
• extensions > réglages > sauvegardes updraft

•  Planification : La fréquence de sauvegarde est à adapter en fonction des mises à jour. Le plus simple est de partir sur une fréquence élevée et d’adapter ensuite
  Par exemple :
  • Tu publies du contenu une fois par semaine. Une sauvegarde hebdomadaire + 7 sauvegardes planifiées me semble un bon rythme.Tu peux retourner en arrière sur 1 mois et 2 semaines. Tu assures tes arrières avec une sauvegarde locale tous les mois
  • Tu publies du contenu quotidiennement.  Tu peux programmer une sauvegarde tous les jours, 15 sauvegardes planifiées et une sauvegarde locale toutes les semaines
• Tu utilises exactement les mêmes réglages pour la sauvegarde de la base de donnée
• Cocher Extensions, thèmes, fichiers envoyés + tout autre répertoire trouvé dans WP-content
• Cocher courriel pour être informé des sauvegardes (utile pour les alertes de sauvegarde non effectuée)
• Bouton Enregistrer

Cliquer sur l’image pour l’agrandir

Le message suivant s’affiche

Pour la sauvegarde locale :

• Bouton Sauvegarder maintenant

• Cocher Inclure la base de données + Inclure tous les fichiers dans la sauvegarde
• Bouton Sauvegarder maintenant

• Onglet Sauvegardes existantes
• Cliquer successivement sur les 5 boutons (Base de données, Extensions, Thèmes, Fichiers envoyés et Autres)

Des blocs apparaissent en haut

• Cliquer successivement sur Télécharger sur votre ordinateur dans chaque bloc (X5)

Ne pas oublier de copier ces fichiers sur un disque externe en plus ceux archivés sur ton ordinateur. Tu pourras automatiser cette tache dans un second temps.

Tu dois également veiller à ta sécurité juridique et respecter la loi sur les cookies.

Cookie Notice

• Installer l’extension
• Extensions > Extensions installées
• Cliquer sur le lien Paramètres

• Indiquer dans Message
  Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l’utilisation des cookies.
• Compléter Texte du bouton : J’accepte
• Cible du lien : _blank
• Expiration des cookies : 1 année
• Emplacement des scripts : Pied de page
• Désactivation : Cocher Cochez si vous voulez que toutes les données de l’extension soient supprimées à sa désactivation.
• Position : Bas. C’est une question de goût. Je trouve qu’il passe souvent inaperçu sur les articles mais il cache la barre de navigation sur l’accueil.
• Animation : Aucun
• Style du bouton : WordPress
• Couleur de la barre : tu peux utiliser ta couleur principale si elle est foncée ou un gris fonçé
• Bouton Enregistrer les modifications

Je suis plus serein depuis que la sécurité de ton site est assurée. N’oublies pas de te connecter régulièrement pour mettre à jour le thème et les extensions.

Je te propose d’enchainer avec la structuration de ton site. Cet article est plus théorique mais cela va te permettre d’optimiser ton site pour tes lecteurs et son référencement dans Google.

Les articles qui peuvent t’intéresser

• Installer Dashlane pour la gestion facilitée des mots de passe
• Premiers paramétrages de WordPress
• Structurer le contenu de ton site