Gérer la sécurité de votre site WordPress avec le WP Manager ?

Procédure

Qu'est-ce que Wp Manager ?

Sécuriser son site web est une priorité absolue pour tous les propriétaires de site. Chez LWS, nous proposons une solution simple mais puissante pour la gestion de la sécurité de votre site WordPress : le WP Manager. Dans cet article, nous passerons en revue les différentes options de sécurité que vous pouvez configurer avec WP Manager.

Accéder à la gestion de la sécurité de votre site WordPress avec le WP Manager ?

Dans un premier temps, vous devez vous connecter à votre compte LWS et accéder à l'hébergement mutualisé où vous souhaitez gérer les instances WordPress installées.

Cliquez ensuite sur "WP Manager" se trouvant dans la rubrique "Logiciels" de votre hébergement Web.

Cliquez ensuite sur le bouton "Gérer" du site dont vous souhaitez gérer la sécurité.

Une fois dans la gestion de l'installation WordPress, Cliquez sur l'onglet "Sécurité" afin de visualiser la liste des fonctionnalités de sécurité configurable sur votre instance WordPress :

Explications détaillées sur les règles de sécurité configurable

A. Paramètres généraux

Les paramètres généraux de sécurité dans WP Manager permettent d'optimiser le fonctionnement de votre site tout en améliorant sa sécurité. Voici les options que vous pouvez régler :

• Utiliser les Crons WordPress (wp-cron.php) : cette option vous permet d'automatiser certaines tâches sur votre site WordPress.
• Visibilité sur les moteurs de recherche : vous pouvez choisir de rendre votre site visible ou non sur les moteurs de recherche.
• Mode de débogage : en activant ce mode, vous pourrez plus facilement identifier et résoudre les erreurs sur votre site.
• Forcer le https : cette option vous permet de forcer votre site à utiliser le protocole https, garantissant une connexion sécurisée entre le serveur et le navigateur de l'utilisateur.

B. Règles htaccess et autres mesures de sécurité

Le WP Manager de LWS vous donne accès à une série de règles htaccess et à d'autres mesures de sécurité avancées pour assurer la protection optimale de votre site WordPress.

• Restreindre l'accès aux fichiers et dossiers : Cette fonction vous permet de limiter l'accès à certains fichiers et dossiers de votre site, rendant ces zones inaccessibles aux visiteurs non autorisés.
• Désactiver le listing des fichiers des dossiers sans index : Cette mesure empêche les utilisateurs de voir le contenu des répertoires qui ne contiennent pas de fichier index. Cela rend plus difficile pour un attaquant de trouver des fichiers sensibles.
• Bloquer l'accès non autorisé au fichier xmlrpc.php : Le fichier xmlrpc.php permet la communication entre votre site WordPress et d'autres sites ou services. En bloquant l'accès non autorisé à ce fichier, vous pouvez empêcher certaines formes d'attaques.
• Bloquer le téléchargement des fichiers .sql : Les fichiers .sql contiennent des informations sur votre base de données. En bloquant leur téléchargement, vous protégez ces informations sensibles.
• Bloquer l'accès aux fichiers readme et license : Ces fichiers peuvent fournir des informations sur votre site qui pourraient aider un attaquant. En bloquant l'accès à ces fichiers, vous ajoutez une autre couche de sécurité à votre site.
• Bloquer l'accès aux fichiers .htaccess et .htpasswd : Ces fichiers contiennent des informations de configuration importantes et peuvent être une cible pour les attaquants. En bloquant l'accès à ces fichiers, vous renforcez la sécurité de votre site.
• Désactiver les pingbacks : Les pingbacks permettent à d'autres sites de savoir que vous avez lié à eux. Cependant, ils peuvent également être utilisés pour des attaques DDoS. En désactivant cette fonction, vous pouvez augmenter la sécurité de votre site.
• Désactiver l'édition de fichiers dans le tableau de bord de WordPress : Cette mesure empêche les utilisateurs d'éditer les fichiers de votre site à partir du tableau de bord WordPress. Cela peut aider à prévenir les modifications non autorisées.
• Masquer l'identifiant des auteurs : Cette option masque les identifiants des auteurs sur votre site, rendant plus difficile pour un attaquant de trouver des informations d'identification valides.
• Interdire l'exécution de scripts PHP dans le répertoire wp-content/uploads : De même, cette option empêche l'exécution de scripts PHP dans le répertoire de téléchargement de contenu de WordPress.
• Désactiver la concaténation de scripts pour le panneau d'administration de WordPress : Cette mesure peut aider à prévenir certaines attaques basées sur JavaScript.
• Bloquer l'accès à la page de commentaire aux navigateurs sans UserAgent ou Referer : Cette mesure peut aider à prévenir le spam de commentaires et d'autres formes de comportement abusif.
• Bloquer l'accès aux fichiers sensibles : Cette option permet de bloquer l'accès aux fichiers sensibles, renforçant ainsi la sécurité de votre site.
• Activer la protection contre les robots : Cette option vous permet d'activer une protection anti-robot pour empêcher le trafic automatisé nuisible.
• Changer les clés de sécurité SALT du fichier de configuration WordPress : Cette option vous permet de renforcer la sécurité de votre site en régénérant régulièrement les clés utilisées pour l'authentification.
• Réinitialisation des permissions des fichiers et dossiers : Cette option vous permet de réinitialiser les permissions aux fichiers de votre site à 644, pour les dossiers à 755 et pour le fichier wp-config.php à 600.
• Changer le nom d'utilisateur de l'administrateur par défaut : Le changement du nom d'utilisateur administrateur par défaut rend plus difficile pour un attaquant de deviner vos informations de connexion.

Comment gérer le niveau global de sécurité ?

Le WP Manager propose 3 niveau de sécurité pré-configuré dont vous pouvez obtenir le détail de la configuration ci-dessous :

Le niveau de sécurité "personnalisé" vous permet d'activer ou de sésactiver les paramètres de votre choix.

Comment activer ou désactiver un paramètre de sécurité ?

Une fois que vous accédez à la liste des fonctionnalités de sécurité, cliquez sur le curseur à la ligne de la fonctionnalité que vous souhaitez activer ou désactiver.

Si le curseur est gris, alors la fonctionnalité est inactive. À l'inverse, si le curseur est vert, alors la fonctionnalité est actuellement active.

Vérifier l'intégrité du cœur de WordPress

Un scan d'intégrité WordPress est un processus qui vérifie l'intégrité des fichiers de votre installation WordPress. Il s'agit essentiellement d'une vérification de la structure et de l'intégrité des fichiers principaux de WordPress, tels que les fichiers du cœur de WordPress, les thèmes et les plugins installés.

L'objectif principal d'un scan d'intégrité WordPress est de détecter les modifications indésirables ou les fichiers corrompus qui pourraient compromettre la sécurité ou le bon fonctionnement de votre site web. Cela peut inclure des fichiers malveillants ajoutés par des pirates informatiques, des modifications non autorisées apportées au code source de WordPress ou des altérations accidentelles qui pourraient survenir lors de mises à jour ou d'installations de plugins.

Le scan d'intégrité WordPress compare les fichiers de votre installation avec une référence de fichiers d'origine. Si une différence est détectée, cela peut indiquer une altération ou une modification non autorisée. Dans ce cas, vous pouvez prendre des mesures pour résoudre le problème, telles que la suppression des fichiers malveillants ou la restauration des fichiers d'origine à partir d'une sauvegarde.

En résumé, un scan d'intégrité WordPress est un processus de vérification qui permet de s'assurer que les fichiers de votre installation WordPress n'ont pas été altérés de manière indésirable, garantissant ainsi la sécurité et l'intégrité de votre site web.

Changer les salts du fichier de configuration WordPress

Le bouton Changer les salts du fichier de configuration WordPress permet de mettre à jour les 4 clés uniques d'authentification qui cryptent les mots de passe sur le fichier wp-config.php se trouvant sûr à la racine de votre site, sur votre espace FTP.

Mais qu'est-ce que les 4 clés uniques d'authentification ?

Les clés sont générées automatiquement lors de l’installation de WordPress et sont enregistrées à la fois dans la base de données et dans le fichier de configuration wp-config.php.

En terme plus simple, une clé secrète est un mot de passe avec des éléments qui le rend plus compliqué pour traverser les barrières de sécurités. Par conséquent, un mot de passe par exemple "mot de passe" ou encore "essai" est beaucoup trop simple et trop facile à trouver. Une combinaison telle que "88A7DA62429BA6AD3CB3C76A" est très difficile pour le cracker.

Conclusion

Vous savez maintenant comment :

• Accéder et utiliser le WP Manager pour renforcer la sécurité de votre site WordPress hébergé chez LWS,
• Configurer des réglages de sécurité variés, tels que le forçage du protocole https, la restriction d'accès aux fichiers sensibles, et la désactivation de l'édition de fichiers via le tableau de bord,
• Choisir parmi trois niveaux de sécurité prédéfinis ou personnaliser vos propres paramètres pour une sécurité sur mesure,
• Effectuer un scan d'intégrité pour vérifier que les fichiers de votre installation WordPress n'ont pas été compromis,
• Renouveler les clés d'authentification (SALTs) pour une meilleure protection des données utilisateur.

🛡️ Grâce à cet article, vous êtes désormais équipé pour maintenir votre site WordPress en sécurité avec une facilité déconcertante. N'oubliez pas que la prévention est la meilleure des défenses contre les menaces en ligne !

✨ Nous espérons que ces informations vous aideront à exploiter au mieux le potentiel du WP Manager et à assurer une protection optimale pour votre site WordPress.

🙏 Merci d'avoir pris le temps de lire cet article. N'hésitez pas à partager vos expériences ou à poser vos questions en laissant un commentaire ci-dessous. Votre retour est précieux et nous permet de continuellement améliorer notre service.