Pare-feu Block Bad Queries (BBQ)
BBQ est un pare-feu ultra-rapide qui protège automatiquement WordPress contre les tentatives d’exécution de code malveillant via des appels URL. Le plugin est facile à installer et ne nécessite aucun autre paramètre dans l’installation de base. D’ailleurs, il est également conforme au RGPD.
Plugins et thèmes WordPress : la qualité avant tout
Les plugins tiers et les thèmes WordPress présentent souvent des failles de sécurité s’ils ne sont pas à jour. Bien sûr, cela ouvre la porte aux pirates. En principe, il ne faut installer que les plugins utiles et absolument nécessaires. Plus il y a de plugins intégrés dans l’installation de WordPress, plus le risque de problèmes de compatibilité est grand et donc de défaillances du système inévitables.
Seuls les plugins répertoriés dans le répertoire officiel de WordPress doivent également être utilisés. Ainsi, vous pouvez être relativement sûr que les développeurs de plugins enregistrés fournissent des plugins sans erreur.
En ce qui concerne les thèmes WordPress, il est également important de s’assurer qu’ils sont répertoriés dans le répertoire officiel des thèmes WordPress : https://wordpress.org/themes/ . C’est particulièrement vrai pour les thèmes gratuits.
Avec des thèmes et des plugins payants (par exemple sur Themeforest, etc.), vous pouvez être à peu près sûr d’obtenir des produits de qualité pour votre argent. Dans la plupart des cas, les développeurs offrent également une assistance.
Mise à jour du logiciel WordPress
Pour un site web WordPress sécurisé, l’actualité du logiciel WP installé est un facteur décisif. Les périodes de mise à jour du logiciel WordPress sont assez courtes. Plusieurs mises à jour sont proposées par an. Pour la plupart des plugins et des thèmes, ces cycles sont encore plus courts, de sorte qu’un grand nombre de mises à jour doivent être effectuées dans l’installation de WordPress au cours de l’année.
Les mises à jour sont particulièrement importantes car elles comblent généralement les failles de sécurité. Surtout avant les mises à jour majeures, une sauvegarde complète de l’ensemble du système (fichiers et base de données) doit être effectuée. Cela signifie qu’en cas d’urgence, les données d’origine peuvent toujours être restaurées et l’installation d’origine peut être restaurée.
Dans le tableau de bord WordPress, les mises à jour sont toujours affichées avec un avis. Ainsi, vous savez immédiatement quel plugin est prêt pour une mise à jour.
Sauvegardes régulières
Si votre site Web est sauvegardé à des intervalles plus courts, il s’agit d’une bonne protection contre les attaques de pirates. De cette façon, le site web peut être restauré après une infection ou une destruction par une attaque en cas d’urgence. Pour les sites web qui sont constamment mis à jour, une sauvegarde doit être effectuée quotidiennement. Si le site web n’est mis à jour qu’occasionnellement avec de nouveaux contenus, des sauvegardes hebdomadaires ou mensuelles sont également suffisantes.
Sauvegarde manuelle
Les sauvegardes peuvent être effectuées manuellement. Les données peuvent être téléchargées du serveur Web vers l’ordinateur local via le client FTP (par exemple FileZilla). La base de données est sauvegardée via PHPMyAdmin dans le compte client du fournisseur et également stockée sur votre propre ordinateur.
Sauvegarde automatique via plugin
Avec un plugin de sauvegarde approprié tel que BackWPup ou UpdraftPlus, les données et la base de données peuvent être sauvegardées dans différents formats, puis stockées localement sur votre propre PC. Cependant, il est également possible d’enregistrer le téléchargement des sauvegardes sur votre propre compte Dropbox ou Google Cloud.
Sauvegarde de la zone d’administration
Ce qui est particulièrement important, c’est que la zone d’administration doit être protégée contre les pirates. Avec WordPress, le lien de connexion est toujours : www.ihrewebsite.com/wp-admin ou …/wp-login.php.
Pour renommer l’URL de connexion, vous pouvez utiliser le plugin « Renommer wp-login.php ». Cela scelle complètement la page de connexion.
Il existe un autre plugin pour l’authentification à deux facteurs : « Google Authenticator ». Cela sécurise la zone de connexion de telle sorte qu’en plus des données d’accès normales, un autre code doit être saisi dans le formulaire de connexion. Cependant, vous avez besoin d’une application pour votre smartphone, qui génère à chaque fois un nouveau code de connexion.
Sauvegarde via .htaccess
Une autre mesure de sécurité est la protection côté serveur du « wp-login.php ». Ici, vous devez créer un fichier .htaccess et .htpasswd, à condition que vous soyez hébergé sur un serveur web Apache.
Plugins de sécurité
Malheureusement, l’utilisation de la plupart des plugins de sécurité n’est plus conforme au RGPD, car ils enregistrent les données des utilisateurs. C’est pourquoi nous ne listons plus ces plugins ici. Dans certains cas, il est toutefois également possible de vérifier si la conformité existe toujours.
Résultat
Avec les mesures mentionnées, votre propre installation WordPress peut être très bien protégée contre les attaques de pirates. Cependant, il n’existe pas de certitude à 100 %. Si votre propre site web est vraiment piraté, vous avez toujours la sauvegarde actuelle de votre site web à portée de main et pouvez ainsi remettre le site web en ligne.
