\n Ce tutoriel est destin\u00e9 \u00e0 donner une r\u00e9ponse d\u00e9finitive \u00e0 votre question. Voici dix mesures de s\u00e9curit\u00e9 innovantes qui peuvent vous aider \u00e0 garder le contr\u00f4le d’un site Web WordPress sous votre garde. Passons maintenant aux d\u00e9tails.\n<\/p>\n
\n 1 Utilisez l’authentification \u00e0 deux facteurs :
\n<\/h4>\n
\n Lorsque vous impl\u00e9mentez l’authentification \u00e0 deux facteurs, une personne essayant de se connecter \u00e0 votre tableau de bord WordPress devra saisir un OTP (mot de passe \u00e0 usage unique) g\u00e9n\u00e9r\u00e9 al\u00e9atoirement, en plus du nom d’utilisateur et du mot de passe standard. Les fonctions cryptographiques sont utilis\u00e9es pour g\u00e9n\u00e9rer l’OTP en temps r\u00e9el et il est envoy\u00e9 uniquement au destinataire pr\u00e9vu sur un appareil de communication via une passerelle s\u00e9curis\u00e9e. Le t\u00e9l\u00e9phone portable est le dispositif de communication le plus largement utilis\u00e9 \u00e0 cette fin.\n<\/p>\n
\n Ainsi, m\u00eame si un pirate parvient \u00e0 voler votre nom d’utilisateur et votre mot de passe, il ne pourra toujours pas acc\u00e9der \u00e0 votre panneau d’administration WordPress sans le mot de passe \u00e0 usage unique.\n<\/p>\n
\n Comment impl\u00e9menter l’authentification \u00e0 deux facteurs ?<\/strong>\n<\/p>\n \n Vous pouvez utiliser n’importe quel plug-in de g\u00e9n\u00e9ration OTP pour impl\u00e9menter une authentification \u00e0 deux facteurs sur votre site Web WordPress. Des plugins commerciaux et gratuits sont disponibles sur le march\u00e9. Deux plugins recommand\u00e9s qui sont librement disponibles sur le r\u00e9f\u00e9rentiel WordPress sont :\n<\/p>\n \n Les deux plugins sont tr\u00e8s faciles \u00e0 configurer, m\u00eame pour un webmaster d\u00e9butant. Une documentation d\u00e9taill\u00e9e sur l’installation et la configuration peut \u00eatre trouv\u00e9e sur les pages de plugin respectives.\n<\/p>\n \n Un utilisateur WordPress disposant d’un acc\u00e8s administratif peut modifier les fichiers de mod\u00e8le de votre site Web en acc\u00e9dant \u00e0 Apparence > \u00c9diteur. Dans le cas o\u00f9 un visiteur avec une intention malveillante parvient \u00e0 pirater vos informations d’identification d’utilisateur administrateur, il peut \u00e9galement apporter les modifications souhait\u00e9es \u00e0 ces fichiers directement depuis votre tableau de bord WordPress. Pour \u00e9viter une telle occurrence, vous pouvez d\u00e9sactiver l’\u00e9dition de fichiers \u00e0 partir du tableau de bord WordPress.\n<\/p>\n \n Comment d\u00e9sactiver l’\u00e9dition du fichier de mod\u00e8le ?<\/strong>\n<\/p>\n \n Afin de d\u00e9sactiver l’\u00e9dition de fichiers via l’\u00e9diteur de tableau de bord, vous devez ajouter une ligne de code au fichier de configuration de votre site Web WordPress. Acc\u00e9dez au programme de gestion de fichiers disponible sur le panneau de contr\u00f4le de votre h\u00e9bergement et acc\u00e9dez au r\u00e9pertoire racine. Ouvrez le fichier wp-config.php dans un \u00e9diteur de texte et ajoutez la ligne de code suivante au bas du fichier.\n<\/p>\n \n \u00c0 quoi sert-il d’afficher les journaux d’erreurs \u00e0 vos visiteurs ? Absolument rien. Lorsque quelque chose ne va pas, vous seul, l’utilisateur administrateur, devez le savoir. Pour aggraver les choses, en rendant public le retour d’erreur, vous donnez en fait juste assez d’indices \u00e0 un visiteur techniquement expert pour essayer de pirater votre site Web.\n<\/p>\n \n Comment arr\u00eater d’afficher les commentaires d’erreur ?<\/strong>\n<\/p>\n \n Il existe une m\u00e9thode simple pour emp\u00eacher les commentaires d’erreur de connexion WordPress d’\u00eatre affich\u00e9s publiquement. Apr\u00e8s vous \u00eatre connect\u00e9 \u00e0 votre panneau d’administration WordPress, acc\u00e9dez \u00e0 Apparence > \u00c9diteur. Ouvrez le fichier functions.php du th\u00e8me actif et placez l’extrait de code suivant n’importe o\u00f9 dans le fichier.\n<\/p>\n \n Le compte d’utilisateur administratif par d\u00e9faut qui est cr\u00e9\u00e9 automatiquement au moment de l’installation de WordPress est \u00abadmin \u00bb. C’est aussi la zone la plus vuln\u00e9rable en ce qui concerne la s\u00e9curit\u00e9 de WordPress, qui est le plus souvent exploit\u00e9e par les pirates. Donc, supprimer ce compte \u00ab\u00a0administrateur\u00a0\u00bb par d\u00e9faut et g\u00e9rer votre site Web \u00e0 partir d’un autre compte \u00ab\u00a0pseudo\u00a0\u00bb administrateur est une tr\u00e8s bonne id\u00e9e pour tenir les pirates \u00e0 distance. \u00c0 tout le moins, cela rendra la vie un peu plus difficile pour tout pirate informatique potentiel.\n<\/p>\n \n Comment supprimer l’utilisateur ‘admin’ par d\u00e9faut ?<\/strong>\n<\/p>\n \n Cette activit\u00e9 peut \u00eatre r\u00e9alis\u00e9e \u00e0 deux \u00e9tapes diff\u00e9rentes comme d\u00e9crit ci-dessous :\n<\/p>\n \n Chaque version de WordPress pr\u00e9sente quelques vuln\u00e9rabilit\u00e9s qui sont g\u00e9n\u00e9ralement corrig\u00e9es lors de la sortie de la version suivante. Si un pirate parvient \u00e0 identifier la version de WordPress que vous utilisez, il peut facilement l’associer \u00e0 une faiblesse connue et l’exploiter pour prendre le contr\u00f4le de votre site Web. Pour \u00e9viter un tel sc\u00e9nario, vous pouvez demander au fichier de fonctions WordPress de ne pas divulguer le num\u00e9ro de version.\n<\/p>\n \n Comment masquer le num\u00e9ro de version WP ?<\/strong>\n<\/p>\n \n Habituellement, le num\u00e9ro de version de WordPress est ins\u00e9r\u00e9 dans le fichier d’en-t\u00eate de votre th\u00e8me via la fonction ‘wp-head()’. Cependant, supprimer la fonction n’est pas une solution, car la m\u00eame fonction peut \u00e9galement \u00eatre utilis\u00e9e par certains des plugins que vous avez install\u00e9s. Au lieu de cela, une meilleure alternative consiste \u00e0 ajouter l’extrait de code ci-dessous \u00e0 votre fichier functions.php.\n<\/p>\n \n Les robots sont des outils automatis\u00e9s programm\u00e9s par ordinateur utilis\u00e9s par les pirates pour prendre le contr\u00f4le de votre site Web. Ces programmes automatis\u00e9s peuvent \u00e9galement utiliser vos ressources d’h\u00e9bergement Web pour effectuer d’autres activit\u00e9s au nom du pirate. En emp\u00eachant les robots d’acc\u00e9der \u00e0 vos pages Web et \u00e0 vos r\u00e9pertoires, vous pouvez renforcer votre emprise sur l’administration du site Web.\n<\/p>\n \n Comment emp\u00eacher les bots d’acc\u00e9der \u00e0 votre site Web ?<\/strong>\n<\/p>\n \n La r\u00e9\u00e9criture de mod est un rem\u00e8de efficace pour bloquer l’acc\u00e8s des bots. \u00c0 l’aide de n’importe quel programme d’\u00e9dition de texte, ouvrez le \n Les autorisations de fichiers ne sont rien d’autre qu’une m\u00e9thode de restriction d’acc\u00e8s. En utilisant des param\u00e8tres d’autorisation de fichier appropri\u00e9s, vous pouvez emp\u00eacher les visiteurs d’acc\u00e9der aux fichiers de configuration importants r\u00e9sidant dans votre r\u00e9pertoire d’installation WordPress.\n<\/p>\n \n Comment impl\u00e9menter la restriction d’acc\u00e8s ?<\/strong>\n<\/p>\n \n Vous trouverez ci-dessous les param\u00e8tres d’autorisation de fichiers et de dossiers recommand\u00e9s pour votre site Web WordPress :\n<\/p>\n \n La valeur CHMOD pour tous les fichiers de donn\u00e9es doit \u00eatre d\u00e9finie sur 644.\n<\/p>\n \n La valeur CHMOD pour tous les dossiers et sous-dossiers doit \u00eatre d\u00e9finie sur 755.\n<\/p>\n \n La valeur CHMOD pour le fichier de configuration WordPress (wp-config.php) doit \u00eatre d\u00e9finie sur 640.\n<\/p>\n\n
\n 2 D\u00e9sactiver l’\u00e9dition du fichier de mod\u00e8le via le tableau de bord WP
\n<\/h4>\n![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3d0a04df.webp\")
<\/a><\/p>\ndefine( 'DISALLOW_FILE_EDIT', true );<\/code><\/pre>\n\n 3 Masquer les commentaires d’erreur de connexion des visiteurs
\n<\/h4>\n![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3d2d19d2.webp\")
<\/a><\/p>\nadd_filter('login_errors',create_function('$a', \"return null;\"));<\/code><\/pre>\n\n 4 Supprimer l’utilisateur ‘admin’
\n<\/h4>\n![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3d5643b9.webp\")
<\/a><\/p>\n\n
\n 5 Masquer le num\u00e9ro de version de WordPress
\n<\/h4>\n![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3d80a492.webp\")
<\/a><\/p>\nremove_action('ks29so_head','ks29so_generator');<\/code><\/pre>\n\n 6 Bloquer l’acc\u00e8s aux robots
\n<\/h4>\n![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3da961fc.webp\")
<\/a><\/p>\n.htaccess<\/code>fichier ‘ ‘ pr\u00e9sent dans votre r\u00e9pertoire racine WordPress. Faites d\u00e9filer vers le bas du fichier, ins\u00e9rez l’extrait de code mentionn\u00e9 ci-dessous, puis enregistrez le fichier au m\u00eame emplacement. Assurez-vous que vous ne modifiez pas le nom du fichier.\n<\/p>\nSetEnvIfNoCase User-Agent ^$ keep_out\nSetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out\nSetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out\nSetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out\nOrder Allow,Deny\nAllow from all\nDeny from env=keep_out<\/code><\/pre>\n\n 7 Utiliser les autorisations de fichier\/dossier appropri\u00e9es
\n<\/h4>\n![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3dcabdd4.webp\")
<\/a><\/p>\n\n 8 Limiter les tentatives de connexion des utilisateurs :
\n<\/h4>\n
![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3de46aef.webp\")
<\/a><\/p>\n![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-223265-6381d3e03d94b.webp\")
<\/a><\/p>\n