Sécuriser wordpress

sécuriser son site wordpress

WordPress est le CMS le plus populaire, ce qui fait de lui une cible parfaite pour les pirates informatiques.Par défaut, un site wordpress est déjà sécurisé  cependant vous n’êtes pas à l’abri des hackers.Dans cette article nous allons découvrir comment sécuriser wordpress.

Très souvent, les hackers souhaitent pirater votre site web pour plusieurs raisons.

Pour installer un logiciel malveillant sur votre site wordpress. Il s’agit d’un logiciel caché dans les fichiers de votre site wordpress. Une fois qu’il est installé, le hacker peut facilement envoyer des virus sur les ordinateurs de vos visiteurs.

Pour récupérer les informations sensibles sur votre site web tels que les mots de passe,les informations de vos client, etc…

 

Si votre activité sur internet est importante pour vous et que vous souhaitez garder votre réputation sur internet, vous devez prendre à cœur la sécurité de votre site wordpress. Il est donc important que vous sécurisez votre site pour ne pas vous faire hacker.

Il est important de mentionner que ces mesures de sécurité ne garantissent pas une protection à 100% contre les tentatives de piratage, principalement parce qu’un site Web 100% sécurisé n’existe pas, mais elles vous protégeront contre la majorité des attaques.

Je sens que vous êtes motivé  et prêt à sécuriser votre site wordpress car vous souhaitez créer une réelle entreprise sur internet.

Nous allons voir les mesures de sécurité basique que vous devez appliquer pour sécuriser votre site wordpress. Je ne parle pas de juste vous donner des conseils mais nous allons mettre en place des petites actions en place pour sécuriser votre site.

Prendre un hébergement wordpress sécurisé

La sécurité au niveau serveur représente  une partie importante dans la sécurité de votre site .Vous devez choisir un service d’hébergement de qualité qui vous offre une bonne sécurité au niveau serveur.Voici quelques services d’hébergement de qualité.

Toujours mettre à jour votre site

Un autre moyen de renforcer la sécurité de votre site est de toujours maintenir votre site à jour. WordPress sort régulièrement de nouvelle mise à jour,ces mises à jour sont souvent soit pour ajouter une nouvelle fonctionnalité ou soit pour corriger un bug dans la version actuelle de wordpress que vous utilisez.De même les plugins et thèmes sont créés par des développeurs tiers qui sortent aussi de nouvelles mise à jour de leurs thèmes et plugins. Vous devez donc mettre à jour votre site.

Utiliser un mot de passe sécurisé

Choisir un mot de passe sécurité vous évite des attaques par force brusque des hackers. Lorsque vous choisissez un mot de passe simple à deviner,vous facilitez la tache aux hackers. Votre site pourra être pirater très facilement. Les mots de passe comme 12345678,amour,connexion,sécurité sont à éviter. Vous avez compris à quoi je fais allusion.Utilisé plutôt un mot de passe avec des lettres majuscule et minuscule,des chiffres, et des caractères.

Bien définir les permissions des utilisateurs

Il est important de bien  définir les permissions  pour chaque utilisateur que vous ajoutez sur votre site. WordPress vous permet de définir un rôle a chaque utilisateur que vous ajouter, permettant de définir ce qu’un utilisateur peu faire ou ne pas faire sur votre site.Il existe par défaut 5 rôles utilisateur dans wordpress.

L’administrateur(le rôle le puis important, un utilisateur avec ce rôle à le contrôle totale de votre site),éditeurs(une utilisateur avec ce rôle à le Control sur tous les contenus du site), l’auteur(un utilisateur avec ce rôle à le contrôle sur son propre contenu), le contributeur(un utilisateur avec ce rôle ne peut pas publier de contenu sur votre site) et l’abonné(un utilisateur avec ce rôle est un abonné).

A présent vous savez à peut prêt à quoi correspond chaque rôle d’utilisateur sur wordpress. Le but n’étais pas de créer un article complet sur les rôles utilisateurs dans wordpress. Lorsque vous souhaitez ajouter un compte utilisateur pour une  freelance qui devrait  travailler sur votre site ,vous pouvez le donner le rôle de contributeur.

Ne pas utilise « admin » comme nom d’utilisateur

Certains installeur automatique wordpress des services d’hébergement ne vous permet pas de définir un nom d’utilisateur pendant l’installation de wordpress sur votre site .Ils créent pour vous un compte administrateur avec un nom d’utilisateur « admin ».

Ce qui facilite la tache aux hackers de pirater vote site.Vous pouvez par exemple créer un nouveau compte administrateur dans le tableau de bord de votre site wordpress puis supprimer le compte administrateur avec le nom d’utilisateur « admin »

Déactiver l’edition de fichier

WordPress  offre un éditeur vous permettant de modifier les fichiers de votre thème ou des plugins depuis le tableau de bord de votre site.Vous pouvez déactivez cette fonctionnalité en insérant le ligne de code suivante dans le fichier wp-config.php 

define( 'DISALLOW_FILE_EDIT', true );

Si vous ne pouvez pas accéder au fichier wp-config.php, Le plugin  de sécurité Sucuri ,vous permet de déactiver cette fonctionnalité.

 Changer L’URL de connexion de votre site

Par défaut la page de connexion de votre site est accessible via L’URL  votrenomdedomaine/wp-admin ou votrenomdedomaine/wp-login.php. Un hacker qui connait directement la page de connexion de votre site, peut essayer de pirater votre site en forçant la connexion à votre site.

Ces hackers possèdent une base de donnée de nom d’utilisateur et de mot de passe leurs permettant d’essayer plusieurs combinaisons de nom d’utilisateur et de mot de passe.

Pour changer L’URL de connexion de votre site vous pouvez utiliser le plugin de sécurité  iThemes Security, mais nous n’allons pas utiliser  iThemes Security, juste pour cette fonctionnalité.Nous allons plutôt utiliser un autre plugin  WPS Hide login pour changer L’URL de la page de connexion.

Dans la barre latérale gauche du tableau de bord de votre site, survolez sur plugin, puis cliquez sur Ajouter.Recherchez  WPS Hide login, puis installez et activez le plugin.Dans la barre latérale du tableau de bord de votre site, survoler sur Réglages, cliquez sur Générale puis défilez  la page vers le bas ou  sous Réglages cliquez  sur   WPS Hide login.

Dans le champ URL de connexion renseigner un mot différent de login que vous utiliserez pour vous connecter . Veuillez bien enregistrer ce mot pour vous en souvenir plus tard car il m’est arrivé de l’oublier un instant.

 

Toujours sauvegarder votre site wordpress

Avoir une sauvegarde de votre site est très important.Elle vous permettra de restaurer votre site en cas de catastrophe. Nous allons utiliser le plugin BackWPUp.

Dans la barre latérale gauche du tableau de bord de votre site survolez  sur plugin, puis cliquez sur Ajouter.Recherchez  « BackWPup – WordPress Backup Plugin » puis installer et activer le plugin.

Installation de BackWPup

Dans la barre latérale gauche,vous devez voir apparaître l’option BackWPUp. Cliquez sur la sous option « Ajouter une nouvelle opération ».Définissez un nom pour cette opération.

Tache de l’opération

Vous pouvez activer plusieurs taches tels que: « sauvegarder la base de donnée », « sauvegarder des fichier »,« exporter wordpress en xml »,« installer la liste des plugin »,« vérifier les tables ».

Si vous souhaitez sauvegarder votre site,sélectionnez tout sauf  « vérifier les tables ».Dans « Nom de l’archive ». Définissez un format pour le nom d’enregistrement de l’archive ou laissez celui sélectionné par défaut.

Dans Format de l’archive, choisissez un format compression ou laissez l’option sélectionnez par défaut.Dans  » Destination de l’opération », choisissez où vous souhaitez sauvegarder votre  site.

Dans « Fichiers journaux », choisissez à quelle adresse vous souhaitez envoyer les messages d’alerte puis enregistrer les modifications en cliquant sur le bouton « Sauvegarder les changements ».

Cliquez ensuite sur l’onglet « Programmation ».Dans cet onglet, vous pouvez choisir de lancer une sauvegarde manuelle ou automatique.Si vous souhaitez lancer une sauvegarde automatique, cliquez sur « Avec le cron de WordPress ». Cliquez ensuite sur le bouton « Sauvegarder les changements ».

Cliquez sur « Sauvegardes de Base de donnée ».Dans « Table pour le dump », laissez  les cases cochées par défaut. Dans « Nom du fichier de sauvegarde »,choisissez un  nom de fichier de sauvegarde de la base de donnée ou laissez le nom défini par défaut.Dans « compression du fichier », laissez l’option choisi par défaut puis sauvegarder ensuite les changements.

Cliquez sur l’onglet « Fichiers »,Dans cet onglet vous pouvez choisir quels répertoires ou fichiers vous souhaitez sauvegarder. Désélectionnez toutes les autres cases sauf la dernière case permettant de sauvegarder le répertoire upload. Enregistrez ensuite les modifications.

Cliquez ensuite sur l’onglet « Extentions ».Laissez la configuration par défaut dans cette onglet.Sous BackWPUp cliquez sur la sous option « Opérations ».Vous devez normalement voir l’opération que  nous venons de créer.

Si vous avez sélectionné la sauvegarde manuelle dans l’onglet programmation , survoler sur l’opération que vous venez de créer. Vous devez voir un lien vous permettant de lancer une sauvegarde,  mais si vous avez sélectionné la sauvegarde automatique dans l’onglet programmation, une sauvegarde sera lancé à intervalle régulière .Nous venons de voir comment sauvegarder son site wordpress. Le but n’étais pas de créer un tutoriel complet sur la sauvegarde.

A présent nous allons aller un peu plus loin dans la sécurisation de votre site wordpress. Nous allons par exemple installer un par-feu.

Sécuriser son site wordpress avec wordfence

Nous allons cette fois ci, utilisé un plugin de sécurité pour améliorer encore plus le sécurité de votre site wordpress.

Nous allons utilisé le plugin wordfence .Il s’agit d’un plugin de sécurité  qui protège votre site web contre les menaces tels que les attaques ddos , les attaques par force brusque et les logiciels malveillants.

Wordfence possède un par-feu qui analyse tout le trafic des visiteurs juste avant qu’ils atteignent votre site web.Ainsi les pirates sont bloqués avant qu’ils n’atteignent et piratent votre site web.

Il possède aussi un scanner de logiciel malveillant  pour scanner les fichiers (wordpress, les thèmes et plugins) de votre site wordpress y compris  pour détecter la présence des logiciels malveillants.

Wordfence propose une version gratuite et payante.Pas de panique,la version gratuit  vous permet déja de bien sécuriser votre site web.La version payante propose quelques fonctionnalités supplémentaires pour encore mieux sécuriser votre site web.

Installation du plugin wordfence

Dans la barre latérale de votre tableau de bord, survolez sur l’option Plugin puis cliquez sur Ajouter.Recherchez wordfence puis installez et et activez le plugin.

Installation wordfence

Vous devez voir afficher  l’option wordfence dans la barre latérale gauche du votre tableau de bord. Cliquez sur cette option pour afficher la page du tableau de bord wordfence.

Le tableau de bord wordfence, fourni les détails sur l’état actuelle de la sécurité de votre site web.

La première section nommée Wordfence Protection Activated, vous indique si les fonctionnalités primaires de wordfence sont activées.Plus précisément, cette section vous indique

  • Si le par-feu est activé ,déactivé ou ou en mode d’apprentissage
  • Si le scan programmé de wordfence est activé ou non
  • Si vous utilisez la version gratuite ou payant de wordfence

Le cercle d’état du par-feu et du scan programmé de wordfence vous indiquent à quel niveau vous êtes protégé.

La section notification vous indique l’ensemble des actions à effectuer.Vous serez informé par exemple s’il y a des mises à jour à de plugin à effectuer.Vous serez informé par exemple si la dernière analyse de wordfence a détecté un problème sur votre site.

Depuis le tableau de bord, vous pouvez trouver un lien vers l’ensemble des outils et des options globales de wordfence. Les options globales sont des options qui vous permettent de configurer à quel  email vous souhaitez recevoir les alertes ,quel type d’alerte vous souhaitez recevoir, etc. Les outils wordfence vous permettent de verrouiller votre site web.

La section Firewall Summary, affiche le nombre d’attaques qui ont été bloqué sur votre site.

attaque bloque wordfence

La section Total Attacks Blocked, affiche  une représentation graphique de l’ensemble d’attaques sur votre site.

representation graphique des attaques wordfence

Tout en haut de la page,vous devez voir afficher deux notifications importantes .

mise à jour automatique wordfence

La notification  (1) permettant à wordfence de se mettre à jour automatiquement.Cliquez sur yes, enable auto-update pour activer la mise à jour automatique de wordfence.

La notification (2) vous permettant d’optimiser le par-feu wordfence. Cliquez sur le bouton click here to configure.Pendant le processus d’optimisation, wordfence changera les configuration  php pour permettre au par-feu de s’exécuter avant tout exécution de fichier php sur votre site.

Suivant la configuration de votre serveur, wordfence  modifiera  soit le fichier .htaccess, soit  user.ini, ou le fichier php.ini. Pas de panique Wordfence va tout gérer à votre place.Cette configuration est très importante car wordfence empêchera l’exécution de tout logiciel malveillant sur votre site internet.

Après avoir cliqué sur le bouton click here to configure,une boite de dialog s’ouvre vous demandant de sauvegarder votre fichier .htacess. Cliquez sur le bouton download, pour télécharger le fichier, puis cliquez ensuite sur le bouton continue.

téléchargement du fichier .htacess

Ensuite une autre boite de dialogue s’ouvre pour vous confirmer que vous avez bien réussi l’installation.Cliquez  ensuite sur le bouton close pour afficher la page de configuration du par-feu wordfence.

Nous allons maintenant configurer le par-feu(firewall) wordfence. Si vous n’êtes pas déjà  sur le lien firewall, cliquez sur firewall.

Le par-feu(firewall) de wordfence protège votre site contre un certains nombre t’attaques basé sur le web en générale,aussi bien qu’un certains nombre t’attaques spécifique aux thèmes, et aux plugins.

Vous pouvez cliquer directement sur le bouton manage firewall(gérer le par-feu) pour configurer le par-feu.Nous allons plutôt le faire quand nous serons sur la page All options. On vous indique aussi que le par-feu est en mode apprentissage.

Cela permet à Wordfence d’en savoir plus sur votre site afin qu’il puisse comprendre comment  protéger votre site et autoriser les visiteurs normaux à travers le pare-feu. Vous devez laisser Wordfence apprendre comment votre site fonctionne pendant une semaine avant d’activer le pare-feu.

Le statut en cercle du par-feu(firewall) indique à quelle degré votre site est protégé.Vous devez constater que le statut en cercle Brute Force Protection est à 100%, ce qui indique que la page de connexion administrateur est protégé contre toutes les attaques par force brusque, contre les utilisateurs non autorisé.

Brute Force Protection est activé par défaut.L’option Rate Limiting   est aussi activé par défaut. Pour accéder à l’ensemble des configurations disponibles, cliquez sur Rate Limiting. Depuis cette page, vous pouvez aussi accéder à la page de configuration de l’ensemble des options du par-feu.

Vous devez voir aussi afficher plusieurs statistiques tels que Top IPs Blocked(Les IP les plus bloquées),Firewall Summary(l’ensemble des attaques bloquées),Top Countries by Number of Attacks – Last 7 Days(Le nombre d’attaques bloquées par pays les 7 dernier jours), Total Attacks Blocked(Une représentation graphique du nombre t’attaques bloquées),Login Attempts(Les tentatives de connexion).

Cliquez sur l’onglet blocking en haut de la page. Wordfence vous donne la possibilité de bloquer certaines adresses ip,ou bloquer des pays spécifiques (disponible dans la version premium) ou de définir votre propre règle de blocage. Pour configurer cette option, cliquez sur Blocking options.Nous allons plutôt préférés configurer les options dans quand nous serons sur la page All options

Cliquez ensuite sur le lien Scan. Lorsque vous lancez le scan, wordfence examine tous les fichiers de votre site web à la recherche de code malveillants, de backdoors, de sell installés par des pirates.

Vous pouvez lancer un scan en cliquant sur le bouton START NEW SCAN.Un scan peut être manuel ou programmé.

Un scan wordfence passe par un ensemble d’étape,ou chaque étape représentant la vérification d’une zone spécifique sur votre site.Les icons indiquent quand une étape est terminée. Les icons indiquent aussi que des problèmes ont été détecté au cours d’une étape de scan spécifique.

Lorsque Wordfence  détecte un problème lors d’un scan manuel, les résultats s’affichent dans l’onglet Results found représentés par l’image ci-dessous

Dans l’onglet ignored results, s’affiche les messages du résultat de scan que vous avez ignoré dans l’onglet Results found. Nous venons d’exploré la page Scan de Wordfence.

Cliquez ensuite sur Tools sous Wordfence dans la barre latérale gauche du tableau de bord de votre site.Dans l’onglet Two Factor Authentification,Vous pouvez activer la sécurité Two Fator Authentification sur la page de connexion de votre site.Ce niveau de sécurité est disponible dans la version payant de Wordfenece.

Ne vous inquiétez pas, nous allons utiliser un autre plugin pour activer cette option.Cliquez ensuite sur l’onglet Live Traffic. Dans cette onglet vous voyez tous ce qui se passe sur votre site en temps réel comme les visites de crawler google,bing,les tentatives de hack  etc.

Cliquez ensuite sur All Options sous wordfence dans la barre latérale gauche du tableau de bord de votre site.Cette page représente l’une des parties les plus importantes de wordfence. C’est dans  cette page que vous vous allez configurez l’ensemble des options de wordfence.

Wordfence global options

Dans Wordfence global options, cliquez sur Wordfence Licence, Le champ Licence Key vous permet de définir la clé de licence pour activer la version payant de Wordfence.

View customization

View customization  permet de personnaliser le sous menu  wordfence. Par défaut la case Display « All options » menu item est cochée pour afficher le lien « All options «  dans le sous menu Wordfence.

Wordfence All option menu

Cochez les cases Display « blocking » menu item et Display « Live Traffic » menu item pour afficher respectivement le lien Blocking et Live Traffic dans le sous menu wordfence.

General Wordfence Options

Cliquez sur General Wordfence Options.La première case « Update Wordfence automatically when a new version is released » est déjà cochée car nous l’avons activé au début de la configuration.Le champ Where to email alerts, vous permet de renseigner à quelle adresse email vous souhaitez recevoir les alertes wordfence.

Cochez les cases « Hide WordPress version » et « Disable Code Execution for Uploads directory » pour respectivement cacher la version de wordpress installée sur votre site et déactiver l’exécution de code dans le répertoire « upload » de wordpress. Laissez la case « Disable Wordfence Cookies ».

Laissez cochée la case « Pause live updates when window loses focus » pour permettre à wordfence de diminuer l’utilisation des ressources serveur.Laissez la valeur définie dans le champ « Update interval in seconds » à 2.Laissez décochées les cases « Bypass the LiteSpeed « noabort » check » et « Delete Wordfence tables and data on deactivation ».

Dashboard Notification Options

Cliquez sur « Dashboard Notification Options »,Laissez cochées les deux premières cases pour permettre à wordfence de vous informer des mises à jour disponibles et des résultats de scan.

Email Alert Preferences

Laissez les options cochées par défaut.Vous pouvez toutes fois cocher ou décocher certaines cases selon vos besoins.

Activity Report

Cette fonctionnalité vous permet d’activer un rapport d’activité de messagerie récapitulant les événements récents liés à la sécurité de votre site.Pour ce la cochez sur la première case et choisissez à droit à quel fréquence vous souhaitez recevoir le rapport d’activité.

Ensuite l’option « List of directories to exclude from recently modified file list » vous permet d’exclure les répertoires  dont vous ne souhaitez pas recevoir le rapport de modification des fichiers.Et enfin cochez sur la case « Enable activity report widget on the WordPress dashboard » si vous souhaitez activer l’affichage du widget du rapport d’activité de wordfence sur le tableau de bord de wordfence.

Import/Export Options

Cette section vous permet d’importer ou d’exporter une configuration des options wordfence.

Firewall Options

Web Application Firewall Status

Dans cette section,Vous pouvez mettre le par-feu en mode apprentissage ou l’activer.Quand vous installez wordfence,vous devez d’abord mettre le par-feu en mode apprentissage pour qu’il comprend comment votre site fonctionne, ensuite vous pourrez l’activer.Pour activer le par-feu cliquez sur Learning mode puis sélectionnez Enabled and Protecting.

Advanced Firewall Options

Laissez la première case décochée.Dans le champ « Whitelisted IP addresses that bypass all rule », vous pouvez renseigner une liste d’adresses IP qui peuvent contourner toutes les règles de blocage.

Vous pouvez par exemple renseigner l’adresse IP de l’ordinateur que vous utilisez actuellement.Pour connaitre votre adresse IP, tapez dans google « mon adresse IP ».Dans la section Rules, laissez tout cochez.

Brute Force Protection

Cette option active toutes les protections d’attaque par force brusque. Laissez cette option sur On.

L’option « Lock out after how many login failures  » , vous permet de définir après combien d’ehecs de connexion il faudra verrouiller la page de connexion, vous pouvez par exemple définir la valeur à 5.

L’option « Lock out after how many forgot password attempts « , vous permet de définir après combien de tentatives de mot de passe oublier, il faut verrouiller la page de connexion.Vous pouvez aussi définir la valeur à 5.

L’option « Count failures over what time period », vous permet de définir sur quelle période de temps compter les échecs.Vous pouvez définir par exemple  la valeur 20 minutes.

L’option « Amount of time a user is locked out »,vous permet de définir pendant combien de temps vous souhaitez bloquer un utilisateur qui a violé les règles.Vous pouvez par exemple définir la valeur à 2 heures.

La case « Immediately lock out invalid usernames » vous permet de verrouiller les noms d’utilisateurs invalides.

Le champ « Immediately block the IP of users who try to sign in as these usernames «  ,vous permet de renseigner une liste de nom d’utilisateur dont vous  souhaitez bloquer l’adresse IP.

Dans la section « Additional Options« , laissez les case cochées par défaut. Puis cochez la case « Block IPs who send POST requests with blank User-Agent and Referer ».

Rate Limiting

Dans ce section vous pouvez définir à quel frequence vous souhaitez limiter ou bloquer une adresse IP, un pays etc.pour activer cette section, laissez la sur On. A présent, nous allons explorer chaque  option.

Cochez la case « Immediately block fake Google crawlers » pour activer le blocage des faux robots google.L’option « How should we treat Google’s crawlers » vous permet de choisir comment vous souhaitez traiter les robots google.Laissez la valeur défini par défaut.

La liste des options représentée par l’image ci dessous , vous permet de définir après combien de temps vous souhaiter ralentir(throttle) ou bloquer(block) un utilisateur ou un robot.Entre throttle it et block it je vais choisir throttle it  pour toutes les options.

Définissez la valeur de l’option « If a crawler’s page views exceed » à 240 ,définissez l’option « If a crawler’s page views exceed » à 240, définissez la valeur de l’option « If a crawler’s pages not found (404s) exceed »  à 10, définissez l’option « If a human’s page views exceed » à 15, définissez l’option « If a human’s pages not found (404s) exceed » à 5,définissez l’option « If 404s for known vulnerable URLs exceed » à 5.

L’option « How long is an IP address blocked when it breaks a rule «  vous permet de définir après combien de temps bloquer une adresse IP qui à brisé les règles.L’option « Whitelisted 404 URLs », vous permet de définir une liste d’URL qui ne seront pas pris en compte pour bloquer ou ralentir un robot ou une adresse IP.

Whitelisted URLs7

Dans cette section, vous pouvez définir une liste d’URL qui peut être appelée et que le par-feu pourrai considérer comme suspect mais qui ne sont pas suspectes.Laissez cochées les cases dans la section « Monitor background requests from an administrator’s web browser for false positives ».

Blocking Options:

Cette section est disponible uniquement dans la version payant.

Scan Options

Scan Scheduling

Laissez l’option « Schedule Wordfence Scans » à ENABLE , puis laissez cochée l’option « Let Wordfence choose when to scan my site « .

Basic Scan Type Options

Si votre site fonctionne correctement et que vous souhaitez utiliser moins de ressource, activez l’option « Limited Scan ».Si votre site fonctionne correctement, activez l’option « Standard Scan ».Si vous avez constaté que votre site est infecté, activez l’option « High Sensitivity ».

General Options

Laissez les options cochées par défaut.Si vous souhaitez faire une scan plus avancé,cochez les autres options nécessaire.

Performance Options

Laissez cochée la case « Use low resource scanning ». Laissez les valeurs des options définies par défaut.

Advanced Scan Options

Si vous souhaitez appliquer une scan plus avancé, vous pouvez définir cette valeur.

Tool Options

Two Factor Authentication Options: Cette sécurité est disponible dans la version payant de wordfence.

Live Traffic Options

Laissez  l’option  « Enable live traffic logging » activée.

L’option « List of comma separated usernames to ignore. » vous permet de renseigner une liste de nom d’utilisateur à ignorer.

L’option « List of comma separated IP addresses to ignore », vous permet de définir une liste d’adresse ip à ignorer.

L’option « Browser user-agent to ignore », vous permet de définir une liste de user-agent à ignorer.

L’option « Amount of Live Traffic data to store »,vous permet de définir combien de quantité de donnée du trafic en temps réel vous souhaitez enregistrer.Laissez la valeur défini par Default.

Comment Spam Filter Options

Cette section vous permet de détecter et de filtrer les spam dans le commentaires.Laissez ces options activées.Cliquez ensuite sur le bouton SAVE CHANGES.

Appliquez la sécurité Two factor authentification

Pour mettre en place la sécurité two factor authentification sur votre site avec le plugin Wordfence, il faut passer à la version payant.Nous allons donc utiliser un autre plugin pour mettre en place Cette sécurité.

Jusqu’à présent, vous vous demandez toujours  si votre mot de passe est assez sécurisé .Je peux même vous dire que parfois un mot de passe sécurisé n’est pas assez suffisant pour ne pas vous faire hacker.Nous allez utiliser la sécurité two facteur authentification pour sécurité votre site.la sécurité two facteur authentification consiste à faire connecter à votre site en deux étapes .

C’est à dire, vous aurez besoin d’une autre information en plus de votre nom d’utilisateur et votre mot de passe.Il s’agit généralement d’un code que vous recevez par texto(SMS), par un appel téléphonique,ou par email.Nous allons utiliser le plugin Two Factor.

Dans la barre latérale gauche du tableau de bord de wordpress, survoler sur Plugin puis cliquez sur Ajouter.Recherchez Two Factor puis installez et activez le plugin.

Dans la barre latérale gauche du tableau de bord, cliquez sur Utilisateurs.

Survoler ensuite sur votre compte utilisateur puis cliquez sur modifier.Défilez ensuite la page vers le bas.Vous devez voir la section Two-Factor Options.Nous allons utiliser la premier option car sa me semble assez simple.Elle  consiste à vous envoyer un code que vous devez insérer après avoir insérer votre mot de passe et votre nom d’utilisateur sur votre page de connexion.Cochez  la première case Enabled et la première option Primary puis cliquez sur le bouton mettre à jour le profil.

A présent, allez sur votre page de connexion, entrez votre nom d’utilisateur et votre mot de passe.cliquez ensuite sur le bouton Se connecter.Une autre page s’affiche pour vous demander d’insérer un code. Récupérez ensuite le code que vous avez reçu dans votre boite de réception ou vérifiez que le message n’est pas dans les spam. Insérez le code puis connectez vous à présent.

J’espère que vous avez aimé ce tutoriel dans lequel je vous apprends comment sécuriser son site wordpress. Pour recevoir d’autres tutoriels, abonnez-vous à la newsletter.

 

 

INSCRIVEZ-VOUS A LA NEWSLETTER
I agree to have my personal information transfered to MailChimp ( more information )
Rejoignez notre communauté pour recevoir des trucs et astuces sur wordpress. Tout ce que vous avez besoin pour booster votre activité sur internet.
Les spam c'est pas notre truc.Votre email est entre de bonne mains.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *