Avec plus de 3,809,448 cyber attaques enregistrée en 2019, dont 43% ciblant des PME (Source: Cybersecurity Ventures), sécuriser son site WordPress en 2020 est plus qu’une nécessite. Un script open source tel que le CMS WordPress, quelque soit son degré de fiabilité, est toujours vulnérable aux attaques.
Rassurez-vous! Contre ce genre de menaces, WordPress est parmi les CMS les plus robustes. Mais aucun système informatique n’est infaillible à 100%. C’est un fait!
La sécurité informatique des site web et des serveurs s’améliore de jour en jour. Mais les techniques d’attaque aussi.
Comment se produisent les cyberattaques?
De nombreuses cyberattaques sont opportunistes. Des pirates informatiques détectent des vulnérabilités dans les défenses d’un système informatique et les exploitent. Cela peut impliquer de trouver des failles dans le code d’un site Web, ce qui leur permet d’insérer leur propre code, puis de contourner les processus de sécurité ou d’authentification. Cela pourrait également signifier qu’ils installent des «logiciels malveillants» – des logiciels spécifiquement conçus pour endommager un système – via un site tiers vulnérable.
Les cyberattaques sont plus susceptibles de se produire à travers des erreurs banales comme un utilisateur choisissant un mot de passe facile à deviner ou utilisant des paramètres par défaut sur un CMS WordPress.
Une autre méthode d’attaque est un « déni de service distribué » (DDoS), où de grandes quantités de trafic sont envoyées à un site afin de le bloquer. Un système ne peut gérer un si grand nombre de demandes à la fois, tout comme un serveur web recevant trop de requêtes, finira par se bloquer. Une fois que cela se produit, les utilisateurs authentiques ne peuvent plus accéder au service, ce qui signifie une perte de revenus pour l’entreprise et des répercussions potentiellement plus graves si le service était essentiel, par exemple un service en ligne dédié aux entreprises.
Comment sécuriser son site WordPress en 2020?
Dans cet article, on va exposer quelques astuces simples qui peuvent aider tout webmaster à sécuriser son site WordPress facilement et rapidement.
Après avoir mis en œuvre ces conseils, la sécurité de votre site WordPress sera plus renforcée. Certaines astuces vous permettrons également de détecter les attaques. Ce qui permettra d’agir plus rapidement et plus efficacement aux tentatives.
I- Protéger la page de connexion et empêcher les attaques par force brute
Tout le monde connaît l’URL de la page de connexion WordPress standard. Le backend du site Web est accessible à partir de là, et c’est la raison pour laquelle les gens essaient de forcer la porte. Ajoutez simplement /wp-login.php ou /wp-admin / à la fin de votre nom de domaine et c’est parti .
Ce qu’on recommande, c’est de personnaliser l’URL de la page de connexion son interaction. C’est la première chose qu’on fait lorsque on commence à sécuriser son site WordPress.
Pourquoi? Parce que c’est généralement la faute du webmaster si son site a été piraté. Il y a certaines responsabilités que vous devez assumer en tant qu’administrateur d’un site Web. La question clé est donc la suivante: que faites-vous pour éviter que votre site ne soit piraté? Protéger la page de connexion et empêcher les attaques par force brute est l’un des éléments de base que vous puissiez faire.
1. Configurer une fonction de verrouillage du site Web et bloquer les malintentionnés
Une fonction de verrouillage pour les tentatives de connexion infructueuses peut résoudre l’énorme problème des tentatives de force brute continues. Chaque fois qu’il y a une tentative de piratage avec des mots de passe erronés répétitifs, le site est verrouillé et vous êtes informé de cette activité non autorisée.
Fréquemment mis à jour, iThemes Security Pro est l’un des meilleurs plugins pour sécuriser son site WordPress. Ce plugin a beaucoup à offrir à cet égard. Avec plus de 30 autres fonctions de sécurité impressionnantes, vous pouvez spécifier un certain nombre de tentatives de connexion infructueuses avant que le plugin n’interdise l’adresse IP de l’attaquant.
2. Utilisez l’authentification à deux facteurs pour la sécurité WordPress
L’introduction d’un module d’authentification à deux facteurs (2FA) sur la page de connexion est une autre bonne mesure de sécurité. Dans ce cas, l’utilisateur fournit des informations de connexion pour deux composants différents. Le propriétaire du site Web décide de ce que ces deux sont. Il peut s’agir d’un mot de passe normal suivi d’une question secrète, d’un code secret, d’un ensemble de caractères, ou plus populaire, l’application Google Authenticator. Cette application envoie un code secret à votre téléphone. De cette façon, seule la personne avec votre téléphone (vous) peut se connecter à votre site.
Un code secret est nécessaire lors du déploiement de 2FA sur votre sites Web. Le plugin Google Authenticator vous permet d’en avoir un en quelques clics.
3. Utilisez votre e-mail pour vous connecter
Par défaut, vous devez saisir votre nom d’utilisateur pour vous connecter à WordPress. L’utilisation d’un identifiant de messagerie au lieu d’un nom d’utilisateur est une approche plus sécurisée. Les raisons sont assez évidentes. Les noms d’utilisateur sont faciles à prévoir, contrairement aux identifiants de messagerie. De plus, tout compte d’utilisateur WordPress est créé avec une adresse e-mail unique. Ce qui en fait un identifiant valide pour la connexion.
Plusieurs plugins de sécurité WordPress vous permettent de configurer des pages de connexion afin que tous les utilisateurs doivent utiliser leur adresse e-mail pour se connecter.
4. Renommez votre URL de connexion pour sécuriser votre site WordPress
Changer l’URL de connexion est une chose facile à faire. Par défaut, la page de connexion WordPress est facilement accessible via wp-login.php ou wp-admin ajouté à l’URL principale du site.
Lorsque les pirates connaissent l’URL directe de votre page de connexion, ils peuvent essayer de forcer l’accès. Ils tentent de se connecter avec leur GWDb (Guess Work Database, c’est-à-dire une base de données de noms d’utilisateur et de mots de passe devinés; par exemple, nom d’utilisateur: administrateur et mot de passe: p @ ssword… avec des millions de ces combinaisons).
Au point (1), nous avons déjà limité les tentatives de connexion des utilisateurs et remplacé les noms de ces derniers par des ID de messagerie. Nous pouvons maintenant remplacer l’URL de connexion et nous débarrasser de 99% des attaques directes par force brute.
Cette petite astuce empêche une entité non autorisée d’accéder à la page de connexion. Seule une personne possédant l’URL exacte peut le faire. Encore une fois, le plugin iThemes Security peut vous aider à modifier vos URL de connexion. Ainsi:
- Remplacez wp-login.php par quelque chose d’unique; par exemple. my_new_login
- Remplacez / wp-admin / par quelque chose d’unique; par exemple. my_new_admin
- Remplacez /wp-login.php?action=register par quelque chose d’unique; par exemple. my_new_registeration
5. Ajustez vos mots de passe
Jouer avec des mots de passe « forts » et les changer régulièrement contribue à sécuriser son site WordPress. Améliorez leur force en ajoutant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Beaucoup de gens optent pour des phrases de passe longues car il est presque impossible pour les pirates de prédire mais plus faciles à retenir qu’un tas de chiffres et de lettres aléatoires.
Et, d’accord, nous savons tous que ce qui précède est ce que nous «devons» faire, mais ce n’est pas toujours quelque chose pour lequel nous avons le temps. C’est là que certains gestionnaires de mots de passe de qualité entrent en jeu. Ils généreront non seulement des mots de passe sûrs pour vous, mais les stockeront ensuite dans un coffre-fort sécurisé, ce qui vous évitera d’avoir à vous en souvenir.
6. Déconnectez automatiquement les utilisateurs inactifs de votre site
Les utilisateurs qui laissent le panneau wp-admin de votre site ouvert sur leurs écrans peuvent constituer une grave menace pour la sécurité de WordPress. Tout passant (Hacker utilisant un Torjan) peut modifier les informations sensibles de votre site, modifier les accès ou même casser complètement le site. Vous pouvez éviter cela en vous assurant que votre site déconnecte les utilisateurs après qu’ils ont été inactifs pendant un certain temps.
Vous pouvez configurer cela en utilisant un plugin comme BulletProof Security. Ce plugin vous permet de définir un délai personnalisé pour les utilisateurs inactifs, après quoi ils seront automatiquement déconnectés.
II- Sécuriser son site WordPress via le tableau de bord Admin
Pour un pirate, la partie la plus intrigante d’un site Web est le tableau de bord d’administration, qui est en effet la section la plus protégée de toutes. Donc, attaquer la partie la plus forte est le vrai défi. S’il est accompli, cela donne au pirate une victoire morale et l’accès à faire beaucoup de dégâts.
7. Protégez le répertoire wp-admin
Le répertoire wp-admin est le cœur de tout site Web WordPress. Par conséquent, si cette partie de votre site est violée, l’ensemble du site peut être endommagé.
Une façon possible d’éviter cela est de protéger par mot de passe le répertoire wp-admin. Avec une telle mesure de sécurité WordPress, le propriétaire du site Web peut accéder au tableau de bord en soumettant deux mots de passe. L’un protège la page de connexion et l’autre sécurise la zone d’administration de WordPress.
La mise en place implique généralement l’ajustement de votre configuration d’hébergement via cPanel. Pourtant, ce n’est pas trop difficile à faire si vous suivez les bonnes étapes.
8. Utilisez Https/SSL pour crypter les données
L’implémentation d’un certificat SSL (Secure Socket Layer) est une initiative nécessaire pour sécuriser le panneau d’administration. l’accès via le protocole https garantit un transfert de données cryptées entre les navigateurs des utilisateurs et le serveur. Ce qui rend difficile pour les pirates de rompre la connexion ou d’usurper vos informations.
Obtenir un certificat SSL pour votre site Web WordPress est simple. Vous pouvez en acheter un auprès d’une société tierce ou vérifier si votre hébergeur en fournit un gratuitement.
Tous les grands hébergeurs comme OVH, Gandi, HostGator… proposent un certificat SSL Let’s Encrypt gratuit avec ses packages d’hébergement mutualisés.
Le certificat SSL affecte également le classement Google. En effet le moteur de recherche a tendance à mieux classer les sites offrants un accès sécurisé. Cela signifie plus de trafic. Maintenant, qui ne veut pas ça?
Lire aussi:
9. Ajoutez des comptes d’utilisateurs avec soin
Si vous gérez un blog multi-auteur, vous devez traiter avec plusieurs personnes accédant à votre panneau d’administration. Cela pourrait rendre votre site Web plus vulnérable aux menaces de sécurité WordPress.
Vous pouvez utiliser un plugin comme Force Strong Passwords si vous voulez vous assurer que les mots de passe que les utilisateurs créent sont sécurisés. Ce n’est qu’une mesure de précaution, mais c’est mieux que d’avoir plusieurs utilisateurs avec des mots de passe faibles.
10. Modifiez le nom d’utilisateur administrateur
Lors de votre installation WordPress, vous ne devez jamais choisir « admin » comme nom d’utilisateur pour votre compte administrateur principal. Un tel nom d’utilisateur facile à deviner est accessible aux pirates. Tout ce dont ils ont besoin, c’est de trouver le mot de passe, puis tout votre site tombe entre de mauvaises mains.
Le plugin iThemes Security peut arrêter de telles tentatives en interdisant immédiatement toute adresse IP qui tente de se connecter avec ce nom d’utilisateur.
11. Surveillez vos fichiers
Si vous souhaitez une sécurité WordPress supplémentaire, surveillez les modifications apportées aux fichiers de votre site Web via des plugins comme Wordfence, ou encore, iThemes Security.
III- Sécuriser son site WordPress via la base de données
Toutes les données et informations de votre site sont stockées dans la base de données. Il est crucial d’en prendre soin. Voici quelques mesures que vous pouvez prendre pour le rendre plus sûr:
12. Modifiez le préfixe de la table de base de données WordPress
Si vous avez déjà installé WordPress, vous connaissez le préfixe wp-table utilisé par defaut dans la base de données. Il est recommandé de le changer en quelque chose de différent afin de compliquer la vie aux pirates.
L’utilisation du préfixe par défaut rend votre base de données sujette aux attaques par injection SQL. De telles attaques peuvent être évitées en remplaçant wp- par un autre terme. Par exemple, vous pouvez le faire mywp- ou wpnew-.
Si vous avez déjà installé votre site Web WordPress avec le préfixe par défaut, vous pouvez utiliser quelques plugins pour le changer. Des plugins comme WP-DBManager ou iThemes Security peuvent vous aider à faire le travail avec un simple clic sur un bouton. Par mesure de précaution, Faites une sauvegarde votre site avant de faire quoi que ce soit.
13. Effectuez des sauvegardes régulièrement
Quelle que soit le niveau de sécurité de votre site Web WordPress, il y a toujours place à amélioration. Mais à la fin de la journée, garder une sauvegarde hors site quelque part, est peut-être le meilleur antidote, quoi qu’il arrive.
Si vous avez une sauvegarde, vous pouvez restaurer votre site Web WordPress dans un état de fonctionnement à tout moment. Il existe des plugins qui peuvent vous aider à cet égard. Par exemple, il y a VaultPress, BlogVault et UpdraftPlus …
Si vous recherchez une solution premium, on recommande VaultPress by Automattic, ce qui est génial.
Certains sites Web plus importants exécutent des sauvegardes toutes les heures, mais pour la plupart des blogs, ce n’est pas nécessaire. Sans oublier, vous devez vous assurer que la plupart de ces sauvegardes sont supprimées après la création d’une nouvelle, car chaque fichier de sauvegarde occupe de l’espace sur votre disque. Cela dit, je recommanderais des sauvegardes hebdomadaires ou mensuelles pour la plupart des organisations.
En plus des sauvegardes, VaultPress vérifie également ton site pour les logiciels malveillants et il t’alerte si quelque chose de louche se passe.
14. Définissez des mots de passe forts pour votre base de données
Un mot de passe fort pour l’utilisateur de la base de données principale est indispensable car ce mot de passe est celui que WordPress utilise pour accéder à la base de données.
Comme toujours, utilisez des majuscules, des minuscules, des chiffres et des caractères spéciaux pour le mot de passe. Les phrases secrètes sont également excellentes. On recommande encore une fois LastPass pour la génération et le stockage de mots de passe aléatoires. Le générateur de mots de passe sécurisés est un outil gratuit et rapide pour créer des mots de passe forts.
Voir aussi:
- « How Secure is my Password » est un outil gratuit en ligne d’estimation du temps nécessaire pour casser un mot de passe. Il suffit d’introduire un mot de passe dans la zone de texte et le site vous affichera en combien de temps il pourra être cassé. Cliquez ici
15. Surveillez vos journaux d’audit
Lorsque vous exécutez WordPress multisite ou que vous gérez un site Web multi-auteur, il est essentiel de comprendre quel type d’activité utilisateur se déroule. Vos rédacteurs et contributeurs peuvent changer les mots de passe, mais il y a d’autres choses que vous ne voudrez peut-être pas. Par exemple, les changements de thème et de widget ne sont évidemment réservés qu’aux administrateurs. Lorsque vous consultez le journal d’audit, vous pouvez vous assurer que vos administrateurs et contributeurs n’essaient pas de modifier quelque chose sur votre site sans approbation.
Le plug-in WP Security Audit Log fournit une liste complète de ces activités, ainsi que des notifications et des rapports par e-mail. Dans sa plus simple expression, le journal d’audit peut vous aider à voir qu’un rédacteur a des problèmes de connexion. Mais le plugin peut également révéler une activité malveillante de l’un de vos utilisateurs.
VI- Laissez l’hôte gérer votre sécurité WordPress
Presque toutes les sociétés d’hébergement prétendent fournir un environnement optimisé pour WordPress, mais nous pouvons encore aller plus loin:
16. Protégez le fichier wp-config.php
Le fichier wp-config.php contient des informations cruciales sur votre installation WordPress. C’est le fichier le plus important du répertoire racine de votre site. Le protéger signifie sécuriser le cœur de votre blog WordPress.
Cette tactique rend difficile pour les pirates de briser la sécurité de votre site, car le fichier wp-config.php leur est inaccessible.
En prime, le processus de protection est vraiment facile. Prenez simplement votre fichier wp-config.php et déplacez-le à un niveau supérieur à votre répertoire racine.
Maintenant, la question est, si vous le stockez ailleurs, comment le serveur y accède-t-il? Dans l’architecture WordPress actuelle, les paramètres du fichier de configuration sont définis au plus haut de la liste des priorités. Ainsi, même s’il est stocké un dossier au-dessus du répertoire racine, WordPress peut toujours le voir.
17. Interdire l’édition des fichiers
Si un utilisateur a un accès administrateur à votre tableau de bord WordPress, il peut modifier tous les fichiers qui font partie du noyau. Cela inclut tous les plugins et thèmes.
Si vous interdisez la modification de fichiers, personne ne pourra modifier ces fichiers, même si un pirate obtient un accès administrateur à votre tableau de bord WordPress.
Pour que cela fonctionne, ajoutez ce qui suit au fichier wp-config.php:
define (‘DISALLOW_FILE_EDIT’, true);
Il est possible d’activer cette sécurité à l’aide du plugin iTheme Security
18. Définissez soigneusement les autorisations de répertoire
Des autorisations de répertoire incorrectes peuvent être fatales, surtout si vous travaillez dans un environnement d’hébergement partagé.
Dans un tel cas, la modification des fichiers et des autorisations de répertoire est une bonne chose pour sécuriser le site au niveau de l’hébergement. La définition des autorisations de répertoire sur «755» et les fichiers sur «644» protège l’ensemble du système de fichiers, répertoires, sous-répertoires et fichiers individuels.
Cela peut être fait manuellement via un gestionnaire de fichiers à l’intérieur de votre panneau de contrôle d’hébergement, ou via le terminal (connecté avec SSH), utilisez la commande «chmod». On peut également gérer les droits à l’aide du logiciel FTP.
Le plugin iThemes Security vérifie aussi vos paramètres d’autorisation actuels.
19. Désactiver la liste des répertoires avec .htaccess
Si vous créez un nouveau répertoire dans votre site et ne placez pas de fichier index.html dedans, vous serez peut-être surpris de constater que vos visiteurs peuvent obtenir une liste complète de tout ce qui se trouve dans ce répertoire.
Par exemple, si vous créez un répertoire appelé «data», vous pouvez tout voir dans ce répertoire en tapant simplement http://www.votresite.com/data/ dans votre navigateur. Aucun mot de passe ou quoi que ce soit n’est nécessaire.
Vous pouvez empêcher cela en ajoutant la ligne de code suivante dans votre fichier .htaccess:
Options All -Indexes
20. Bloquer tous les hotlinks
Supposons que vous localisiez une image en ligne et que vous souhaitiez la partager sur votre site Web. Tout d’abord, vous avez besoin d’une autorisation ou de payer pour cette image, sinon il y a de fortes chances qu’il soit illégal de le faire. Mais si vous obtenez l’autorisation, vous pouvez directement extraire l’URL de l’image et l’utiliser pour placer la photo dans votre article. Le principal problème ici est que l’image est affichée sur votre site, mais hébergée sur un autre site.
De ce point de vue, vous n’avez aucun contrôle sur le maintien ou non de la photo sur le serveur. Mais il est également important de se rendre compte que les gens pourraient faire cela à votre site Web.
Le hotlinking est essentiellement qu’une autre personne qui prend votre photo et « vole » la bande passante de votre serveur pour afficher l’image sur son propre site Web. En fin de compte, vous verrez des vitesses de chargement plus lentes et la consommation des ressources serveur élevés.
Bien qu’il existe certaines techniques manuelles pour empêcher le hotlinking, la méthode la plus simple consiste à trouver un plugin de sécurité WordPress pour cette tache. Par exemple, le plug-in All in One WP Security and Firewall offre des outils intégrés pour bloquer tous les hotlinks.
21. Sécuriser son site WordPress contre les attaques DDoS
Une attaque DDoS est un type courant d’attaque contre les sites, où l’attaquant utilise plusieurs programmes et systèmes pour surcharger votre serveur. Bien qu’une attaque comme celle-ci ne mette pas en péril les fichiers, elle est destinée à planter un site pendant une certaine période si elle n’est pas résolue. Habituellement, vous n’entendez parler des attaques DDoS que lorsque cela arrive à de grandes entreprises. Ils sont menés par ce que beaucoup appellent des cyber-terroristes, donc le motif pourrait être simplement de faire des ravages.
Si cela vous inquiète, nous vous recommandons de souscrire aux plans premium Sucuri ou Cloudflare. Ces solutions disposent de pare-feu d’applications Web pour analyser la bande passante utilisée et bloquer complètement les attaques DDoS. Pour les sites ayant un trafic important, il est recommandé de renforcer la sécurité à l’aide de Firewall matériel.
V- Sécuriser son site WordPress via des thèmes et des plugins
Les thèmes et les plugins sont des ingrédients essentiels pour tout site WordPress. Malheureusement, ils peuvent également poser de graves menaces pour la sécurité. Voyons comment nous pouvons sécuriser vos thèmes et plugins de la bonne façon:
22. Mettre à jour régulièrement
Tout bon logiciel est pris en charge par ses développeurs et est mis à jour périodiquement. Ces mises à jour sont destinées à corriger des bugs et comportent parfois des correctifs de sécurité essentiels. WordPress et ses plugins ne sont pas différents.
Ne pas mettre à jour vos thèmes et plug-ins peut laisser des failles. De nombreux pirates s’appuient sur le simple fait que les gens omettent de mettre à jour leurs plugins et thèmes. Le plus souvent, ces pirates exploitent des bogues qui ont déjà été corrigés.
Donc, si vous utilisez un produit WordPress, mettez-le à jour régulièrement, plugins, thèmes, tout. La bonne nouvelle est que WordPress déploie automatiquement les mises à jour pour ses utilisateurs. Vous recevrez donc un e-mail vous informant de la mise à jour et des informations sur les correctifs dans votre tableau de bord.
Quant aux plugins et les thèmes, il suffit d’aller à la rubrique « Mises à jour » dans votre tableau de bord. Lorsqu’un plugin a une nouvelle version, il vous en informe et fournit un lien pour mettre à jour maintenant.
Comme alternative, vous pouvez opter pour un plan d’hébergement WordPress géré. Outre de nombreuses autres fonctionnalités et améliorations de votre sécurité WordPress, l’hébergeur gère les mises à jour automatiques pour tous les éléments de votre site.
23. Supprimez le numéro de version
Le numéro de version WordPress actuel peut être trouvé très facilement. Il se trouve essentiellement dans la vue source de votre site. Vous pouvez également le voir au bas de votre tableau de bord (mais cela n’a pas d’importance lorsque vous essayez de sécuriser votre site Web WordPress).
Réflexions finales sur la façon de sécuriser son site WordPress
La sécurité WordPress est un sujet d’une importance capitale pour chaque propriétaire de site Web. Google met sur liste noire environ 10 000 sites Web chaque jour pour la présence de scripts malveillants.
Si vous êtes un débutant, c’était beaucoup de choses à apprendre. Cependant, tout ce qu’on a mentionné dans cet article est un pas dans la bonne direction. Plus vous vous souciez de votre sécurité WordPress, plus il est difficile pour un pirate de l’attaquer.
Cependant, cela étant dit, la performance du site est probablement tout aussi importante que la sécurité. Fondamentalement, sans un site Web qui se charge rapidement, vos visiteurs n’auront jamais la possibilité de consommer votre contenu. Le visiteur moyen d’un site Web n’attendra que 2 secondes avant d’être frustré et de partir. Il est donc important de maintenir un équilibre entre performance et sécurité.
FAQ: Sécuriser son site WordPress
Est-il nécessaire de désactiver REST API et XML RPC?
Le REST API et le XML RPC sont deux fonctionnalités WordPress qui permettent d'exécuter des commandes depuis l'extérieur, par une autre application/script sans passer par le tableau de bord. Ces fonctionnalités sont nécessaires pour des grands projets. Mais pour un simple blog, il serait plus sûr de les désactiver.
Quel plugin WordPress utiliser pour sécuriser mon site?
iTheme Security Pro offre une suite complète de 30 fonctionnalités qui couvrent tous les aspects de la sécurisation d'un site. All In One WP Security & Firewall est également un bon plugin qui offre d'autres fonctions?
Comment vérifier la vulnérabilité de mon site WordPress?
Plusieurs solutions existent: 1. Faire appel à un coach spécialiste de la sécurité web 2. Plusieurs sites offrent des outils gratuits en ligne pour analyser votre site et découvrir l'existante de failles.
Est-il important de migrer en https?
Absolument oui! le passage au https offre plusieurs avantages: 1. Rassurer les visiteurs 2. Sécuriser vos accès admin 3. Favoriser votre référencement sur Google.
Combien coûte la sécurisation d'un site WordPress?
Tout dépend de l'ampleur du site et du trafic. Pour la majorité des blogs et des sites de moins de 50 pages avec un trafic de moins de 1000 visites par jour, la prestation est en moyenne facturée à 60€ HT. Pour des sites plus importants, c'est au cas par cas.
Faut-il faire appel à un spécialiste en sécurité?
Si vous maitrisez bien le volet technique (développement php, manipulation linux/apache/MySql, types d'attaques, paramétrage firewall...) pas besoin de recourir à un spécialiste. Cependant, toute erreur de manipulation ou de paramétrage peut entrainer le blocage du site. Dans certain cas, même l'accès admin est bloqué. Donc toute manipulation doit être faite avec prudence et précaution. Il est recommandé de faire une sauvegarde du site avant de se lancer.
Est-ce que trop de sécurité peut rallentir mon site?
Oui, plus il y a de contrôles, plus ça consomme des ressources et donc ça ralenti le site. Il faut avoir un bon équilibre entre sécurité et performance.