Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

14 Astuces vitales pour protéger votre zone d’administration WordPress (mise à jour)

La zone d’administration de WordPress est en quelque sorte la salle de contrôle de votre site. Si des pirates s’y introduisent, ils peuvent modifier les Réglages, voler des données, ou même vous verrouiller. C’est pourquoi la sécuriser est l’une des choses les plus intelligentes que vous puissiez faire.

Nous avons vu de nombreux propriétaires de sites faire face à des menaces de sécurité sans se rendre compte de la vulnérabilité de leur zone d’administration. Les attaques par force brute, les injections de logiciels malveillants et les connexions non autorisées sont plus courantes que vous ne le pensez.

La bonne nouvelle ? Vous n’avez pas besoin d’être un expert en sécurité pour protéger votre site. Quelques ajustements simples peuvent rendre l’accès à votre site beaucoup plus difficile pour les pirates.

Dans ce guide, nous partagerons des astuces et des hacks essentiels pour protéger votre zone d’administration WordPress. Ces étapes vous aideront à garder votre site en sécurité, vos données sécurisées et votre esprit tranquille.

Tips and hacks to protect WordPress admin area

Nous allons aborder de nombreuses astuces, et vous pouvez utiliser les liens rapides ci-dessous pour passer de l’une à l’autre :

1. Utiliser un pare-feu

Un pare-feu surveille le trafic du site web et empêche les demandes suspectes d’atteindre votre site web.

Bien qu’il existe plusieurs extensions de pare-feu WordPress, comme Wordfence, nous recommandons d’utiliser Cloudflare.

Il s’agit du pare-feu basé sur le cloud le plus important et le plus puissant pour protéger votre site.

Website Application Firewall

Tout le trafic de votre site passe d’abord par le proxy cloud Cloudflare, qui analyse chaque demande et bloque celles qui sont suspectes pour qu’elles n’atteignent jamais votre site.

Cela permet d’éviter à votre site d’éventuelles tentatives de piratage, d’hameçonnage, de logiciels malveillants et d’autres activités malveillantes. Pour des instrcutions de configuration étape par étape, consultez notre article sur comment configurer le CDN gratuit de Cloudflare pour votre site.

Une autre option intéressante est Sucuri, que nous utilisions précédemment. Pour plus de détails, consultez notre article sur les raisons pour lesquelles nous sommes passés de Sucuri à Cloudflare.

2. Protéger par mot de passe le répertoire d’administration de WordPress

Une autre astuce que nous avons trouvée extrêmement efficace consiste à ajouter une protection par mot de passe au répertoire d’administration de WordPress.

Par défaut, la zone d’administration est déjà protégée par votre mot de passe WordPress. Cependant, l’ajout d’une protection par mot de passe au répertoire d’administration ajoute un calque de sécurité supplémentaire à votre page de connexion.

Tout d’abord, vous devez vous connecter au tableau de bord cPanel de votre hébergeur WordPress, puis cliquer sur l’icône  » Protection des répertoires par mot de passe  » ou  » Confidentialité des répertoires « .

Directory privacy

Ensuite, vous devrez sélectionner votre dossier wp-admin, qui est normalement situé dans le répertoire /public_html/.

Sur l’écran suivant, vous devez cocher la case située à côté de l’option « Protéger ce répertoire par un mot de passe » et fournir un nom pour le répertoire protégé.

Cliquez ensuite sur le bouton « Enregistrer » pour définir les droits.

Password protect directory settings

Ensuite, vous devez appuyer sur le bouton « retour » et créer un utilisateur. Il vous sera demandé de fournir un identifiant et un mot de passe, puis de cliquer sur le bouton « Enregistrer ».

Désormais, lorsque quelqu’un essaiera de visiter le répertoire d’administration de WordPress ou wp-admin sur votre site, il lui sera demandé de saisir le nom d’utilisateur et le mot de passe.

Enter password

Pour des instructions plus détaillées, consultez notre guide sur la protection par mot de passe du répertoire d’administration de WordPress (wp-admin).

3. Toujours utiliser des mots de passe forts

Always use strong passwords

Nous avons vu des utilisateurs/utilisatrices utiliser des mots du dictionnaire simples comme mots de passe et certains étaient trop petits et faciles à deviner.

Utilisez toujours des mots de passe forts pour tous vos comptes en ligne, y compris votre site WordPress. Nous vous recommandons d’utiliser une combinaison de lettres, de chiffres et de caractères spéciaux dans vos mots de passe. Il est ainsi plus difficile pour les pirates de deviner votre mot de passe.

Les débutants nous demandent souvent comment se souvenir de tous ces mots de passe.

La réponse la plus simple est que ce n’est pas nécessaire. Il existe d’excellentes applications de gestion de mots de passe que vous pouvez installer sur votre ordinateur et votre téléphone.

En savoir plus sur ce Sujet, consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants sur WordPress.

4. Utiliser la vérification en deux étapes sur l’écran de connexion de WordPress

WordPress login screen with Google Authenticator enabled

La vérification en deux étapes, également appelée vérification à deux facteurs, authentification à deux facteurs ou 2FA, ajoute un autre calque de sécurité à vos mots de passe.

Nous utilisons la protection 2FA non seulement sur nos sites WordPress mais aussi sur tous nos comptes pour lesquels l’option 2FA est disponible.

Au lieu d’utiliser uniquement le mot de passe, il vous demande de saisir un code de vérification généré par l’application Google Authenticator sur votre téléphone.

Même si quelqu’un parvient à deviner votre mot de passe WordPress, il aura toujours besoin du code Google Authenticator pour entrer.

Pour des instructions détaillées étape par étape, consultez notre guide sur la façon de configurer la vérification en 2 étapes dans WordPress à l’aide de Google Authenticator.

5. Limiter les tentatives de connexion

Limit login attempts

Par défaut, WordPress autorise les utilisateurs/utilisatrices à saisir leur mot de passe autant de fois qu’ils le souhaitent. Cela signifie que quelqu’un peut continuer à essayer de deviner votre mot de passe WordPress en saisissant différentes combinaisons. Cela permet également aux pirates d’utiliser des scripts automatisés pour craquer les mots de passe.

Pour corriger ce problème, vous devez installer et activer l’extension Limit Login Attempts Reloaded. Une fois activé, rendez-vous sur la page Réglages  » Verrouillage de la connexion pour définir les paramètres de l’extension.

Pour des instructions détaillées, consultez notre guide sur les raisons pour lesquelles vous devriez limiter les tentatives de connexion sur WordPress. Pour en savoir plus sur l’extension, vous pouvez également consulter notre avis détaillé sur Limit Login Attempts.

6. Limiter l’accès à la connexion aux adresses IP

Une autre astuce qui fonctionne très bien est que tous les utilisateurs/utilisatrices ayant accès à la zone d’administration ont des adresses IP corrigées. En gros, vous pouvez restreindre l’accès à la zone d’administration en le limitant à des adresses IP spécifiques.

Il suffit d’ajouter ce code à votre fichier .htaccess:

1
2
3
4
5
6
7
8
9
10
11
12
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

N’oubliez pas de remplacer les valeurs xx par votre propre adresse IP. Si vous utilisez plusieurs adresses IP pour accéder à l’internet, veillez à les ajouter également.

Pour des instructions détaillées, consultez notre guide sur la façon de limiter l’accès à l’administration de WordPress à l’aide de .htaccess.

7. Désactiver les conseils de connexion

Disabled login hints

En cas d’échec d’une tentative de connexion, WordPress affiche des erreurs qui indiquent aux utilisateurs/utilisatrices si leur identifiant était incorrect ou le mot de passe. Ces indices de connexion peuvent être utilisés par quelqu’un pour des tentatives malveillantes comme les attaques par force brute.

Vous pouvez facilement masquer ces conseils de connexion en ajoutant le code suivant au fichier functions.php de votre thème ou en utilisant une extension d’extraits de code comme WPCode (recommandé) :

1
2
3
4
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Pour plus de détails, consultez notre guide sur la façon d’ajouter du code personnalisé dans WordPress sans casser votre site.

8. Prérequis pour l’utilisation de mots de passe forts par les utilisateurs/utilisatrices

Si vous gérez un site WordPress à auteurs/autrices multiples, ces auteurs/autrices peuvent modifier leurs comptes d’utilisateurs/autrices et utiliser un mot de passe faible. Ces mots de passe peuvent être déchiffrés et permettre à quelqu’un d’accéder à la zone d’administration de WordPress.

Pour résoudre ce problème, vous pouvez installer et activer le plugin SolidWP. Ensuite, vous pouvez suivre les étapes de notre guide complet sur la façon d’imposer des mots de passe forts aux utilisateurs dans WordPress.

9. Réinitialiser le mot de passe de tous les utilisateurs/utilisatrices

Êtes-vous préoccupé par la sécurité des mots de passe sur votre site WordPress multi-utilisateurs ? Vous pouvez facilement demander à tous vos utilisateurs/utilisatrices de réinitialiser leurs mots de passe.

Tout d’abord, vous devez installer et activer l’extension Emergency Password Reset. Une fois activé, rendez-vous sur la page Utilisateurs  » Réinitialisation d’urgence du mot de passe et cliquez sur le bouton  » Réinitialiser tous les mots de passe « .

Reset all passwords

Pour des instructions détaillées, consultez notre guide sur la façon de réinitialiser les mots de passe de tous les utilisateurs/utilisatrices dans WordPress.

10. Maintenir WordPress à jour

WordPress publie régulièrement de nouvelles versions de son logiciel. Chaque nouvelle version de WordPress core contient d’importantes corrections de bugs, de nouvelles fonctionnalités et des correctifs de sécurité.

L’utilisation d’une ancienne version de WordPress sur votre site vous expose à des exploits connus et à des vulnérabilités potentielles. Pour corriger ce problème, vous devez vous assurer que vous utilisez la dernière version de WordPress.

Pour en savoir plus sur ce Sujet, consultez notre guide sur les raisons pour lesquelles vous devriez toujours utiliser la dernière version de WordPress.

De même, les extensions WordPress sont souvent mises à jour pour introduire de nouvelles fonctionnalités ou corriger des problèmes de sécurité ou autres. Confirmez que vos extensions WordPress sont également à jour.

💡 Note : Vous préférez laisser la maintenance de WordPress aux professionnels ? Nos services de maintenance WPBeginner peuvent s’occuper de tout, des mises à jour à la suppression des logiciels malveillants, afin que vous puissiez simplement vous concentrer sur l’exploitation de votre site.

11. Créer des pages de connexion et d’inscription personnalisées

De nombreux sites WordPress nécessitent que les utilisateurs/utilisatrices s’inscrivent. Par exemple, les sites d’adhésion, les sites de gestion de l’apprentissage et les magasins en ligne exigent que les utilisateurs/utilisatrices créent un compte.

Cependant, ces utilisateurs/utilisatrices peuvent utiliser leur compte pour se connecter à la zone d’administration de WordPress. Ce n’est pas un gros problème, car ils pourront uniquement faire des choses autorisées par leur rôle d’utilisateur et leurs permissions.

Cependant, cela vous empêche de limiter correctement l’accès aux pages de connexion et d’Inscription, car vous avez besoin de ces pages pour que les utilisateurs/utilisatrices puissent s’inscrire, gérer leur profil et se connecter.

Pour corriger ce problème, il suffit de créer des pages de connexion et d’inscription personnalisées afin que les utilisateurs/utilisatrices puissent s’inscrire et se connecter directement à partir de votre site.

Pour des instructions détaillées étape par étape, consultez notre guide sur la façon de créer des pages de connexion et d’inscription personnalisées dans WordPress.

12. Apprendre à connaître les rôles et droits des utilisateurs/utilisatrices de WordPress

WordPress est doté d’un puissant système de gestion des utilisateurs avec différents rôles du compte et permissions. Lorsque vous ajoutez un nouvel utilisateur à votre site WordPress, vous pouvez sélectionner un rôle du compte. Ce rôle du compte définit ce qu’il peut faire sur votre site WordPress.

Assigner des rôles du mauvais type peut donner aux utilisateurs/utilisatrices plus de permissions qu’ils n’en ont besoin. Pour éviter cela, vous devez comprendre quelles permissions sont associées aux différents rôles du compte de l’utilisateur dans WordPress.

Pour en savoir plus sur ce Sujet, consultez notre guide du débutant sur les rôles et droits des utilisateurs/utilisatrices de WordPress.

13. Limiter l’accès au Tableau de bord WordPress

Certains sites WordPress ont certains utilisateurs qui ont besoin d’accéder au Tableau de bord et d’autres qui n’en ont pas besoin. Cependant, par défaut, ils peuvent tous accéder à la zone d’administration.

Pour corriger cela, vous devez installer et activer le plugin Retirer l’accès au tableau de bord. Une fois activé, rendez-vous sur la page Réglages  » Accès au tableau de bord et sélectionnez les rôles du utilisateurs qui auront accès à la zone d’administration de votre site.

Pour des instructions plus détaillées, consultez notre guide sur la façon de limiter l’accès au tableau de bord dans WordPress.

14. Déconnecter les utilisateurs/utilisatrices non connecté(e)s

Idle user logout

WordPress ne déconnecte pas automatiquement les utilisateurs/utilisatrices tant qu’ils ne se déconnectent pas explicitement ou qu’ils ne ferment pas la fenêtre de leur navigateur. Cela peut être une préoccupation pour les sites WordPress contenant des informations sensibles. C’est pourquoi les sites web et les applis des institutions financières connectent automatiquement les utilisateurs s’ils n’ont pas été actifs.

Pour corriger ce problème, vous pouvez installer et activer l’extension Déconnexion inactive. Une fois le plugin activé, accédez à la page Réglages  » Journalisation inactive et saisissez la durée au terme de laquelle vous souhaitez que les utilisateurs/utilisatrices soient automatiquement déconnectés.

Pour plus de détails, consultez notre article sur la façon de connecter automatiquement les utilisateurs/utilisatrices inactifs dans WordPress.

Nous espérons que cet article vous a aidé à apprendre de nouvelles astuces et hacks pour protéger votre zone d’administration WordPress. Vous pouvez également consulter notre guide ultime de sécurité WordPress étape par étape pour les débutants et nos choix d’experts des meilleures extensions de sécurité WordPress.

Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.

Disclosure: Our content is reader-supported. This means if you click on some of our links, then we may earn a commission. See how WPBeginner is funded, why it matters, and how you can support us. Here's our editorial process.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

The Ultimate WordPress Toolkit

Get FREE access to our toolkit - a collection of WordPress related products and resources that every professional should have!

Reader Interactions

133 commentairesLeave a Reply

  1. Danang Sukma

    Thanks for your post.
    Im using password protect for my wp-admin folder in cpanel, is it enough?

  2. mby

    uh what a useful info guys, it can help surely!!
    thanks for posting! ^_^

  3. anthony

    This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!

  4. shoaib hussain

    man m moving from one post to the other in your blog and m loving it it.thnx a lot.guess i’ll have to subscribe now.

  5. Marlin

    Thanks Nice list this will surely help to secure wordpress admin panel.

  6. Jessica

    I’m currently learning wp development. I want to make a ecommerce site with wordpress using the WP e-Commerce plugin. Does anyone know if these tips will keep my ecommerce site secure.

    • Editorial Staff

      Make sure that you have SSL Protection on your e-commerce site for all transactions. These are only to protect your admin area.

      Admin

  7. Ursula Comeau

    Wow – this is an AWESOME post! Thank you so much for sharing all this information – and some great plugins as well!

    In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one. ;)

  8. Lilia

    The problem with plugins is that they’re not always compatible with every version, and they aren’t always updated.

    • Editorial Staff

      Most plugins are compatible with newer versions, and if the developer decides to leave development of the plugin, others often pick up and create a plugin with fixes for the future releases. You just have to stay active in the community.

      Admin

  9. Smashing Themes

    Seriously guys, change your site name to WP ROCKER, you guys rock hard. I installed three plugins to protect my admin panel after reading this great post.

  10. Dagmar

    There are also some paid plugins – i.e. « WP Secure » which also claims it is going to make your WP secure from hackers. It also works on the summary of couple of the principles above – i.e. custom made login page, one IP confirmation etc.

    Is it worthy to purchase? = anybody knows if it is easier to use for non-techie than some of the above mentioned?

  11. Kjetil

    Hi
    Thanks a lot for your tips.
    Regarding tip 8, I wonder how to insert the code
    `add_filter(’login_errors’,create_function(’$a’, “return null;”));`
    What is the complete function to use?
    I’d like to try since I already use AskApache Password Protect and that plugin is incompatible with Secure WordPress.
    Thanks,
    Kjetil
    http://www.dolcevita.no

    • Editorial Staff

      You go to functions.php and insert that code. Thats all if we understand your question clearly. If this has not answered it, then please reply to the comment and we will surely take a look at it.

      Admin

  12. Robinoz

    Thanks for this invaluable information. I’ve just suffered a malware attack that put my blog off line for a day or two while I had my WordPress programmer sort it out. Ver inconvenient.

    I’ll be implementing some of the suggestions you’ve made in the next day or so.

    Robinoz
    http://www.e1jobs-blog.com (All About Jobs blog »

  13. secure server

    good tips for securing wordpress. as time goes we are going to see hosts either become more stringent and secure or cms packages need to implement on install a few more security initiatives.

  14. abbie

    Hi. You’ve written a very good post.

    I’ve rewrote this great post in Indonesian language.
    I really hope you dont mind.
    ;)

    • Editorial Staff

      We have sent you an email regarding this. We do not allow full article translation. Please summarize it and link to our article if your users want to read the full tips.

      Admin

      • Arie

        Hi there..
        I want to ask something for you.
        Besides i has to use askimet, captcha word, storng psswrd, is any other way for hacker to sabotage our web.

        Thats my question, please repp to my mail
        Regards,

        Arie

        • Editorial Staff

          Yes, if your host has vulnerabilities, then the hacker can get you down as well.

  15. John Macpherson

    It took me a few minutes to work this one out but you have the wrong kind of quotes around this function

    add_filter(’login_errors’,create_function(’$a’, “return null;”));

    It should be:

    add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

    Other than that, great post.

  16. jakesjohn

    What you can from Wp-PreventCopyBlogs WordPress Plugin

    1.Track the visitors who try to copy your content.

    2.Record the ip of the user who tries to do fraudulent copy with their landing url of your site and referral url.This can help you to do necessary measures if you notice something bad.

    3.Enable Message displayed to your user upon user’s choice.

    4.Disable Selection of you text and Right Click for users depending on the option.

  17. Srecko Bradic

    I must congratulate with this excellent article!!! To be honest I know for some tips but some very important info was unknown for me until now!

    Keep on good work :razz:

  18. Soxialize

    Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together! :)

  19. Henry

    Regarding #6, if you use the following .htaccess file you will be able to login from other locations in a two-step process. This requires you to add a htpasswd file (read your server documentation).

    AuthUserFile ‘some htpasswd file’
    AuthGroupFile /dev/null
    AuthName “WordPress Admin Access Control”
    AuthType Basic

    order deny,allow
    deny from all
    Require valid-user
    # whitelist Syed’s IP address
    allow from xx.xx.xx.xxx
    # whitelist David’s IP address
    allow from xx.xx.xx.xxx
    # whitelist Amanda’s IP address
    allow from xx.xx.xx.xxx
    # whitelist Muhammad’s IP address
    allow from xx.xx.xx.xxx
    # whitelist Work IP address
    allow from xx.xx.xx.xxx
    Satisfy Any

    The « require valid user » and « satisfy any » lines will force the Apache Server to request a Username and Password before you can access the WordPress Login screen. Please DO NOT use the same Username and Password in the htpasswd file that you use for your WordPress access, or you will defeat the purpose of the extra level of security.

  20. Laura

    Thanks for the great article. I’m looking forward to making my own blog more secure.

  21. Constantine

    Hi, I have been blogging for 3 years. My blog got hacked in June 2009 and google banned for 30 days, my pageviews immediately slide from 800 a day to less than 100 a day.
    I highly recommend installing wordpress firewall plugin. The plugin will send your an email every time someone tries to hack your blog together with the hackers IP address. The plugin detects and blocks strange requests, redirecting the attack to the homepage.
    On monday i got an email of six attempted hack attempts over the weekend. The hacker tried the admin page three times when that failed he tried searching wordspew plugin which i dont use.

    To all newbies good luck

    • Renee Fischer

      Once a hack is successful the bot or human hacker will keep your data and keep retrying your website files looking for a way back in. they will continue to be relentless. if they have happened to hack your email or computer or server they will keep going until they have hacked everything you touch. they are like cockroaches that found crumbs that led to your house.

  22. Dirk

    In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary :)

  23. Typhoon

    Real a very useful article. I tweeted it.

    By the way I want to ask one thing; How does Stealth Login works for guest authors?

    • Editorial Staff

      You give them the special URL that you created if you trust them enough. For the most part, guest authors should not even be allowed in the admin panel unless they are authors of your site. If someone has written multiple posts for your site then they can be trustable so you can give them the special url /login or /googlogin or whatever you created.

      Most top blogs take guest posts via email and if those guest authors become regular authors, only then they are allowed in the admin panel.

      Admin

  24. Misao

    Thank you! Very helpful article. I will try your tips and hacks on some of my blogs.

  25. Tim

    Great tips.

    For the involved readers there is an inaccuracy in #6.

    « The downside to this hack is that if you ever want to access the admin panel from some other place, you won’t be able to do so unless you add that extra IP in your .htaccess file. »

    If the ip-address you allow is a box you can can SSH into, you can SSH tunnel through it (I use foxyproxy, because it makes the switch very easy). Also, if you are using nginx instead of apache you can evaluate the URI w/ regular expressions to block everything from wp-app.php to wp-trackback.php (or selectively choose which ones you do not want to block). I cover this @ http://www.phrison.com/securing-arbitrary-uris/ but it is not for the unexperienced.

    I have a large collection of tin-foil hats.

    • Editorial Staff

      You are correct.

      Warning: New users don’t try this at all. This is for experienced users only.

      Admin

  26. SaigonNezumi(Kevin)

    Thanks for this piece. I have been waiting for an article like this. Adding a couple of your tips will help secure my WP sites.

    Thanks again.

    • Editorial Staff

      You are welcome :) Let us know which one you use and your thoughts on the process of implementing it.

      Admin

  27. Dana DeFazio

    I’m wondering if there is something comparable for my blog because it is a WordPress.com site and also I have a new blog at danaddiamond.BlogSpot.com

    • Editorial Staff

      WordPress.com does not allow you to have a lot of privileges but with their server, you are safe for the most part.

      Admin

  28. Tinh

    Excellent tips and hacks, I only applied 6 of 11 tips you suggested, let me try the rest

  29. Jo

    This site is a happy new find for me (FYI,thanks to @Problogger on Twitter), and I’m looking forward to further exploration. This article is the kind of tight, clear writing that is too rare these days. Thanks for some genuinely helpful information.

    • Editorial Staff

      We are glad that you like our site, and we are also very glad that Darren found the article useful enough to tweet it. We hope you follow us on twitter so you can stay up to date with all the nice tutorials.

      Admin

  30. Marc

    Wow – I’m fairly new to WP and had no idea there were so many gateways for hackers. I’m sure they won’t find their way in after adding a few of these.

    Thanks.

  31. Roger Duck

    WordPress security is a growing issue and these steps are critical for securing a WordPress site. Beefing up security helps the entire community as well as your own site to take time to implement these ideas. Well done.

  32. James Morrison

    A good list of vital tips to secure your site. I particularly like #8 I’ve never done this before but will from now on!

    Regarding #7 – Remove ‘admin’ username:

    I don’t remove the admin username, I create a new admin account then change the ‘admin’ users account type to subscriber.

    That way, even if someone does crack the password it’s a useless account. If you remove it, someone can register that username…

    • Kathlene

      Qwerstion for James Morrison. Can you explain a bit more what you are saying and how to do it?

      For the staff, I have tried a number of times to get a number for the akisnet plugin and cannot seem to come by one. How is one obtained.

      Very nice post. I will be implementing these directly. I had one of my blogs hacked twice in 30 days once.

      Thanks for the great info.

      • James Morrison

        Follow these steps:

        1.) Create a new user account with admin access (eg ‘James’)
        2.) Sign in with new account to WP Admin
        3.) Edit ‘admin’ users’ account and change access to subscriber

        That way if someone tries to compromise the admin account and succeeds they still can’t do anything bad to your site.

        To get an akismet key you need to sign up for one at http://www.wordpress.com

        Hope this helps!

  33. Cheap Sites

    Thank you for all the suggestions, I’m working on a few big projects and this will certainly help once the blogs are up and running.

    First time here and I’m loving the blog, good job!

    Dan

    • Editorial Staff

      Glad that you like it here. Feel free to make any suggestions if you ever have a question, or would like some specific topic covered at WPBeginner.

      Admin

  34. Flow Interactive

    Good tips. You can also move your wp_config.php file outside of the web root to provide an extra layer of security.

    • Editorial Staff

      Yes you can do that, but in this article we were only talking about WordPress Admin Panel not the entire site in general. There are many other ways to protect your site entire WordPress blog.

      Admin

  35. Shabayek

    But what if you allow your blog visitors to register, and force them to log on before posting comments?

    • Editorial Staff

      Then you cannot use the IP protect and others, but you should still use limit lockdown, not use admin username, and semisecure login.

      Admin

  36. Dreyer

    A helpful list. Will be giving these a go. Better paranoid than sorry.

  37. Rafi

    Hey this is a wonderful collection of tips and hacks, very useful. I recommend every WP blogger to go through the list and follow the steps as well as any other useful resources available elsewhere. After all we have NOT set up our blogs so someone shall take control of our lives. Damn.

    Thanks for sharing, WPBeginner.

  38. Sergej Müller

    Link to WordPress AntiVirus Protection?

    • Editorial Staff

      No matter how much you proofread, some thing are always missed. Glad we have users like you. Link added. Thanks again.

      Admin

      • Lolic

        What about aksimet and captcha systems?

Leave A Reply

Thanks for choosing to leave a comment. Please keep in mind that all comments are moderated according to our comment policy, and your email address will NOT be published. Please Do NOT use keywords in the name field. Let's have a personal and meaningful conversation.