UNWordPress est le système de gestion de contenu le plus utilisé au monde. Plus de 37% des sites créés à ce jour ont été créés à l'aide de ce CMS, ce qui en fait la cible favorite des hackers. Contenant quelques vulnérabilités de base, un site WordPress dont la sécurité n'a pas été travaillée est une porte ouverte aux hackers souhaitant récupérer vos données ou simplement corrompre votre site web.

 

Il est important de mettre en place de bonnes pratiques de sécurité dès le début de la création de votre site afin de ne pas avoir à lutter contre des intrusions toute la journée.

 

C'est pourquoi dans ce guide, nous allons vous donner 13 bonnes pratiques simples pour sécuriser votre WordPress.

 

1. Sauvegardez régulièrement la base de données

 

Tous les sites disposent d’une base de données dans laquelle sont stockés les contenus. Il est indispensable d’archiver régulièrement ces données, en cas de problème sur le site. Même si votre site est ultra sécurisé, il est toujours bon d’avoir une sauvegarde de votre site en cas de besoin car « on ne sait jamais ». Vous dites que les plus gros sites du web qui dépensent beaucoup d’argent pour la sécurité de leur site sont parfois piratés, alors pourquoi pas le vôtre ?

 

Effectuer des sauvegardes régulières de votre site vous permettra de restaurer votre site, après avoir corrigé la vulnérabilité, s'il venait à être piraté et corrompu.

 

Idéalement, nous vous conseillons d'effectuer une sauvegarde hebdomadaire. Veillez à noter la date actuelle de l'archive sur le dossier de sauvegarde. En cas d'erreur, de piratage ou de perte du site, vous pourrez tout réintégrer rapidement et facilement.

 

Il existe différentes extensions pour cela qui vous permettent de faire des sauvegardes automatiques de vos fichiers, extensions, thèmes et autres. Voici deux plugins de sauvegarde WordPress populaires :

 

• Plugin de sauvegarde WordPress UpdraftPlus
• Sauvegarde WPup

 

Ces deux extensions vous permettent de créer des sauvegardes automatiques de votre base de données et de vos fichiers, puis de les stocker sur votre serveur ou le cloud (Dropbox, Azure, Google Drive, etc.), ou encore en envoyant un email contenant votre sauvegarde.

 

2. Vérifiez régulièrement les mises à jour

 

 

Pour protéger votre site ou blog WordPress, vous devez effectuer des mises à jour régulières. Dès qu'une mise à jour est disponible, suivez nos conseils pour mettre à jour votre site WordPress avant de l'installer.

 

Cette consigne est valable pour le CMS, mais aussi pour tous les plugins. De nouvelles vulnérabilités sont révélées régulièrement, ce qui conduit les développeurs à proposer souvent des correctifs. Une extension obsolète présente donc un risque important…

 

Quant aux mises à jour de votre plugin de sécurité, elles sont plus qu'indispensables ! Il s'agit notamment de nouveaux virus ou méthodes de piratage.

 

Trouvez gratuitement un prestataire et recevez une quinzaine de devis en quelques minutesPublier une annonce

 

3. Installer un plugin de sécurité

 

Comme il existe des antivirus à installer sur votre ordinateur, vous pouvez également ajouter un plugin antivirus pour assurer la sécurité de votre WordPress. Bien souvent, ces plugins protègent non seulement votre site des virus, mais ils surveillent également la sécurité globale de votre WordPress.

 

Un plugin de sécurité va vous permettre de gérer plusieurs aspects de la sécurité de votre WordPress de manière simple et transparente pour vous. Il s'agit d'une boîte à outils regroupant plusieurs outils pour sécuriser votre site. Parmi ces extensions de sécurité on retrouvera :

 

• Sécurité WordFence
• Sécurité des iThemes
• WP fail2ban
• Sécurité Sucuri
• SecuPress
• Sécurité et pare-feu WP tout-en-un

 

Par exemple, WordFence vous permettra de :

 

• Surveillez le trafic de votre site pour bloquer le trafic malveillant
• Vous informer des mises à jour disponibles sur votre WordPress
• Protéger votre système de connexion contre une attaque par force brute
• Vérifiez vos fichiers pour détecter les logiciels malveillants, les URL non conformes, les injections de code, les mauvaises redirections, etc.
• Vérifiez l'intégrité de vos fichiers
• Réparez vos fichiers selon vos besoins
• Analysez votre site à la recherche de vulnérabilités connues
• Activer l'authentification en 2 étapes
• Bloquer les robots avec un système CAPTCHA

 

D’autres fonctionnalités sont disponibles avec WordFence et la plupart des extensions de sécurité ont des fonctionnalités similaires. Ce sont des extensions très utiles et recommandées à installer. WordFence à lui seul est installé sur plus de 3 millions de WordPress aujourd’hui.

 

4. Utilisez des plugins et des thèmes officiels

 

L'utilisation d'extensions ou de thèmes crackés est mauvaise pour la sécurité de votre site.

 

Lorsque vous installez des versions non officielles, vous offrez potentiellement l'accès à votre site à n'importe qui. Les versions crackées n'étant pas validées par WordPress, il est possible que les personnes fournissant ces extensions et thèmes glissent à l'intérieur des fichiers malveillants, une porte d'accès à votre site ou tout autre code malveillant sans que vous ne vous en rendiez compte. Attention, vous pourriez ainsi vous faire voler vos données et donner accès à des personnes malveillantes sans même le savoir !

 

C'est pourquoi il est fortement recommandé de ne jamais installer de versions crackées et de toujours passer par l'ajout d'extensions et de thèmes officiels de WordPress ou des entreprises auprès desquelles vous auriez acheté un thème ou une extension.

 

5. Supprimez les extensions et les thèmes inutilisés

 

Parfois, nous installons des thèmes et des extensions pour les tester ou pour une courte durée, puis nous les désactivons (dans le meilleur des cas) ou les oublions et les laissons de côté.

 

C'est un problème, encore plus si vous ne les mettez pas à jour ou s'ils sont obsolètes, car ces extensions et thèmes inutilisés sont des passerelles supplémentaires potentielles pour les pirates et inutiles pour votre site.

 

La bonne pratique sera donc de supprimer toute extension ou thème que vous n'utilisez plus afin de réduire les risques de piratage de votre site web.

 

6. Modifier l'adresse de connexion

 

Pour réduire les risques de piratage, il est également recommandé de modifier son adresse de connexion. Par défaut, WordPress vous propose  mon-site.com/wp-admin Cela facilite encore une fois le travail des pirates !

 

Tu peux  modifier cette URL en modifiant le fichier .htaccess  ou en utilisant une extension comme  URL de connexion personnalisée . Cette deuxième solution est parfaite pour les personnes qui ne connaissent pas ou peu le code.

 

7. Supprimer le compte administrateur

 

Pour vous connecter à votre administration WordPress, le nom d'utilisateur admin est proposé par défaut. Il est donc massivement utilisé par les hackers pour accéder à votre site.

 

Évitez de leur faciliter la tâche et créez un identifiant personnel, impossible à deviner, avant de supprimer le compte administrateur.Comment faire ?Suivez notre tutoriel pas à pas pour modifier et supprimer un identifiant.

 

Contactez jusqu'à 400 clients/mois

 

Inscrivez-vous sur Codeur.com pour être alerté lorsqu'un client recherche un prestataire avec vos compétences.

 

Trouver des clients

 

 

8. Activer l'authentification en deux étapes

 

Cette option de sécurité offerte par différentes extensions permet de sécuriser votre système de connexion quasiment 100% !

 

Dans la plupart des cas, le ^2ème  L'étape de connexion se fera par un code envoyé par SMS, un appel téléphonique ou une connexion obligatoire via une application mobile. Le pirate devra donc à la fois connaître votre mot de passe et avoir accès à l'appareil utilisé pour la deuxième étape de connexion, ce qui est quasiment impossible.

 

Parmi les extensions proposant une authentification à deux facteurs, nous pouvons trouver :

 

• Authentification à deux facteurs
• Google Authenticator
• Authentification à deux facteurs Duo

 

La plupart de ces extensions fonctionnent en binôme avec leur propre application mobile permettant de gérer le système d'authentification en deux étapes et d'autoriser la connexion lorsqu'une connexion est initialisée avec ce même système.

 

9. Masquer la version de WordPress utilisée

 

Pour chaque version de WordPress, il existe des failles que les pirates se feront un plaisir d’exploiter. Pour compliquer un peu la mission de ces intrus, pensez à masquer la version de WordPress que vous utilisez.

 

Le changement s'effectue à deux niveaux : dans le fichier function.php, ainsi que dans le  fichier readme.html . Ce dernier se situe à la racine de votre WordPress et doit être supprimé !Découvrez comment masquer la version WordPress dans notre tutoriel dédié :  comment protéger WordPress des attaques malveillantes ?

 

10. Empêcher la navigation dans les dossiers

 

Sur un site WordPress, par défaut, les dossiers sont accessibles à tous. Il est donc impératif de bloquer leur accès pour mieux les protéger.

 

Pour ce faire, vous devez  modifier les conditions d'accès via votre .htaccess  ou optez pour un plugin comme  Masquer mon WordPress .

 

11. Choisissez un hébergeur Web sécurisé

 

Les failles de sécurité ne proviennent pas forcément uniquement de votre site. Elles peuvent parfois provenir de votre hébergeur. Un grand nombre de sites WordPress qui ont été piratés l'ont été à cause d'une faille de sécurité du côté de leur hébergeur et non de la sécurité des sites eux-mêmes.

 

Il est donc important de choisir son hébergeur avec soin.

 

Pour cela vous pouvez déjà analyser les offres des hébergeurs selon 3 critères :

 

• Les serveurs de l'hébergeur disposent-ils d'un pare-feu et d'un antivirus ?
• Des sauvegardes automatiques sont-elles effectuées régulièrement ?
• Dans le cas d'un hébergement partagé, chaque compte est-il isolé des autres utilisateurs afin qu'un utilisateur infecté n'infecte pas les autres ?

 

AttentionSi votre hébergeur actuel ou futur ne respecte pas au moins ces 3 points clés, vous pouvez passer votre chemin et changer d'hébergeur.

 

12. Protégez la connexion à votre site avec un certificat SSL (HTTPS)

 

 

Vous avez sûrement déjà vu le petit cadenas à côté de l’url d’un site et cette url précédée de « HTTPS ». Cela est possible car le site en question détient un certificat SSL.  Certificat SSL  active le protocole HTTPS qui assure une connexion sécurisée entre le navigateur (client) et le  serveur web .

 

Ce certificat est connu pour être important lorsque le site propose un système de paiement directement sur le site, cependant il est également utile pour d'autres raisons :

 

• En http, les données transférées entre le serveur et le navigateur ne sont pas masquées et sont transmises en clair. Ce n'est pas le cas lorsque vous utilisez le protocole HTTPS pour la transmission des données.
• Le certificat SSL a un impact sur votre référencement (SEO). Google affirme que c'est un facteur (légèrement) déterminant pour votre positionnement dans les recherches.
• Avec l'éducation numérique qui est de plus en plus courante, les gens ont pris l'habitude de vérifier que le petit cadenas est présent sur les sites car ils ont souvent entendu dire que c'était un gage de sécurité. Avoir un certificat SSL améliore la confiance que les gens ont envers votre site web.
• En lien avec le point précédent, certains navigateurs web comme Chrome affichent désormais un «  Pas sécurisé  " mention devant l'URL des sites qui ne disposent pas de certificat SSL. Pire, ils peuvent parfois afficher une page de prévention avant d'accéder au site ce qui peut potentiellement effrayer une grande majorité de visiteurs.
• Pour des raisons techniques, le protocole HTTPS est censé être plus rapide que HTTP. Vous pourrez peut-être améliorer la vitesse de votre site WordPress simplement en y intégrant un certificat SSL.

 

Vous souhaitez installer un certificat SSL et passer votre WordPress en HTTPS ? Suivez notre tutoriel étape par étape !

 

13. Protégez-vous contre les attaques DDoS

 

DDOS est une attaque par déni de service, elle consiste à rendre un système (ou un site web) inaccessible en le ciblant avec plusieurs systèmes simultanément. Concrètement, plusieurs systèmes (ordinateurs ou serveurs) vont tenter d’effectuer des actions en même temps sur une cible précise (un site web par exemple) afin que celle-ci se retrouve surchargée de requêtes jusqu’à ne plus pouvoir les gérer et « crasher » rendant la cible hors d’usage.

 

Pour prévenir ce genre d'attaques il existe des services (dont un plugin) à configurer sur votre site WordPress qui vont, grâce à leur protection anti-DDoS, atténuer les attaques par déni de service.

 

Parmi ces services de sécurité, vous pouvez trouver  Cloudflare  ou le WordPress  Sécurité Sucuri extension .

 

Conclusion

 

La sécurité est un élément important à ne pas négliger lors de la création et de la maintenance de votre site WordPress. Une intrusion dans votre base de données ou vos fichiers par un hacker, et votre site web est rapidement hors service… ce qui peut coûter plusieurs centaines voire milliers d’euros si votre site est une source de revenus.

 

C’est pourquoi il est essentiel de mettre en place le type de bonnes pratiques vues tout au long de ce guide pour réduire les risques potentiels de piratage.

 

Pour sécuriser davantage votre site WordPress, vous pouvez également suivre notre tutoriel complet :  Comment protéger WordPress des attaques malveillantes ?