Sécurité WordPress – Les 10 étapes pour protéger votre site

Contenu

Depuis longtemps WordPress a la réputation d’être un logiciel vulnérable en termes de sécurité.

En réalité, WordPress n’est pas moins sécurisé qu’un autre logiciel de création de sites web. Alors oui, c’est un fait que de dire que WordPress est l’une des proies favorites de beaucoup de hackeurs.

Si c’est le cas c’est parce que WordPress est le logiciel utilisé par 43% des sites dans le monde et que dans le lot beaucoup ont été réalisés par des total débutants.

Quand on met entre les mains un logiciel aussi complexe à quelqu’un qui n’y connaît rien, il peut forcément y avoir des dégâts.

Dans cet article on va voir ensemble les principales actions à mettre en place pour s’assurer que votre site WordPress soit bien configuré pour faire face aux attaques.

Bien choisir son hébergement

Beaucoup de sites WordPress ne sont pas piratés à partir du site, mais directement à partir de l’hébergement. Il est donc important de commencer par bien choisir son hébergeur pour sécuriser votre site WordPress.

Sur Sitopia je vous recommande Hostinger qui proposera un hébergement à la fois de qualité et sécurisé.

Certificat SSL, mises à jour et sauvegardes automatiques, DNS Cloudflare… Hostinger met en place un certain nombre de mesures qui permettront de rendre votre site WordPress le plus sécurisé possible.

Installer une extension de sécurité

Vous commencez à connaître la chanson, sur WordPress il existe une extension pour tout.

Parmi les +50 000 extensions disponibles, il en existe des dizaines axées sur la sécurité de WordPress. Ici je vous recommande : WP Cerber ou Wordfence.

Ces extensions tout-en-un vous permettront de sécuriser votre site sur des dizaines d’aspects. Une fois installées, ces extensions se mettront au travail et s’occuperont de protéger votre site contre divers types attaques.

Créer des identifiants robustes

Sur internet, une des techniques de piratage les plus simples et les plus utilisées pour hacker un site est «l’attaque brute-force».

Les tentatives de connexion par brute-force consistent à utiliser des scripts automatisés pour tester des centaines de mots de passe différents jusqu’à débloquer la serrure. Pas besoin de vous dire que si votre mot de passe est «123456», votre site WordPress ne fera pas long feu.

Assurez-vous d’avoir un mot de passe et un identifiant à la fois robuste et différent de ce que vous utilisez sur d’autres sites.

Un mot de passe robuste contient des majuscules, des chiffres et des caractères spéciaux.

Pour le second point, vous devriez toujours avoir des mots de passe différents sur chaque site sur lequel vous êtes inscrits. Si vous utilisez les mêmes mots de passe à chaque fois, il suffit qu’un seul site soit hacké et qu’on dérobe vos identifiants pour déclencher un effet domino sur tous les sites sur lesquels vous avez le même mot de passe.

Je vous recommande pour ça d’utiliser un gestionnaire de mot de passe comme Dashlane ou 1Password. Ces outils vous feront à la fois gagner un temps considérable en stockant et remplissant automatiquement vos identifiants de connexions sur tous les sites où vous êtes inscrits, mais ils vous permettront aussi de choisir des mots de passe robustes pratiquement impossibles à deviner.

Changer l’URL de connexion

Avoir un identifiant et mot de passe robuste est un bon début, mais vous pouvez aller encore plus loin dans la démarche.

Par défaut tous les sites WordPress ont une URL de connexion qui ressemble à ça : https://monsite.fr/wp-admin/

L’idée ici est tout simplement de changer cette URL de connexion.

Si les hackeurs ne trouvent déjà pas la porte d’entrée, ils ne pourront même pas essayer de forcer l’accès.

Faites quand même très attention avant de changer cette URL de connexion. Si vous ne retrouvez plus l’adresse d’accès, vous ne pourrez plus accéder à votre site WordPress.

Avant de changer cette URL, mettez-la dans vos favoris ou notez-la quelque part où vous pourrez facilement la retrouver.

Vous pouvez installer l’extension WPS Hide Login et ensuite vous rendre dans le menu Réglages et le sous-onglet Général pour trouver tout en bas une ligne «URL de connexion» qui vous permettra de faire la modification.

Limiter le nombre de tentatives de connexion

Si vous avez un site e-commerce ou tout autre type de site qui gère des utilisateurs, vous devriez limiter le nombre de tentatives de connexion.

Cette fois-ci ce n’est pas nécessairement votre compte administrateur qui peut être hacké, mais tous les comptes utilisateurs enregistrés sur votre site WordPress.

WP Cerber vous permettra de créer une limite de tentatives de connexion. Par défaut, si un utilisateur enchaîne 5 tentatives avec une mauvaise combinaison d’identifiant et mot de passe, il ne pourra pas réessayer avant 30 minutes. Vous pourrez changer cette règle dans la partie Tableau de bord de WP Cerber et le sous-onglet Réglages Généraux.

Cette règle permettra de grandement limiter les attaques brute-force sur votre site.

Installer le certificat SSL

Avoir un certificat SSL, donc un site en HTTPS, est devenu aujourd’hui indispensable pour tous les sites.

Lorsque vous vous inscrivez sur un site ou que vous entrez vos numéros de carte bleue, des informations transitent de votre ordinateur jusqu’au serveur où est géré le site. Lorsqu’un site n’a pas de certificat SSL (donc qu’il est en protocole HTTP), ces informations peuvent être interceptées au vol et donc être utilisées.

Le protocole HTTPS permet de crypter les informations pour ne pas les rendre exploitables dans le cas où elles sont interceptées.

Avec Hostinger vous aurez un certificat SSL offert avec votre hébergement.

Une fois que vous aurez installé votre certificat SSL, votre site passera en protocole HTTPS. Il arrive parfois que même avec un certificat SSL, certaines parties d’un site soient en protocole HTTP. Pour éviter ça, vous pouvez installer l’extension Really Simple SSL qui forcera le HTTPS sur tout votre site.

Faire régulièrement les mises à jour

Même si vous ne faites pas régulièrement des changements sur votre site, vous aurez besoin de vous y connecter de temps en temps pour effectuer les différentes mises à jour :

  • De WordPress
  • Des extensions installées
  • De votre thème

Les mises à jour qui vous seront proposées ne serviront pas seulement à apporter de nouvelles fonctionnalités, elles serviront aussi à corriger des bugs et des failles de sécurité.

N’attendez donc pas trop longtemps avant de faire les mises à jour proposées.

Bien choisir son thème et ses extensions

WordPress est un écosystème très ouvert avec des dizaines de milliers d’extensions et de thèmes qui s’installent en 2 clics.

Parmi tous ces thèmes et extensions, il en existe malheureusement qui peuvent compromettre la sécurité de votre site WordPress.

Pour éviter de faire rentrer le loup dans la bergerie, assurez-vous de n’installer que des extensions et thèmes qui ont suffisamment d’installations, d’avis et qui ont été mis à jour récemment.

Faire des sauvegardes régulièrement

Tout le monde a déjà perdu des photos qui étaient stockées sur un ancien ordinateur ou téléphone. Maintenant imaginez perdre un site entier sur lequel vous avez passé des dizaines voir des centaines d’heures.

Pour éviter des sueurs froides, il est très important que vous ayez toujours une sauvegarde récente de votre site WordPress. Si vous avez le moindre problème de sécurité, vous pourrez vous servir de cette sauvegarde pour restaurer votre site.

Pour faire des sauvegardes automatiques de votre site, vous pouvez installer l’extension UpdraftPlus WordPress Backup Plugin.

L’objectif ici est de créer des sauvegardes automatiques régulières qui seront stockées sur un espace de stockage externe comme Google Drive ou Dropbox.

Réparer un site hacké

Si vous appliquez toutes les recommandations de cet article, votre site sera très bien sécurisé et aura peu de chance de se faire hacker.

Comme le risque 0 n’existe pas, il est toujours possible qu’un jour votre site se fasse pirater.

Si c’est le cas, vous devrez rapidement changer tous les mots de passe qui touchent de près ou de loin à votre site (hébergement, back office WordPress, licences d’extensions..) et ensuite restaurer une ancienne version de votre site.

Il vous faudra ensuite faire un scan de votre site avec l’une des extensions de sécurité que vous aurez choisi pour identifier l’origine de la faille. Si vous ne la trouvez pas, il est préférable de faire appel à un professionnel qui aidera à identifier et réparer la faille.

Ne jamais manquer une nouveauté ⚡

Rejoins la newsletter pour ne manquer aucune nouveauté et recevoir des astuces exclusives.

À découvrir