Sécurité WordPress – Les 10 étapes pour protéger votre site

Découvrez les points importants pour sécuriser votre site WordPress facilement

Depuis longtemps WordPress a la réputation d’être un logiciel vulnérable en termes de sécurité.

En réalité, WordPress n’est pas moins sécurisé qu’un autre logiciel de création de sites web. Alors oui, c’est un fait que de dire que WordPress est l’une des proies favorites de beaucoup de hackeurs.

Si c’est le cas c’est parce que WordPress est le logiciel utilisé par 43% des sites dans le monde et que dans le lot beaucoup ont été réalisés par des total débutants.

Quand on met entre les mains un logiciel aussi complexe à quelqu’un qui n’y connaît rien, il peut forcément y avoir des dégâts.

Dans cet article on va voir ensemble les principales actions à mettre en place pour s’assurer que votre site WordPress soit bien configuré pour faire face aux attaques.

Bien choisir son hébergement

Beaucoup de sites WordPress ne sont pas piratés à partir du site, mais directement à partir de l’hébergement. Il est donc important de commencer par bien choisir son hébergeur pour sécuriser votre site WordPress.

Sur Sitopia je vous recommande Hostinger qui proposera un hébergement à la fois de qualité et sécurisé.

Obtenez -10% sur votre hébergement Hostinger avec le code SITOPIA !

Certificat SSL, mises à jour et sauvegardes automatiques, DNS Cloudflare… Hostinger met en place un certain nombre de mesures qui permettront de rendre votre site WordPress le plus sécurisé possible.

Installer une extension de sécurité

Vous commencez à connaître la chanson, sur WordPress il existe une extension pour tout.

Parmi les +50 000 extensions disponibles, il en existe des dizaines axées sur la sécurité de WordPress. Ici je vous recommande : All-in-One Security ou Wordfence.

Ces extensions tout-en-un vous permettront de sécuriser votre site sur des dizaines d’aspects. Une fois installées, ces extensions se mettront au travail et s’occuperont de protéger votre site contre divers types attaques.

Créer des identifiants robustes

Sur internet, une des techniques de piratage les plus simples et les plus utilisées pour hacker un site est «l’attaque brute-force».

Les tentatives de connexion par brute-force consistent à utiliser des scripts automatisés pour tester des centaines de mots de passe différents jusqu’à débloquer la serrure. Pas besoin de vous dire que si votre mot de passe est «123456», votre site WordPress ne fera pas long feu.

Assurez-vous d’avoir un mot de passe et un identifiant à la fois robuste et différent de ce que vous utilisez sur d’autres sites.

Un mot de passe robuste contient des majuscules, des chiffres et des caractères spéciaux.

Pour le second point, vous devriez toujours avoir des mots de passe différents sur chaque site sur lequel vous êtes inscrits. Si vous utilisez les mêmes mots de passe à chaque fois, il suffit qu’un seul site soit hacké et qu’on dérobe vos identifiants pour déclencher un effet domino sur tous les sites sur lesquels vous avez le même mot de passe.

Je vous recommande pour ça d’utiliser un gestionnaire de mot de passe comme Dashlane ou 1Password. Ces outils vous feront à la fois gagner un temps considérable en stockant et remplissant automatiquement vos identifiants de connexions sur tous les sites où vous êtes inscrits, mais ils vous permettront aussi de choisir des mots de passe robustes pratiquement impossibles à deviner.

Changer l’URL de connexion

Avoir un identifiant et mot de passe robuste est un bon début, mais vous pouvez aller encore plus loin dans la démarche.

Par défaut tous les sites WordPress ont une URL de connexion qui ressemble à ça : https://monsite.fr/wp-admin/

L’idée ici est tout simplement de changer cette URL de connexion.

Si les hackeurs ne trouvent déjà pas la porte d’entrée, ils ne pourront même pas essayer de forcer l’accès.

Faites quand même très attention avant de changer cette URL de connexion. Si vous ne retrouvez plus l’adresse d’accès, vous ne pourrez plus accéder à votre site WordPress.

Avant de changer cette URL, mettez-la dans vos favoris ou notez-la quelque part où vous pourrez facilement la retrouver.

Vous pouvez installer l’extension WPS Hide Login et ensuite vous rendre dans le menu Réglages et le sous-onglet Général pour trouver tout en bas une ligne «URL de connexion» qui vous permettra de faire la modification.

Limiter le nombre de tentatives de connexion

Si vous avez un site e-commerce ou tout autre type de site qui gère des utilisateurs, vous devriez limiter le nombre de tentatives de connexion.

Cette fois-ci ce n’est pas nécessairement votre compte administrateur qui peut être hacké, mais tous les comptes utilisateurs enregistrés sur votre site WordPress.

All-in-One Security ou Wordfence vous permettra de créer une limite de tentatives de connexion. Cette règle permettra de grandement limiter les attaques brute-force sur votre site.

Installer le certificat SSL

Avoir un certificat SSL, donc un site en HTTPS, est devenu aujourd’hui indispensable pour tous les sites.

Lorsque vous vous inscrivez sur un site ou que vous entrez vos numéros de carte bleue, des informations transitent de votre ordinateur jusqu’au serveur où est géré le site. Lorsqu’un site n’a pas de certificat SSL (donc qu’il est en protocole HTTP), ces informations peuvent être interceptées au vol et donc être utilisées.

Le protocole HTTPS permet de crypter les informations pour ne pas les rendre exploitables dans le cas où elles sont interceptées.

Avec Hostinger vous aurez un certificat SSL offert avec votre hébergement.

Une fois que vous aurez installé votre certificat SSL, votre site passera en protocole HTTPS. Il arrive parfois que même avec un certificat SSL, certaines parties d’un site soient en protocole HTTP. Pour éviter ça, vous pouvez installer l’extension Really Simple SSL qui forcera le HTTPS sur tout votre site.

Faire régulièrement les mises à jour

Même si vous ne faites pas régulièrement des changements sur votre site, vous aurez besoin de vous y connecter de temps en temps pour effectuer les différentes mises à jour :

De WordPress
Des extensions installées
De votre thème

Les mises à jour qui vous seront proposées ne serviront pas seulement à apporter de nouvelles fonctionnalités, elles serviront aussi à corriger des bugs et des failles de sécurité.

N’attendez donc pas trop longtemps avant de faire les mises à jour proposées.

Bien choisir son thème et ses extensions

WordPress est un écosystème très ouvert avec des dizaines de milliers d’extensions et de thèmes qui s’installent en 2 clics.

Parmi tous ces thèmes et extensions, il en existe malheureusement qui peuvent compromettre la sécurité de votre site WordPress.

Pour éviter de faire rentrer le loup dans la bergerie, assurez-vous de n’installer que des extensions et thèmes qui ont suffisamment d’installations, d’avis et qui ont été mis à jour récemment.

Faire des sauvegardes régulièrement

Tout le monde a déjà perdu des photos qui étaient stockées sur un ancien ordinateur ou téléphone. Maintenant imaginez perdre un site entier sur lequel vous avez passé des dizaines voir des centaines d’heures.

Pour éviter des sueurs froides, il est très important que vous ayez toujours une sauvegarde récente de votre site WordPress. Si vous avez le moindre problème de sécurité, vous pourrez vous servir de cette sauvegarde pour restaurer votre site.

Pour faire des sauvegardes automatiques de votre site, vous pouvez installer l’extension UpdraftPlus WordPress Backup Plugin.

L’objectif ici est de créer des sauvegardes automatiques régulières qui seront stockées sur un espace de stockage externe comme Google Drive ou Dropbox.

Réparer un site hacké

Si vous appliquez toutes les recommandations de cet article, votre site sera très bien sécurisé et aura peu de chance de se faire hacker.

Comme le risque 0 n’existe pas, il est toujours possible qu’un jour votre site se fasse pirater.

Si c’est le cas, vous devrez rapidement changer tous les mots de passe qui touchent de près ou de loin à votre site (hébergement, back office WordPress, licences d’extensions..) et ensuite restaurer une ancienne version de votre site.

Il vous faudra ensuite faire un scan de votre site avec l’une des extensions de sécurité que vous aurez choisi pour identifier l’origine de la faille. Si vous ne la trouvez pas, il est préférable de faire appel à un professionnel qui aidera à identifier et réparer la faille.

Tutoriels WordPress

Cookie	Durée	Description
__stripe_mid	1 year	Stripe sets this cookie cookie to process payments.
__stripe_sid	30 minutes	Stripe sets this cookie cookie to process payments.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
woocommerce_cart_hash	session	This cookie is set by WooCommerce. The cookie helps WooCommerce determine when cart contents/data changes.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_4JVSEQDWGR	2 years	This cookie is installed by Google Analytics.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
_hjSession_2799428	30 minutes	No description
_hjSessionUser_2799428	1 year	No description
IodZnVie	1 day	No description
m	2 years	No description available.
NGKazMRnWVJmgPE	1 day	No description
VtKyLDRsXQTram	1 day	No description
wcf_active_checkout	30 minutes	No description
woocommerce_items_in_cart	session	No description available.
wp_woocommerce_session_bf6a11a2afed874246a20a85b53b3cee	2 days	No description