10 conseils pour débutant pour sécuriser votre site WordPress

Par Olivier
10 conseils pour débutant pour sécuriser votre site WordPress

Vous souhaitez sécuriser votre site WordPress? Il y a plusieurs façons de faire, et un grand nombre sont assez simples.

Lorsque vous créez un site web à l’aide de WordPress, la sécurité devrait vraiment être l’une de vos priorités.

WordPress est un système de gestion de contenu (CMS) bien sécurisé dans son ensemble. Mais puisqu’il s’agit d’une plateforme de type open-source, elle souffre d’un certain nombre de vulnérabilités. 

Heureusement, assurer la sécurité de votre site est un processus assez simple si vous prenez les bonnes mesures. Dans ce tutoriel, nous partagerons avec vous quelques conseils simples pour facilement sécuriser votre site WordPress.

1. Choisissez une bonne compagnie d’hébergement

L’étape la plus importante et la plus simple pour assurer la sécurité de votre site est de choisir un fournisseur d’hébergement offrant de nombreuses fonctions de sécurité.

On peut penser à des analyses quotidiennes des logiciels malveillants et à l’accès au soutien technique en cas de problème.

Ces services vous permettent non seulement de prévenir les attaques, mais peuvent s’avérer très utiles en cas d’éventuelles attaques ou de piratage. Ces problèmes sont de véritables fléaux pour les administrateurs de sites web encore aujourd’hui. 

2. Gardez à jour votre version WordPress et vos plugins

Maintenir votre version de WordPress, votre code PHP, votre thème et vos différents plugins à jour est une pratique fortement recommandée pour garder votre site Web sécurisé.

À chaque mise à jour, les développeurs apportent un certain nombre de modifications. Celles-ci incluent régulièrement des mises à jour au niveau des fonctions de sécurité. 

En gardant les divers éléments de votre site à jour avec la dernière version, vous le protégez contre des attaques visant les failles et les lacunes identifiées.

Des pirates pourraient les utiliser pour accéder frauduleusement à votre site. En les adressant, vous contribuer à sécuriser votre site WordPress.

3. Utilisez un thème et des plugins conformes aux normes WordPress

Évitez d’installer des plugins non reconnus ou n’importe quel thème WordPress sur votre site, particulièrement des versions piratées. Certains thèmes et plugins ont été identifiés comme malveillants ou possédant d’importantes failles de sécurité. Ils pourraient donc représenter des menaces pour votre site.

Pour éviter toute vulnérabilité causée par un thème ou des plugins, choisissez uniquement des éléments reconnus comme conformes aux normes WordPress. Notez que tous les thèmes et plugins disponibles dans le répertoire officiel de WordPress ont été vérifiés et reconnus conformes aux normes.  

4. Utilisez un mot de passe sécuritaire 

Les mots de passe constituent une partie importante de la sécurité de base d’un site qui est malheureusement souvent négligée. N’utilisez jamais de mots de passe simples, comme par exemple, 123456 ou ABC123, car bien que ces mot de passe aient l’avantage évident d’être très faciles à retenir, ils sont malheureusement tout aussi faciles à deviner.

Il est fortement recommandé d’utiliser un mot de passe complexe (incluant plus d’un type de caractère), ou mieux encore, d’utiliser un mot de passe généré automatiquement incluant une variété aléatoire incohérente de chiffres, de lettres et de caractères spéciaux (%, ?, ^, etc.).

5. Limitez les tentatives d’ouverture de session

Selon les paramètres définis par défaut, WordPress permet aux utilisateurs de tenter de se connecter autant de fois qu’ils le souhaitent, une option qui peut rendre votre site vulnérable au piratage.

En limitant le nombre de tentatives de connexion, les utilisateurs ont un nombre limité d’essais (généralement trois ou cinq) pour arriver à se connecter avec succès à votre site.

Un utilisateur qui atteint ce nombre de tentatives sans réussir à se connecter se trouve alors temporairement bloqué du site pour une période définie (généralement 24 ou 48 heures).

Cette mesure diminue vos chances d’intrusion en bloquant dans biens des cas les pirates avant qu’ils réussissent à pénétrer dans votre site.

6. Modifiez votre URL de connexion WordPress

Pour ouvrir une session dans votre site WordPress, l’adresse qui est définie par défaut est « votresite.com/wp-admin » .

Si vous laissez cette adresse par défaut, vous augmentez vos chances d’être ciblé par une attaque visant à pirater votre combinaison nom d’utilisateur / mot de passe. 

Vous pouvez modifier l’URL de connexion d’administrateur ou ajouter une question de sécurité à la page d’inscription et de connexion.

La façon la plus simple de le faire est d’installer un plugin tel que WPS Hide Login ou iThemes Security Pro (il est également possible de le modifier manuellement dans le fichier .htaccess via le protocole du site FTP, mais cette méthode demande davantage de connaissances).

Cette mesure simple ajoute une barrière supplémentaire de sécurité en obligeant d’éventuels pirates à d’abord trouver votre page de connexion.   

7. Activez un protocole SSL

Devenu un incontournable au cours des dernières années, le protocole de sécurité SSL (Single Sockets Layer) permet de crypter les connexions entre votre site Web et les navigateurs des visiteurs, garantissant que le trafic entre votre site et les ordinateurs de vos visiteurs est à l’abri des interceptions indésirables.

La certification SSL est obligatoire pour tous les sites qui traitent des renseignements sensibles comme les mots de passe ou les renseignements sur les cartes de crédit.

Son utilisation va tout d’abord stimuler le référencement SEO de votre site. De plus, il joue également directement un rôle sur la première impression que laisse votre site Web aux visiteurs.

Le navigateur Google Chrome avertit même les utilisateurs si le site qu’ils visitent ne suit pas le protocole SSL. De plus, le moteur de recherche Google n’affiche pas les sites non certifiés dans ses résultats. Inutile de préciser que cela réduit directement le trafic du site.

8. Sauvegardez votre site Web

Être victime d’un piratage est terrible quand vous administrez un site web. Perdre en plus toutes les données de votre site est encore bien pire.

Assurez-vous que les données de votre site sont sauvegardées par WordPress et votre hôte. Cela vous protègera en cas d’une attaque ou de tout autre incident qui pourrait provoquer la perte de vos données.

Il est fortement recommandé que les sauvegardes s’effectuent de façon automatique à divers intervalles réguliers. On peut penser à des sauvegardes quotidiennes, hebdomadaires et/ou mensuelles selon les besoins. Divers types de problèmes peuvent survenir et nécessiter d’accéder à ces sauvegardes.

Notez qu’il est bien de garder plus d’une copie de votre sauvegarde dont au moins une moins récente. Elles pourrai être utiles si problème était détecté seulement plusieurs jours après avoir débuté.

9. Installez un plugin WordPress de sécurité

De nombreux plugins offrent des outils et des fonctionnalités pouvant vous aider à améliorer la sécurité de votre site WordPress. Il existe une vaste gamme d’options parmi lesquelles choisir.

Certains plugins sont gratuits et n’offrent que quelques options de base parfois très intéressantes. On peut penser à la version gratuite de WPFence. C’est le seul plugin gratuit à offrir un pare-feu au niveau du serveur.

D’autres solutions de sécurité premium incluent une couverture beaucoup plus complète des besoins de sécurité de votre site.

Si vos besoins de sécurité sont plus importants, les forfaits premium de Sucuri mérite d’être considérés. Ils sont largement reconnus comme les meilleurs sur le marché.

Ils vous offrent la détection de logiciels malveillants, le renforcement de la sécurité et la surveillance de l’intégrité de votre site. Et tout ça, à des prix très compétitifs.

10. Bloquez l’accès à vos dossiers WordPress

Les paramètres par défaut de WordPress autorisent l’accès aux fichiers de votre site à tout le monde. Pour diminuer les risques que votre site soit attaqué, il est recommandé d’en bloquer l’accès au public.

Les paramètres d’accès aux fichiers peuvent être modifiés manuellement dans le fichier .htaccess. Si vous êtes novice et n’avez aucune idée de comment vous y prendre, n’ayez aucune inquiétude.

Comme c’est généralement le cas avec tout quand il est question de WordPress, il y a un plugin pour ça! L’extension Hide My WordPress vous permet d’effectuer cette même opération très facilement.

Pour conclure sur les manière de sécuriser votre site WordPress

10 conseils pour débutant pour sécuriser votre site WordPress

Il n’est pas difficile d’améliorer la sécurité de votre site WordPress. Vous pouvez même le faire sans dépenser le moindre sou.

Mais si vous ne portez pas une attention suffisante à la sécurité de votre site, gare à vous! Votre site pourrait faire partie des milliers qui sont victimes de piratage à chaque année.

Il est donc important de s’assurer de prendre toutes les précautions possibles. Vous limiterez ainsi les chances de piratage et garantirez la sécurité de votre site et de ses usagers. 

Si vous avez mis en place les mesures proposées dans ce tutoriel sur les bonnes pratiques de base et souhaitez sécuriser davantage encore votre site, nous vous encourageons à consulter nos autres articles sur la question.

Si vous êtes à la recherche d’un hébergement web pour votre site WordPress, nous vous invitons à consulter les offres d’Ex2. Nos plans d’hébergement WordPress vert sont très complètes et performantes, incluant tout ce dont votre site a besoin pour réussir.

Articles du même auteur :