Comment sécuriser son site WordPress ?

Vous souhaitez sécuriser votre site WordPress et ne savez pas trop par où commencer? Vous n’êtes pas certain quelles sont les vulnérabilités de la plateforme qui nécessitent des actions de votre part?

Ne vous inquiétez pas, nous avons préparé un petit guide tutoriel juste pour vous! Nous aborderons tout d’abord les éléments sur lequel WordPress peu être plus vulnérable.

Nous verrons ensuite une série de mesures qui peuvent être appliquées pour protéger votre site contre divers types de menaces.

Les vulnérabilités de la plateforme WordPress

WordPress est un CMS open source, ce qui présente de nombreux avantages, mais veut aussi dire que l’ensemble de son code source est public.

Les pirates informatiques ont donc tout le loisir de l’étudier en détails afin d’y chercher de potentiels failles de sécurité.

Comme tous les sites web créés avec WordPress suivent par défaut une même structure, ils savent précisément où trouver les données qu’ils cherchent.

De plus, WordPress est le CMS le plus courant sur internet, propulsant plus de 43% des sites web à travers le monde. Ses parts de marché font du CMS une cible de choix pour les hackers.

10 Conseils pour sécuriser votre site WordPress

Ne paniquez pas! WordPress est une plateforme plutôt sécurisée. Si vous posez les bonnes actions pour protéger votre site, vous n’aurez pas à craindre d’être la cible de hackers.

Voici donc une liste de 10 conseils pour sécuriser un site WordPress contre les attaques les plus courantes.

En posant les actions recommandées, vous pouvez palier certaines des vulnérabilités les plus notables des sites WordPress.

Ne vous inquiétez pas, nos conseils reste plutôt simple, même pour un débutant. Comme vous pourrez le constater, il existe généralement des plugins pour vous rendre le travail plus facile.

Activez un certificat SSL sur votre site internet

L’une des premières étapes pour sécuriser votre site web, peu importe le CMS utilisé, est d’activer un certificat SSL.

Un certificat SSL est un fichier contenant des données qui lient une clé cryptographique aux informations de votre site web.

Il active le protocole https et assure une connexion sécurisée entre votre serveur web et le navigateur de vos visiteurs.

Si votre site internet de dispose pas d’un certificat SSL, il sera fortement pénalisé par les moteurs de recherche. De plus, un site e-commerce sans protocole https ne peut pas permettre les transactions par carte de crédit.

Il est fort possible que votre hébergeur web vous en offre un gratuit avec votre plan d’hébergement. Si ce n’est pas le cas, il est fortement recommandé de vous en procurer un.

Choisissez un mot de passe complexe

Cela peut sembler une évidence , mais encore 2022, beaucoup de gens utilisent encore ABC123, qwerty1234 ou d’autres mots de passes tout aussi faciles à deviner. Vous en doutez?

En septembre dernier, la chaîne d’hôtellerie Holliday Inn a subi une attaque d’un couple de hackers débutants. On parle d’une entreprise comptant 20 000 employés.

Les pirates amateurs ont réussi à s’introduire dans le système informatique de l’entreprise en utilisant justement le mot de passe… qwerty1234.

Ils ont ensuite tenté en vain d’installer un logiciel de type ransomware avant de plutôt supprimer une énorme quantité de données « pour le plaisir ».

L’utilisation de mots de passe complexes permet de renforcer la sécurité de votre site web et de complexifier le travail à d’éventuels pirates.

Utilisez la dernière version de WordPress

Les mises à jour de la plateforme WordPress ne s’accompagnent pas toutes de nouvelles fonctionnalités très excitantes.

Mais dans bien des cas, ces mises à jour incluent des ajustements visant à combler de potentielles failles de sécurité du CMS.

Dès qu’une vulnérabilité est identifiée sur le système de gestion de contenu, l’équipe de développement s’affaire à la corriger dans les mises à jour suivantes.

En utilisant la toute dernière version de WordPress, vous bénéficié donc d’une plateforme avec moins de vulnérabilités de sécurité.

Effectuez les mises à jour de votre thème et de vos plugins

Le thème et les extensions constituent des éléments indispensables d’un site WordPress. Du coup, ils peuvent compromettre la sécurité de votre site web s’ils sont vulnérables ou désuets.

Pour vous prévenir contre ce type de vulnérabilités, il vaut mieux vous assurer d’effectuer régulièrement toutes vos mises à jour.

Vous pouvez voir dans le menu de votre tableau de bord WordPress si des éléments de votre site ont besoin de Mises à jour.

Si vous avez une ou plusieurs mises à jour en attente, un chiffre affichera les nombre de notifications liées à celles ci.

Assurez-vous de mettre à jour votre thème et vos extensions dès qu’une nouvelle version est disponible. Votre site web sera moins vulnérable s’il est la cible d’une attaque.

Supprimez les thèmes et plugins que vous n’utilisez pas

Les thèmes et extensions que vous avez désactivé peuvent dans certains cas constituer des portes arrières vulnérable pour s’introduire dans votre site web.

C’est tout particulièrement vrai si vous avez cessé de les mettre à jour et que les versions que vous avez installé sont obsolètes.

Il est donc recommandé de supprimez les éléments que vous n’utilisez plus. Si vous souhaitez conservé certains éléments sans les utiliser, assurez-vous d’effectuer les mises à jour.

Utilisez un plugin de sécurité WordPress

De nombreux plugins offrant des fonctionnalités de sécurité sont disponibles sur le répertoire officiel de WordPress.

Parmi ceux-ci, la version premium de Sucuri Security se démarque comme l’outil le plus complet pour renforcer la sécurité de votre site WordPress.

Il offre la détection de logiciels malveillants, la surveillance de l’intégrité et le renforcement de la sécurité de votre site web.

Le service est payant, mais en fonction du forfait choisi, il peut inclure un certificat SSL en plus d’un pare feu et d’une protection contre les attaques DDOS.

Si vous voulez éviter de payer pour une plugin de sécurité, WordFence Security est probablement un meilleur choix.

Sa version gratuite a l’avantage d’inclure un pare feu WAF pour protéger votre serveur contre diverses attaques, ce que n’offre aucun autre plugin gratuit.

Changez l’url de connexion de votre tableau de bord WordPress

WordPress utilise un format uniforme pour créer les adresses URL des pages de connexion des sites web. Par défaut, cette adresse correspond au nom de domaine du site auquel est ajouté /wp-admin.

Comme cette adresse est la même pour tous les sites WordPress, il est facile pour des hackers de la trouver. Il peuvent ensuite tenter de se connecter à votre site et accéder à votre tableau de bord.

Ce changement peut s’effectuer facilement avec le plugin WPS Hide Login. Cet outil vous permet de définir une nouvelle url de connexion de votre choix.

Le plugin ajoute une section au bas de la section Réglages > Général, vers laquelle il vous redirige automatiquement.

Il vous suffit de choisir l’url de connexion de votre choix et cliquer sur le bouton Enregistrer les modifications. Votre page de connexion sera alors disponible à partir de cette URL.

Supprimer le compte admin et créer un nouvel administrateur

En plus de modifier l’url de connexion de WordPress, il est conseillé de modifier l’identifiant de votre compte d’administrateur.

Par défaut, WordPress nomme le premier utilisateur admin. Les hackers sont parfaitement au courant de cette réalité, alors ils vaut mieux le modifier pour leur compliquer la tâche.

Vous devez supprimer cet utilisateur et en créer un nouveau avec un nom différent. L’important est que l’identifient admin ne soit plus valide.

Vous pouvez facilement créer un nouveau compte administrateur à partir de votre tableau de bord WordPress. Pour ce faire, il suffit de choisir Ajouter dans le menu de gauche.

Assurez-vous de désigner le rôle de votre nouveau compte comme administrateur pour qu’il ait les mêmes pouvoirs que celui que vous allez supprimer.

Vous pouvez ensuite aller à la section Comptes > Tous les comptes pour supprimer le compte admin.

Limitez les tentatives de connexion à WordPress

Pour protéger votre site WordPress contre les attaques par force brute, il est recommandé de limiter le nombre de tentatives de connexion permises.

Si un utilisateur dépasse le nombre de tentatives que vous avez défini, il est bloqué pour une période de temps donné.

Vous pouvez facilement définir la limite que vous désirez pour le nombre de tentatives en ouvrant le plugin et remplissant la case à cet effet.

Vous pouvez également définir les paramètres liés à la période de temps pour laquelle un utilisateur est bloqué s’il dépasse cette limite.

Sauvegarder régulièrement la base de données de votre site web

Même si vous prenez de nombreuses actions pour sécuriser votre site web, il existe toujours une possibilité qu’il soit piraté un jour ou l’autre.

Dans ce cas, posséder une sauvegarde de vos données peut signifier la différences entre un problème temporaire et la perte de votre site web.

Il est fort possible que votre hébergeur web effectue ses propres sauvegardes de votre base de données. Mais par précaution, il est recommandé de faire aussi les vôtres.

Effectuez vos sauvegardes avec le plugin UpdraftPlus

Pour ce faire, le plugin UpdraftPlus est l’un des meilleur outil pour sauvegarder ou restaurer votre site WordPress.

Vous pouvez facilement effectuer une sauvegarde manuelle de l’ensemble du contenu de votre site web quand vous le désirez.

Vous pouvez aussi définir les réglages pour effectuer des sauvegardes régulières selon une intervalle de temps définie.

UpdraftPlus vous offre de faire des sauvegardes aussi régulière que toutes les deux heures. C’est peut-être un peu excessif, et peu nuire aux performances de votre site web.

On vous recommande plutôt d’opter pour des sauvegardes toutes les 8 ou 12 heures. Des sauvegardes quotidiennes devraient même être suffisantes pour la plupart des blogs.

Pour conclure sur les manières de sécuriser votre site WordPress

Même si WordPress est une CMS offrant une assez bonne sécurité, sécuriser votre site web devrait être une priorité.

En prenant quelques précautions simples, vous pouvez compliquer beaucoup la tâche des hackers et protéger votre site.

Nous espérons que cet article vous a plu. Si c’est le cas, vous vous invitons à consulter nos autres articles et tutoriels.

Vous y trouverez des réponses à plusieurs de vos questions et un tas d’informations utiles pour vous aider à faire de votre site web un succès.

Si vous êtes à la recherche d’un hébergement web pour votre site WordPress, nous vous invitons à consulter les offres d’Ex2. Nos plans d’hébergement WordPress vert sont très complètes et performantes, incluant tout ce dont votre site a besoin pour réussir.