Lorsqu’il s’agit de la sécurité WordPress, les utilisateurs se divisent généralement en deux camps : ceux qui prennent la sécurité WordPress au sérieux puis sécurise leur site et ceux qui croient ou espèrent que rien ne leur arrivera parce qu’ils ne sont pas assez importants.

Malheureusement, le deuxième groupe a souvent tort. La plupart des failles de sécurité WordPress ne sont pas personnelles mais plutôt le fait de scripts automatiques qui ne se soucient pas de l’importance relative de votre site.

Par conséquent, la sécurité WordPress est l’affaire de tous. Pour donner à votre site les meilleures chances de rester sûr et sain, nous allons vous donner des conseils pratiques sur la façon de sécuriser votre site WordPress.

Suivez-les pour éviter d’avoir à gérer les conséquences de la dégradation, du piratage ou de la fermeture de votre site.

1. Pourquoi il est important d’investir dans la sécurité WordPress

WordPress est l’un des CMS les plus populaires, et ce pour une bonne raison. Il est simple à utiliser, des milliers de thèmes et de plugins sont disponibles pour lui.

Vous pouvez créer n’importe quel type de site Web avec lui. Il n’est donc pas étonnant que WordPress alimente plus de 40 % de tous les sites Web sur Internet.

Mais sa popularité a un coût. WordPress est souvent la cible des pirates informatiques. Selon Sucuri, en 2019, 94 % de toutes les demandes de nettoyage de sites Web proviennent de propriétaires de sites WordPress, soit une augmentation de 4 % par rapport à 2018.

CMS piratage

2.  Est-il facile de sécurisé WordPress ?

Le chiffre ci-dessus pourrait suggérer que WordPress n’est pas un bon choix pour commencer et qu’il est intrinsèquement peu sûr. Cependant, c’est loin d’être la vérité.

La sécurité WordPress est très fiable et, en fait, audité régulièrement par une équipe de sécurité WordPress composée d’experts du secteur.

Cependant, rien de ce qui est connecté à l’Internet ne peut être sûr à 100 % et de nombreux facteurs déterminent si un site est susceptible d’être compromis ou non.

La majorité des tentatives de piratage réussies sont dues à l’erreur humaine, ce que nous espérons atténuer avec cet article.

De plus, comme nous l’avons déjà mentionné, la simple taille de la base d’utilisateurs de WordPress fait du CMS un point de mire pour les pirates, car la probabilité qu’ils trouvent des victimes est plus élevée.

3. Ce qui se passe lorsque vous êtes piraté

Perte de revenus et de réputation, vol d’informations, installation d’un logiciel malveillant sur votre site qui peut infecter les visiteurs, rançongiciel qui bloque votre site jusqu’à ce que vous payiez le pirate – rien de tout cela ne semble attrayant, n’est-ce pas ?

Pourtant, c’est exactement ce que vous risquez si vous ne prenez pas au sérieux les problèmes de sécurité WordPress.

De plus, Google pourrait même vous mettre sur liste noire pour ce genre d’infractions. Imaginez que vous perdiez tous vos efforts de référencement d’un seul coup. Effrayant, non ?

En bref, si votre site est d’une manière ou d’une autre important pour votre entreprise, alors la sécurisation de votre site WordPress devrait être une priorité élevée.

Suivez les meilleures pratiques pour créer une sécurité WordPress de base

Pour éviter que votre site ne subisse les conséquences décrites ci-dessus, voici des conseils pour la sécurité WordPress.

Nous commencerons par les mesures de sécurité WordPress absolument indispensables, le strict minimum, que tout le monde devrait prendre, puis nous passerons à des procédures plus avancées et plus techniques.

Si vous suivez simplement les conseils, votre site sera déjà plus sécurisé que 99 % des sites Web existants.

4. Sécurité WordPress et évitez d’être un facteur de risque

Vous vous demandez peut-être quel est le rapport entre votre ordinateur et votre site Web ?

Facile : si votre ordinateur est infecté par un virus ou un autre logiciel malveillant et que vous accédez à votre site ou que vous y téléchargez des fichiers, ces derniers peuvent également infecter votre site Web.

Pour éviter cela, assurez-vous de :

  • S’abstenir d’utiliser les réseaux wifi publics pour accéder à votre site ou utiliser un VPN.
  • Installez un logiciel antivirus et un pare-feu et maintenez-les à jour.
  • Exécutez régulièrement des contrôles de virus et de logiciels malveillants sur votre système d’exploitation.
    Mettez à jour votre système d’exploitation et d’autres logiciels importants (comme votre navigateur Web).

 

5. Construisez une fondation sûre avec un hébergeur digne de confiance pour votre sécurité WordPress

Votre hébergeur est généralement le premier mur que les pirates doivent franchir pour accéder à votre site.

C’est pourquoi la première étape pour la  sécurité WordPress est d’investir dans un hébergeur qui met en œuvre des mesures de sécurité WordPress appropriées.

Cela inclut la prise en charge de la dernière version de PHP, MySQL et Apache, ainsi qu’un pare-feu et une surveillance de la sécurité WordPress 24 heures sur 24 et 7 jours sur 7.

En outre, vérifiez qu’ils proposent des connexions SFTP ou SSH au lieu des connexions FTP, moins sûres.

Planethoster hébergement

En outre, choisissez une société d’hébergement qui effectue des sauvegardes quotidiennes et des recherches régulières de logiciels malveillants (comme Planethoster par exemple).

Vous pouvez même trouver des sociétés d’hébergement qui emploient diverses mesures de prévention des DDoS. Veillez également à vérifier ce que votre société d’hébergement propose en termes d’aide à la récupération des sites Web compromis.

En cas de doute, demandez toujours à votre hébergeur quelles sont les procédures de sécurité WordPress qu’il a mises en place.

6. Utilisez des mots de passe forts pour fermer les points d’accès

Les mots de passe sont l’un des points faibles de tout site Web. Heureusement, vous pouvez également les contrôler. Afin de sécuriser votre site WordPress, assurez-vous d’utiliser des mots de passe forts pour :

  • Votre compte utilisateur
  • Les comptes FTP
  • La base de données WordPress
  • Votre compte d’hébergement
  • L’adresse email
  • Tout ce qui est lié à votre site

Changez aussi souvent vos mots de passe. Si vous ne parvenez pas à trouver un mot de passe fort vous-même, vous pouvez laisser un générateur de mot de passe en créer un pour vous.

password generator

WordPress vous propose également des mots de passe sécurisés et dispose d’un indicateur qui vous montre la force de votre mot de passe.

compte management

Enfin, si vous avez des problèmes pour vous souvenir de vos mots de passe, vous pouvez utiliser un gestionnaire de mots de passe comme LastPass.

7. Appliquer des autorisations d’utilisateur minimales et réduire les risques liés aux tiers

Cependant, il ne s’agit pas seulement de vos propres mots de passe, mais aussi de ceux des autres personnes présentes sur votre site.

Pour minimiser le risque qu’ils représentent, assurez-vous d’abord que chacun n’a que les autorisations nécessaires pour faire ce qu’il doit faire.

Pour cela, il est judicieux de se familiariser avec les rôles d’utilisateur de WordPress pour comprendre ce qu’ils font et ce dont chaque rôle est capable.

Par exemple, vous ne voulez pas donner à un blogueur invité un accès administrateur. Un rôle de contributeur est probablement beaucoup plus approprié.

En fait, vous pouvez définir le rôle par défaut de l’utilisateur comme étant celui d’abonné (sous Paramètres > Général > Rôle par défaut du nouvel utilisateur) pour plus de sécurité.

nouvel utilisateur

En outre, il est bon pour la sécurité WordPress de donner des autorisations temporaires et de les révoquer plus tard. Vous pouvez facilement le faire en changeant les rôles des utilisateurs dans le menu Utilisateurs, puis en revenant en arrière lorsque la personne a fait son travail.

changement de rôle

Supprimez également tous les comptes d’utilisateur dont vous n’avez plus besoin ou qui ne sont plus utilisés.

Il existe des moyens de forcer les autres utilisateurs de votre site à utiliser également des mots de passe forts. De nombreux plugins de sécurité WordPress incluent cette fonctionnalité et il existe également des produits payants comme Password Policy Manager.

8. Supprimez le nom d’utilisateur admin pour remédier à une faille courante

WordPress avait l’habitude de définir le nom d’utilisateur par défaut comme admin et de nombreux propriétaires de sites Web n’ont jamais pris la peine de le modifier.

En conséquence, admin est généralement le premier nom d’utilisateur que les pirates essaient lorsqu’ils lancent une attaque contre votre site. Si ce nom est présent, tout ce dont ils ont besoin pour deviner est le mot de passe.

En tant que tel, vous ne devriez jamais utiliser ce nom d’utilisateur particulier pour votre site Web WordPress.

9. Obscurcissez votre compte administrateur : Publiez en tant que contributeur ou éditeur

Pensez à créer un compte de contributeur ou d’éditeur pour ajouter de nouveaux messages et articles sur votre site.

En quoi cela peut-il être utile ? Eh bien, WordPress crée automatiquement une archive d’auteur pour chaque profil d’auteur qui publie quelque chose sur le site. Elle est généralement située sous un nom tel que votresite.com/author/nom d’auteur.

Le problème est que cela donne aux pirates potentiels une partie des informations de connexion, puisque le nom de connexion de l’auteur est écrit en clair dans l’URL.

Là encore, il ne leur reste plus qu’à deviner le mot de passe. Pour cette raison, il est préférable que les auteurs visibles sur votre site ne soient pas ceux qui ont des droits d’administrateur.

10. Déconnexion des utilisateurs inactifs et prévention des erreurs de tiers 

Le conseil suivant consiste à déconnecter les utilisateurs inactifs après une période d’inactivité. Vous connaissez probablement cette fonctionnalité des sites bancaires.

Elle permet d’éviter que vous ou quelqu’un d’autre ne compromette votre site en restant accidentellement connecté sur un ordinateur public ou lorsqu’il s’éloigne de l’écran pendant un certain temps.

Cette mesure est nécessaire car votre session peut être détournée et les pirates peuvent abuser de la situation à leur profit. Il est encore plus important de mettre fin aux sessions inactives si vous avez plusieurs utilisateurs sur votre site Web. De plus, c’est facile, vous pouvez utiliser un plugin comme Inactive Logout pour le faire automatiquement.

inactive logout plugin

11. Minimiser les risques de sécurité WordPress en maintenant WordPress et ses composants à jour

Les fichiers périmés posent un risque de sécurité WordPress car ils rendent votre site vulnérable aux exploits. Cela vaut aussi bien pour WordPress lui-même que pour les composants tels que les thèmes et les plugins.

Ces derniers reçoivent des mises à jour pour une bonne raison, qui incluent souvent des corrections de bogues de sécurité. En fait, selon WordFence, les plugins vulnérables sont la première source de piratage des sites.

Wordfence plugin

Vous pouvez mettre à jour manuellement votre site web via Dashboard > Updates. N’oubliez jamais de sauvegarder votre site au préalable. Mieux encore, appliquez d’abord les mises à jour sur un site de développement, vérifiez si tout va bien, puis appliquez-les sur le site réel.

WordPress mise à jour

Il est également possible d’utiliser la fonction de mise à jour automatique de WordPress.

Depuis la version 5.6, dans le même menu, vous pouvez choisir d’installer automatiquement uniquement les mises à jour mineures de sécurité WordPress et de maintenance ou également les mises à jour majeures.

mise à jour automatique

Cette dernière option n’est toutefois que peu recommandée car elle peut briser votre site sans que vous le sachiez.

Vous pouvez également activer les mises à jour automatiques pour les thèmes et les plugins. Pour les thèmes, allez dans Apparence > Thèmes, cliquez sur le modèle de votre choix, puis utilisez le lien Activer les mises à jour automatiques.

mise à jour automatiques themes

Pour les plugins, vous trouverez cette option dans le menu Plugins sur la droite.

active mise à jour plugin

Vous pouvez également utiliser Easy Updates Manager pour gérer ces autorisations. Vous pouvez également en configurer une grande partie via wp-config.php. Il est également possible de mettre à jour WordPress et ses composants manuellement.

Il est également conseillé de passer régulièrement en revue les plugins installés, désactiver et supprimer ceux que vous n’utilisez plus.

12. N’utilisez que des thèmes et plugins provenant de sources fiables pour éviter de compromettre la sécurité WordPress

Comme nous l’avons déjà dit, les thèmes et plugins non fiables sont l’un des principaux moyens de compromettre les sites WordPress. Afin de réduire le risque que cela se produise, la première étape consiste à n’utiliser que des extensions provenant de sources fiables.

Cela signifie qu’il faut éviter les mauvaises versions  et « gratuites » des plugins et des thèmes.

En les téléchargeant sur votre site, il est possible que vous ouvriez vous-même des portes dérobées aux pirates. Par conséquent, tenez-vous-en à des sources fiables, telles que le répertoire de thèmes et de plugins sur WordPress.org ou des vendeurs premium dignes de confiance.

Lorsque vous envisagez de télécharger un thème ou un plugin, vérifiez, par sécurité, les points suivants

  • Son nombre d’utilisateurs
  • Les critiques et les évaluations
  • Est-il activement soutenu par des mises à jour régulières ?
  • La compatibilité avec votre version de WordPress

akismet spam plugin

En bref, utilisez des plugins et des thèmes qui sont en cours de développement actif et auxquels un grand nombre d’autres utilisateurs font confiance.

13. Utilisez un service ou un plugin de sauvegarde pour une assurance bien nécessaire

Si vous ne sauvegardez pas encore votre site Web, vous devez commencer tout de suite. Un système de sauvegarde vous aidera à restaurer votre site si le pire se produit et que votre site finit par être piraté. Voici quelques plugins et services à cet effet :

Points à garder à l’esprit :

1) Sauvegardez à la fois les fichiers de votre site et la base de données: Les sites Web WordPress se composent de deux parties. Assurez-vous de les sauvegarder toutes les deux ou vous le regretterez.

2) Créez un programme régulier: Configurez vos sauvegardes pour qu’elles se produisent automatiquement à intervalles réguliers. La fréquence dépend de votre site et de la fréquence à laquelle vous modifiez les choses ou publiez du contenu. Pour un simple site de brochure, une fois par semaine suffit. Pour un blog actif, une fois par jour ou même plus souvent peut être plus logique.

3) Stockez les fichiers de sauvegarde hors site: Assurez-vous que vos fichiers de sauvegarde vont sur Dropbox, Google Drive ou un service similaire, et non sur votre propre serveur. Sinon, vous risquez de voir vos sauvegardes infectées ou de les perdre avec vos fichiers en cas de panne du serveur.

14. Utilisez des connexions de serveur pour la sécurité WordPress et protégez votre trafic

Enfin, dans le cadre des bases de la sécurité WordPress, assurez-vous de vous connecter à votre serveur en toute sécurité. L’une des façons les plus courantes de gérer un serveur est d’utiliser le FTP. Nous le mentionnerons d’ailleurs à quelques reprises dans ce guide.

Cependant, FTP a un cousin beaucoup plus sûr appelé SFTP, qui crypte automatiquement le trafic entre votre ordinateur et le serveur. Chaque fois que vous le pouvez, utilisez ce protocole plutôt que le protocole FTP non crypté.

Sinon, vous risquez de voir votre trafic intercepté et espionné. Un bon client FTP comme FileZilla vous permettra de le faire.

filezilla

Pour aller plus loin:

Udraftplus plugin de sauvegardes

Maintenance WordPress