Avec plus de 60 millions d’utilisateurs, WordPress est le CMS le plus utilisé au monde. On entend donc beaucoup de rumeurs disant que WordPress est peu sécuritaire et qu’il vaut mieux opter pour une autre plateforme.

Chez le Potager du Web, nos experts en conception web sont axés sur la performance des sites WordPress qu’ils créent. En tant que créateurs et hébergeurs de sites Web, nous pouvons vous assurer que les sites WordPress (du moins ceux que nous concevons) sont très sécuritaires.

Cet article détaille comment sécuriser votre site WordPress.

La sécurité de WordPress : une priorité

1-Faites les mises à jour régulières

La sécurité de votre site WordPress repose en grande partie sur la version du CMS que vous utilisez. La communauté WordPress publie régulièrement des mises à jour pour corriger les failles de sécurité. L’utilisation de versions obsolètes rend votre site vulnérable aux attaques de hackers, de malwares et de virus.

Pour protéger votre site, installez chaque nouvelle version de WordPress dès qu’elle est disponible. Cela s’applique également aux plugins et thèmes que vous utilisez sur votre site WordPress, et dont vous pouvez généralement automatiser la mise à jour.

2- choisissez bien votre thème WordPress

Lors de la conception de votre site WordPress, le choix du thème est important. Certains thèmes sont gratuits et fiables, tandis que d’autres ne le sont pas. Un bon thème doit être esthétique et offrir une protection contre les vulnérabilités de sécurité.

Un site recommandé pour choisir votre thème WordPress est Theme Forest. Il propose une variété de thèmes et fournit des informations détaillées sur chaque thème (commentaires clients, mises à jour récentes, compatibilité avec les plugins, etc.).

Un conseil précieux : favorisez l’acquisition d’un thème payant qui offre un service de support en cas de problème, plutôt que de choisir un thème gratuit de base. Le montant supplémentaire investi en vaut largement la peine. De plus, pensez à masquer le nom de votre thème en créant un thème enfant, car il pourrait comporter des failles de sécurité exploitées par les pirates.

Lors du choix d’un thème ou d’un plugin, assurez-vous que le développeur effectue des mises à jour régulières de son produit et qu’il reçoit de bonnes évaluations. Un thème ou un plugin mal conçu peut introduire des vulnérabilités sur votre serveur.

3- choisissez des modules sécuritaires

WordPress fonctionne avec un thème et des modules, aussi appelés extensions ou plugins. Plus votre site aura de fonctionnalités, plus il aura d’extensions installées.

Il arrive souvent que le thème et les modules rencontrent des incompatibilités. Dans ces cas, il faut soit changer de thème, soit essayer de régler les incompatibilités, soit changer de modules.

Pour votre information, la plupart des bugs sur WordPress sont dus à des incompatibilités entre les modules ou avec le thème. Vous devez choisir des modules compatibles avec votre thème et ne pas hésiter à investir.

Pour avoir un module stable et régulièrement mis à jour, faites la liste des fonctionnalités que vous souhaitez avoir sur votre site. Cherchez les modules correspondants et vérifiez sur internet si votre thème est compatible avec ces modules et également si les modules sont compatibles entre eux.

Faites attention aux sites sur lesquels vous téléchargez vos modules. Je vous recommande de les télécharger directement sur le site de WordPress pour avoir les dernières versions.

4- installez un plugin de sécurité

Dans le registre des extensions, l’installation d’un module de sécurité est indispensable pour bien sécuriser votre site WordPress. Il ne s’agit pas simplement de rayer la tâche de sa liste de choses à faire, mais de sélectionner le bon module.

Trois critères importants sont à considérer :

• D’abord, la sécurisation des profils d’utilisateurs est capitale. Un des points d’entrée courant sur les sites internet non sécurisés est le profil de vos utilisateurs. Ces extensions vous informent lorsque quelqu’un essaie de se connecter avec des identifiants erronés et peuvent mettre en place une interdiction sur les profils d’utilisateurs après un nombre défini de tentatives d’accès échouées.
• Ensuite, il est primordial de repérer les essais d’effraction. Les extensions de sécurité identifient toute tentative d’effraction sur un site Web en restreignant le nombre de tentatives de connexion. Par exemple, le module Login Lockdown permet de définir le nombre maximum de tentatives de connexions.
• De plus, il est essentiel d’interdire les adresses IP indésirables. Certains plugins de sécurité permettent de refuser l’accès à certaines adresses IP, créant ainsi une liste d’adresses à interdire ou utilisant des listes publiques pour bloquer les adresses IP connues pour être exploitées par des pirates informatiques.

Enfin, un bon plugin de sécurité doit comporter une fonction d’antivirus. En plus de servir de gardien de sécurité pour votre site Web, il doit être capable de bloquer l’accès à votre site. En plus de garantir la sécurité de votre site web, cette modification simple ajoute une couche de protection supplémentaire. Elle complique l’accès de vos données aux pirates. Les menaces et de vous avertir en cas de problème.

Il existe de nombreux plugins de sécurité populaires, tels que

• All In One WP Security,
• Security Ninja,
• Sucuri Security,
• Bulletproof security,
• Wordfence et
• iTheme Security.

Cependant, ces plugins ne font pas tout. Une intervention humaine est nécessaire pour paramétrer le plugin et effectuer les vérifications requises. Le Potager du Web vous propose un hébergement doté d’un système de protection implanté directement sur votre serveur.

5- sécurisez vos paramètres de connexion

5-1- Modifiez le nom d’utilisateur par défaut pour renforcer la sécurité de votre site WordPress.

 La première chose à faire est de supprimer le nom d’utilisateur « admin » proposé par défaut lors de l’installation de WordPress. Créez plutôt un nom d’utilisateur unique pour le compte administrateur.

Beaucoup de gens laissent le nom d’utilisateur par défaut et pensent qu’il « ne faut pas l’enlever », alors qu’il représente une faille de sécurité importante. En effet, pour accéder à la partie admin de votre site WordPress, une personne a besoin d’un login et d’un mot de passe. En conservant le login « admin », vous facilitez le travail des éventuels hackers.

En plus de garantir la sécurité de votre site web, cette modification simple ajoute une couche de protection supplémentaire. Elle complique l’accès de vos données aux pirates.

5-2- Modifier le mot de passe

Pensez à sécuriser votre mot de passe pour renforcer la protection de votre compte. Un mot de passe robuste doit respecter plusieurs critères essentiels.

Sa longueur doit être d’au moins 12 caractères, mais il est préférable de le rendre encore plus long pour une sécurité accrue.

 Il doit contenir une variété de caractères, y compris des lettres majuscules et minuscules, des chiffres et des symboles spéciaux.

Évitez d’utiliser des informations personnelles comme votre nom, date de naissance ou adresse, car elles peuvent être faciles à deviner.

Évitez également les mots communs ou les séquences de clavier faciles à deviner.

Optez plutôt pour des phrases de passe, qui sont plus faciles à mémoriser et plus difficiles à pirater en raison de leur longueur.

Assurez-vous également de ne pas réutiliser le même mot de passe pour plusieurs comptes, afin de réduire les risques en cas de compromission.

Changez régulièrement vos mots de passe, surtout si vous pensez qu’ils ont pu être compromis.

L’utilisation d’un gestionnaire de mots de passe comme Keepass XC ou Bitwarden peut faciliter la création et la gestion de mots de passe forts et uniques pour chaque compte.

5-3- L’authentification en deux étapes

Adoptée par de nombreuses institutions, renforce la sécurité des données en ajoutant une couche de protection supplémentaire. Imaginez-la comme une double serrure sur votre porte : même si quelqu’un a votre clé (votre mot de passe), il lui manque toujours le code du digicode (généré par votre téléphone, par exemple).

Cette méthode est particulièrement efficace pour sécuriser l’accès administrateur. Activer cette fonctionnalité sur votre site WordPress offre donc un niveau de sécurité supplémentaire. Même si un pirate obtient votre mot de passe, il lui sera difficile d’accéder à votre compte sans ce deuxième facteur d’authentification.

5-4- Modifiez l’URL de connexion à votre back-office

En utilisant le plugin WPS Hide Login, vous pouvez simplement définir un URL personnalisé pour la page de connexion dans les paramètres de votre site. Bien trop de sites WordPress utilisent toujours l’URL /wp-login, ce qui facilite le travail des hackers pour essayer de s’infiltrer.

5-5- Déconnectez-vous lorsque vous avez terminé de modifier votre site

Les hackers peuvent se connecter sur votre compte en récupérant les cookies générés par votre connexion au back-office de votre site WordPress, bien que cela requiert de très bonnes connaissances et soit complexifié par les étapes détaillées précédemment. Pour éviter ce problème, pensez à vous déconnecter à chaque fois que vous quittez votre back-office.

6- Protégez et sauvegardez régulièrement votre base de données

La première étape consiste à restaurer la base de données pour récupérer votre site. Vous pouvez vérifier la fréquence de sauvegarde auprès de votre hébergeur ou utiliser des outils comme BackWPup ou UpdraftPlus pour sauvegarder votre base de données vous-même. Votre hébergeur peut également vous fournir un service de sauvegardes régulières, comme c’est le cas chez le Potager du Web.

De plus, il est recommandé de changer le nom de votre base MySQL, qui utilise généralement le préfixe wp_ lors de l’installation de WordPress. Cela renforce la sécurité de votre site en rendant plus difficile pour les pirates de cibler votre base de données.

7- Assurez-vous de protéger votre fichier wp-config.php

C’est l’un des fichiers les plus critiques de votre installation WordPress. Il renferme des données sensibles telles que les informations d’identification de votre base de données et de votre serveur.

Par défaut, tout utilisateur peut accéder à vos fichiers WordPress via son navigateur, ce qui représente un risque potentiel pour la sécurité. Pour remédier à cela, vous pouvez ajouter ces lignes de code à votre fichier .htaccess via FTP :

<Files wp-config.php>
order allow,deny
deny from all
</Files>

De plus, veillez à sécuriser également votre fichier .htaccess pour restreindre l’accès :

<Files .htaccess> order allow,deny deny from all </Files>

Enfin, il est nécessaire de disposer d’une sauvegarde de vos fichiers pour parer à toute éventualité.

8- Installez des certificat HTTPS

C’est essentiel pour garantir une connexion sécurisée entre votre navigateur et le site Web. Cela assure le chiffrement des données que vous envoyez et recevez, rendant leur lecture difficile pour les tiers.

C’est particulièrement crucial lors de la transmission d’informations sensibles telles que les numéros de carte de crédit ou les mots de passe. Au fil des années, Google et les principaux navigateurs ont intensifié leurs efforts pour encourager l’adoption des certificats de sécurité sur les sites Web.

La plupart des sites disposent désormais de cette sécurité, mais il est primordial de maintenir le certificat à jour pour garantir l’accessibilité continue du site aux utilisateurs.

9- choisissez un bon hébergeur

Ce choix constitue la première ligne de défense contre les attaques. Il est prudent de sélectionner un prestataire qui accorde une grande importance à la sécurité des serveurs. En plus des sauvegardes automatiques et de l’assistance en cas de problème, recherchez des fonctionnalités de sécurité supplémentaires. Idéalement, l’hébergeur devrait fournir un pare-feu intégré pour bloquer les attaques en amont. Certains fournisseurs proposent également une protection contre les attaques DDoS, qui peuvent être dévastatrices si elles ne sont pas contrées.

Assurez-vous que votre hébergeur propose également une isolation des comptes, ce qui signifie que chaque compte sur un serveur partagé est séparé des autres. De cette façon, même si un autre site sur le même serveur est compromis, le vôtre reste en sécurité.

Vérifiez que votre hébergeur effectue régulièrement des scans de sécurité et dispose de systèmes pour détecter toute activité suspecte. Les mises à jour régulières du serveur, notamment du système d’exploitation et des logiciels de sécurité, sont également cruciales pour la sécurité de votre site.

Enfin, privilégiez un hébergeur qui propose une assistance 24/7. En cas de problème ou d’attaque de sécurité, vous aurez besoin d’aide immédiate pour résoudre la situation. La disponibilité de l’assistance est un facteur à prendre en compte lors du choix de votre hébergeur.

10- Confiez la gestion de votre site web

Gérer et maintenir un site web peut s’avérer complexe, nécessitant des compétences techniques et une surveillance continue.

Si vous manquez de temps ou d’intérêt pour ces tâches, envisagez de déléguer la gestion de votre site WordPress à une personne ou une équipe spécialisée. Leur responsabilité sera d’assurer les mises à jour de WordPress, des thèmes et des plugins, ainsi que la sécurité et la protection du site en continu.

Ces professionnels prendront en charge diverses tâches telles que les mises à jour, la surveillance de la sécurité, la prévention des attaques, les sauvegardes régulières et la restauration du site en cas de problème.

Ils auront besoin d’un accès sécurisé via un client FTP pour gérer les fichiers du site.

Renseignez-vous sur les coûts associés à cette délégation de tâches. Souvent, confier ces responsabilités permet de se concentrer sur d’autres aspects de votre activité tout en assurant le bon fonctionnement de votre site web.