WordPress est le système de gestion de contenu (CMS) le plus populaire et alimente plus de 37% des sites Web. Cependant, à mesure qu’il grandit, les pirates commencent à cibler spécifiquement les sites WordPress. Votre site WordPress n’est pas en sécurité quel que soit le type de contenu que vous fournissez. Si vous ne prenez pas certaines précautions, votre site WordPress pourrait être piraté à n’import quel moment. Comme tout ce qui concerne la technologie, vous devez vérifier la sécurité de votre site Web.
Dans ce tutoriel, je partage avec vous mes 10 meilleurs conseils pour sécuriser votre site WordPress.
1. Choisissez une bonne société d’hébergement
Le moyen le plus simple de sécuriser votre site est de choisir un hébergeur qui propose plusieurs couches de sécurité.
C’est tentant de choisir un hébergeur bon marché, histoire d’économiser de l’argent que vous pouvez par la suite investir dans publicité ou autre. Cependant, en choisissant cette stratégie, vous risquez de perdre votre site, votre argent et votre temps à réparer les dégâts causés par les pirates, parce que quand ils frappent, ils ne font pas semblant. La première chose que les pirates font en cas d’intrusion c’est d’effacer vos données et redirigé votre URL vers un site qui contient un virus ou des publicités, ce qui impactera votre référencement même si vous réussissez à récupérer votre site.
Payer un peu plus pour un hébergement sérieux, signifie que vous bénéficierez d’une sécurité renforcée. Un avantage supplémentaire, en utilisant un fournisseur sérieux pour votre hébergement WordPress, vous pouvez accélérer considérablement votre site WordPress.
Bien qu’il existe de nombreuses sociétés d’hébergement, nous recommandons Planethoster. Ils offrent de nombreuses fonctionnalités de sécurité, y compris des analyses quotidiennes des logiciels malveillants et un accès à l’assistance 24 heures sur 24, 7 jours sur 7, 365 jours par an. Cerise sur le gâteau, le prix est également raisonnable.
Un autre fournisseur qui pourra vous intéresser par son prix et sa qualité de service, est o2switch qui est un partenaire officiel de Wordcamp France.
2. N’utilisez pas les thèmes Premium gratuitement
Les thèmes premium WordPress sont destinés à un usage professionnel et proposent plusieurs options pour personnaliser votre site web qu’un thème gratuit. Les thèmes premium sont codés par des développeurs professionnels hautement qualifiés et sont testés pour passer plusieurs contrôles WordPress avant d’être proposés à la vente. Il n’y a aucune restriction sur la personnalisation de votre thème et vous obtiendrez une assistance complète si quelque chose ne va pas sur votre site. Surtout, vous obtiendrez des mises à jour régulières du thème.
Mais, il existe quelques sites qui proposent des thèmes premium en téléchargement gratuit. Un thème premium en téléchargement gratuit est un thème craqué qu’est rien d’autre qu’une version piratée d’un thème premium. L’utilisation de ces thèmes est illégale et ils contiennent généralement des codes malveillants cachés, qui pourraient détruire votre site Web et votre base de données ou voler vos informations d’identification d’administrateur.
Bien qu’il puisse être tentant d’économiser quelques euros, évitez toujours les thèmes premium en téléchargement gratuit.
Il existe de nombreuses plateformes pour acheter et télécharger votre thème en toute sécurité, toutefois la plateforme la plus connu et la plus stricte en termes de sécurité reste Themeforest.net de l’entreprise australienne Envato qui proposent + de 48,350 thèmes premium.
3. Installez un plugin de sécurité WordPress
Vérifier régulièrement la sécurité de votre site WordPress prend du temps et à moins que vous ne mettiez régulièrement à jour vos connaissances en termes de développement web, vous ne réaliserez peut-être même pas que vous êtes entrain d’utiliser un plugin malveillant.
Heureusement, certains entreprises dans l’industrie du web ont compris qu’un utilisateur WordPress n’est pas forcément un développeur web et ont créés des plugins de sécurité WordPress pour vous aider. Un plugin de sécurité prend en charge la sécurité de votre site, recherche les codes malveillants dans les plugins et surveille votre site 24/7 pour vérifier régulièrement ce qui se passe dans votre base de données.
Sucuri est le plugin de sécurité WordPress par excellence. Il offre un audit globale des activités de sécurité, une surveillance de l’intégrité des fichiers, une analyse à distance des logiciels malveillants, une surveillance des listes noires, un renforcement efficace de la sécurité, des actions de sécurité post-piratage, des notifications de sécurité et même un pare-feu de site Web.
4. Utilisez un mot de passe fort
Les mots de passe sont une partie très importante de la sécurité de votre site web et malheureusement souvent négligés. Si vous utilisez un mot de passe facile, c’est-à-dire «123456, abc123, motdepasse», vous devez immédiatement le changer. Bien que ce mot de passe soit facile à retenir, il est également extrêmement facile à deviner. Un utilisateur avancé peut facilement déchiffrer votre mot de passe et entrer dans votre base de donnée.
Il est important que vous utilisiez un mot de passe complexe, ou mieux encore, un mot de passe généré automatiquement avec une variété de chiffres, des combinaisons de lettres et des caractères spéciaux comme% ou ^. Voici un générateur de mot de passe que nous utilisons au quotidien.
5. Désactivez la modification des fichiers
Lorsque vous configurez votre site WordPress, il y a une fonction d’éditeur de code dans votre tableau de bord qui vous permet de modifier votre thème et vos plugins. Il est accessible en allant dans Apparence> Editeur. Vous pouvez également trouver l’éditeur de plugins en allant dans Plugins > Editeur.
Une fois votre site en ligne, nous vous recommandons de désactiver cette fonctionnalité. Si des pirates informatiques accèdent à votre panneau d’administration WordPress, ils peuvent injecter du code malveillant dans votre thème et vos plugins sans que vous vous rendez compte, jusqu’à ce qu’il soit trop tard.
Pour désactiver la possibilité de modifier les plugins et les fichiers de thème, collez simplement le code suivant dans votre fichier wp-config.php.
define ('DISALLOW_FILE_EDIT', true);
6. Installez le certificat SSL
De nos jours, le protocole SSL (Single Sockets Layer) est bénéfique pour tous types de site web. Au départ, SSL était nécessaire pour sécuriser un site web avec des transactions spécifiques, le paiement en ligne. Aujourd’hui, Google a reconnu l’importance de ce certificat et offre aux sites disposant d’un certificat SSL positionnement plus amélioré dans les résultats de recherche.
Le certificat SSL est obligatoire pour tous les sites qui traitent des informations sensibles, comme les mots de passe ou les détails de paiement en ligne. Sans certificat SSL, toutes les données entre le navigateur web de l’utilisateur et votre serveur web sont fournies en texte brut. Cela peut être lisible par n’import qui. En utilisant un cetificat SSL, les informations sensibles sont cryptées avant d’être transférées entre le navigateur de l’utilisateur et votre serveur web, ce qui rend votre site web plus sécurisé.
Aujourd’hui presque toutes les sociétés d’hébergement proposent un certificat SSL Let’s Encrypt gratuitement que vous pouvez installer sur votre site.
7. Modifiez votre URL de connexion WP
Par défaut, pour vous connecter à WordPress, l’adresse est « votrenom.fr/wp-admin ». En le laissant par défaut, vous pouvez être ciblé par des attaques de robots pirates pour déchiffrer votre combinaison nom d’utilisateur / mot de passe (un robot pirate est un robot virtuel créé par des pirates qui a la capacité d’attaquer des milliers de sites web au même temps et tenter de se connecter à votre compte administrateur). Pour éviter cela, vous pouvez modifier l’URL de connexion administrateur ou ajouter une question de sécurité à la page d’inscription et de connexion.
Conseil de pro : vous pouvez protéger davantage votre page de connexion en ajoutant un plugin d’authentification à 2 facteurs à votre WordPress. Lorsque vous essayez de vous connecter, vous devrez fournir une authentification supplémentaire afin d’accéder à votre site – par exemple, il peut s’agir de votre mot de passe et d’un e-mail (ou texte). Il s’agit d’une fonctionnalité de sécurité renforcée pour empêcher les pirates d’accéder à votre site.
Astuce de pro : vous pouvez également vérifier les adresses IP qui ont essayée de se connecter, puis vous les bloquer depuis votre panel d’administration.
8. Limitez les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent. Bien que cela puisse aider si vous oubliez souvent votre mot de passe, cela aide également les robots pirates comme expliqué dans le point 7.
En limitant le nombre de tentatives de connexion, les utilisateurs malveillant seront bloqués au bout de x tentatives, ainsi les robots pirates n’auront aucune efficacité.
Vous pouvez l’activer facilement avec le plugin WP Limit Login Attempts. Après avoir installé le plugin, vous pouvez modifier le nombre de tentatives de connexion via Paramètres > WP Limit Login Attempts. Vous pouvez également le faire sans plugin, des bonnes compétences en PHP seront nécessaire.
9. Cachez les fichiers wp-config.php et .htaccess
Bien qu’il s’agisse d’un processus avancé pour améliorer la sécurité de votre site, si vous êtes sérieux au sujet de la sécurité votre entreprise, il est recommandé de masquer les fichiers .htaccess et wp-config.php de votre site pour empêcher les pirates d’y accéder.
Nous recommandons fortement que cette manipulation soit mise en œuvre par des développeurs expérimentés, car il est impératif de faire d’abord une sauvegarde de votre base de donnée, puis de procéder avec prudence. Toute erreur pourrait rendre votre site inaccessible.
Pour masquer les fichiers, après votre sauvegarde, il y a deux choses que vous devez faire :
1. Tout d’abord, accédez à votre fichier wp-config.php et ajoutez le code suivant.
order allow,deny
deny from all
2. Dans une méthode similaire, vous ajouterez le code suivant à votre fichier .htaccess.
order allow,deny
deny from all
Bien que le processus lui-même soit très facile, il est important de faire une sauvegarde de votre base de donnée avant de commencer au cas où quelque chose se passe mal dans le processus.
10. Mettez à jour votre version WordPress
Gardez votre WordPress à jour est une bonne pratique pour que votre site soit sécurisé. À chaque mise à jour, les développeurs WordPress apportent quelques modifications, souvent des améliorations et des fonctionnalités pour renforcer la sécurité. En restant à jour avec la dernière version, vous contribuez à vous protéger contre les cibles des failles et des exploits pré-identifiés que les pirates peuvent utiliser pour accéder à votre site.
Il est également important de mettre à jour vos plugins et thèmes pour les mêmes raisons.
Par défaut, WordPress télécharge automatiquement les mises à jour mineures. Pour les mises à jour majeures, cependant, vous devrez le mettre à jour directement à partir de votre tableau de bord d’administration WordPress.
