Il ne fait aucun doute que WordPress est une cible populaire pour les pirates informatiques. Après tout, il alimente des millions de sites Web et de blogs dans le monde entier. Mais la bonne nouvelle est qu’il existe un certain nombre de mesures que vous pouvez prendre pour sécuriser votre site WordPress et le rendre moins vulnérable aux attaques.
Dans cet article, nous allons partager avec vous quelques uns des meilleurs conseils de sécurité WordPress.
9 conseils pour sécuriser un site WordPress
Bien que WordPress soit un CMS bien sécurisé, les propriétaires des sites web doivent respecter quelques mesures de sécurité pour éviter les risques de piratage. Si vous souhaitez optimiser les niveaux de sécurité de votre site WordPress, suivez ces conseils.
Si malheureusement, votre site WordPress s’est déjà fait hacker, il faudra suivre plutôt ses conseils pour le sécuriser et le nettoyer surtout.
1. Modifier le compte administrateur
Pour augmenter le niveau de sécurité de votre site internet sous WordPress, changez l’identifiant par défaut de votre compte utilisateur principal qui est “admin”. Évitez d’utiliser votre nouvel identifiant comme nom d’auteur de vos articles. Sinon les hackers auront facilement un moyen de pirater votre compte.
2. Créer des comptes éditeurs et limiter les rôles de chaque utilisateur
Avec WordPress, vous avez la possibilité de créer différents comptes éditeurs. Cela permet à votre équipe de travailler sur votre site sans utiliser le compte administrateur. En effet, il est conseillé de ne se connecter en tant qu’administrateur que sur une machine sûre et pour faire des modifications qui ne peuvent être effectuées qu’avec ce compte. Le cas échéant, les hackers risqueront de voler des cookies ou votre session.
À noter que lorsque vous créez des comptes utilisateurs, donnez uniquement à l’éditeur un accès à la section où il doit travailler et assurez-vous qu’il fasse son travail sans faille. N’oubliez pas non plus d’activer l’authentification à deux facteurs ou A2F de votre site. Cela permettra à votre site WordPress de vérifier l’identité de l’utilisateur à chaque fois qu’il tente de se connecter via son compte éditeur.
3. Utiliser des mots de passe à la fois complexes et uniques
Pour pirater un site web, les pirates tentent souvent des attaques par bruteforce. Cette méthode consiste à tester, grâce à des outils de génération de mots de passe, toutes les combinaisons possibles pour trouver un mot de passe. Le mieux, c’est de créer un mot de passe complexe et unique à différents endroits. Ainsi, vous n’utiliserez pas le même password pour vous connecter en tant qu’administrateur et utilisateurs.
Une des solutions qui permettent de protéger ses mots de passe est d’utiliser un gestionnaire de mots de passe. Sécurisé et crypté, ce dernier se chargera de saisir le mot de passe correspondant lorsque vous vous connectez à un site ou à une application.
Si vous manquez d’idées pour vous créer un mot de passe complexe, vous pouvez utiliser un générateur de mot de passe.
4. Faire des mises à jour régulières (maintenance WordPress)
Afin de sécuriser votre site, vous devez garder votre WordPress, votre thème et vos plugins à jour. En effet, WordPress fait régulièrement des mises à jour pour améliorer le CMS et pour corriger les éventuelles failles de sécurité. Il est donc de mise d’utiliser une version récente du CMS pour éviter de se faire hacker.
Cette consigne est également valable pour les plugins et le thème. En effet, les développeurs proposent régulièrement des mises à jours correctives. Un plugin ou un thème obsolète peut présenter une faille de sécurité et être vulnérable au piratage. Les mises à jour sont toujours publiées sur votre interface d’administration. Il est donc nécessaire de vous connecter régulièrement.
La mise à jour de plugins premium est un peu plus complexe. Il faudra vous rendre dans votre compte client pour le plugin en questions et télécharger la dernière mise à jour du plugin. Ensuite, rendez-vous chez votre hébergeur et utilisez, par exemple, le gestionnaire de fichiers pour y uploader votre plugin si vous avez un hébergeur Web cPanel.
En plus des mises à jour régulières de votre CMS, n’allez pas non plus vous héberger chez un hébergeur qui propose des technologies complètement obsolètes ! Cela compte tout autant. Vous pourriez vous faire pirater pour cette raison-là également.
5. Activer un pare-feu WordPress
Activer un pare-feu pour votre site protégera votre blog d’une attaque de pirates. Ce logiciel sécurisera votre site WordPress en filtrant le trafic de ce dernier. En effet, un pare-feu est capable d’identifier et de bloquer les hackers. Ainsi, ces derniers ne pourront pas accéder à votre site Web et à votre ordinateur, car ils seront automatiquement mis sur liste noire. Un pare-feu présente également l’avantage d’empêcher les attaques DDoS et par bruteforce. Ce qui vous permet de dormir l’esprit tranquille.
6. Utiliser les meilleurs plugins de sécurité WordPress
Installer un plugin de sécurité WordPress constitue l’une des meilleures solutions pour protéger un site Web des risques de piratage. En effet, il suffit d’installer l’outil, de le configurer et votre site WordPress sera à l’abri des hackers. Vous vous demandez comment ?
Les plugins de sécurité intègrent les fonctionnalités qui empêchent un site internet de se faire hacker, pour ne citer que l’analyse des logiciels malveillants et l’alerte « plugins et thèmes obsolètes ».
À noter que la plupart des plugins de sécurité sont disponibles dans des versions gratuites, mais pour sécuriser réellement votre site WordPress, optez pour une version premium qui propose plus de fonctionnalités.
Voici la liste des meilleurs plugins de sécurité WordPress :
- WordFence Security
- iThemes Security
- WP fail2ban
- Sucuri Security
- All In One WP Security & Firewall
7. Sauvegarder aussi souvent que possible la base de données
Il est recommandé d’archiver une fois par semaine ses données sur son site WordPress. Cela ne sécurise pas ce dernier, mais permet de le restaurer rapidement et efficacement s’il est mis hors ligne ou piraté. Lors de la sauvegarde, assurez-vous de bien noter la date du jour de l’archivage sur le dossier de sauvegarde.
8. Choisir un hébergeur Web sécurisé
Les failles dans vos mesures de sécurité ne proviennent pas toujours de votre propre site. Elles peuvent également provenir de votre hébergeur. Bon nombre des sites WordPress qui ont été compromis l’ont été à la suite d’une faille de sécurité chez leur hébergeur, plutôt qu’en raison de la protection des sites eux-mêmes.
Il est essentiel de choisir le bon hébergeur Web pour garantir la sécurité de votre site WordPress.
Pour évaluer les offres des hébergeurs Web, vous pouvez désormais les analyser en fonction de trois variables :
- Le serveur de l’hébergeur est-il protégé par un pare-feu et un antivirus ?
- L’hébergeur Web effectue-t-il des sauvegardes régulières de vos données et les réplique-t-il dans d’autres datacenters pour éviter de perdre vos données en cas de catastrophes naturelles ?
- Les offres d’hébergement sont-elles bien cloisonnées ?
9. Protéger votre site avec un certificat SSL (HTTPS)
Vous avez sans doute remarqué le petit cadenas à côté de l’URL d’un site web et le mot « HTTPS » qui le suit. Comme ce site Web possède un certificat SSL, vous pouvez utiliser le protocole HTTPS, qui assure une connexion sécurisée entre le navigateur (client) et le serveur Web.
Ce certificat est connu pour être nécessaire lorsqu’un mode de paiement est disponible immédiatement sur le site, mais il est également précieux pour d’autres raisons :
- Les données transférées entre le serveur et le navigateur en http ne sont pas cachées, elles sont envoyées en texte clair. Lorsque vous utilisez le protocole HTTPS pour le transfert de données, ce n’est pas le cas.
- Le certificat SSL a une influence sur votre référencement. Selon Google, il joue un (léger) rôle dans la détermination de votre classement de recherche.
- Les gens ont pris l’habitude de rechercher le petit cadenas sur les sites Web, car ils ont souvent entendu dire que c’était un signe de sécurité. La confiance du public dans votre site Web est renforcée si vous disposez d’un certificat SSL.
- Compte tenu de ce qui précède, certains navigateurs web, comme Chrome, affichent désormais un avertissement « Non sécurisé » devant les sites web qui ne disposent pas d’un certificat SSL. Pire encore, ils peuvent afficher un avertissement de sécurité avant de se rendre sur le site, ce qui risque de faire fuir la plupart des utilisateurs.
- Le protocole HTTPS est censé être plus rapide que le protocole HTTP pour des raisons techniques. La simple adoption d’un certificat SSL peut améliorer rapidement la vitesse de votre site WordPress.
Que retenir sur la meilleure façon de sécuriser WordPress ?
En bref, la solution la plus simple pour éviter de se faire hacker est d’installer un plugin de sécurité WordPress. Ceci inclut un pare-feu et un scanner de logiciels malveillants. Il verrouille l’écran de connexion et bloque les attaques DDoS…
Tant de fonctionnalités pour rendre un site Web non vulnérable aux menaces de sécurité.
Cependant, pour que tous ces conseils de sécurité soient efficaces, vous devez disposer d’un hébergeur sécurisé avec une version de PHP récente.
Obtenez 100$ de crédits (offerts sans engagement) en suivant notre lien d’affiliation.
Ils discutent…