Bien que le logiciel de base de WordPress soit très sécurisé et qu’il soit régulièrement audité par des centaines de développeurs, il y a beaucoup à faire pour sécuriser votre site WordPress.
Nous avons un certain nombre de mesures concrètes que vous pouvez prendre pour protéger votre site WordPress contre les failles de sécurité.
Nous voulons nous assurer que tous nos lecteurs savent comment protéger leurs sites Web et leurs entreprises contre les menaces dangereuses potentielles, nous avons donc créé un article pour couvrir tout ce que vous auriez besoin de savoir.
Si vous ne faites que commencer avec votre site Web, nous vous suggérons de consulter notre guide de démarrage !
Remarque : cette page contient des liens d’affiliation. Et bien que nous obtenions une petite commission lorsque vous achetez via l’un de ces liens, cela ne vous coûte rien de plus pour utiliser ce lien, et bien sûr, nous ne recommandons que les produits que nous aimons et que nous avons utilisés nous-mêmes.
1. Garder votre version de WordPress à jour
WordPress est un logiciel open source régulièrement entretenu et mis à jour. Par défaut, WordPress installe automatiquement les mises à jour mineures. Pour les versions majeures, vous devez lancer manuellement la mise à jour.
WordPress est également livré avec des milliers de plugins et de thèmes que vous pouvez installer sur votre site Web. Ces plugins et thèmes sont maintenus par des développeurs tiers qui publient également régulièrement des mises à jour.
Ces mises à jour WordPress sont cruciales pour la sécurité de votre site WordPress et la stabilité dans le temps. Vous devez vous assurer que votre noyau WordPress, vos plugins et votre thème sont à jour.
Lorsqu’une nouvelle version de WordPress est disponible, vous recevrez une notification dans votre écran d’administration WordPress. Nous vous recommandons de mettre à jour votre WordPress dès que vous voyez cette notification.
Ces mises à jour aident à protéger votre site Web, c’est pourquoi il est important de le mettre à jour dès que vous le pouvez.
Sachez qu’en mettant à jour vers une nouvelle version, cela pourrait potentiellement affecter la connectivité avec votre thème. Si votre thème n’a pas été mis à jour pour être compatible avec la nouvelle version de WordPress, des problèmes peuvent survenir. Veillez à faire des sauvegardes avant chaque mise à jour.
2. Maintenir les plugins WordPress à jour
Dans le même ordre d’idées, il est tout aussi important de maintenir vos plugins wordpress à jour. Les plugins sont souvent ceux qui exécutent de nombreuses fonctionnalités de votre site Internet, et si vous ne mettez pas à jour vos plugins, la sécurité de votre site WordPress pourrait être compromise.
3. Supprimer les thèmes et plugins qui ne sont pas utilisés
Les anciens plugins qui ne sont pas utilisés peuvent ralentir le fonctionnement de votre site et peuvent potentiellement conduire à des attaques nuisibles sur votre site Internet.
Si votre site internet commence à dater ou bien que vous aimez tester de nouvelles fonctionnalités, les plugins que vous utilisez ont changés au fil des ans.
Essayez de parcourir vos plugins tous les trimestres et supprimez ceux qui ne sont pas utilisés pour garder votre WordPress à jour.
4. Ne téléchargez que des plugins à partir de sources fiables
Tout le monde peut créer un plugin (ou un thème WordPress d’ailleurs), ce qui signifie qu’il existe de nombreux plugins créés par des sources peu fiables.
Nous vous suggérons d’utiliser uniquement des plugins provenant de sources fiables et/ou qui ont beaucoup d’avis et de téléchargements. Si beaucoup de gens utilisent le plugin, c’est probablement celui auquel vous pouvez faire confiance.
5. Utilisez des noms d'utilisateur et des mots de passe complexes
Les tentatives de piratage WordPress les plus courantes utilisent des mots de passe volés. Par défaut, votre nom d’utilisateur sera « admin » pour vous connecter à votre site Web. Nous suggérons de changer cela immédiatement, car c’est cadeau pour les pirates, vu que c’est l’option par défaut.
En plus de changer votre nom d’utilisateur (et nous vous suggérons également de ne pas utiliser votre adresse e-mail !), vous devez sélectionner un mot de passe fort. Utilisez une variante de lettres majuscules, de chiffres et de symboles.
Pour modifier l’identifiant de votre compte WordPress, vous devez d’abord créer un nouveau compte dans l’onglet “utilisateurs” de votre tableau de bord. Ensuite, connectez-vous à ce nouveau compte et supprimez l’ancien. Vous pouvez également créer un nouveau compte via votre espace client d’hébergement.
N’oubliez pas de choisir également des mots de passe compliqués à trouver pour les comptes FTP, la base de données, le compte d’hébergement et vos adresses e-mail personnalisées qui utilisent le nom de domaine de votre site.
6. Limiter l'accès de votre administration wordpress
Une autre façon de réduire le risque est de ne donner à personne l’accès à votre compte d’administrateur WordPress, sauf si vous y êtes absolument obligé. Si vous avez une grande équipe ou des auteurs invités, assurez-vous de bien comprendre les rôles et les capacités des utilisateurs dans WordPress avant d’ajouter un nouvel utilisateur et auteurs à votre site WordPress.
Veillez à donner aux utilisateurs les bons rôles et permissions pour qu’ils ne cassent rien.
7. Choisir un Hébergement WordPress Sécurisé
Votre service d’hébergement WordPress joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon fournisseur d’hébergement partagé comme PlanetHoster ou Siteground prend des mesures supplémentaires pour protéger ses serveurs contre les menaces courantes.
Voici comment une bonne société d’hébergement Web fonctionne en arrière-plan pour protéger vos sites Web et vos données :
- Ils surveillent en permanence leur réseau à la recherche d’activités suspectes.
- Toutes les bonnes sociétés d’hébergement ont des outils en place pour empêcher les attaques DDOS à grande échelle.
- Ils maintiennent à jour leur logiciel serveur, leurs versions PHP et leur matériel pour empêcher les pirates d’exploiter une vulnérabilité de sécurité connue dans une ancienne version.
- Ils disposent de plans de restauration après sinistre et d’accidents prêts à être déployés, ce qui leur permet de protéger vos données en cas d’accident majeur.
Sur un plan d’hébergement partagé, vous partagez les ressources du serveur avec de nombreux autres clients. Cela ouvre le risque de contamination entre sites où un pirate peut utiliser un site voisin pour attaquer votre site Web.
Vérifiez donc qu’ils ont les bonnes bases : le support SSL, la sauvegarde et restaurations, pare-feu etc et assurez-vous qu’il est fiable, digne de confiance et que leur service client est réactif. Consultez les avis clients !
L’utilisation d’un service d’hébergement WordPress fournit une plate-forme plus sécurisée pour votre site Web. Les sociétés d’hébergement WordPress proposent des sauvegardes automatiques, des mises à jour automatiques de WordPress et des configurations de sécurité plus avancées pour protéger votre site Web.
Nous recommandons WPx comme fournisseur d’hébergement WordPress spécialisé. (Voir notre coupon spécial WPX).
8. Installer un plugin de sauvegarde WordPress
La sauvegarde régulière de votre site Internet est essentielle. Vous ne savez jamais ce qui pourrait arriver et il vaut toujours mieux avoir une sauvegarde de votre site, juste au cas où.
Nous vous suggérons d’avoir une sauvegarde sur votre serveur et de faire des sauvegardes automatiques sur un autre espace de stockage, au cas où quelque chose arriverait à votre serveur.
Les sauvegardes sont votre première défense contre toute attaque WordPress. N’oubliez pas que rien n’est sûr à 100 %. Si les sites Web du gouvernement peuvent être piratés, le vôtre aussi.
Les sauvegardes vous permettent de restaurer rapidement votre site WordPress au cas où quelque chose de grave se produirait.
Il existe de nombreux plugins de sauvegarde WordPress gratuits et payants que vous pouvez utiliser. La chose la plus importante que vous devez savoir en matière de sauvegardes est que vous devez régulièrement enregistrer des sauvegardes complètes du site sur un emplacement distant (pas sur votre compte d’hébergement).
Nous vous recommandons de le stocker sur un service cloud comme, Dropbox, Drive ou des clouds privés comme Stash.
Heureusement, c’est facile à faire en utilisant des plugins comme UpdraftPlus. Ils sont à la fois fiables et surtout faciles à utiliser (aucun codage nécessaire).
9. Meilleurs plugins de sécurité WordPress
Après les sauvegardes, la prochaine chose que nous devons faire est de configurer un système d’audit et de surveillance qui garde une trace de tout ce qui se passe sur votre site Web.
Cela inclut la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, l’analyse des logiciels malveillants, etc. Voici selon nous les meilleurs plugins de sécurité que vous pouvez utiliser pour protéger votre site WordPress. Tous sont fortement recommandés et sont utilisés par des milliers d’entreprises.
10. Déplacez votre site WordPress vers SSL/HTTPS
SSL (Secure Sockets Layer) est un protocole qui crypte le transfert de données entre votre site Internet et le navigateur des utilisateurs. Ce cryptage rend plus difficile pour quelqu’un de flairer et de voler des informations.
Comment fonctionne SSL ? Une fois que vous avez activé le certificat SSL, votre site Web utilisera HTTPS au lieu de HTTP, vous verrez également un signe de cadenas à côté de l’adresse de votre site Web dans le navigateur.
Une organisation à but non lucratif appelée Let’s Encrypt a décidé d’offrir des certificats SSL gratuits aux propriétaires de sites Web.
Désormais, il est plus facile que jamais de commencer à utiliser SSL pour tous vos sites WordPress. De nombreuses sociétés d’hébergement proposent à présent un certificat SSL gratuit pour sécuriser votre site WordPress.
11. Ajouter une authentification à deux facteurs
La technique d’authentification à deux facteurs nécessite que les utilisateurs se connectent à l’aide d’une méthode d’authentification en deux étapes. Le premier est le nom d’utilisateur et le mot de passe, et la deuxième étape vous oblige à vous authentifier à l’aide d’un appareil ou d’une application distincts. En général, il s’agit d’un code reçu par message.
Trois manières de faire :
- Activez l’option via votre hébergement si existant
- Activez l’option dans l’extension Wordfence Security
- Ajouter, installer et activer le plug-in d’authentification à deux facteurs “Google Authenticator”
12. Analyse de WordPress à la recherche de virus et de logiciels malveillants
Si vous avez installé un plugin de sécurité WordPress, ces plugins vérifieront régulièrement les virus, logiciels malveillants et les signes de failles de sécurité.
Cependant, si vous constatez une baisse soudaine du trafic sur le site Web ou des classements de recherche, vous souhaiterez peut-être exécuter manuellement une analyse. Vous pouvez utiliser votre plugin de sécurité WordPress ou utiliser l’un de ces scanners de logiciels malveillants et de sécurité :
- https://sitecheck.sucuri.net/
- https://www.isitwp.com/wordpress-website-security-scanner/
- https://transparencyreport.google.com/safe-browsing/search
Il vous suffit d’entrer les URL de votre site Web et leurs robots d’exploration parcourent votre site Internet pour rechercher des virus.
Gardez maintenant à l’esprit que la plupart des scanners de sécurité WordPress peuvent simplement analyser votre site Web. Ils ne peuvent pas supprimer le malware ou nettoyer un site WordPress piraté.
13. Réparer un site WordPress piraté
De nombreux utilisateurs de WordPress ne réalisent pas l’importance des sauvegardes et de la sécurité du site Web tant que leur site Web n’est pas piraté.
Réparer un site WordPress peut être très difficile et prendre beaucoup de temps. Notre premier conseil serait de laisser un professionnel s’en occuper.
Laisser faire une société de sécurité professionnelle comme Sucuri pour réparer votre site Web garantira que votre site pourra à nouveau être utilisé en toute sécurité. Il vous protégera également contre toute attaque future.
Bravo pour votre site WordPress sécurisé !
Bien que cela puisse sembler une perte de temps de passer par toutes ces mesures pour assurer la sécurité de votre site Web, nous préférerions de loin que vous soyez surprotégé plutôt que sous-protégé.
Vous ne savez jamais ce qui arrivera à votre site Web, cela vaut donc la peine de faire un effort supplémentaire pour protéger votre entreprise !
Et rappelez-vous que la sécurité de votre site est importante pour plaire à Google et ne pas freiner votre référencement naturel.
C’est tout, nous espérons que cet article vous a aidé à apprendre les meilleures pratiques de sécurité WordPress ainsi qu’à découvrir les meilleurs plugins de sécurité WordPress pour votre site Internet.
Vous pouvez également consulter notre guide WordPress SEO pour améliorer votre classement SEO et nos conseils sur la façon d’accélérer WordPress.
