Sécuriser un site internet et dans notre cas un site WordPress est une priorité pour les responsables web. Le piratage d’un site internet est un problème qui n’arrive pas uniquement aux autres et qu’il faut prendre au sérieux. Surtout lorsque votre stratégie digitale vous permet de générer un chiffre d’affaires conséquent. Reprendre les informations d’un site internet hacké est déjà très compliqué et coûteux. Mais rajoutez à cela le manque à gagner et vous comprendrez l’intérêt de sécuriser votre site wordpress. Le problème réside dans la difficulté à appliquer les règles de sécurité, souvent techniques à mettre en place. Vous souhaitez comprendre d’où viennent les risques de hacking et comment les prévenir ? Suivez le guide pas à pas dans l’installation et le paramétrage des actions les plus efficaces. Vous trouverez aussi une multitude de conseils. Modules de sécurité, périmètres fonctionnels et paramétrages de ces derniers. Simple et efficace, découvrez comment sécuriser votre site WordPress.
« Pourquoi faut-il sécuriser votre site WordPress ? La réponse en image sur ce lien ! »
Sécuriser un site WordPress n’exclut pas le risque
Commençons notre article par une vérité trop souvent incomprise. Sur internet, le risque zéro n’existe pas ! Même après avoir mis en place l’ensemble de nos recommandations. Vous n’empêcherez pas un hacker confirmé d’accéder à votre site web. En revanche, vous pouvez diminuer drastiquement les risques. Pour cela, assurez une protection maximale contre la majeure partie des attaques connues. En matière de sécurité, WordPress est un avantage et un inconvénient. En tant que CMS leader sur le marché qui représente plus d’un tiers des sites au monde, il suscite les convoitises. C’est donc logiquement qu’il comptabilise le plus grand nombre d’attaques. Néanmoins, WordPress est aussi un CMS doté d’une communauté importante et en constante évolution. Elle travaille en continu à l’amélioration du système. Il est donc nécessaire de suivre les règles pour vous prémunir des risques et sécuriser votre site WordPress.
Comprendre les attaques avant de sécuriser votre site WordPress
Vous êtes prêt à suivre le guide complet de la sécurisation de votre site WordPress étape par étape ? Alors commençons par comprendre les grandes typologies d’attaques. Cela vous permettra avant tout de définir les priorités de sécurité et risque bien de casser quelques idées préconçues. Petit tour d’horizon des grandes tendances en matière de piratage de site web.
- Hébergement 41%
- Mise à jour WordPress 51%
- Login WordPress 8%
Un hébergement sécurisé pour une défense globale
La majeure partie des piratages liés au site internet provient de l’hébergement. Il faut donc prendre en compte ce dernier pour sécuriser au mieux votre site. Les failles de sécurité des plateformes d’hébergement représentent 41% des sites WordPress piratés. Pour optimiser votre protection, il est donc temps d’oublier les serveurs ultra-mutualisés à 50€ l’année. Comme pour tous les produits, l’hébergement est soumis au rapport qualité/prix. Des coûts bas, signifient une qualité moindre. Commencez par mettre en place une vraie stratégie d’hébergement. Elle devra répondre dans un premier temps à un besoin de sécurité. Puis, cela vous permettra d’optimiser les performances de votre site web grâce à des meilleurs temps de réponse serveur. Si vous optez pour un système d’hébergement mutualisé, assurez-vous que l’hébergeur propose un système d’isolation des comptes afin d’éviter les attaques en séries.
La principale contrainte liée à la mise en place d’un hébergement sécurisé sera liée au coût que cela implique. Comptez au minimum un budget de 20€ par mois pour un hébergement de qualité.
Pour sécuriser votre site WordPress, optez pour un hébergement spécialisé. La Pousse Digitale vous recommande Wp Serveur !
Effectuer les mises à jour de WordPress, de vos thèmes et des plugins
La mise à jour de votre système est capitale dans la lutte contre le hacking. Sachez que cela représente 51% des sites WordPress hackés. C’est une démarche logique. Les mises à jour des systèmes ont pour objectif de corriger des défauts mais aussi des failles de sécurité. Si vous ne les faîtes pas régulièrement, vous laissez dans votre système des failles de sécurité connues de tous. Pourtant, celles-ci ont été résolues.
Après l’hébergement, les attaques se dirigent sur le site lui-même. Il convient donc de comprendre aussi pourquoi et comment se prémunir sur votre site web de ces assauts ?
Mettre à jour le cœur de WordPress
WordPress est un CMS très actif qui réalise des mises à jour régulières. La plupart d’entre-elles ont pour vocation de corriger des petits bugs constatés à l’utilisation par la communauté. Il y a aussi des MAJ plus importantes (deux par an) qui auront pour objectif de régler toutes les failles de sécurité repérées. C’est pourquoi il est nécessaire de mettre en place les dernières versions de votre CMS une fois celles-ci accessibles.
Mettre à jour vos thèmes et plugins
Comme pour votre CMS, vos plugins et thèmes WordPress sont des portes d’entrées pour les agresseurs. Et comme pour votre CMS, il existe des mises à jour régulières. Il vous faudra donc les effectuer dès que possible.
Concernant vos plugins, nous conseillons de suivre ces recommandations :
- Installer uniquement les plugins dont vous avez besoin. Inutile de garder des modules sur votre back office si vous n’en avez pas l’utilité. Il faut donc faire régulièrement le tri et supprimer tous ceux qui ne sont pas actifs et dont vous n’avez plus l’utilité. Cela vous permet d’optimiser le temps de chargement de vos pages et diminue le poids global de votre site.
- Télécharger et activer uniquement des plugins qui sont régulièrement mis à jour. Lors du téléchargement d’un module, vous pourrez voir la date de dernière mise à jour. Attention donc à toujours avoir une équipe opérationnelle derrière le développement d’un plugin.
- Informez-vous sur la qualité des plugins que vous téléchargez. Ne vous lancez pas tête baissée dans le téléchargement d’une extension. Si vous ne la connaissez pas, prenez du temps pour vous renseigner sur sa qualité. Vérifiez les avis clients et le nombre de téléchargement. Vous trouverez toutes ces informations sur WordPress.org. Vous pouvez aussi chercher sur internet le site officiel du plugin ainsi que celui des créateurs pour en savoir plus.
Comme pour les modules, il existe une multitude de thèmes WordPress. Prenez le temps de comparer les thèmes avant d’en choisir un. Qu’il soit gratuit, freemium ou payant, l’important est d’avoir un thème bien codé. Vérifiez s’il y a une équipe en support pour pouvoir réaliser des mises à jour. Vous pouvez vérifier la cohérence technique d’un thème avec le plugin «Theme-Check» (qui vous obligera à installer votre thème avant de l’analyser). Dans tout les cas, faîtes très attention aux sources de téléchargement. Nous vous conseillons de récupérer vos thèmes (gratuits ou payants) directement auprès des développeurs. Sinon, sur des sites fiables et reconnus tels que WordPress.org et Themeforest. Cela vous évitera de télécharger et d’installer des thèmes contaminés par des malwares.
Vous pouvez réaliser les mises à jour en automatique mais nous vous le déconseillons. Réaliser vos MAJ en direct permet de voir les évolutions et d’éviter les bugs liés à ces mises à jour.
Le login de votre site internet
Et voilà les 8% des attaques restantes. Sécuriser votre site WordPress passe nécessairement par sécuriser vos accès. Vous devez dans un premier temps changer votre url de connexion. Par défaut, l’url votresite/wp-admin est connue de tous les hackers. Il est donc impératif de la modifier. Exemple de ce que vous pouvez faire : votresite/jemeconnecteamonsite. Ensuite, créer des identifiants et mot de passe de qualité afin de bloquer l’accès à votre WordPress. Vous retrouverez dans le tutoriel ci-dessous des informations plus détaillées.
Comment sécuriser votre site WordPress – Tutoriel
Voilà pour les conseils et les chiffres sur les éléments de sécurité. Vous avez une vision globale sur les axes importants pour sécuriser votre site WordPress. Voici maintenant un tutoriel simple à suivre étape par étape pour mettre en place un travail de fond.
Choisir le bon hébergement WordPress
Commencez par vous poser la question de votre hébergement. C’est la partie la plus complexe, qui demandera souvent l’intervention d’un prestataire extérieur. Nous vous conseillons de faire des tests de performance. Cela vous permettra de connaitre le temps de chargement de vos pages. Grâce à des outils comme Dareboost ou Pingdom tools vous saurez si votre stratégie d’hébergement est optimale. Pour un site WordPress, WP Serveur et WP Engine seront les solutions avec le meilleur rapport sécurité/performance/prix. WP Serveur ayant le petit plus d’être une solution française, puisque le projet a été créé par Fabrice Ducarme du blog WP Formation (cocorico !!!).
Changer vos identifiants WordPress
Par défaut, WordPress créée un identifiant « Admin ». Afin de sécuriser votre site, nous ne pouvons que trop vous conseiller de faire les modifications de vos identifiants et de créer un mot de passe sécurisé. Pour être vraiment efficace, un mot de passe doit faire plus de 8 caractères. Composez-le de lettres, de chiffres et de caractères spéciaux, le tout sans suite logique. Voici la démarche pour changer vos identifiants :
- Allez sur l’onglet « utilisateur »
- Ajoutez un nouvel utilisateur avec la fonction « administateur ». Choisissez un identifiant sécurisé et un mot de passe imprenable
- Déconnectez-vous du site
- Reconnectez-vous avec les nouveaux codes d’accès
- Retournez sur l’espace « Tous les utilisateurs »
- Supprimez le compte par défaut
Les plugins de sécurité WordPress
Pour vous aider, nous vous proposons quelques plugins WordPress pour sécuriser votre site. Retrouvez aussi une démonstration pour les paramétrer. Voici les conseils pragmatiques pour installer les plugins WordPress de sécurité.
Réaliser des sauvegardes de votre site
C’est la base de la base de la sécurité sur internet. Si vous souhaitez garder vos données alors effectuez des sauvegardes régulières de votre site web. En cas d’attaques, vous pourrez toujours récupérer les données enregistrées à une date exacte. Pour mettre en place ces sauvegardes, nous vous conseillons d’installer le plugin WordPress Back WP up. Ce module va créer des sauvegardes spécifiques. Vous pouvez suivre les détails de paramétrage suivant pour un premier niveau. Pour plus de détails nous vous conseillons le visiter le site de Grégoire Noyelle :
Changer de votre url de connexion
Lorsque vous installez WordPress, la page de connexion se positionne sur votresite/wp-admin. Cette information est connue de tous les développeurs et de tous les hackers, qui de fait testeront cette entrée. Mais comment modifier l’url de votre page de connexion ? Pour vous aider à faire ce travail, nous vous conseillons d’installer le plugin développé par WP Serveur, WPS Hide Login. Très simple d’utilisation, il vous suffit de renseigner votre nouvelle url de connexion dans le module. Allez, on vous montre afin d’être complet mais normalement, pas besoin de suivre le modèle ci-dessous.
Limiter le nombre de tentatives de connexion
C’est aussi une pratique importante pour limiter les risques d’accès à votre site. Avec le plugin Limit Login Attempts, vous aurez la possibilité de définir un nombre de tentative pour se connecter. Si vous dépassez, la connexion à votre site WordPress sera coupée pendant un temps défini. Il limitera ainsi le nombre d’essais d’identifications. Cela vous protégera des attaques « force-brute » réalisées par des robots depuis une même adresse IP.
SecuPress, le plugin de sécurité WordPress pour votre site
Après la création des plugins WordPress WP Rocket et Imagify, l’équipe de WP Media a développé l’un des meilleurs modules de sécurité : SecuPress. L’extension vous propose un scanner complet de votre sécurité. Vous aurez ainsi une note de A à G. Le module vous proposera ensuite de parfaire la sécurité de votre site grâce à des actions correctives. Un tout en un parfait pour optimiser votre site. SecuPress est un plugin Freemium, qui dans sa version gratuite propose déjà de très bon levier. Vous pourrez aller plus loin en version payante afin de limiter les risques et de parfaire la sécurité de votre site web. Il reste complémentaire aux différentes actions proposées dans cet article. Nous vous proposerons un test complet de SecuPress dans les semaines à venir. Vous pourrez avoir un aperçu complet pour paramétrer le plugin tout seul et en obtenir le meilleur. Pour l’instant, laissez-vous guider. Lancez un premier scan et le module fera le reste en vous donnant tous les éléments à sécuriser. Il vous demandera ensuite si vous souhaitez mettre en pratique ses recommandations.
Faites les mises à jour de votre WordPress
Tous vos plugins WordPress de sécurité sont installés et paramétrés. Vous devez maintenant effectuer un suivi de votre site internet en mettant à jour votre système WordPress ainsi que les thèmes et modules. Pour cela, il vous suffit de suivre la méthodologie que nous vous présentons ici. C’est simple et rapide. Attention toutefois, si vous avez des modules ou des thèmes payants, assurez-vous d’avoir des licences à jour. Vous risqueriez de perdre la possibilité de faire les MAJ.
Faire de la veille sécuritaire sur WordPress
Dernier axe de travail pour les plus attentifs à la sécurité, vous pouvez effectuer de la veille sécuritaire. Vous aurez ainsi l’occasion de connaitre les dernières failles. Mais aussi les solutions pour contrer les attaques potentielles. Pour cela, rendez-vous sur le site de Vigilance. Il répertorie toutes les dernières menaces recensées et donne les correctifs à apporter. Vous y retrouverez naturellement les actions liées à WordPress. Si cette question est primordiale pour vous, vous avez aussi la possibilité de créer des alertes sur Google Alertes. Vous recevrez des notifications en temps réels des nouveautés vous permettant de sécuriser votre site WordPress.