Vous êtes un gérant de PME et souhaitez créer un site WordPress pour votre entreprise ? Excellente idée ! Cette plateforme en ligne vous permet d’élaborer un large panel de contenus pour vos clients : articles de blogs, pages services, news, fiches produits.
Attention, toutefois, à bien sécuriser votre site WordPress. Des personnes malveillantes pourraient, en effet, tenter de le pirater, de le corrompre et d’accéder à vos données ! Cette situation pourrait, dès lors, avoir une incidence néfaste pour vous, mais aussi pour vos clients. De plus, cela influe négativement l’ensemble du travail SEO fourni. Évitez de donner une image négative de votre marque et protégez vos données sensibles.
Découvrons ensemble 10 astuces pour sécuriser un site WordPress.
Au programme de cet article :
1 : Utiliser des extensions et thèmes officiels
Lors de la création de votre site web WordPress, vous avez probablement choisi un thème voire même quelques extensions (plug-in) plutôt pratiques. Pour autant, rappelez-vous : même si le fait d’installer une version craquée d’une extension peut être tentant pour obtenir un outil bien utile gratuitement, c’est une faille de sécurité importante.
Les versions crackées d’une extension n’ont aucune attestation de sécurité pour WordPress. Ce qui signifie qu’il n’y a aucune garantie sur le code qui compose cette extension. Vous risquez ainsi d’installer des virus sur votre ordinateur et sur votre interface. Pire, le hacker peut même installer une backdoor sur votre site !
Imaginez :
Vous laissez la porte arrière de votre maison ouverte. Les cambrioleurs ont bien plus facile d’entrer et de prendre tout ce qu’ils veulent sans qu’on ne les remarque… Les backdoor de hackers fonctionnent de la même manière. En installant celles-ci, ils ont librement accès à votre site, à vos informations et à vos fichiers.
Pour la sécurité de votre site, pensez donc à utiliser des extensions et des thèmes officiels !
2 : Installer un plug-in de sécurité
Vous connaissez les antivirus ? Ces fameux programmes qui assurent la sécurité en ligne de votre PC. WordPress possède également ses propres “antivirus” : on les appelle les plug-ins de sécurité.
Ces extensions de sécurité ne font pas que protéger vos fichiers présents sur votre site. Ils gèrent aussi toute la protection de votre WordPress, prévenant ainsi tous risques. Facilement configurables, les fonctions communes à la plupart des plug-ins de sécurité sont :
- Vérifier le trafic de votre site et s’assurer que rien de malveillant ne s’y passe.
- Analyser vos fichiers, repérant ainsi tout malware et backdoor possiblement présent.
- Réparer vos fichiers endommagés lors d’une attaque d’hacker.
- Vous fournir une analyse de votre site et de ses failles de sécurité.
Les extensions de sécurité agissent donc comme de véritables gardes pour protéger votre site de tous les dangers.
Nous pouvons, par exemple, citer : iThemes Security, Wordfence Security et Sucuri Security.
3 : Vérifiez les mises à jour
Ne reportez jamais au lendemain une mise à jour. Les updates vous assurent d’avoir toujours la dernière version disponible de WordPress.
Chaque jour, de nouvelles failles de sécurité sont découvertes par des hackers. Les mises à jour visent à apporter de nouvelles fonctionnalités à votre site… mais elles réparent également ces fameuses failles ! Ne pas faire de mise à jour régulière de WordPress, c’est offrir aux hackers l’occasion d’utiliser ces brèches connues à des fins malveillantes.
Et cela vaut aussi pour tous vos plug-ins, surtout ceux de sécurité. Si vous ne les mettez pas à jour, vous risquez d’avoir des extensions obsolètes, incapables de reconnaître quand votre site et vos données sont en danger.
4 : Cachez votre version de WordPress.
Un moyen efficace d’empêcher les pirates du net d’exploiter les failles de sécurité des sites WordPress est de cacher quelle version vous utilisez.
Pour vous donner un exemple tangible : des cambrioleurs prévoient d’entrer par effraction chez vous. S’ils connaissent quel système de sécurité vous utilisez, ils pourront alors en exploiter ses faiblesses. Pour WordPress c’est pareil ! Chacune des versions a des failles de sécurité plus ou moins connues. S’ils ne savent pas quelle mouture est utilisée sur votre site, ils ne peuvent pas connaître les failles à exploiter. C’est un petit détail qui peut totalement changer la protection de votre interface.
5 : Un mot de passe fort est important !
Pourquoi est-il important d’avoir un bon mot de passe ?
Cette astuce est valable pour l’ensemble de vos sites, peu importe leur nature. La force de votre mot de passe est la première sécurité pour protéger vos données. Un mot de passe trop simple à deviner et c’est l’assurance que n’importe qui peut avoir accès à votre site. Évitez ainsi tout mot de passe de type :
123456
azerty
motdepasse
111111
… etc.
Ces mots de passe sont bien trop évidents et seront les premiers testés par les hackers. De même, fuyez tout mot de passe basé sur des membres de votre famille, vos animaux. Ce type de données est facilement accessible : n’oubliez pas que vous laissez énormément de traces sur le web… Parfois, regarder votre compte leur suffira pour les récupérer.
Qu’est-ce qui fait un bon mot de passe? Comment garantir la sécurité de mon site WordPress ?
Le mot de passe ultime n’existe pas. Mais il en existe des assez puissants qu’il faudrait des siècles à un ordinateur pour le trouver. Ils se basent sur des combinaisons aux caractéristiques suivantes :
Plus de treize caractères : plus votre mot de passe est long, plus il est difficile à percer pour les logiciels utilisés par les pirates du net.
Mélange de chiffres, de lettres et de caractères spéciaux : ce « codage » de votre mot de passe rend la vie des hackers infernale.
Un mot de passe par site : n’utilisez pas le même mot de passe-partout. Il suffirait alors de trouver un seul mot de passe pour avoir accès à tous vos comptes et à votre site WordPress. Ce serait comme utiliser la même clé pour toutes les portes de votre maison.
En cas de doute, n’hésitez pas à consulter les astuces de SafeOnWeb pour vos mots de passe.
6 : N’utilisez pas le compte admin de base.
Lors de la création de votre site, il est plus que probable que WordPress ait créé un compte appelé ADMIN. Ce compte par défaut est un moyen extrêmement simple pour les hackers de connaître vos infos de connexion si vous les conservez. Pour vous simplifier la vie, n’hésitez pas à supprimer ce compte admin de base et à en utiliser un autre que vous aurez créé pour gérer l’administration de votre site !
Pour ce faire:
- Créez votre nouveau compte administrateur WordPress.
- Changez l’auteur de vos articles et pages avec le nom du nouvel administrateur.
- Supprimez le compte ADMIN.
Et voilà. Votre site est encore un peu plus sécurisé.
7 : Changez votre adresse de connexion !
Le saviez-vous ? De base, tous les sites WordPress ont la même adresse de connexion.
Elle contient le nom de votre site suivi de/wp-admin/. C’est un moyen simple d’avoir accès à l’interface de connexion admin.
Si vous avez suivi l’astuce précédente, les pirates devront lutter contre le fait que « Admin » ne sera pas votre nom d’utilisateur. Mais pourquoi s’arrêter à cette seule protection ? Camouflez également la manière d’accéder à la page de connexion de votre site WordPress. Pour reprendre l’exemple des cambrioleurs : non seulement les voleurs n’auront pas la bonne clé pour ouvrir la porte de votre maison, mais ils ne pourront tout simplement pas la trouver !
En utilisant un plug-in comme WPS HIDE LOGIN, vous pourrez facilement changer le nom de votre adresse de connexion. Attention, toutefois : comme pour les mots de passe, les pirates du net possèdent des logiciels pour trouver vos pages de connexion. Ne leur facilitez pas la tâche !
8 : Protégez votre mot de passe des attaques de brute force.
Mais pourquoi prendre le risque de laisser cette attaque réussir malgré tout ?
Ce n’est pas parce que vous avez la meilleure des serrures du monde que vous allez laisser les cambrioleurs essayer de rentrer, pas vrai ? En utilisant des plug-ins comme Log-in lockdown, vous pouvez faire en sorte que le nombre de tentatives de connexion d’affilée soit limité par adresse IP. Ainsi, vous pouvez mettre une période d’attente avant les prochaines tentatives de connexion sur votre site WordPress. Ce qui, par conséquent, rendra les attaques de type brute force encore plus difficiles. Non seulement les voleurs de données doivent percer un mot de passe extrêmement compliqué, mais ils n’ont, en plus, que 3 chances toutes les heures.
9 : Activez l’identification à deux facteurs.
Le miracle pour les hackers est arrivé : ils ont tout de même trouvé le moyen d’accéder à l’adresse de votre page de connexion, à votre nom de compte administrateur et à votre mot de passe. Cela ne veut pas dire que la partie est perdue d’avance. Il existe encore une sécurité possible à installer sur votre site WordPress : l’identification à deux facteurs. Dernier rempart, ce système de sécurité fonctionne en vous envoyant un mot de passe sur votre téléphone que vous devrez encoder sur le site pour vous connecter.
Pour revenir à l’exemple des cambrioleurs : ils ont réussi à trouver la porte et à crocheter une serrure. Pas de chance pour eux : vous avez installé une deuxième serrure qui ne peut s’ouvrir qu’avec la clé que vous avez toujours sur vous.
Autrement dit, impossible pour les cambrioleurs de rentrer malgré tous leurs efforts… Plusieurs plug-ins sont disponibles pour sécuriser votre site WordPress avec l’identification à deux facteurs, notamment Two-Factor Authentificator.
10 : Sauvegarder régulièrement votre site
Malgré tous nos conseils, il faut savoir que sécuriser votre site WordPress n’est jamais infaillible.
Bien des grandes marques qui investissent des dizaines de milliers d’euros dans leur sécurité ont quand même été piratées malgré tout. Il existe toutefois un moyen de “sauver” votre site.
Sauvegardez régulièrement, environ une fois par semaine, votre site web et assurez-vous de garder ces copies en externe. En cas d’attaque, vous pourrez toujours remettre en ligne une version du site web datant d’avant l’assaut. Et donc, à réparer la vulnérabilité qui a été exploitée par l’attaque.
Pour reprendre l’exemple que nous avons utilisé à maintes reprises dans cet article : c’est comme si les cambrioleurs avaient réussi à rentrer et qu’ils avaient réalisé un graffiti sur votre mur. Par chance, vous aviez déjà prévu que cela pouvait arriver et vous avez donc de quoi remplacer tout de suite le papier peint endommagé. Cerise sur le gâteau : vous savez désormais comment les cambrioleurs s’y sont pris.
Pour la sauvegarde de votre site WordPress, des plug-ins comme BackWPup existent. Ceux-ci enregistrent votre site sur un serveur dédié ou vous l’envoie par mail. De quoi dormir tranquille !
En conclusion :
Protéger et sécuriser votre site WordPress sont extrêmement importantes. Vos données, ainsi que celles de vos clients sont en jeu. Pire ! Si vous disposez d’un système de vente, vos informations bancaires et celles de vos utilisateurs peuvent être en danger. De plus, un site corrompu nuira à votre référencement naturel. Pour autant , n’oubliez pas que l’optimisation de celui-ci ne passe pas uniquement par l’aspect “sécurité”. L’expérience utilisateur et le SEO sont tout aussi importants.
Chez Clef2Web, nous proposons des services en SEO et référencement naturel. De plus , nous travaillons en collaboration avec des développeurs expérimentés qui privilégient la sécurité des sites sur lesquels ils travaillent.
Pour autant, le risque zéro n’existe pas. Soyez donc toujours vigilant sur le web !