Comment sécuriser son site WordPress ? Nos 9 conseils (HTTPS, plugin de sécurité…)

WordPress est un outil open source extraordinaire pour accélérer le développement. Pour la création d’un site internet à la fois puissant, économique et évolutif. Pour preuve, 40 % des sites mondiaux sont en WP ! Dans le secteur des CMS, WordPress règne sans partage avec des parts de marché de 64 %. Ce succès a néanmoins sa rançon : vu son énorme popularité, WP est une cible de choix pour les hackers.

Sécuriser son site WordPress est essentiel. Peu importe il s’agit d’un site vitrine ou d’une solution e-commerce complète. WP et ses plugins les plus populaires sont sûrs. Cependant, il faut également prendre de bonnes habitudes du point de vue du propriétaire pour assurer la sécurisation de son site WP. Welko, votre agence web d’Angers, vous propose ce guide pour vous aider à sécuriser votre site WordPress rapidement et simplement.

Les risques de sécurité d’un WordPress

De nombreux ennuis peuvent découler d’un WordPress compromis.

• Envois d’emails
• Vol de vos données
• Création de liens douteux qui nuisent au SEO
• Demande de rançon
• Envois de virus vers les utilisateurs de votre site
• Minage de crypto monnaies à votre insu…

La liste ne cesse de s’allonger. En cas d’intrusion, la rectification du problème peut être une tâche compliquée. Pour un site de cabinet d’avocats, un piratage peut être dramatique. D’où l’importance de prévenir au lieu de guérir. Voici quelques mesures simples qui permettent de faire chuter le risque de piratage d’un WP.

Est-ce que WordPress est sécurisé ?

Chaque jour, de nombreux sites WordPress https ou non sont hackés. Si tout le monde adoptait les conseils ci-dessous, cela n’arriverait plus ! Ces piratages sont virtuellement tous causés de mauvaises pratiques des utilisateurs. Voici comment ne pas être la prochaine victime et se dire « pourquoi mon site WordPress n’est pas sécurisé » ?

Comment sécuriser son site WordPress en 9 conseils

La sécurisation de son site WordPress passe par des mesures simples, mais fortes, en ce qui concerne :

• Les logins
• Les mises à jour
• L’adoption du SSL (https)
• L’utilisation de plugins spécifiques qui permettent d’ajouter une couche de sécurité supplémentaire en toute facilité

Conseil 1 : maintenir à jour votre site WordPress et vos plugins

Le premier réflexe à adopter pour sécuriser son site WordPress consiste à tenir à jour le CMS, ainsi que les plugins. Les MAJ peuvent proposer de simples améliorations en termes de fonctionnalités ou d’utilisation des ressources serveur. Mais elles peuvent aussi fermer des failles de sécurité identifiées. C’est pourquoi il est essentiel d’installer fréquemment les mises à jour WordPress. Ainsi que celles de vos plugins. Vous pouvez facilement le faire en allant dans l’onglet Mises à jour de votre tableau de bord WordPress et en cliquant sur Mettre à jour maintenant à côté du numéro de version.

• Webflow vs WordPress : comparaison sécurité

Conseil 2 : bien choisir son hébergeur

La qualité de l’hébergeur permet d’offrir une première ligne de défense pour votre CMS WordPress. Surveillance du trafic, firewall, scan de vos répertoire… Votre host est en mesure de vous éviter des ennuis s’il a adopté de solides mesures de sécurité. Bien entendu, cela ne signifie pas que vous ne devez pas prendre vos propres précautions. Mais cette couche de sécurité additionnelle ne peut être que bénéfique.

Conseil 3 : utiliser des thèmes et plugins WP de référence

Certains thèmes et plugins ont des années de vécu derrière eux. Cela signifie que les développeurs suivent leur produit, l’améliorent, ferment d’éventuelles failles de sécurité identifiées. Il est parfois tentant d’installer un plug-in récent qui comble un besoin de niche, mais c’est risqué. Le plugin est-il sûr ? Le développeur va-t-il continuer d’améliorer son produit ? C’est impossible à dire. C’est pourquoi il est préférable de jeter son dévolu sur des add-on qui ont un certain vécu. Qui sont régulièrement mis à jour.

Conseil 4 : installer un plug-in de sécurité

Vu l’importance du problème du piratage des sites WordPress, durant ces dernières années des plug-ins de sécurité ont fait leur apparition. Scan antivirus, protection contre le DdoS, nettoyage de malwares, alerte en cas de modification des fichiers, protection contre les injections SQL, les attaques XSS et autres menaces… L’installation d’un add on de sécurisation de site WordPress est aujourd’hui un must. Certains sont gratuits, d’autres payants. Parmi les plus populaires, il y a :

• Wordfence
• All In One WP Security
• Sucuri
• Etc.

Conseil 5 : utiliser des mots de passe forts uniques et l’authentification à deux facteurs

Aujourd’hui encore, on trouve des logins qui utilise des mots de passe enfantins comme admin123. Cela n’a pas beaucoup de sens, vu que l’on peut facilement enregistrer dans son navigateur un mot de passe fort. Il est également indispensable d’utiliser un mot de passe différent pour chaque site. Pour gérer vos mots de passe, vous pouvez utiliser une application telle que KeePass, qui permet d’enregistrer ses passwords de façon sécurisée. Une telle app permet même de générer automatiquement des mots de passe forts (bien que, dans le cas de WordPress, le CMS dispose d’une telle fonctionnalité).

Combinez cela avec l’authentification à deux facteurs (2FA) pour une connexion sécurisée WordPress. Cette technique ralentit la connexion à votre site web, c’est sûr. Si cela vous ennuie, imaginez à quel point cela complique la vie d’un pirate !

Conseil 6 : changer l’URL de login

Par défaut, l’adresse de login du site est « votre site + /wp-admin ». Cela permet aux hackers d’automatiser leurs tentatives de piratage. En modifiant l’adresse de la page d’identification, vous éliminez donc une grande partie des menaces qui planent sur votre CMS.

Conseil 7 : limiter les tentatives de connexion

Dans les exploits de type brute force, un programme tente de s’introduire dans votre WordPress en utilisant des login/mot de passe aléatoire. En limitant le nombre de tentatives, vous pourrez bloquer ce genre de menaces. Recourir à la double authentification serveur/WP permet également de compliquer grandement la tâche des hackers.

Conseil 8 : sécurisez votre site WordPress avec https

Un certificat SSL exige un certain investissement. Mais passer en HTTPS permet de sécuriser les données qui transitent entre votre serveur et les utilisateurs en les chiffrant. Autrefois, le SSL n’était recommandé que pour les sites de type e-commerce. Mais aujourd’hui, c’est devenu une obligation pour tout le monde. Pourquoi ? Afin de mieux sécuriser le web, Google prend désormais en compte la présence ou non du SSL lorsqu’il établit ses classements. Autrement dit, les sites qui ne sont pas en HTTPS sont pénalisés d’un point de vue SEO.

De plus, cette sécurisation de WordPress renforce en général la crédibilité de votre site, dont l’identité est vérifiée grâce à la délivrance du certificat SSL. Comment sécuriser son site WordPress avec https ? Il faut acheter le certificat, l’installer auprès de votre hébergeur et configurer WP pour le https.

Conseil 9 : sauvegardez régulièrement votre site internet

Même en prenant toutes ces précautions de sécurité, on n’est jamais à l’abri d’un accident. Il est toujours préférable d’avoir des sauvegardes régulières de son site stockées dans un lieu sûr. Il faut bien entendu avoir une copie des fichiers, mais aussi de la base de données correspondantes. Votre hébergeur prévoit peut-être ces mesures automatiquement. Vous pouvez les planifier via votre panneau. Mais si les sauvegardes sont enregistrées sur un serveur de votre hébergeur, n’hésitez pas à télécharger des copies.

Comment reconnaître un site non sécurisé WordPress ?

Si de nombreuses astuces citées ci-dessus ne sont pas suivies, il est fort probable que le site WP ne soit pas bien sécurisé. Cependant, pour faire un état des lieux précis il convient de procéder à un audit de sécurité de votre site Internet. Si vous souhaitez procéder à cette analyse, contactez-nous pour votre devis gratuit audit de sécurité site WordPress.

Vous pouvez également générer une analyse en ligne de sécurité gratuite de votre site WP. Des outils permettent d’examiner tout site WordPress sur simple fourniture de l’url (Sucuri, PCrisk, etc.). L’éventuelle présence de virus et de malwares sera vérifiée. Si le site est infecté, il n’y a aucun doute, votre WordPress est non sécurisé. Outre la suppression des virus et malwares, il faudra également prendre les mesures nécessaires pour que cela ne se reproduise plus.

Que faire si mon site internet WordPress n’est pas sécurisé ?

Si vous avez les compétences pour le faire, il faut procéder au plus vite à l’implémentation de tous les conseils de sécurisation d’un site WordPress que nous avons énumérés. Sinon il faut vous adresser à une agence WordPress pour qu’elle se charge de cette tâche dans les plus brefs délais.

Conclusion

Si WordPress est un vecteur d’attaque de choix pour les pirates, les propriétaires de site internet disposent d’un large arsenal de mesures pour s’en prémunir. L’utilisateur lambda peut déjà œuvrer afin de sécuriser son WordPress. Mais le mieux est encore de confier cette tâche à des professionnels. Notamment pour protéger les fichiers .htaccess, wp-config.php, définir les permissions adéquates sur les fichiers et répertoires, etc. Besoin de conseils additionnels ? Contactez-nous !

FAQ sécuriser son site WordPress

« Ce site ne peut pas fournir de connexion sécurisée WordPress » : que signifie ce message ?

Des paramètres erronés de date et heure sur l’ordinateur qui tente de consulter le site WordPress peuvent engendrer cette erreur. Un problème de cache peut également être à l’origine, dans ce qu’elle faut le rafraîchir. Si cela ne marche toujours pas, désactiver momentanément votre logiciel antivirus. Vérifiez aussi que le certificat SSL du site (s’il s’agit du vôtre) est valable. Il faut en effet le renouveler périodiquement.