Vous venez de créer votre site WordPress et vous êtes entièrement satisfaits de son contenu et de son design ? Félicitations ! Mais avez-vous pensé à la sécurité de votre site WordPress ? Non… ? Pas d’inquiétude, cet article vise à vous donner 6 astuces simples pour renforcer la sécurité de votre site web.
Pourquoi sécuriser votre site WordPress ?
Selon les derniers chiffres de l’organisme W3Techs, en Septembre 2022, WordPress est utilisé par plus de 43 % du web mondial, ce qui en fait bien sûr un outil de qualité mais aussi et malheureusement, une cible privilégiée pour les hackers. Sécuriser son site WordPress est donc essentiel pour ne pas subir d’attaques malveillantes !
Les 6 conseils pour sécuriser votre site WordPress
1. Choisissez votre identifiant avec soin
Lors de l’installation de WordPress, il va vous être demandé de créer votre premier compte et donc de définir un identifiant. Le choix de ce nom de compte est déterminant pour la sécurité de votre compte, d’autant plus qu’il est immodifiable par la suite.
Pour bien faire, suivez ces quelques règles de bon sens :
- Évitez d’utiliser les identifiants par défaut de WordPress, c’est à dire admin ou admin + 4 chiffres,
- Évitez d’utiliser le nom de domaine exact de votre site en tant qu’identifiant, de même pour votre nom et prénom.
Pensez également à vous assurer que votre identifiant n’est pas accessible via l’url www.monsite.com/?author=1.
Page de connexion de WordPress2. Choisissez vos extensions et thèmes avec attention
Le saviez-vous ? Le noyau de WordPress en lui-même (appelé le « core ») est très sécurisé. Dans 96% des attaques relevées, ce qui vient fragiliser une installation WordPress, ce sont les extensions et thèmes que l’on a ajoutés ! Source
En effet, il arrive très souvent que les hackers rentrent dans votre site via des plugins ou des thèmes installés sur votre WordPress. Avant d’installer un thème ou un plugin, demandez-vous si ce dernier est absolument nécessaire à votre site. Si c’est le cas, assurez-vous toujours que ce soit un outil de confiance. Pour éviter les risques, ne téléchargez jamais d’extensions en dehors du répertoire officiel WordPress.
Plusieurs indicateurs peuvent vous être utiles pour évaluer la qualité d’une extension : d’abord, le nombre de téléchargements ou d’installations : plus il est grand, mieux c’est… ! Evidemment, vous pouvez également vous fier à la note attribuée et aux avis laissés par d’autres utilisateurs. Enfin, regardez la date de dernière mise à jour : un outil non maintenu est souvent une porte ouverte pour les hackers.
Pensez également à faire du tri régulièrement dans vos thèmes et extensions, et à supprimer tous ceux qui ne vous sont pas forcément utiles. Cela vous aidera à diminuer les risques !
3. Maintenez votre site à jour
Dans la logique du conseil précédent, il est primordial de maintenir un environnement WordPress le plus à jour possible ! Pensez à installer régulièrement les dernières versions de WordPress, de chacun de vos plugins et de votre thème principal. Si des failles de sécurité ont été détectées sur l’un ou l’autre de ces éléments, installer la dernière version permettra de bénéficier du correctif. Pensez à bien suivre cet ordre pour vos mises à jour : WordPress, extensions puis thèmes.
Côté hébergeur, pensez également à maintenir une version PhP récente. Pour plus d’informations, vous pouvez consulter le calendrier officiel des versions supportées.
NB : pensez toujours à faire des sauvegardes avant de mettre à jour WordPress, vos extensions ou vos thèmes !
4. Utilisez un plugin de sécurisation
Je recommande d’installer l’extension iThemes Security pour chaque site WordPress, extension qui dispose d’une version gratuite largement suffisante pour sécuriser votre site !
Ce plugin permettra d’assurer le tri dans le trafic de votre site, notamment en bloquant les personnes et / ou robots qui essayent de se connecter à votre site en multipliant les combinaisons d’identifiants et de mots de passe erronées en très peu de temps (aussi appelées attaques par force brute). Vous bénéficierez également d’une blasklist d’adresses IP considérées comme malveillantes et qui seront donc bloquées d’accès à votre site !
Selon les options activées, il pourra aussi protéger l’accès aux fichiers et répertoires de votre site et désactiver la modification des fichiers PhP depuis le back-office WordPress, par exemple. iThemes Security vous alertera également si l’un(e) de vos extensions ou thèmes dispose d’une vulnérabilité connue, c’est à dire d’une faille de sécurité.
A vous de jouer avec les réglages : cette extension est très complète et vous permettra de sécuriser votre site en seulement quelques minutes.
5. Modifiez l’URL de la page de connexion par défaut
Tous les sites WordPress bénéficient par défaut de la même URL pour l’accès au back-office (www.monurl.fr/wp-admin/ ou /wp-login.php). Modifier cette URL peut constituer une première barrière pour protéger votre site WordPress. Des plugins spécifiques existent, mais cette fonctionnalité est également possible via le plugin cité ci-dessus iThemes Security.
Vous pouvez ainsi définir une URL personnalisée, que vous serez seul à connaître. Ceux qui essaieraient d’accéder au back-office via l’URL « /wp-admin/ » seront alors redirigés vers une page d’erreur 404.
6. Modifiez votre mot de passe régulièrement
Lors de la création de compte, choisissez un mot de passe le plus sécurisé possible. Pour cela, privilégiez la combinaison de chiffres, de lettres majuscules ou minuscules et de caractères spéciaux !
Le saviez-vous ? « 123456 », « password » ou encore « qwerty » font partie des mots de passe les plus utilisés et donc les plus faciles à deviner !
Dès que WordPress pense que votre mot de passe est suffisamment sécurisé, une barre verte « Forte » apparaît alors. WordPress propose d’ailleurs de générer lui-même des mots de passe sécurisés, de façon aléatoire.
WordPress génére des mots de passe et vous indique leur niveau de sécuritéDans tous les cas, privilégiez des mots de passe uniques (que vous n’utilisez pas sur d’autres sites) et pensez à les modifier de façon régulière (par exemple, une fois par an).
Des logiciels comme KeePass peuvent également vous aider à créer des mots de passe sécurisés mais surtout à les conserver dans une base de données, pour ne pas les oublier.
Bonus : pensez aux sauvegardes !
Ce conseil, en soi, ne permet pas réellement de protéger votre site. Cependant, en cas d’attaques ou de défaillances du système, avoir une sauvegarde de votre site s’avérera très utile ! En effet, cela vous permettra de restaurer votre site dans une version antérieure à l’attaque ou à la panne technique.
De mon coté, je privilégie le plugin Updraft Plus, dont je vous parlais déjà dans mon article « 7 plugins essentiels pour votre site WordPress ». Selon la fréquence de mise à jour de votre site, choisissez la fréquence de sauvegarde adéquate : hebdomadaire ou mensuelle, par exemple. Pensez à inclure la base de données au sein de vos sauvegardes !
Conclusion
Sécuriser un site WordPress parait souvent comme une étape négligeable ou réservée aux internautes affirmés. Pourtant, il n’en est rien ! Ces quelques conseils sont simples à mettre en œuvre et permettent de créer des obstacles supplémentaires pour les hackers qui souhaiteraient s’attaquer à votre site.
N’attendez pas que votre site soit piraté pour agir, car selon la puissance de l’attaque, il est souvent trop tard… De plus, tout type de site peut être concerné, cela n’arrive malheureusement pas qu’aux autres !
Souvent, les hackers vont profiter de votre site en le redirigeant vers des sites « douteux » (souvent des sites pornographiques). Les conséquences sont alors bien souvent désastreuses : perte de trafic, chute de vos positions en référencement naturel, blocage de votre site par les anti-virus, image dégradée auprès de vos clients, baisse de votre chiffre d’affaires (pour vos sites e-commerce), etc… De quoi se motiver à prendre les choses en main en sécurisant son site, dès le départ !