WordPress est le CMS le plus utilisé depuis très longtemps, sa popularité n’a cessé de croître depuis 2003, année de sa création. Mais cette popularité n’est pas sans contraintes. Elle attire aussi les hackers qui lorgnent sur vos données et celles de vos clients!
Je vais vous présenter dans cet article quelques gestes simples et bonnes pratiques indispensables pour sécuriser efficacement votre site WordPress.
1. Pourquoi la sécurité WordPress est cruciale ?
WordPress, c’est environ 90 000 attaques par minute! Oui moi même j’ai eu dû mal à croire à ce nombre mais quand on y pense, au regard du nombre de sites web, du nombre de plugins et de thèmes qui sont autant de portes d’entrées… Ce n’est pas si étonnant.
Alors quels sont les risques concrètement à ne pas protéger son site WordPress ?
– Il peut servir de tremplin vers des sites malveillants ou compromis,
– Il peut se retrouver avec des cookies d’affiliation pour du tracking ou publicité malveillante,
– Vous pouvez retrouver des liens SEO nocifs,
– Vos données peuvent être volées et revendues sur internet,
– Votre site peut être tout simplement rendu inopérant,
– Il peut servir de plateforme pour attaquer d’autres sites ou systèmes sensibles,
– Ou se voir ajouter des failles plus importantes pour des attaques futures,
– etc…
Alors, vous pensez toujours que la sécurité de votre site WordPress ca ne vous concerne pas ? Le dicton « Il vaut mieux prévenir que guérir » n’a jamais été aussi vrai que pour votre site internet!
2. Les gestes essentiels pour sécuriser son site WordPress
a. Mettre à jour WordPress, les thèmes et les extensions
Ce sont les trois éléments clés à surveiller pour réduire les risques de se faire pirater. WordPress est très régulièrement mis à jour. Et ce n’est pas que pour ajouter telle ou telle fonctionnalité. C’est aussi pour sécuriser son système.
Rien de plus simple pour activer la mise à jour automatique, cliquer sur « Tableau de bord > Mises à jour » et cliquer sur le lien présent sous « Version actuelle ». Vous devriez avoir quelque chose qui ressemble à ceci :
Comme indiqué ensuite, vous avez la possibilité de ne faire que les mises à jour de maintenance et sécurité. Je vous conseille de rester tout de même sur les mises à jour complètes. J’ai vu très rarement des sites en panne à cause d’une mise à jour WordPress, et cela vous permet de bénéficier des meilleurs performances et fonctionnalités.
Pour les thèmes et les extensions, l’idée est la même. Activer les mises à jour automatiques pour prévenir au maximum tous risque de sécurité.
Rendez vous dans « Apparence > Thèmes > Détails du thèmes > Activer les mises à jours auto »
Pour les extensions, cliquer sur « Extensions > Activer les mises à jour auto » pour chaque plugin.
b. Choisir des extensions et des thèmes fiables
Je ne vais pas m’étendre sur ce point car je vous ai déjà tout expliqué en détail dans mon article « 7 critères pour bien choisir vos plugins WordPress »
c. Utiliser des identifiants sécurisés
Ca pourrait sembler évident mais malheureusement j’en vois encore régulièrement, des identifiants « Admin », « Azerty » ou un prénom… A bannir! Autant inviter le hacker chez vous directement…
Et pour vos mots de passe c’est pareil! Utilisez des mots de passes complexes, avec 12 caractères minimum et en utilisant des minuscules/majuscules, des chiffres et des lettres (Tain tain tain tain tain…🎶) et des caractères spéciaux. Éviter aussi absolument de garder le même mot de passe pour tous vos services en lignes…
Et encore assez peu mis en place, mais l’authentification à deux facteurs pour votre espace admin est très efficace. Des plugins comme WordFence vous propose de mettre cela en place facilement. Pour les plus techniques d’entre vous sinon, vous pouvez passer par le fichier htaccess.
d. Installer un plugin de sécurité
J’évoquais WordFence dans le paragraphe précédent, mais évidement il y en a plein d’autres : Sucuri, iThemes Security, etc… Ces plugins vous proposent généralement des scans manuels ou programmés, un système de pare-feu, surveillance de fichiers.
Une seule chose à retenir, il vous faut installer un plugin de sécurité absolument. Et dès que votre site commence à « marcher », je vous conseille d’investir rapidement dans une formule payante, bien plus efficace et qui pourrait vous éviter bien des désagréments!
e. Sauvegarder régulièrement son site
Malgré toutes les précautions que nous pouvons mettre en place pour se protéger des pirates informatiques, le risque zéro n’existe pas! Il est donc fortement recommandé de faire des sauvegardes régulières de votre site WordPress.
La encore vous avez plusieurs solutions :
– Les sauvegardes de votre hébergeur (généralement limitée),
– Les sauvegardes manuelles en passant par votre client FTP (FileZilla pour ne citer que lui). Pas la plus rapide et on a vite fait d’oublier de les faire,
– Les sauvegardes automatisés via un service web à installer (Urbackup, Duplicati…). Ca demande un peu plus de technique mais une fois en place, vous n’avez plus rien à faire
– Les sauvegardes via un plugin WordPress (UpdraftPlus, Duplicator, …). Plutôt facile à mettre en place mais si votre site rencontre un problème, vos sauvegardes risquent de ne plus se faire.
f. Limiter les tentatives de connexion
L’une des attaques les plus courantes contre les sites WordPress est l’attaque par brute force. Elle consiste à essayer plein de combinaisons de noms d’utilisateurs et de mots de passe jusqu’à trouver la bonne. Ne pas empêcher cela c’est :
– Laisser la possibilité de trouver vos identifiants,
– Saturer votre serveur par des attaques non limitées,
– Être bloqué par votre hébergeur car des activités suspectes sont détectées.
Comment bloquer les attaques par brute force ?
Le plus simple est d’installer un plugin de sécurité qui va :
– Limiter par IP les tentatives de connexions échouées,
– Bloquer temporairement l’accès après plusieurs essais ratés,
– Vous envoyer des alertes par e-mail en cas d’activités indésirables,
– Afficher un message personnalisé en cas de blocage.
La encore vous avez le choix pour les plugins : Limit Login Attempls Reloaded, Loginizer, Wordfence…
g. Changer l’URL de connexion (wp-login)
Ce n’est pas selon moi la méthode la plus efficace pour se protéger des hackers, mais comme elle est rapide à mettre en place, et que ca peut toujours en arrêter certains… Il vous suffit d’installer un plugin comme WPS Hide Login pour faire le job!
h. Attribuer les bons rôles utilisateurs
Lorsque plusieurs personnes accèdent à votre site WordPress, il est essentiel de gérer précisément les droits de chaque utilisateur. Trop souvent, on attribue à tous les utilisateurs le rôle d’administrateur, ce qui expose l’ensemble du site à de graves risques en cas de mauvaise manipulation ou de piratage.
WordPress propose par défaut plusieurs rôles prédéfinis, chacun ayant un niveau d’accès différent :
– Administrateur : contrôle total sur le site (réservé au propriétaire ou à l’équipe technique).
– Éditeur : peut gérer et publier tout le contenu (y compris celui des autres).
– Auteur : peut publier et gérer ses propres articles.
– Contributeur : peut écrire des articles mais pas les publier.
– Abonné : accès très limité, principalement pour les commentaires ou contenus restreints.
Utilisez au maximum ces rôles pour vos collaborateurs et appliquez le principe du moindre privilège : Donner le rôle nécessaire uniquement à la tâche.
Faites également du ménage régulièrement dans les comptes. Réduisez les droits des comptes inactifs ou supprimez les si c’est possible.
Et changer les mots de passe régulièrement des comptes à hauts privilèges.
Pour aller plus loin dans la gestion des rôles et des droits, vous avez des plugins comme « User Role Editor » très complet pour cela.
3. Mesures avancées
- HTTPS et certificat SSL : A installer obligatoirement via votre hébergeur.
- Sécurisation du fichier wp-config.php : Vous pouvez déplacer ce fichier sensible dans le dossier parent pour qu’il ne soit plus accessible aux hackers. WordPress lui le trouvera automatiquement. Vous avez sinon la possibilité de bloquer son accès via le htaccess ou avec un chmod 400.
- Surveillance des logs : Utilisez un plugin comme WP activity Log, WordFence ou Simple History pour jeter un œil régulièrement à l’activité sur votre site.
En résumé
Sécuriser son site WordPress, ce n’est pas un luxe réservé aux grandes entreprises, c’est une nécessité absolue, accessible à tous, pour peu qu’on accepte d’y accorder un peu de temps.
Mises à jour régulières, identifiants solides, plugins de sécurité, sauvegardes automatiques, gestion rigoureuse des utilisateurs… Ce sont autant de gestes simples à mettre en place qui vous permettront de dormir tranquille!
N’attendez pas d’agir face à l’urgence. En cybersécurité, l’anticipation coûte toujours moins cher que la récupération et la restauration.
Partagez au maximum cet article, pour un internet plus serein et plus sécurisé !
En savoir plus sur Booste Ton WordPress
Subscribe to get the latest posts sent to your email.
Bon, voilà on a toutes les infos pour bien sécuriser son site. Je m’empresse de checker tout ça. C’est un aspect à ne pas négliger. Merci pour toutes ces précieuses infos.
Merci Stéphane pour tous ces rappels ô combien importants. Je crois avoir fait tout ce qui était de mon ressort et pour l’instant, pas de problème. Pourvu que ça dure !
Merci pour cet article clair et utile. Je pense que je vais devoir améliorer 2-3 trucs sur mon blog…C’est toujours bon de faire un petit rappel sur ces bases qu’on néglige parfois.
Merci pour cet article clair et utile ! Les conseils sont concrets et faciles à mettre en place, même pour les débutants.
Merci pour cet article clair et accessible, même pour les non-tech ! Les conseils partagés sont simples à mettre en place et vraiment rassurants. J’ai particulièrement apprécié la partie sur la limitation des connexions et la sauvegarde régulière. Modifier l’URL de connexion, c’est un vrai plus auquel je n’aurais pas pensé. Un bon rappel de gestes essentiels à adopter dès aujourd’hui.