Logo Naga Création
Homme derrière son écran qui tente de pirater un site internet sécurité

Comment garantir la sécurité de votre site WordPress ?

par | 24 10 2021

WordPress est le CMS le plus utilisé à travers le momde. Le revers de la médaille c’est qu’il attire également beaucoup l’attention des hackers. Une récente étude de Sucuri souligne que 83% des sites web compromis en 2023 étaient hébergés sous WordPress.

Cela souligne l’importance de sécuriser votre site WordPress contre les éventuelles attaques, qui menacent non seulement vos données mais aussi votre réputation et vos résultats financiers.

Alors, quelle est la marche à suivre pour protéger efficacement et sans difficulté votre site WordPress ? Voici un article qui résume en six étapes clés la manière d’améliorer la sécurité de votre site WordPress. Nous aborderons l’importance des mises à jour régulières, la sécurisation de vos informations de connexion, l’utilisation de plugins de sécurité fiables, l’activation d’un certificat SSL, la protection de votre fichier wp-config.php, ainsi que l’importance des sauvegardes périodiques.

En mettant en pratique ces recommandations, vous minimiserez grandement les risques de subir un piratage, contribuant ainsi à la longévité et à la sécurité de votre site WordPress.

1. Mettez à jour régulièrement

Maintenir votre site WordPress à jour constitue la première marche vers sa sécurisation. Ces mises à jour vous font bénéficier des dernières améliorations, corrigent les bugs et failles de sécurité, et accélèrent le chargement de vos pages. Ainsi, un site mis à jour régulièrement est synonyme de sécurité accrue et de performances optimisées.

Les avantages des mises à jour

WordPress propose deux catégories de mises à jour : les versions majeures, enrichissant l’expérience utilisateur avec de nouvelles fonctionnalités, et les versions mineures, qui se concentrent sur la résolution de bugs et de failles de sécurité. La plateforme actualise son système plusieurs fois par an. Les versions majeures portent souvent les noms de célébrités du jazz, à l’instar de la version 5.0 nommée « Bebo Valdés », introduisant l’éditeur Gutenberg.

Chaque année, WordPress déploie également plusieurs mises à jour mineures. Actuellement, la version de WordPress est la 5.4.2, avec la version 5.5 attendue pour le 11 août 2020.

Les mises à jour offrent plusieurs avantages cruciaux :

  • Elles renforcent la sécurité de votre site, comblant les failles pouvant être exploitées par des hackers. Une étude de Sucuri révèle que 83% des sites infectés en 2023 étaient sous WordPress, soulignant l’importance de ces mises à jour pour la protection de votre activité en ligne.
  • Elles boostent la performance de votre site, grâce à l’optimisation du code et à la réduction des temps de chargement. Un site rapide plaît aux utilisateurs et aux moteurs de recherche, améliorant ainsi votre visibilité et votre attractivité.
  • Elles vous donnent accès aux dernières fonctionnalités et innovations, comme l’éditeur Gutenberg, augmentant votre flexibilité et votre créativité dans la gestion de contenu.

WordPress, le thème, et les plugins

Pour mettre à jour le cœur de WordPress, rendez-vous dans le tableau de bord et sélectionnez « Mises à jour ». Si une nouvelle version est disponible, une notification apparaîtra. Cliquez sur « Mettre à jour maintenant » pour commencer la mise à jour.

Depuis la version 3.7, les mises à jour mineures sont appliquées automatiquement, à moins de désactiver cette option manuellement via le fichier wp-config.php ou auprès de votre hébergeur.

Cependant, la mise à jour de WordPress seul n’est pas suffisante. Il est tout aussi essentiel d’actualiser votre thème et vos plugins pour éviter vulnérabilités et incompatibilités. Sur la page « Mises à jour », vous trouverez également la liste des extensions et thèmes prêts à être mis à jour.

Choisissez ceux à actualiser et cliquez sur « Mettre à jour les extensions » ou « Mettre à jour les thèmes ».

Avant toute mise à jour, il est recommandé de sauvegarder intégralement votre site pour pouvoir restaurer une version précédente si nécessaire. Des plugins comme Updraftplus ou Backupwordpress fournissent des solutions simplifiées pour réaliser une sauvegarde intégrale de votre site. Il peut également être prudent de désactiver temporairement vos plugins pour prévenir tout conflit, puis de les réactiver une fois la mise à jour achevée.

Loupe-et-illustration-d'ordinateur-portable-illustrant-la-search-console

2. Sécurisez vos informations de connexion

Pour mieux protéger votre site WordPress, il est crucial d’opter pour des identifiants de connexion uniques et complexes. Les attaquants emploient souvent des attaques par force brute, essayant des combinaisons de noms d’utilisateur et de mots de passe courants ou aléatoires. Des identifiants simples ou prévisibles augmentent le risque de piratage.

Choisissez des mots de passe forts

Un mot de passe robuste doit contenir au moins 12 caractères, alliant majuscules, minuscules, chiffres et symboles, tout en évitant toute information personnelle facile à deviner telles que votre nom ou date de naissance. Utilisez un service tel que NordPass pour générer un mot de passe aléatoire et sécurisé.

Pour une gestion simplifiée, envisagez un gestionnaire de mots de passe comme LastPass ou Dashlane, sécurisant et centralisant vos mots de passe.

Il est essentiel de définir des mots de passe complexes pour votre compte administrateur WordPress, mais aussi pour votre hébergement web, votre base de données, votre accès FTP, et tous les services associés à votre site. Changez ces mots de passe régulièrement, idéalement tous les trois mois, pour prévenir tout risque de compromission.

Modifiez le nom d’utilisateur admin

WordPress attribue par défaut le nom d’utilisateur « admin » au premier compte administrateur. Ce nom étant très commun, il est facilement devinable par les pirates. Il est donc conseillé de le remplacer par une option plus originale.

Modifier cet identifiant est simple : créez un nouveau compte administrateur avec un nom d’utilisateur différent, puis supprimez l’ancien compte « admin ». Suivez ces étapes :

  1. Connectez-vous à votre espace administrateur WordPress avec le compte « admin ».
  2. Rendez-vous dans la section Utilisateurs et sélectionnez Ajouter.
  3. Renseignez les détails du nouveau compte, optant pour un nom d’utilisateur unique et un mot de passe complexe. Cochez l’option d’envoi par email des identifiants au nouvel utilisateur et attribuez-lui le rôle d’Administrateur.
  4. Validez en cliquant sur Ajouter un utilisateur.
  5. Déconnectez-vous du compte « admin » pour vous connecter avec le nouveau compte administrateur.
  6. Allez dans Utilisateurs > Tous les utilisateurs, survolez l’ancien nom « admin » et cliquez sur Supprimer.
  7. Transférez tout contenu associé à l’ancien administrateur vers le nouveau compte, puis confirmez la suppression.

Une autre option consiste à changer le nom d’utilisateur « admin » directement dans la base de données via phpMyAdmin ou un plugin tel que [Username Changer]. De plus, pour préserver votre adresse de connexion loin des regards indiscrets, l’utilisation du plugin WPS Hide Login vous permet de personnaliser votre URL de connexion, rendant plus difficile pour les pirates de trouver la page de login. Plus d’instructions pour changer le nom d’utilisateur admin et personnaliser votre URL de connexion sont disponibles ici : Comment changer le nom d’utilisateur admin WordPress et personnaliser votre URL de connexion ?

Activez l’authentification à deux facteurs (2FA)

L’authentification à deux facteurs renforce la sécurité en exigeant deux formes de vérification : le couple classique nom d’utilisateur/mot de passe et un code unique, via application mobile, SMS, email ou dispositif physique.

Cette méthode complique les intrusions, même si vos identifiants sont compromis. Pour implémenter la 2FA sur votre site WordPress, des plugins comme Google Authenticator, Two Factor Authentication ou Jetpack sont disponibles, permettant de sélectionner le type de second facteur et les rôles d’utilisateurs à protéger. Une application compatible, telle que Google Authenticator, Authy ou LastPass Authenticator est nécessaire pour générer les codes uniques.

En 2020, c'est le nombre de personnes qui sont venues chercher de l’assistance sur le site cybermalveillance.gouv.fr

3. Utilisez des plugins de sécurité de confiance

La troisième étape essentielle pour renforcer la sécurité de votre site WordPress consiste à intégrer des plugins de sécurité fiables. Ces outils aident à vous prémunir contre diverses menaces. Sur le marché, il vous est possible de trouver une large gamme de plugins gratuits ou payants offrant des fonctionnalités telles que la surveillance en temps réel, l’analyse de malwares, le pare-feu, la défense contre des attaques par force brute, les notifications d’alerte, et les options de sauvegarde.

Les types de plugins de sécurité

Ces plugins de sécurité se déclinent en plusieurs catégories, en fonction de la nature de la protection fournie :

  • Les plugins dits « complets » offrent une solution intégrée pour la sécurisation de votre site WordPress, regroupant diverses fonctionnalités essentielles. Parmi eux, Sucuri Security, Wordfence Security, iThemes Security et All In One WP Security & Firewall figurent parmi les plus reconnus.
  • Les plugins « spécifiques » ciblent une dimension particulière de la sécurité telles que la détection et blocage de malwares, l’anti-spam, la protection des fichiers, l’authentification et les solutions de sauvegarde ou de réparation suite à un piratage. Des plugins appréciés dans cette catégorie incluent Security Ninja, Anti-Malware Security, BulletProof Security et SolidWP.

Aucun plugin de sécurité n’est universel ; le choix doit donc s’orienter vers ceux qui s’alignent au mieux avec les spécificités de votre site WordPress, considérant vos objectifs, votre budget, votre niveau de compétences et la compatibilité avec votre thème et autres plugins.

Configuration de base recommandée

Indépendamment du plugin de sécurité choisi, une configuration adéquate est cruciale pour maximiser l’exploitation de ses fonctionnalités tout en évitant potentialités erreurs ou conflits. Voici une série de recommandations fondamentales :

  1. Effectuez une sauvegarde complète de votre site avant d’installler et d’activer un plugin de sécurité, afin de pouvoir le restaurer si nécessaire.
  2. Prenez le temps de lire et comprendre la documentation du plugin afin de maîtriser son fonctionnement, ses options et prérequis.
  3. Avant de déployer le plugin sur votre site en production, testez-le sur un environnement de développement pour assurer sa compatibilité et efficacité.
  4. Assurez-vous d’activer les fonctionnalités clés comme le pare-feu, l’analyse de malwares, la sécurité contre les attaques par force brute, les alertes de notifications et les options de sauvegarde.
  5. Adaptez les paramètres du plugin à vos besoins spécifiques, évitant l’ajout d’options superflues.
  6. Procédez à des mises à jour régulières du plugin pour bénéficier des dernières améliorations et correctifs.
Piratage-cybercriminels sécurité wordpress

4. Activez un certificat SSL pour passer en HTTPS

Pour renforcer la sécurité de votre site WordPress, la quatrième étape consiste à activer un certificat SSL afin de basculer votre site en HTTPS. Le SSL (Secure Sockets Layer) est une technologie clé pour crypter les communications entre votre site et les navigateurs de vos visiteurs.

Le HTTPS (Hypertext Transfer Protocol Secure) est un protocole sécurisé qui utilise le SSL pour assurer la confidentialité et l’intégrité des données échangées en ligne. Un site en HTTPS est facilement reconnaissable grâce à un cadenas vert dans la barre d’adresse du navigateur, témoignant de sa sécurité.

Qu’est-ce que SSL et comment fonctionne-t-il ?

Le SSL sécurise les échanges en ligne grâce à l’usage de clés publiques et privées, permettant ainsi d’établir une connexion sécurisée. La clé publique, partageable avec tous, sert à chiffrer les données, tandis que la clé privée, tenue secrète, permet de les déchiffrer. Le processus SSL s’articule comme suit :

  1. Le navigateur du visiteur demande au site de prouver son identité.
  2. Le site répond en envoyant son certificat SSL au navigateur, contenant sa clé publique et des informations d’identification.
  3. Le navigateur contrôle la validité du certificat SSL, en vérifiant son émission par une autorité fiable, sa correspondance avec le nom de domaine du site, et sa non-expiration.
  4. Si le certificat est validé, le navigateur génère une clé de session chiffrée avec la clé publique du site et l’envoie.
  5. Le site déchiffre cette clé de session avec sa clé privée et confirme au navigateur le début d’une session sécurisée.
  6. A partir de ce moment, navigateur et serveur échangent des informations sécurisées via la clé de session, unique et temporaire.

Cette technologie garantit ainsi que les données circulant entre le site et le navigateur demeurent inaccessibles et inviolables par des tiers.

L’importance du HTTPS pour la sécurité

Adopter le HTTPS, basé sur le SSL, est crucial pour sécuriser votre site WordPress. Ce protocole substitue le HTTP, qui ne protège pas contre les cyberattaques, avec plusieurs bénéfices :

  • Il sécurise les données sensibles des visiteurs, comme leurs informations personnelles et bancaires, contre le vol ou la manipulation.
  • Il accroît la confiance des utilisateurs grâce à une navigation sécurisée, améliorant ainsi le taux de rétention et de conversion du site.
  • Il optimise le référencement naturel de votre site, puisque Google valorise les sites en HTTPS, boostant leur visibilité et leur trafic.
  • Il évite les alertes de sécurité potentielles dans les navigateurs qui peuvent repousser les visiteurs et ternir la réputation de votre marque.

5. Protégez votre fichier wp-config.php

La cinquième mesure à prendre pour assurer la sécurité de votre site WordPress consiste à protéger votre fichier wp-config.php. Ce fichier est crucial car il contient des informations critiques comme le nom de la base de données, le nom d’utilisateur, le mot de passe, les clés de sécurité, et les préfixes de tables. De ce fait, il est souvent ciblé par les hackers qui peuvent chercher à y accéder ou à le modifier pour s’emparer de votre site.

Il y a principalement deux façons de sécuriser votre fichier wp-config.php : en modifiant les permissions des fichiers et en déplaçant le fichier wp-config.php.

Modification des permissions des fichiers

Les permissions de fichier permettent de définir qui peut lire, modifier ou exécuter un fichier sur votre serveur. Trois catégories d’utilisateurs existent : le propriétaire du fichier, le groupe utilisateur auquel le fichier appartient, et tous les autres utilisateurs. Ces utilisateurs peuvent se voir attribuer trois types de permissions : lire, écrire, et exécuter.

Les permissions sont représentées par des chiffres de 0 à 7, comme le montre le tableau suivant :

Permission Chiffre
Aucune 0
Exécuter 1
Écrire 2
Écrire et exécuter 3
Lire 4
Lire et exécuter 5
Lire et écrire 6
Lire, écrire et exécuter 7

Une suite de trois chiffres représente les permissions, attribuées respectivement au propriétaire, au groupe, et aux autres utilisateurs. Par exemple, 644 signifie que le propriétaire peut lire et écrire le fichier, le groupe peut le lire, et les autres utilisateurs également.

Pour sécuriser votre fichier wp-config.php, vous devez changer les permissions pour permettre uniquement la lecture par le propriétaire. Utilisez pour cela la commande chmod en ligne de commande, ou un client FTP tel que FileZilla. La permission recommandée est 400, autorisant exclusivement le propriétaire à lire le fichier, tandis que les autres utilisateurs ne disposent d’aucune permission.

Déplacement du fichier wp-config.php

Déplacer votre fichier wp-config.php hors du répertoire racine de WordPress, généralement public_html ou www, est une autre technique de protection. WordPress peut toujours localiser le fichier wp-config.php si celui-ci est placé dans le répertoire parent du répertoire racine, le rendant ainsi inatteignable depuis le web.

Pour déplacer le fichier wp-config.php, vous pouvez recourir à un client FTP comme FileZilla, ou utiliser la commande mv en ligne de commande. Si votre répertoire racine est public_html, déplacez le fichier wp-config.php dans le répertoire parent, habituellement le dossier home.

Le chemin d’accès au fichier wp-config.php sera ainsi modifié de /public_html/wp-config.php à /home/wp-config.php.

 

6. Effectuez des sauvegardes régulières

La sixième et essentielle étape pour garantir la sécurité de votre site WordPress consiste à réaliser des sauvegardes fréquentes. Ces sauvegardes vous permettront de restaurer votre site en cas d’incident. Elles incluent à la fois les fichiers et la base de données. Examinons ensemble diverses méthodes de sauvegarde disponibles pour votre site WordPress.

Choisir une solution de sauvegarde

Pour sauvegarder votre site WordPress, vous avez le choix entre trois méthodes principales :

  • Sauvegarde manuelle : Cette approche implique de copier manuellement les fichiers de votre site et d’exporter la base de données, en utilisant un client FTP tel que FileZilla ou un outil comme phpMyAdmin. Bien qu’elle soit gratuite, cette option exige du temps et de la rigueur. Il est crucial de se rappeler d’effectuer ces sauvegardes régulièrement et de les conserver en lieu sûr.
  • Sauvegarde automatique : Utiliser un outil intégré à WordPress ou fourni par votre hébergeur qui prend en charge les sauvegardes de manière automatique, selon une planification et une fréquence que vous déterminez. Cette solution est commode et efficiente, mais peut entraîner des coûts ou des limitations, selon l’outil choisi.
  • Sauvegarde via plugin : L’installation et la configuration d’un plugin de sauvegarde WordPress peuvent offrir davantage de fonctionnalités et de flexibilité. Toutefois, cette méthode peut potentiellement ralentir votre site ou causer des conflits avec d’autres plugins, en fonction du plugin sélectionné.

Il n’existe pas de solution unique parfaitement adaptée à tous les sites WordPress. Il est donc crucial de choisir l’option la plus adaptée à vos besoins spécifiques, en considérant vos exigences, votre budget, votre compétence technique et la compatibilité avec votre thème et vos plugins.

Fréquence et stockage des sauvegardes

Indépendamment de la méthode de sauvegarde choisie, il est primordial de fixer une fréquence de sauvegarde et de choisir un lieu de stockage adéquat pour assurer la sûreté et la pérennité de votre site WordPress.

La fréquence idéale des sauvegardes dépend de l’activité de votre site. Plus vous mettez à jour ou modifiez le contenu, plus les sauvegardes doivent être fréquentes.

En général, il est recommandé de sauvegarder votre base de données quotidiennement et vos fichiers de manière hebdomadaire. De plus, assurez-vous de réaliser une sauvegarde complète avant toute mise à jour majeure de WordPress, de votre thème ou de vos plugins.

Quant au stockage des sauvegardes, il est préférable de les conserver sur un support distinct de votre serveur principal afin d’éviter la perte de données en cas de défaillance ou d’attaque. Des services cloud comme Google Drive, Dropbox, ou OneDrive, ou encore des supports physiques tels qu’un disque dur externe ou une clé USB peuvent être utilisés. Conserver plusieurs versions de vos sauvegardes est également une bonne pratique pour pouvoir restaurer votre site à une date antérieure si nécessaire.

Conclusion

Cet article vous a guidé à travers six étapes clés pour renforcer la sécurité de votre site WordPress. Vous avez découvert l’importance de maintenir votre site à jour, de sécuriser vos informations de connexion, d’opter pour des plugins de sécurité fiables, d’activer un certificat SSL, de protéger votre fichier wp-config.php et de réaliser des sauvegardes fréquentes. En appliquant ces méthodes, vous minimiserez les risques de piratage tout en optimisant la sécurité et la performance de votre site.

Toutefois, la sécurité de votre site ne s’arrête pas ici. N’oubliez pas que la protection de votre site WordPress est une tâche continue qui exige une vigilance constante face aux nouvelles menaces et solutions de sécurité.

Je vous encourage à vous rendre régulièrement sur mon blog pour découvrir plus de conseils, d’articles et d’astuces visant à améliorer et à sécuriser davantage votre site WordPress. Si vous avez des questions ou des suggestions, laissez-moi un message. Pour une assistance plus personnalisée, n’hésitez pas à me contacter. Ce sera un plaisir de contribuer à la réussite de votre projet WordPress.

Mes prestations

Je vous accompagne dans la création de votre site internet de la première maquette à la mise en ligne. J’interviens sur la conception, le graphisme, la charte graphique, le référencement, la rédaction des contenus et la communication sur les réseaux sociaux.

En savoir plus
Inscrivez vous newsletter

Inscrivez-vous àLa newsletter

Faîtes le plein de conseils grâce à la newsletter. Recevez chaque mois des astuces pour votre site web.

Le BLog

Les derniers articles