Partager

Retour

Comment sécuriser son site WordPress ? Nos 9 conseils (HTTPS, plugin de sécurité…)

sécuriser son site wordpress

WordPress est un outil open source extraordinaire pour accélérer le développement. Pour la création d’un site internet à la fois puissant, économique et évolutif. Pour preuve, 40 % des sites mondiaux sont en WP ! Dans le secteur des CMS, WordPress règne sans partage avec des parts de marché de 64 %. Ce succès a néanmoins sa rançon : vu son énorme popularité, WP est une cible de choix pour les hackers.

Sécuriser son site WordPress est essentiel. Peu importe il s’agit d’un site vitrine ou d’une solution e-commerce complète. WP et ses plugins les plus populaires sont sûrs. Cependant, il faut également prendre de bonnes habitudes du point de vue du propriétaire pour assurer la sécurisation de son site WP. Welko, votre agence web d’Angers, vous propose ce guide pour vous aider à sécuriser votre site WordPress rapidement et simplement.

Les risques de sécurité d’un WordPress

De nombreux ennuis peuvent découler d’un WordPress compromis.

La liste ne cesse de s’allonger. En cas d’intrusion, la rectification du problème peut être une tâche compliquée. Pour un site de cabinet d’avocats, un piratage peut être dramatique. D’où l’importance de prévenir au lieu de guérir. Voici quelques mesures simples qui permettent de faire chuter le risque de piratage d’un WP.

Est-ce que WordPress est sécurisé ?

Chaque jour, de nombreux sites WordPress https ou non sont hackés. Si tout le monde adoptait les conseils ci-dessous, cela n’arriverait plus ! Ces piratages sont virtuellement tous causés de mauvaises pratiques des utilisateurs. Voici comment ne pas être la prochaine victime et se dire « pourquoi mon site WordPress n’est pas sécurisé » ?

Comment sécuriser son site WordPress en 9 conseils

La sécurisation de son site WordPress passe par des mesures simples, mais fortes, en ce qui concerne :

Conseil 1 : maintenir à jour votre site WordPress et vos plugins

Le premier réflexe à adopter pour sécuriser son site WordPress consiste à tenir à jour le CMS, ainsi que les plugins. Les MAJ peuvent proposer de simples améliorations en termes de fonctionnalités ou d’utilisation des ressources serveur. Mais elles peuvent aussi fermer des failles de sécurité identifiées. C’est pourquoi il est essentiel d’installer fréquemment les mises à jour WordPress. Ainsi que celles de vos plugins. Vous pouvez facilement le faire en allant dans l’onglet Mises à jour de votre tableau de bord WordPress et en cliquant sur Mettre à jour maintenant à côté du numéro de version.

Conseil 2 : bien choisir son hébergeur

La qualité de l’hébergeur permet d’offrir une première ligne de défense pour votre CMS WordPress. Surveillance du trafic, firewall, scan de vos répertoire… Votre host est en mesure de vous éviter des ennuis s’il a adopté de solides mesures de sécurité. Bien entendu, cela ne signifie pas que vous ne devez pas prendre vos propres précautions. Mais cette couche de sécurité additionnelle ne peut être que bénéfique.

Conseil 3 : utiliser des thèmes et plugins WP de référence

Certains thèmes et plugins ont des années de vécu derrière eux. Cela signifie que les développeurs suivent leur produit, l’améliorent, ferment d’éventuelles failles de sécurité identifiées. Il est parfois tentant d’installer un plug-in récent qui comble un besoin de niche, mais c’est risqué. Le plugin est-il sûr ? Le développeur va-t-il continuer d’améliorer son plugin WordPress d’avis Google ? C’est impossible à dire. C’est pourquoi il est préférable de jeter son dévolu sur des add-on qui ont un certain vécu. Qui sont régulièrement mis à jour.

Conseil 4 : installer un plug-in de sécurité

Vu l’importance du problème du piratage des sites WordPress, durant ces dernières années des plug-ins de sécurité ont fait leur apparition. Scan antivirus, protection contre le DdoS, nettoyage de malwares, alerte en cas de modification des fichiers, protection contre les injections SQL, les attaques XSS et autres menaces… L’installation d’un add on de sécurisation de site WordPress est aujourd’hui un must. Certains sont gratuits, d’autres payants. Parmi les plus populaires, il y a :

Conseil 5 : utiliser des mots de passe forts uniques et l’authentification à deux facteurs

Aujourd’hui encore, on trouve des logins qui utilise des mots de passe enfantins comme admin123. Cela n’a pas beaucoup de sens, vu que l’on peut facilement enregistrer dans son navigateur un mot de passe fort. Il est également indispensable d’utiliser un mot de passe différent pour chaque site. Pour gérer vos mots de passe, vous pouvez utiliser une application telle que KeePass, qui permet d’enregistrer ses passwords de façon sécurisée. Une telle app permet même de générer automatiquement des mots de passe forts (bien que, dans le cas de WordPress, le CMS dispose d’une telle fonctionnalité).

Combinez cela avec l’authentification à deux facteurs (2FA) pour une connexion sécurisée WordPress. Cette technique ralentit la connexion à votre site web, c’est sûr. Si cela vous ennuie, imaginez à quel point cela complique la vie d’un pirate !

Conseil 6 : changer l’URL de login

Par défaut, l’adresse de login du site est « votre site + /wp-admin ». Cela permet aux hackers d’automatiser leurs tentatives de piratage. En modifiant l’adresse de la page d’identification, vous éliminez donc une grande partie des menaces qui planent sur votre CMS.

Conseil 7 : limiter les tentatives de connexion

Dans les exploits de type brute force, un programme tente de s’introduire dans votre WordPress en utilisant des login/mot de passe aléatoire. En limitant le nombre de tentatives, vous pourrez bloquer ce genre de menaces. Recourir à la double authentification serveur/WP permet également de compliquer grandement la tâche des hackers.

Conseil 8 : sécurisez votre site WordPress avec https

Un certificat SSL exige un certain investissement. Mais passer en HTTPS permet de sécuriser les données qui transitent entre votre serveur et les utilisateurs en les chiffrant. Autrefois, le SSL n’était recommandé que pour les sites de type e-commerce. Mais aujourd’hui, c’est devenu une obligation pour tout le monde. Pourquoi ? Afin de mieux sécuriser le web, Google prend désormais en compte la présence ou non du SSL lorsqu’il établit ses classements. Autrement dit, les sites qui ne sont pas en HTTPS sont pénalisés d’un point de vue SEO.

De plus, cette sécurisation de WordPress renforce en général la crédibilité de votre site, dont l’identité est vérifiée grâce à la délivrance du certificat SSL. Comment sécuriser son site WordPress avec https ? Il faut acheter le certificat, l’installer auprès de votre hébergeur et configurer WP pour le https.

Conseil 9 : sauvegardez régulièrement votre site internet

Même en prenant toutes ces précautions de sécurité, on n’est jamais à l’abri d’un accident. Il est toujours préférable d’avoir des sauvegardes régulières de son site stockées dans un lieu sûr. Il faut bien entendu avoir une copie des fichiers, mais aussi de la base de données correspondantes. Votre hébergeur prévoit peut-être ces mesures automatiquement. Vous pouvez les planifier via votre panneau. Mais si les sauvegardes sont enregistrées sur un serveur de votre hébergeur, n’hésitez pas à télécharger des copies.

Comment reconnaître un site non sécurisé WordPress ?

Si de nombreuses astuces citées ci-dessus ne sont pas suivies, il est fort probable que le site WP ne soit pas bien sécurisé. Cependant, pour faire un état des lieux précis il convient de procéder à un audit de sécurité de votre site Internet. Si vous souhaitez procéder à cette analyse, contactez-nous pour votre devis gratuit audit de sécurité site WordPress.

Vous pouvez également générer une analyse en ligne de sécurité gratuite de votre site WP. Des outils permettent d’examiner tout site WordPress sur simple fourniture de l’url (Sucuri, PCrisk, etc.). L’éventuelle présence de virus et de malwares sera vérifiée. Si le site est infecté, il n’y a aucun doute, votre WordPress est non sécurisé. Outre la suppression des virus et malwares, il faudra également prendre les mesures nécessaires pour que cela ne se reproduise plus.

Que faire si mon site internet WordPress n’est pas sécurisé ?

Si vous avez les compétences pour le faire, il faut procéder au plus vite à l’implémentation de tous les conseils de sécurisation d’un site WordPress que nous avons énumérés. Sinon il faut vous adresser à une agence WordPress pour qu’elle se charge de cette tâche dans les plus brefs délais.

Conclusion

Si WordPress est un vecteur d’attaque de choix pour les pirates, les propriétaires de site internet disposent d’un large arsenal de mesures pour s’en prémunir. L’utilisateur lambda peut déjà œuvrer afin de sécuriser son WordPress. Mais le mieux est encore de confier cette tâche à des professionnels. Notamment pour protéger les fichiers .htaccess, wp-config.php, définir les permissions adéquates sur les fichiers et répertoires, etc. Besoin de conseils additionnels ? Contactez-nous !

FAQ sécuriser son site WordPress

« Ce site ne peut pas fournir de connexion sécurisée WordPress » : que signifie ce message ?

Des paramètres erronés de date et heure sur l’ordinateur qui tente de consulter le site WordPress peuvent engendrer cette erreur. Un problème de cache peut également être à l’origine, dans ce qu’elle faut le rafraîchir. Si cela ne marche toujours pas, désactiver momentanément votre logiciel antivirus. Vérifiez aussi que le certificat SSL du site (s’il s’agit du vôtre) est valable. Il faut en effet le renouveler périodiquement.

PARTAGER

Nos clients parlent de nous

Écoute, conseils et créativité. Welko a su nous accompagner dans notre évolution d’identité. Merci à Pierre et son équipe à qui nous ferons confiance à nouveau les yeux fermés si besoin
Lorsque j’ai racheté Soluchauff en avril 2023, l’entreprise portait une image vieillissante, figée dans un autre temps. Il était clair qu’un changement profond s’imposait pour refléter la dynamique et les ambitions que je souhaitais insuffler. C’est pourquoi j’ai décidé de faire appel à Welko après plusieurs recherches.

Dès nos premières discussions, Pierre et Bruno ont su comprendre mes attentes. Ils ont pris le temps de cerner mes valeurs et celles que je souhaitait donner à Soluchauff, mon parcours d’entrepreneur, et l’axe stratégique que je souhaitais donner à cette nouvelle aventure. Leur accompagnement a commencé par une réflexion approfondie sur l’identité de l’entreprise, aboutissant à plusieurs propositions de logos. Mais ils ne se sont pas arrêtés là.

Ils ont créé ce qu’ils appellent un territoire de marque : un univers cohérent et sur-mesure qui englobe tout, depuis notre site internet jusqu’à nos outils de communication et nos stands de salon. Grâce à leur expertise, Soluchauff est passé d’une image vieillissante à une communication moderne, audacieuse et alignée avec nos ambitions.

Ce que j’ai particulièrement apprécié chez eux, c’est leur écoute, leur réactivité, et leur capacité à proposer des idées audacieuses, sans jamais perdre de vue nos besoins réels. Chaque étape de ce projet a été menée avec soin et passion, et le résultat dépasse toutes mes attentes.

Aujourd’hui, grâce à leur travail remarquable, Soluchauff possède une identité visuelle forte et une communication qui nous ressemble vraiment. Ce partenariat avec Welko a été bien plus qu’une collaboration professionnelle : c’est un véritable accompagnement humain, marqué par une vision claire et une implication sans faille.

Un petie aperçu du avant après. Merci infiniment à Pierre, Bruno et à toute l’équipe pour ce travail exceptionnel. Vous avez donné vie à nos ambitions et rendu cette transition possible avec beaucoup de talent et de bienveillance.
Excellent tout simplement.
J'avais besoin de créer un site internet performant pour le démarrage de ma société. Après avoir rencontre différents acteurs, je me suis tourné vers Welko et mes échanges avec Pierre Guérif m'ont convaincu. À l'écoute et comprenant bien mes enjeux, il a été capable de me faire une proposition sur mesure bien différente de ce que j'avais vu jusqu'àlors s'occupant même de la création de ma charte graphique.
L'accompagnement et la communication ont été excellents, les différents interlocuteurs sont disponibles et les délais parfaitement respectés. Le rendu est tout à fait en phase avec ce que nous avions convenu.
Je recommande à 100 %
Responsable communication & marketing, je suis ravie des services de l'agence Welko !
"l'Agence super souple" est une baseline qui leur correspond bien : équipe sympa, professionnelle et toujours à l'écoute. Les conseils fournis sont pertinents et adaptés à mes besoins. Je recommande vivement cette agence pour son sérieux, son expertise .... et son fun 😉 !
Super agence de communication.
Welko à créer notre site internet Wefit.club (n’hésitez pas à aller voir et vous inscrire 😉)
Également notre plaquette commerciale BtoB pour le recrutement de nouveaux franchisés.
Welko nous accompagne également dans la communication annuelle de nos clubs.
Je suis très satisfait du sérieux et de la créativité de cette agence.
Je recommande Welko.
Un immense merci à l’équipe de WELKO pour leur accompagnement exceptionnel sur notre projet ! Ils ont su comprendre la vision de notre projet pour créer un logo, une identité de marque, une charte graphique et un site web qui nous représentent parfaitement. Toute l’équipe est d’un professionnalisme exemplaire, réactive, créative et à l’écoute. Leur capacité à transformer nos idées en réalité est impressionnante. Nous étions exigeants, et à chaque fois nous étions satisfait ! Merci beaucoup à Pierre, Bruno, Oranne, Francois Joseph et toute l'équipe... Vous êtes désormais notre partenaire de confiance et c'est un réel plaisir.
Partenaire depuis quelques années avec pierre et son équipe
pour la création de 2 sites dont 1 site marchand .
Je suis pleinement satisfait du travail et surtout du suivi !
Je conseil vivement
Très bonne collaboration avec l’ensemble de l’équipe Welko. Ils sont réactifs et de bons conseils. La qualité des rendus est top ! 👍🏻 …
Très bonne entente et compréhension dans la gestion des différents dossiers. Pleinement satisfait par la qualité des prestations.
Très bonne agence, à l'écoute de son client et super souple ;-) un bon suivi et ça, c'est un vrai plus à l'heure actuelle, merci à toute l'équipe
Nous avons fait appel à Welko pour une campagne de voeux à l'occasion de la nouvelle année. Aucun regret et très satisfait de leur carte de voeux virtuelle. Doriane était très à l'écoute de notre besoin et à répondu parfaitement à notre demande. Pour d'autres besoins, nous reviendrons vers l'agence assurément. Nestenn Les Ponts de Cé.
Super acceuil on voit tout de suite le professionnalisme de cette équipe jeune et dynamique. Très à l'écoute, les propositions qu'ils m'ont faites était parfaitement en adéquation avec mes attentes. Je vous recommande vivement cette agence qui va à coup sûr vous satisfaire.
J'ai animé une formation chez Welko. J'y ai reçu un accueil très chaleureux. Les locaux sont très agréables, chaleureux, lumineux. Ce fut un plaisir que de partager ce moment avec une équipe volontaire, dynamique et avec un sourire perceptible même à travers les masques !
Très bonne agence de communication sachant répondre aux attentes du client. De très bonnes idées pour la création du graphisme. Grande réactivité sur diverses demandes (graphisme, développement de sites web). Equipe est très dynamique.
Équipe sympathique et dynamique, sérieuse. L' approche client est au cœur de leur préoccupation, pour que la solution soit optimum. Ne changez rien
Très belle agence qui monte en puissance depuis des années. Avec une équipe réactive. Je recommande !
Super agence de com sur Angers. Des collaborateurs qui ont plein de bonnes idées. Je recommande.
Agence réactive, créative, et qui a su répondre à nos attentes. Je recommande !