WordPress est un outil open source extraordinaire pour accélérer le développement. Pour la création d’un site internet à la fois puissant, économique et évolutif. Pour preuve, 40 % des sites mondiaux sont en WP ! Dans le secteur des CMS, WordPress règne sans partage avec des parts de marché de 64 %. Ce succès a néanmoins sa rançon : vu son énorme popularité, WP est une cible de choix pour les hackers. Comment sécuriser un site WordPress ? Voici quelques astuces pour mitiger les risques.
De nombreux ennuis peuvent découler d’un WordPress compromis.
La liste ne cesse de s’allonger. En cas d’intrusion, la rectification du problème peut être une tâche compliquée. Pour un site de cabinet d’avocats, un piratage peut être dramatique. D’où l’importance de prévenir au lieu de guérir. Voici quelques mesures simples qui permettent de faire chuter le risque de piratage d’un WP.
Le premier réflexe à adopter pour sécuriser son site WordPress consiste à tenir à jour le CMS, ainsi que les plugins. Les MAJ peuvent proposer de simples améliorations en termes de fonctionnalités ou d’utilisation des ressources serveur. Mais elles peuvent aussi fermer des failles de sécurité identifiées. C’est pourquoi il est essentiel d’installer fréquemment les mises à jour WordPress. Ainsi que celles de vos plugins.
La qualité de l’hébergeur permet d’offrir une première ligne de défense pour votre CMS WordPress. Surveillance du trafic, firewall, scan de vos répertoire… Votre host est en mesure de vous éviter des ennuis s’il a adopté de solides mesures de sécurité. Bien entendu, cela ne signifie pas que vous ne devez pas prendre vos propres précautions. Mais cette couche de sécurité additionnelle ne peut être que bénéfique.
Certains thèmes et plugins ont des années de vécu derrière eux. Cela signifie que les développeurs suivent leur produit, l’améliorent, ferment d’éventuelles failles de sécurité identifiées. Il est parfois tentant d’installer un plug-in récent qui comble un besoin de niche, mais c’est risqué. Le plugin est-il sûr ? Le développeur va-t-il continuer d’améliorer son produit ? C’est impossible à dire. C’est pourquoi il est préférable de jeter son dévolu sur des add-on qui ont un certain vécu. Qui sont régulièrement mis à jour.
Vu l’importance du problème du piratage des sites WordPress, durant ces dernières années des plug-ins de sécurité ont fait leur apparition. Scan antivirus, protection contre le DdoS, nettoyage de malwares, alerte en cas de modification des fichiers, protection contre les injections SQL, les attaques XSS et autres menaces… L’installation d’un plug-in WordPress de sécurité est aujourd’hui un must. Certains sont gratuits, d’autres payants. Parmi les plus populaires, il y a Wordfence, Sucuri, iThemes Security Pro, WPScan…
Aujourd’hui encore, on trouve des logins qui utilise des mots de passe enfantins comme admin123. Cela n’a pas beaucoup de sens, vu que l’on peut facilement enregistrer dans son navigateur un mot de passe fort. Il est également indispensable d’utiliser un mot de passe différent pour chaque site. Pour gérer vos mots de passe, vous pouvez utiliser une application telle que KeePass, qui permet d’enregistrer ses passwords de façon sécurisée. Une telle app permet même de générer automatiquement des mots de passe forts (bien que, dans le cas de WordPress, le CMS dispose d’une telle fonctionnalité).
Par défaut, l’adresse de login du site est « votre site + /wp-admin ». Cela permet aux hackers d’automatiser leurs tentatives de piratage. En modifiant l’adresse de la page d’identification, vous éliminez donc une grande partie des menaces qui planent sur votre CMS.
Dans les exploits de type brute force, un programme tente de s’introduire dans votre WordPress en utilisant des login/mot de passe aléatoire. En limitant le nombre de tentatives, vous pourrez bloquer ce genre de menaces. Recourir à la double authentification serveur/WP permet également de compliquer grandement la tâche des hackers.
Un certificat SSL exige un certain investissement. Mais passer en HTTPS permet de sécuriser les données qui transitent entre votre serveur et les utilisateurs en les chiffrant. Autrefois, le SSL n’était recommandé que pour les sites de type e-commerce. Mais aujourd’hui, c’est devenu une obligation pour tout le monde. Pourquoi ? Afin de mieux sécuriser le web, Google prend désormais en compte la présence ou non du SSL lorsqu’il établit ses classements. Autrement dit, les sites qui ne sont pas en HTTPS sont pénalisés d’un point de vue SEO.
Si WordPress est un vecteur d’attaque de choix pour les pirates, les propriétaires de site internet disposent d’un large arsenal de mesures pour s’en prémunir. L’utilisateur lambda peut déjà œuvrer afin de sécuriser son WordPress. Mais le mieux est encore de confier cette tâche à des professionnels. Notamment pour protéger les fichiers .htaccess, wp-config.php, définir les permissions adéquates sur les fichiers et répertoires, etc. Besoin de conseils additionnels ? Contactez-nous !
Dernières actualités de notre blog
