Comment sécuriser un site WordPress ?

WordPress est un outil open source extraordinaire pour accélérer le développement. Pour la création d’un site internet à la fois puissant, économique et évolutif. Pour preuve, 40 % des sites mondiaux sont en WP ! Dans le secteur des CMS, WordPress règne sans partage avec des parts de marché de 64 %. Ce succès a néanmoins sa rançon : vu son énorme popularité, WP est une cible de choix pour les hackers. Comment sécuriser un site WordPress ? Voici quelques astuces pour mitiger les risques.

Les risques de sécurité d’un WordPress

De nombreux ennuis peuvent découler d’un WordPress compromis.

Envois d’emails
Vol de vos données
Création de liens douteux qui nuisent au SEO
Demande de rançon
Envois de virus vers les utilisateurs de votre site
Minage de crypto monnaies à votre insu…

La liste ne cesse de s’allonger. En cas d’intrusion, la rectification du problème peut être une tâche compliquée. Pour un site de cabinet d’avocats, un piratage peut être dramatique. D’où l’importance de prévenir au lieu de guérir. Voici quelques mesures simples qui permettent de faire chuter le risque de piratage d’un WP.

Maintenir à jour votre site WordPress et vos plugins

Le premier réflexe à adopter pour sécuriser son site WordPress consiste à tenir à jour le CMS, ainsi que les plugins. Les MAJ peuvent proposer de simples améliorations en termes de fonctionnalités ou d’utilisation des ressources serveur. Mais elles peuvent aussi fermer des failles de sécurité identifiées. C’est pourquoi il est essentiel d’installer fréquemment les mises à jour WordPress. Ainsi que celles de vos plugins.

Bien choisir son hébergeur

La qualité de l’hébergeur permet d’offrir une première ligne de défense pour votre CMS WordPress. Surveillance du trafic, firewall, scan de vos répertoire… Votre host est en mesure de vous éviter des ennuis s’il a adopté de solides mesures de sécurité. Bien entendu, cela ne signifie pas que vous ne devez pas prendre vos propres précautions. Mais cette couche de sécurité additionnelle ne peut être que bénéfique.

Utiliser des thèmes et plugins WP de référence

Certains thèmes et plugins ont des années de vécu derrière eux. Cela signifie que les développeurs suivent leur produit, l’améliorent, ferment d’éventuelles failles de sécurité identifiées. Il est parfois tentant d’installer un plug-in récent qui comble un besoin de niche, mais c’est risqué. Le plugin est-il sûr ? Le développeur va-t-il continuer d’améliorer son produit ? C’est impossible à dire. C’est pourquoi il est préférable de jeter son dévolu sur des add-on qui ont un certain vécu. Qui sont régulièrement mis à jour.

Installer un plug-in de sécurité

Vu l’importance du problème du piratage des sites WordPress, durant ces dernières années des plug-ins de sécurité ont fait leur apparition. Scan antivirus, protection contre le DdoS, nettoyage de malwares, alerte en cas de modification des fichiers, protection contre les injections SQL, les attaques XSS et autres menaces… L’installation d’un plug-in WordPress de sécurité est aujourd’hui un must. Certains sont gratuits, d’autres payants. Parmi les plus populaires, il y a Wordfence, Sucuri, iThemes Security Pro, WPScan…

Utiliser des mots de passe forts

Aujourd’hui encore, on trouve des logins qui utilise des mots de passe enfantins comme admin123. Cela n’a pas beaucoup de sens, vu que l’on peut facilement enregistrer dans son navigateur un mot de passe fort. Il est également indispensable d’utiliser un mot de passe différent pour chaque site. Pour gérer vos mots de passe, vous pouvez utiliser une application telle que KeePass, qui permet d’enregistrer ses passwords de façon sécurisée. Une telle app permet même de générer automatiquement des mots de passe forts (bien que, dans le cas de WordPress, le CMS dispose d’une telle fonctionnalité).

Changer l’URL de login

Par défaut, l’adresse de login du site est « votre site + /wp-admin ». Cela permet aux hackers d’automatiser leurs tentatives de piratage. En modifiant l’adresse de la page d’identification, vous éliminez donc une grande partie des menaces qui planent sur votre CMS.

Limiter les tentatives de connexion

Dans les exploits de type brute force, un programme tente de s’introduire dans votre WordPress en utilisant des login/mot de passe aléatoire. En limitant le nombre de tentatives, vous pourrez bloquer ce genre de menaces. Recourir à la double authentification serveur/WP permet également de compliquer grandement la tâche des hackers.

Utiliser le SSL

Un certificat SSL exige un certain investissement. Mais passer en HTTPS permet de sécuriser les données qui transitent entre votre serveur et les utilisateurs en les chiffrant. Autrefois, le SSL n’était recommandé que pour les sites de type e-commerce. Mais aujourd’hui, c’est devenu une obligation pour tout le monde. Pourquoi ? Afin de mieux sécuriser le web, Google prend désormais en compte la présence ou non du SSL lorsqu’il établit ses classements. Autrement dit, les sites qui ne sont pas en HTTPS sont pénalisés d’un point de vue SEO.

Conclusion

Si WordPress est un vecteur d’attaque de choix pour les pirates, les propriétaires de site internet disposent d’un large arsenal de mesures pour s’en prémunir. L’utilisateur lambda peut déjà œuvrer afin de sécuriser son WordPress. Mais le mieux est encore de confier cette tâche à des professionnels. Notamment pour protéger les fichiers .htaccess, wp-config.php, définir les permissions adéquates sur les fichiers et répertoires, etc. Besoin de conseils additionnels ? Contactez-nous !

Nos clients parlent de nous

Piron Jean Pierre

30/03/22 - Google

Nous avons fait appel à Welko pour une campagne de voeux à l'occasion de la nouvelle année. Aucun regret et très satisfait de leur carte de voeux virtuelle. Doriane était très à l'écoute de notre besoin et à répondu parfaitement à notre demande. Pour d'autres besoins, nous reviendrons vers l'agence assurément. Nestenn Les Ponts de Cé.

Édouard Nobilet

30/11/16 - Google

Super acceuil on voit tout de suite le professionnalisme de cette équipe jeune et dynamique. Très à l'écoute, les propositions qu'ils m'ont faites était parfaitement en adéquation avec mes attentes. Je vous recommande vivement cette agence qui va à coup sûr vous satisfaire.

Antoine Blanchard

30/11/20 - Google

J'ai animé une formation chez Welko. J'y ai reçu un accueil très chaleureux. Les locaux sont très agréables, chaleureux, lumineux. Ce fut un plaisir que de partager ce moment avec une équipe volontaire, dynamique et avec un sourire perceptible même à travers les masques !

A2TC JYL

30/11/16 - Google

Très bonne agence de communication sachant répondre aux attentes du client. De très bonnes idées pour la création du graphisme. Grande réactivité sur diverses demandes (graphisme, développement de sites web). Equipe est très dynamique.
Quentin Avril

30/11/17 - Google

Équipe sympathique et dynamique, sérieuse. L' approche client est au cœur de leur préoccupation, pour que la solution soit optimum. Ne changez rien

Bertrand Decron

30/11/21 - Google

Très belle agence qui monte en puissance depuis des années. Avec une équipe réactive. Je recommande !

Martin G

30/11/16 - Google

Super agence de com sur Angers. Des collaborateurs qui ont plein de bonnes idées. Je recommande.

Charlene Coquereau

30/11/16 - Google

Agence réactive, créative, et qui a su répondre à nos attentes. Je recommande !