Pour éviter le piratage et les mauvaises surprises
Comment sécuriser un site WordPress ?
Les sites WordPress représentent approximativement la moitié des sites internet dans le monde, notamment dû à leur grande flexibilité et au fait que leur installation et utilisation est gratuite tant que vous vous contentez des thèmes et extensions de la bibliothèque. Mais le fait d’être leader du marché tout en étant géré par ses propres utilisateurs en fait une plateforme très sujette aux attaques de tous types. Prenons quelques minutes pour énumérer ensemble les points clés qui vous serviront à protéger votre site WordPress
Les bonnes pratiques en matière de sécurité web.
Avant même de parler de WordPress, il est important de rappeler quelques bonnes pratiques en matières de sécurité numérique :
Premièrement, faites l’effort d’utiliser un mot de passe dédié à votre site. On ne compte plus le nombre de sites hackés simplement parce que les identifiants administrateur étaient utilisés sur des dizaines d’autres plateformes. Et même si cela peut sembler être un gain de temps, éviter d’enregistrer vos mots de passe sur des ordinateurs « sensibles « , par exemple sur un portable que vous déplaceriez souvent et qui pourrait faire l’objet d’un vol.
Utilisez également des mots de passe complexes, à minima d’une dizaine de caractères, ce sera le meilleur moyen de vous protéger des attaques « brute force » dont l’objectif est simplement d’essayer de manière aléatoire un maximum de combinaisons possibles.
En matière d’hébergement web cette fois, privilégiez les hébergeurs vous proposant des sauvegardes régulières et facilement accessibles, vous permettant de pouvoir à tout moment restaurer une version précédente de votre site. Même si ce type d’option peut vous sembler évident, ce n’est pas toujours un servicee gratuit chez les hébergeurs « lowcost », et il serait dommage de perdre des dizaines (voir centaines) d’heures de travail à cause d’une économie de quelques euros.
En plus des sauvegardes automatiques de votre hébergeur, faites couramment des sauvegardes manuelles et stockez les à deux endroits différents. Idéalement, conservez une backup dans un dossier de votre ordinateur, et une seconde en ligne sur une plateforme telle que Google Drive ou Dropbox, toujours dans le but de parer à toutes éventualités.
En ce qui concerne WordPress
Pour en revenir à WordPress, l’une des premières choses que vous pourrez faire pour vous protéger des attaques de bots est de modifier l’url de connexion de votre site internet. Par défaut et sous WordPress, celle-ci devrait être /wp-admin, et c’est souvent le premier lien consulté par des bots malveillants à la recherche d’un point d’accès facile. Pour modifier cette url de connexion, vous pouvez utiliser l’extension gratuite « WPS hide login » qui vous permettra d’effectuer ce changement en quelques minutes.
Faites également régulièrement les mises à jour de votre WordPress, du thème de votre site internet et des extensions que vous y avez installées pour éviter l’exploitation de failles qui n’auraient pas été corrigées par un patch. De plus (et même si c’est parfois contraignant), séparez vous des extensions n’ayant pas reçus de mises à jour depuis plus de 6 mois, elles représenteront malheureusement un risque pour la sécurité de votre site.
Dernier point et sans doute le plus important, n’utilisez JAMAIS de thèmes ou d’extensions téléchargés « gratuitement » ou à très bas coût par rapport à leur tarif habituel et s’il ne s’agit pas du site officiel. D’une part, cette pratique est illégale, mais elle représente surtout un énorme risque pour votre site. On parle généralement d’extensions « nulled » ou « cracké », dans la plupart des cas tout se passera bien durant les premier mois, puis un beau jour votre site redirigera vos visiteurs de manière intempestive vers des sites malveillants et indésirables.
C’est le modèle économique des sites vous proposant ce type d’extension « gratuites », vous fournir une version modifiée du plugin pour ensuite générer des revenus via votre site et à travers des redirections rémunérés. Ne faites pas l’erreur de sacrifier la sécurité de votre site pour économiser quelques dizaines d’euros, vous finirez toujours par vous en mordre les doigts après un certain temps.
Les extentions de sécurité WordPress qui vous seront utiles
Wordfence
Le leader en matière de protection sous WordPress, vous proposera par défaut un récap hebdomadaire des différents points de sécurité de votre site.
Accéder au plugin >
Defender
Un bon compagnon de route pour Wordfence qui sécurisera certains points techniques de votre site lors de sa première installation.
Accéder au plugin >
WPS Hide Login
Le plugin le plus accessible pour vous permettre de modifier le lien de connexion de votre site WordPress. Un « must have » paramétrable en quelques minutes.
Accéder au plugin >
UpdraftPlus
Un très bon outil pour générer facilement et rapidement des backups manuelles. Proposant également certaines automatisations dans sa version payante.
Accéder au plugin >