Comment protéger votre site WordPress contre les attaques de pirates informatiques ?

Marie Fournier
20 février 2023

En raison de sa grande popularité en tant que CMS, WordPress est également une cible populaire pour les pirates informatiques.

Les attaques de piratage sont le plus souvent opportunistes plutôt que ciblées (bien que les sites web de grandes marques puissent être spécifiquement visés). La plupart des attaques sont automatisées, les robots cherchant partout sur Internet des failles de sécurité à exploiter.

Les attaques sont souvent effectuées à cause de :

un hébergement de site web non sécurisé
des informations de connexion – par exemple, en tentant plusieurs combinaisons aléatoires de nom d’utilisateur et de mot de passe
des faiblesses de sécurité dans les logiciels de CMS, de plugins ou de thèmes, généralement lorsqu’ils n’ont pas été mis à jour.

Les pirates ont une grande variété de motivations, mais souvent, il s’agit avant tout du profit. Il peut être extrêmement lucratif de pirater des sites pour distribuer des logiciels malveillants, obtenir des données sur les utilisateurs, envoyer du spam ou rediriger les visiteurs du site.

De telles violations de la sécurité peuvent avoir un impact extrêmement négatif sur votre site Web et votre entreprise, en sapant la confiance des utilisateurs, en entraînant des violations de la loi et en coûtant potentiellement des milliers d’euros. Il est donc essentiel de protéger votre site Web WordPress contre le piratage.

L’importance de réduire le risque d’être piraté

Les piratages de sites Web sont de plus en plus fréquents. La pandémie de Covid-19 a entraîné une augmentation des menaces en ligne qui sont multipliées par six par rapport à la normale.

Il est si important de veiller à la santé de vos sites web et de s’assurer que tout fonctionne comme il se doit et que le CMS et les plugins sont à jour. En 2019, il a été signalé que 56 % de toutes les applications CMS n’étaient pas à jour au moment du piratage. Un grand nombre d’entre eux auraient pu être évités si le CMS était simplement maintenu à jour.

Mon site WordPress est-il vulnérable au piratage ?

Les débutants sous WordPress et les propriétaires de petits sites pensent souvent qu’ils n’ont pas besoin de se préoccuper de la sécurité. Ils supposent que leur site est trop petit et insignifiant pour intéresser les pirates.

Cette supposition est fausse. Les sites WordPress de toutes tailles sont piratés.

Les pirates utilisent des robots automatisés pour scanner l’internet à la recherche de sites présentant des faiblesses en matière de sécurité et piratent dès qu’ils en ont l’occasion.

Il faut également savoir que vous ne vous rendez peut-être pas compte que des pirates tentent de s’introduire sur votre site. À moins que vous ne receviez régulièrement des notifications de sécurité sur les tentatives de piratage, vous ne vous en rendrez probablement compte que lorsqu’un piratage réussira et qu’un élément de votre site web sera endommagé.

Le message à retenir est que tous les sites sont vulnérables au piratage – et qu’il vaut mieux prévenir que guérir. Veillez à installer un plugin de sécurité et à prendre d’autres mesures de sécurité préventives pour assurer la sécurité de votre site.

Comment vaincre les pirates WordPress

Nous partageons maintenant les 10 meilleures façons de sécuriser votre site WordPress et d’éviter qu’il ne soit piraté.

Suivez nos guides ci-dessous pour renforcer la sécurité de votre site Web et empêcher son piratage. Certaines de ces étapes peuvent sembler évidentes et simples, mais il est étonnant de voir à quelle vitesse les pirates agiront si vous ne maîtrisez pas les fondamentaux en matière de sécurité de votre site WordPress.

Choisissez un fournisseur d’hébergement sécurisé
Obtenez un plugin de sécurité
Choisissez un thème sécurisé
Maintenez WordPress à jour
Utilisez des informations de connexion sécurisées
Ajoutez une authentification à deux facteurs
Désactiver l’édition de fichiers
Analysez le site web et l’ordinateur
Utiliser HTTPs
Sauvegardez un maximum vos données

1) Choisissez un fournisseur d’hébergement sécurisé

Tous les bons fournisseurs d’hébergement incluent une protection de sécurité pour garantir que les informations de votre site Web sont conservées en toute sécurité sur leurs serveurs.

Lorsque vous choisissez un hébergeur pour votre site WordPress, assurez-vous de vérifier les mesures de sécurité dont il dispose (comme les pare-feu et le FTP sécurisé), la façon dont il surveille son réseau de serveurs et la manière dont il réagit à toute violation de la sécurité.

Votre site WordPress peut être particulièrement vulnérable au piratage si vous avez un plan d’hébergement partagé, car les pirates peuvent potentiellement utiliser d’autres sites sur le même serveur pour accéder au vôtre.

L’option d’hébergement la plus sûre, mais aussi la plus coûteuse, est un serveur dédié. Cela vaut la peine de l’envisager si vous avez des niveaux de trafic particulièrement élevés ou si vous détenez des données sensibles sur votre site.

2) Procurez-vous un plugin de sécurité

Il est indispensable de disposer d’un plugin de sécurité de haute qualité pour éviter que votre site WordPress ne soit piraté.

Les plugins de sécurité comprennent généralement

un pare-feu pour bloquer le trafic suspect
une protection par force brute contre les tentatives de connexion multiples et aléatoires
un scanner qui vérifie la présence de problèmes de sécurité dans vos fichiers, thèmes et plugins
des notifications de sécurité régulières.

Nous recommandons Wordfence, un excellent plugin de sécurité gratuit. Une fois installé, » Wordfence » apparaîtra dans le menu de gauche de votre tableau de bord WordPress.

3) Choisissez un thème sécurisé

Le choix du bon thème pour votre site est crucial. Bien sûr, il doit avoir l’aspect et les fonctionnalités qui conviennent à votre organisation. Mais il doit également être robuste et sécurisé.

Un thème sécurisé

sera mis à jour et corrigé régulièrement
respectera de bonnes normes de codage
ne sera pas associé à des bogues ou à des erreurs de compatibilité.

Avec plus de 7 000 thèmes WordPress disponibles, il peut être difficile de savoir par où commencer !

La meilleure façon de choisir un thème sécurisé est de regarder sur WordPress.org. Là, vous pouvez parcourir les avis sur les thèmes, vérifier le nombre d’installations d’un thème, et voir quand le thème a été mis à jour pour la dernière fois – toutes les bonnes indications de sécurité.

Vous pouvez également demander à votre agence WordPress de vous recommander des thèmes et peut-être même de vous aider à développer un design WordPress qui répondra aux besoins particuliers de votre site Web et de votre organisation.

4) Maintenez WordPress à jour

Maintenir WordPress à jour est une autre mesure de sécurité importante. Les mises à jour du logiciel WordPress sont effectuées régulièrement pour optimiser les performances et corriger les problèmes de sécurité au fur et à mesure qu’ils sont découverts.

Il est possible d’appliquer des mises à jour automatiques pour la plupart des versions de base de WordPress, de sorte que votre site est mis à jour en arrière-plan sans que vous ayez à intervenir. Cependant, vous devez toujours agir manuellement sur les versions plus importantes – assurez-vous de sauvegarder votre site au préalable !

Les messages de mise à jour apparaîtront sur votre tableau de bord WordPress dès qu’ils seront disponibles. Il suffit de cliquer dessus pour agir. C’est une bonne idée de mettre à jour les plugins et les thèmes régulièrement aussi.

5) Utilisez des informations de connexion sécurisées

Comme nous l’avons mentionné plus haut, l’un des principaux moyens pour les pirates d’accéder à votre site WordPress est de procéder à des tentatives de connexion automatisées et » devinées « . Plus votre nom d’utilisateur et votre mot de passe sont évidents, plus ces tentatives ont de chances de réussir.

Pour éviter le piratage, veillez à choisir un nom d’utilisateur atypique. Cela signifie essentiellement qu’il ne faut pas utiliser « admin », qui est si commun que c’est généralement le premier nom d’utilisateur que les pirates essaient.

Ensuite, optez pour un mot de passe sécurisé comprenant un mélange de lettres, de symboles et de chiffres. Pour une sécurité maximale, il doit comporter au moins 12 caractères et ne pas inclure de mots du dictionnaire.

En plus de sécuriser votre connexion au tableau de bord de WordPress, assurez-vous de choisir des noms d’utilisateur et des mots de passe sécurisés pour vos autres comptes liés au site Web, comme votre adresse électronique personnalisée. Sinon, ceux-ci pourraient également être utilisés pour pirater votre site.

6) Ajoutez une authentification à deux facteurs

Vous pouvez renforcer encore davantage votre connexion WordPress en activant l’authentification à deux facteurs. Ceci est particulièrement utile si vous avez plusieurs utilisateurs qui se connectent au back-end de votre site.

Avec l’authentification à deux facteurs, les utilisateurs se connectent en deux étapes. Tout d’abord, ils saisissent leur nom d’utilisateur et leur mot de passe. Ensuite, ils doivent saisir un code d’accès à usage unique pour vérifier leur identité.

Avec le plugin de sécurité Wordfence que nous avons recommandé ci-dessus, l’authentification à deux facteurs est facile à activer. Elle utilise une application d’authentification pour générer des codes de passe pour les utilisateurs.

Pour configurer les choses, allez dans Wordfence > Login Security dans votre tableau de bord WordPress, et copiez la clé donnée. Téléchargez ensuite Google Authenticator (ou une autre application d’authentification), et entrez cette clé.

À ce stade, l’application fournira un code à six chiffres. Saisissez-le à nouveau sur votre tableau de bord WordPress et cliquez sur « Activer ».

L’authentification à deux facteurs est maintenant activée. Cela signifie qu’à chaque fois que vous essayez de vous connecter sur WordPress, vous serez invité à vous rendre sur votre application d’authentification et à recueillir un code d’accès.

7) Désactiver l’édition de fichiers

WordPress dispose d’un éditeur de code qui vous permet de modifier les fichiers de votre site via votre tableau de bord. Si cette fonctionnalité est évidemment utile, elle constitue également un énorme handicap en termes de piratage. Nous vous recommandons donc de le désactiver.

Pour désactiver l’éditeur de code, il suffit d’ajouter le code suivant dans votre fichier wp-config.php :

// Désactiver l’édition de fichiers

define( ‘DISALLOW_FILE_EDIT’, true ) ;

Une autre façon d’empêcher l’édition de fichiers est de désactiver l’exécution de fichiers PHP dans vos dossiers /wp-content/uploads/. Pour cela, ouvrez Notepad – ou un éditeur de texte similaire – et collez ce qui suit :

deny from all

</Files>

Si vous enregistrez ce fichier en tant que .htaccess et que vous le téléchargez dans les dossiers /wp-content/uploads/ de votre site Web, cela empêchera également les pirates d’effectuer des attaques par porte dérobée sur votre exécution PHP.

8) Analysez votre site web et votre ordinateur

Il est important d’analyser régulièrement votre site Web pour détecter les logiciels malveillants, les virus et les codes suspects. Si vous utilisez le plugin Wordfence, vous pouvez le faire en allant dans Wordfence > Analyse et en cliquant sur « Démarrer une nouvelle analyse ».

S’il y a des problèmes, Wordfence vous suggérera comment les résoudre et sécuriser à nouveau votre site. Nous vous recommandons d’effectuer une analyse au moins une fois par mois. Si vous pouvez le faire plus fréquemment, c’est encore mieux !

Cependant, il ne sert à rien de compter sur un site sécurisé si l’ordinateur à partir duquel vous exploitez le site est sur écoute ou infecté. Veillez donc à analyser régulièrement votre ordinateur ou votre appareil.

Vous devez utiliser un bon logiciel antivirus sur votre appareil et veiller à mettre votre système à jour régulièrement. Nous vous recommandons également de vérifier les paramètres de confidentialité de votre navigateur pour éviter de vous faire pirater lorsque vous naviguez sur Internet.

9) Utilisez HTTPS

Avoir un site HTTPS signifie que les communications entre votre site web et les navigateurs des utilisateurs sont cryptées. Il s’agit donc d’un autre moyen essentiel d’éviter le piratage.

Si vous n’avez pas encore de site HTTPS, il est très simple de le transférer. Il vous suffit d’obtenir un certificat SSL (Secure Sockets Layer), qui est disponible gratuitement pour tous les sites web auprès de Let’s Encrypt.

Si vous disposez déjà d’un certificat SSL, veillez à programmer un rappel de calendrier pour le renouveler tous les deux ans. Sinon, il est facile d’oublier et de laisser le statut HTTPS de votre site – et ses bonnes références en matière de sécurité – devenir caduc.

10) Sauvegardez régulièrement vos données !

Bien que notre dernière astuce n’empêche pas réellement le piratage, c’est probablement la mesure la plus importante à prendre au cas où votre site serait piraté.

En effectuant des sauvegardes régulières de votre site, vous pourrez le rétablir rapidement en cas de besoin. Sans sauvegarde, vous risquez de perdre tout ce que vous avez conçu, publié ou écrit sur votre site.

La façon de sauvegarder votre site WordPress dépendra du type d’hébergement que vous avez. Assurez-vous de parler à votre fournisseur d’hébergement ; il peut inclure des sauvegardes dans votre pack d’hébergement.

Vous pouvez également vous adresser à votre agence WordPress ou installer un plugin de sauvegarde. Quelle que soit la méthode choisie, assurez-vous de sauvegarder régulièrement votre site WordPress et de stocker vos fichiers de sauvegarde en toute sécurité afin de savoir qu’ils sont là si jamais vous en avez besoin.

Sauvegardes sous WordPress : les bonnes pratiques et les meilleurs plugins de backup

Marie Fournier

Marie est une blogueuse passionnée et une grande voyageuse qui aime partager sa connaissance du digital sur de nombreux sujets comme le streaming, le torrenting, les VPN ou la sécurité en ligne. Elle travaille actuellement pour un grand groupe qui développe une solution de diffusion de contenu en ligne parmi les plus utilisées au monde.

Actu WordPress