8 astuces pour sécuriser efficacement votre site Web WordPress
- Damien Tremblay
- 23 juin 2021
WordPress est une excellente plateforme sécurisée, mais vous pouvez faire davantage pour protéger votre site contre les personnes mal intentionnées. De nombreuses améliorations de sécurité sont faciles à mettre en œuvre et peuvent être effectuées manuellement en quelques minutes. D’autres nécessitent simplement l’installation d’un plugin dédié.
Dans cet article, nous allons vous guider à travers 8 stratégies différentes permettant de renforcer les défenses de votre installation WordPress.
Vous n’êtes pas obligé de mettre en œuvre toutes les suggestions de cette liste – bien que vous puissiez certainement le faire – mais plus vous prendrez de mesures pour sécuriser votre site, moins vous aurez de chances d’éviter les problèmes par la suite.
1. Utilisez un hébergeur de qualité
Un bon fournisseur d’hébergement peut avoir un impact sur les performances de votre site, sa fiabilité, sa capacité de croissance et même son classement dans les moteurs de recherche. Les meilleurs hébergeurs WordPress offrent de nombreuses fonctionnalités utiles, une excellente assistance technique et un service adapté à la plate-forme CMS que vous avez choisie.
Comme vous l’avez probablement déjà deviné, votre hébergeur peut également avoir un impact important sur la sécurité de votre site. Le choix d’un service d’hébergement solide présente plusieurs avantages en matière de sécurité, notamment :
Un hébergeur WordPress de qualité comme les fournisseurs recommandés par notre équipe, mettra constamment à jour son service, ses logiciels et ses outils pour répondre aux dernières menaces et éliminer les failles de sécurité potentielles.
Les hébergeurs proposent souvent diverses fonctions de sécurité ciblées, telles que les certificats SSL/TLS et la protection contre les attaques DDoS. Vous devriez également avoir accès à un pare-feu d’application Web (WAF), qui vous aidera à surveiller et à bloquer les menaces sérieuses pour votre site.
Votre hébergeur vous fournira très probablement un moyen de sauvegarder votre site (dans certains cas, il le fera même automatiquement pour vous sur des serveurs redondés), de sorte que si vous veniez à être piraté, vous pourrez facilement revenir à une version antérieure stable.
Si votre hébergeur offre une assistance de qualité, 24/7, vous aurez toujours quelqu’un pour vous assister si vous rencontrez un problème de sécurité.
Voici un bon point de départ pour la recherche d’un hébergeur web sécurisé pour votre nouveau site, ou même si vous envisagez de changer d’hébergeur. Vous devez en trouver un qui offre toutes les caractéristiques et fonctionnalités dont vous avez besoin, et qui a une réputation de fiabilité et offre d’excellentes performances.
Les hébergeurs comme Hostinger vous donnent accès à un système de sauvegardes sécurisées sur chaque plan.
2. Sauvegardez votre site régulièrement
Il existe une triste réalité en matière de sécurité de sites internet ! Même si vous mettez en œuvre toutes les suggestions de cette liste (voire plus), il y a toujours une chance que vous soyez confronté à une faille de sécurité sur votre site.
> Les pirates informatiques sont extrêmement créatifs et sont souvent en avance.
Il vous suffit d’être préparé et de vous protéger un maximum pour limiter les attaques. Un plan de sécurité complet implique de se préparer à ce que vous ferez si le pire se produit, même si vous essayez de faire en sorte que cela n’arrive jamais.
La sauvegarde régulière de votre site est le moyen le plus simple et le plus efficace de le protéger en cas de catastrophe. Si vous disposez d’une sauvegarde récente, vous pouvez restaurer votre site tel qu’il était avant d’être piraté ou de subir un autre préjudice. Cela vous aidera à résoudre le problème et à passer à autre chose le plus rapidement possible en nettoyant votre compte d’hébergement et serveur avant de restaurer le site.
Un bon hébergeur WordPress devrait fournir un système de sauvegardes de qualité et automatisé. Il est par ailleurs grandement conseillé d’effectuer des sauvegardes manuelles via des plugins !
3. Passez votre site en HTTPS
Parlons un peu plus du certificat SSL/TLS. Il vous permet de faire passer votre site au protocole de transfert hypertexte sécurisé (HTTPS), une version plus sûre du protocole HTTP. Il s’agit de concepts de sécurité importants à comprendre, mais simples à appréhender même si vous n’en avez jamais entendu parler auparavant.
HTTP est le protocole qui transfère les données entre votre site web et tout navigateur qui tente d’y accéder. Lorsqu’un visiteur clique sur votre page d’accueil, l’ensemble de votre contenu, vos médias et le code de votre site Web sont envoyés par ce protocole à l’endroit où se trouve le visiteur.
Bien que cela soit nécessaire, cela introduit quelques problèmes de sécurité potentiels. Des personnes mal intentionnées peuvent essayer d’intercepter les données pendant leur transit et les utiliser à des fins néfastes.
Le protocole HTTPS résout ce problème ! Il fait la même chose que le protocole HTTP, mais il crypte également les données de votre site pendant qu’elles voyagent d’un point à un autre, afin qu’elles ne soient pas facilement accessibles.
À l’origine, le HTTPS était principalement utilisé pour les sites traitant des informations sensibles sur leurs clients, telles que les détails des paiements et cartes de crédit. Cependant, il devient de plus en plus courant pour tous les sites, et de grands noms tels que WordPress et Google ont fait pression pour sa mise en œuvre généralisée.
Pour faire passer votre site en HTTPS, vous aurez d’abord besoin d’un certificat SSL/TLS. Ce certificat indique aux navigateurs que votre site est légitime et que ses données sont correctement cryptées. Vous pouvez également en obtenir un gratuitement via la plupart des bons hébergeurs ou sur certains sites, comme Let’s Encrypt.
4. Créer des identifiants sécurisés et sécurisez votre page de connexion
Cette étape rend plus difficile pour un inconnu de s’introduire sur votre site.
Lorsque vous créez votre site, vous aurez la possibilité de créer un nom d’utilisateur et un mot de passe de connexion sur votre hébergeur. Le nom d’utilisateur sera par défaut admin, bien que vous puissiez le changer si vous le souhaitez. Mais comme il existe plusieurs façons pour les gens de découvrir votre nom d’utilisateur WordPress, vous pouvez vous en tenir à l’option par défaut si vous le souhaitez.
Votre mot de passe, cependant, est d’une importance cruciale, et vous devez en choisir un fort. Vous pouvez utiliser un générateur de mots de passes comme Dashlane ou autre.
Nous vous recommandons par ailleurs d’utiliser le générateur de mots de passe de WordPress, qui génère automatiquement un mot de passe presque inaltérable directement dans le back-end de WordPress. Veillez simplement à enregistrer vos informations d’identification dans un endroit sûr, comme un gestionnaire de mots de passe cryptés, afin de ne pas les oublier.
Sécuriser sa page de connexion est par ailleurs un point important.
5. Activez un pare-feu d'application Web
Vous êtes probablement familier avec le concept de pare-feu – un programme qui aide à bloquer toutes sortes d’attaques indésirables. Il est fort probable que vous ayez une sorte de pare-feu sur votre ordinateur.
Un pare-feu d’application Web (WAF) est tout simplement un pare-feu conçu spécifiquement pour les sites Web. Il peut protéger des serveurs, des sites Web spécifiques ou des groupes entiers de sites. La plupart des hébergeurs de qualité intègrent un système de pare-feu sur leurs serveurs. Vous avez par ailleurs la possibilité d’utiliser un plugin dédié ou de passer par un service de sécurité tierce comme Clouflare, Succuri ou Incapsula.
Un WAF sur votre site WordPress fonctionnera comme une barrière entre votre site Web et le reste du Web. Un pare-feu surveille les activités entrantes, détecte les attaques, les logiciels malveillants et autres événements indésirables, et bloque tout ce qu’il considère comme un risque.
6. Ajouter de nouveaux plugins et thèmes avec précaution (et les mettre à jour régulièrement)
La disponibilité immédiate de thèmes et de plugins est l’un des meilleurs atouts de WordPress. Grâce à ces outils pratiques, vous pouvez customiser votre site et y ajouter presque toutes les caractéristiques ou fonctionnalités auxquelles vous pouvez penser.
Cependant, tous les plugins et thèmes ne sont pas créés de la même manière !
Les développeurs qui ne sont pas prudents ou qui n’ont pas le bon niveau d’expérience peuvent créer des plugins qui ne sont pas fiables ou peu sûrs – ou tout simplement nuls. Ils peuvent utiliser de mauvaises pratiques de codage qui laissent des failles que les pirates peuvent facilement exploiter ou qui interfèrent involontairement avec des fonctionnalités cruciales.
Cela signifie que vous devez faire très attention aux thèmes et aux plugins que vous choisissez d’ajouter à votre site. Chacun d’entre eux doit être vérifié pour s’assurer qu’il s’agit d’une option solide qui ne nuira pas à votre site et ne causera pas de problèmes. WordPress a tendance à devenir vraiment instable plus vous installez de plugins !
Il existe de nombreux éléments à prendre en compte, mais les conseils suivants vous aideront à sélectionner des outils de qualité :
- Vérifiez les évaluations et les critiques des utilisateurs pour savoir si d’autres personnes ont eu une bonne expérience avec le plugin ou le thème en question.
- Regardez si le plugin ou le thème a été mis à jour récemment. S’il a été mis à jour depuis plus de six mois, il y a de fortes chances qu’il ne soit pas aussi sûr qu’il pourrait l’être.
- Installez les nouveaux plugins et thèmes un par un, de sorte que si quelque chose ne va pas, vous saurez immédiatement quel plugin en est la cause. Veillez également à sauvegarder votre site avant d’installer quoi que ce soit dessus.
- Procurez-vous vos plugins et vos thèmes auprès de sources fiables, telles que les répertoires de thèmes et de plugins de WordPress.org, et les plateformes réputés comme ThemeForest et CodeCanyon, ainsi que des sites Web de développeurs fiables.
Enfin, votre travail n’est pas terminé une fois que vous avez installé les plugins et les thèmes que vous souhaitez sur votre site.
Vous devrez également les maintenir à jour pour vous assurer qu’ils fonctionnent bien ensemble et qu’ils sont protégés contre les dernières menaces.
Heureusement, c’est très facile à faire : il vous suffit de vous rendre dans votre tableau de bord WordPress, de rechercher les notifications rouges vous indiquant que des thèmes et/ou des plugins ont des mises à jour disponibles, et de cliquer sur « Mettre à jour maintenant » à côté de chacun d’eux.
7. Limitez le nombre d'utilisateurs sur votre site
Si vous gérez votre site WordPress tout seul, vous n’avez pas à vous soucier de cette étape. Ne donnez à personne un compte administrateur sur votre site, et vous serez la seule personne à pouvoir effectuer des modifications.
Plus vous laissez des personnes différentes accéder à votre site, plus il y a de chances que quelqu’un fasse une erreur ou qu’un utilisateur cause des problèmes de sécurité. C’est pourquoi il est judicieux de maintenir le nombre d’utilisateurs sur votre site aussi bas que possible sans pour autant entraver sa capacité à se développer.
En particulier, essayez de limiter le nombre d’administrateurs et d’autres rôles d’utilisateurs disposant de privilèges élevés. Voici quelques suggestions supplémentaires :
- Limitez chaque utilisateur aux seules autorisations qui lui sont nécessaires pour éffectuer son travail.
- Encouragez les utilisateurs à utiliser des mots de passe forts (comme expliqué plus haut).
- Essayez de vous en tenir à un seul administrateur, si possible, et à un petit groupe de rédacteurs.
- Envisagez de télécharger un plugin, tel que « Members », qui fournit une interface utilisateur pour le système de rôles et d’accès dans WordPress.
8. Suivez l'activité de votre panneau d'administration
Si vous avez plusieurs utilisateurs sur votre site, cela peut être une bonne idée de garder un œil sur ce qu’ils font sur le site. Le suivi de l’activité de la zone d’administration de WordPress vous aidera à repérer les utilisateurs qui font des choses qu’ils ne devraient pas faire et vous indiquera si des utilisateurs non autorisés ont obtenu un accès spécifique.
Lorsqu’un changement bizarre a été effectué ou qu’un élément suspect a été installé, vous voudrez être en mesure de découvrir qui est à l’origine de cette activité. Les plugins vous couvrent ici.
La plupart des plugins de sécurité ne fournissent pas cette fonctionnalité d’emblée, et vous devrez donc trouver une solution dédiée. Si vous souhaitez adopter une approche non interventionniste, le nouveau plugin développé par Siteground, SG Security fait honneur à son nom en créant un journal simplifié et facile permettant de répertorier des modifications et événements importants effectués sur votre site.
Pour des fonctionnalités de suivi plus poussées, vous pouvez également consulter WP Security Audit Log, qui garde un œil sur à peu près tout ce qui se passe sur votre site et propose de nombreux modules complémentaires utiles et premium.
En espérant vous avoir aidé à obtenir une meilleure compréhension des principaux enjeux de sécurité pour votre site WordPress et des solutions pour renforcer cette sécurité au maximum !
Plus de guides pour WordPress
Comment protéger votre site WordPress contre les attaques de pirates informatiques ?
Comment protéger votre site WordPress contre les attaques de type « Brute Force » ?