70% de tous les sites crées chaque jour et au moins 37 % des sites en ligne aujourd’hui ont été réalisés à partir du CMS WordPress (CMS : Content Management System, ou système de gestion de contenu). Malheureusement, cette popularité le rend vulnérable et fait de lui une proie de choix pour les hackers qui peuvent ainsi s’attaquer à de très nombreux sites dès qu’une faille de sécurité est découverte.
Pour éviter cela, il est primordial de sécuriser votre site.
Voici 10 choses toutes simples à mettre en place dès aujourd’hui pour protéger votre site WordPress.
1) Vérifiez régulièrement vos mises à jour
Il est très important de vérifier régulièrement vos mises à jour. Chacune d’entre elles apporte des correctifs de sécurité. Et il en va de même pour vos plug-ins.
En effet, 85 % des sites WordPress qui se font pirater sont ceux qui n’ont pas réalisé de mise à jour depuis plusieurs mois voire plusieurs années !
L’opération est très simple, lorsque vous vous connectez sur votre interface d’administration, vous pouvez voir le message suivant s’afficher :
WordPress x.xx est disponible ! Pensez à faire la mise à jour.
À ce moment, il vous suffit de cliquer sur le lien pour mettre à jour votre installation WordPress. C’est aussi simple que cela.
Très Important : avant toute mise à jour de WordPress, n’oubliez pas de faire une sauvegarde complète de votre site et vérifiez sur la page des plugins que ceux-ci ont bien été testés avec la nouvelle version de WordPress.
2) Sauvegardez régulièrement la base de données
WordPress conserve tous les contenus de votre site dans une même base de données située sur votre serveur d’hébergement.
C’est pour cette raison qu’il est essentiel d’archiver régulièrement ces données ailleurs que sur votre serveur d’hébergement.
Même si vous pensez votre site déjà bien sécurisé, vous devez toujours avoir une sauvegarde de celui-ci en cas de besoin.
Dans l’idéal, nous conseillons de réaliser une sauvegarde hebdomadaire. Pour ce faire, nous vous proposons deux possibilités :
- Utiliser un plug-in, tel que BackWPup, qui permet de réaliser des sauvegardes automatiques et planifiées de votre base de données et de vos fichiers. Vous pourrez les retrouver sur serveur ou sur le cloud.
- Sauvegarder « à la main » vous-même l’intégralité de vos fichiers contenus dans le dossier wp-content ainsi que votre base de données au format SQL
3) Choisissez un hébergeur sécurisé
Les failles de sécurité ne proviennent pas uniquement de votre site. Il est donc très important de bien choisir votre hébergeur. Pour vous aider dans cette démarche, voici trois critères à étudier :
- Les serveurs de l’hébergeur doivent disposer d’un pare-feu et d’un antivirus
- Des sauvegardes automatiques doivent être régulièrement réalisées
- Pour les hébergeurs mutualisés, tous les comptes doivent être isolés des autres utilisateurs
Nous vous conseillons fortement de choisir un hébergeur qui respecte ces trois critères. Les hébergeurs que nous recommandons en France sont O2switch et OVH mais il y en à bien d’autres.
4) Utilisez un mot de passe difficile et unique
Les hackers sont prêts à tout et testent tous les mots de passe que ce fameux robot a pu lister. Évitez donc d’utiliser « 123456789 » ou encore « AZERTY ». Vous êtes sûr de vous faire pirater les premiers.
Ici, nous vous conseillons d’utiliser un mot de passe différent de ceux que vous avez l’habitude d’utiliser. En effet, cela évitera que plusieurs de vos comptes ne soient piratés. Si vous n’avez pas d’idée, vous avez la possibilité d’utiliser des sites qui permettent de créer des mots de passe difficiles, mais surtout uniques.
Conseils : la plupart des sites demandent d’utiliser à la fois des minuscules, des majuscules, des chiffres et des caractères spéciaux. Évitez autant que possible d’utiliser des mots de passe dont seule la première lettre est en majuscule, qui se terminent par 1! Cette combinaison est en effet la plus simple à trouver pour des hackeurs.
5) Renommez le compte administrateur
Lorsque vous installez Worpdress, l’identifiant « admin » est proposé par défaut. Afin de mettre des bâtons dans les roues des pirates, changez-le et ne faites pas apparaître ce pseudo comme nom d’auteur de vos articles sur votre site.
Si vous avez déjà installé WordPress avec l’identifiant admin, pas de problème : vous pouvez créer un autre utilisateur avec les droits administrateurs. Il vous suffira ensuite de supprimer votre ancien compte admin.
6) Installez un plug-in de sécurité
Tout comme pour votre ordinateur, vous pouvez installer un plug-in pour consolider la sécurité de votre site WordPress. Cela va permettre de gérer plusieurs élements critiques de façon transparente.
Voici une liste d’extension que vous pouvez facilement retrouver :
- WordFence Security
- SecuPress
- Sucuri Security
- iThemes Security
- WP fail2ban
Il en existe d’autres, cette liste est là juste pour vous aiguiller dans votre démarche.
7) Utilisez un scanner de failles de sécurité
Il existe des outils très pratiques pour vous aider à identifier vos éventuelles failles de sécurité comme par exemple le plug-in WP Security Scan.
Son utilisation est très simple. Si tout est vert, cela veut dire que toutes vos données sont en sécurité. Dans le cas contraire, un point rouge s’affichera. À ce moment, il vous faudra faire les modifications recommandées.
Petit plus de ce plug-in : il permet de changer le préfixe de votre base de données WordPress et de générer des mots de passe complexes.
8) Supprimez les extensions et thèmes inutilisés
Par défaut une installation d’un site sous WordPress comprend des thèmes et des plugins que vous n’utiliserez sans doute pas. Le problème, c’est que nous ne pensons pas à faire les mises à jour de ces thèmes et de ces plugins. Les hackers peuvent en profiter pour exploiter des failles de sécurité.
Supprimez toutes les extensions et/ou thèmes que vous n’utilisez pas. Cela permettra de réduire le risque de piratage de votre site WordPress.
9) Cachez le numéro de version WP
WordPress affiche sur son site toutes les failles de sécurité corrigées par chaque nouvelle version. Ces informations peuvent facilement être utilisées contre vous par les pirates dès lors qu’ils sont en mesure d’identifier la version de WordPress de votre site. Pour cacher cette information, et à l’aide d’un client FTP il vous suffit de supprimer le fichier « readme.html » à la racine de votre site WordPress puis de vous rendre dans le fichier « functions.php » et d’ajouter cette ligne :
Remove_action(‘’wp_head’’, ‘’wp-generator’’) ;
10) Modifiez votre adresse de connexion
Par défaut, WordPress vous propose d’accéder à votre espace d’administration en utilisant l’URL : « https://mon-site.com/wp-admin ». Pour donner du fil à retordre aux hackers, il vous est possible de modifier cette URL en utilisant une extension telle que Custom Login URL.
D’autres solutions existent pour sécuriser votre site WordPress, n’hésitez pas à nous contacter si vous souhaitez en savoir plus !