Guide complet pour sécuriser efficacement son site WordPress

Par Vincent Durrègne

Fondateur de Transfonumerique

illustration sécurisation site web
En 2024, on estimerait à plus de 60% le nombre de sites développés avec un CMS utilisant WordPress. Et pourtant, il a la mauvaise réputation de ne pas être nativement très sécurisé et d’être la cible privilégiée des pirates informatiques...

Un des principaux inconvénients de WordPress restera sa faible sécurité par défaut, car il s’agit d’une solution Open Source, ce qui signifie que n’importe qui peut accéder au code source général de WordPress. Ainsi, lorsqu’on ne met rien en place d’un point de vue sécurité, on se confronte à plusieurs dangers. 

Au niveau des conséquences, on parle de vol de données sensibles, d’atteinte à la réputation de l’entreprise, de pertes financières, de défiguration du site web voir de cessation complète de son activité… Bref ! On ne vous fait pas un dessin : il vaut mieux éviter.

Mais pas de panique, dans cet article, on vous donne quelques bonnes pratiques à mettre en place pour sécuriser votre site WordPress.

Sécuriser son site : choix d’un hébergement de qualité

L’hébergeur est le garant de la sécurité physique du serveur où est hébergé le site WordPress. Dans un monde idéal, votre hébergeur web vous fournit des sauvegardes régulières, l’installation de certificats SSL, une surveillance par pare-feu, et la recherche et suppression automatique des logiciels malveillants…

💡 Ce qu’on fait chez Transfonumerique : nous utilisons une des solutions les plus réputées en France qui est OVH qui propose des services d’hébergement dédiés ou mutualisés. 

logo OVH cloud

Utilisation de thèmes et de plugins fiables pour son site web

Pour faire simple, un site WordPress est construit à partir d’un thème, qu’on peut comparer au squelette, et de divers plugins ou modules, qui viennent ajouter des fonctionnalités spécifiques à votre site.

La plupart du temps, les incompatibilités entre les modules et le thème sont à l’origine des bugs sur WordPress.

Pensez à supprimer les plugins inutilisés : c’est d’autant moins de risques de développer une faille de sécurité (et, en plus, ça optimise les performances de votre site).

💡 Ce qu’on fait chez Transfonumerique : pour tous les sites qu’on a eu l’occasion de créer, on part d’un thème le plus simple possible. Ainsi, on s’assure la compatibilité des plugins dans la majorité des cas. 

logo SecuPress

Installer un plugin de sécurité complet et fiable

Puisqu’il existe des plugins pour à peu près toutes les fonctionnalités que vous voulez ajouter à votre site, vous vous doutez bien que certains modules ont été spécialement conçus pour renforcer la sécurité de votre site WordPress 😉

Généralement, parmi les fonctionnalités proposées par ces modules, on retrouve :

  • l’analyse du site pour détecter les vulnérabilités et les malwares,
  • la protection contre les attaques par force brute,
  • la sauvegarde et la restauration de la base de données,

💡 Ce qu’on fait chez Transfonumerique : nous, on utilise le plugin Secupress en version agence qui permet d’effectuer des scans de sécurité ainsi que de protéger contre d’éventuelles attaques. 

Renforcement des paramètres et identifiants de connexion sur votre WordPress

Par défaut, la page de connexion au back-office est “www.votre-site.fr/wp-admin” et votre nom d’utilisateur est “admin”. Ça peut paraître un peu bête, mais c’est comme si vous donniez aux hackeurs le chemin d’accès à vos données sensibles et votre nom d’utilisateur. Ok, il lui manque le mot de passe, mais c’est toujours mieux de rajouter quelques couches de sécurité supplémentaires, non ?

On vous recommande donc de modifier l’URL de chemin d’accès à votre back-office, ainsi que votre nom d’utilisateur.

Concernant le mot de passe, on se permet de préciser au cas où : évitez votre date de naissance, le nom de votre chat, de mettre le même mot de passe sur Facebook, votre boîte mail et votre compte Marmiton, et oubliez le azerty123456. Plus sérieusement, on vous recommande

  • un mot de passe long (minimum syndical : 12 caractères),
  • une combinaison de chiffres, de lettres (minuscules et majuscules), et de caractères spéciaux,
  • d’utiliser un gestionnaire de mots de passe pour générer des mots de passe forts et uniques.

Vous pouvez aussi penser à limiter le nombre de tentatives de connexions autorisées et à activer l’authentification à deux facteurs.

interface de connexion au back office wordpress

💡 Ce qu’on fait chez Transfonumerique : on change toujours le chemin d’URL de la page de connexion au back-office et le nom d’utilisateur. Simple. Basique. 

Mises à jour régulières de WordPress et des extensions

On a déjà traité en détail Comment effectuer la maintenance de son site web dans cet article dédié, mais c’est l’occasion de refaire un point rapide.

Un site non maintenu devient assez rapidement vulnérable aux attaques. Et quand on dit “maintenu”, ici, on veut dire “mis à jour”. En mettant à jour votre site, vous évitez que des pirates profitent des failles de sécurité des anciennes versions de WordPress et que des bugs persistent.

💡 Ce qu’on fait chez Transfonumerique : on effectue les mises à jour de nos sites tous les vendredis matin afin de ne pas tomber en panne le week-end et ainsi que nos sites en gestion soient opérationnels pour recevoir un maximum de trafic.

Sauvegarde la base de données

On ne veut pas vous faire peur, mais on va parler du scénario catastrophe : dans le cas où vous perdriez tout ou partie de votre site, vous pourriez restaurer assez “facilement” les données perdues grâce à des sauvegardes préalablement effectuées. On parle, ici, de “backups”.

D’ailleurs, on ne l’a pas précisé dans la partie précédente, mais il est essentiel d’effectuer une sauvegarde avant de réaliser vos mises à jour.

Techniquement, comment ça se passe ?

Deux solutions s’offrent à vous : sauvegarder votre site WordPress manuellement, ou installer une extension pour le faire. Dans le deuxième cas, selon que vous choisissiez une version gratuite ou premium de l’extension, vous devrez quand même demander manuellement la sauvegarde, mais le process de sauvegarde se fera tout seul.

💡 Ce qu’on fait chez Transfonumerique : nous installons une solution de gestion des backups ainsi qu’une copie des sauvegardes hébergeur stockées sur un cloud sécurisé. 

Faites-vous accompagner par une agence pour sécuriser votre site web

Ce qu’il faut savoir avec WordPress, c’est que le fait de ne pas le tenir à jour régulièrement est très dangereux en termes de piratage. Le développement web est un métier à part entière, et l’aspect sécuritaire de votre site web en est une composante essentielle. Savoir sécuriser son site WordPress n’est pas donné à tout le monde : vous faire accompagner par une agence, c’est la garantie que vous n’aurez pas de problème à venir, et que vous aurez toujours une main technique pour gérer les évolutions ainsi que palier à tout souci. Chez Transfonumerique, nous pouvons être fiers d’annoncer que 100% des sites que nous accompagnons en maintenance sont sécurisés et ne présentent aucune faille de sécurité. 

agence experte WordPress

💡 Ce qu’on fait chez Transfonumerique : c’est que pour tous les sites qu’on a en maintenance, on fait toutes les mises à jour nécessaires de façon hebdomadaire. Vous avez donc la garantie, qu’une fois par semaine, votre site est à jour, et que le moindre bug qui pourrait survenir lors du processus de mise à jour, est géré par une équipe d’experts. Parce que ça serait quand même embêtant que votre site ne soit pas fonctionnel sur un week-end, non ? 😬

Sécuriser son site WordPress est essentiel pour protéger vos données et votre réputation. En suivant les bonnes pratiques décrites dans cet article, vous pouvez réduire considérablement les risques d’attaque.

Voici quelques points clés à retenir :

  • Choisissez un hébergeur de qualité qui propose des services de sécurité adaptés.
  • Utilisez des thèmes et des plugins fiables et compatibles.
  • Installez un plugin de sécurité complet et fiable.
  • Renforcez les paramètres et identifiants de connexion.
  • Effectuez les mises à jour régulières de WordPress et des extensions.
  • Sauvegardez régulièrement la base de données.

Et si vous n’avez pas les compétences ou le temps pour sécuriser votre site vous-même, faites-vous accompagner par une agence web experte en WordPress.

N’hésitez pas à nous contacter si vous avez des questions ou si vous souhaitez obtenir un devis 🚀
Table des matières
Temps de lecture
7 min
Partager l'article
Vous souhaitez échanger avec nous au sujet d'un de vos projets ?

Découvrez des articles similaires.

CMS e-commerce

Quel CMS choisir pour créer un site e-commerce en 2024 ?

Vous avez décidé de franchir le cap et de créer votre propre site d’e-commerce en 2024 ? Félicitations ! Cependant, le choix du bon CMS (Content Management Système) est crucial pour le succès de votre réussite en ligne. Dans cet article, nous explorerons en détail les différentes options de CMS dédiées au e-commerce. Que vous souhaitiez créer un site mono-produit ou une marketplace, nous vous guiderons dans la sélection du CMS qui correspond le mieux aux besoins de votre entreprise.
15 min
les critères eeat de google en seo

[Guide] – Répondre aux criètres EEAT en SEO

Vous entendez parler des critères EEAT un peu partout, mais qu’est-ce que c’est au juste ? Et pourquoi tout le monde en parle ? À vrai dire, ce n’est pas nouveau. Les critères EEAT (Expertise, Expérience, Autorité, Trust) sont les critères qui permettent à Google de juger de la qualité et de la fiabilité du contenu de votre site. Avec l’évolution du numérique et des IA, il est devenu primordial de respecter ces critères pour avoir une stratégie SEO cohérente.
14 min
Seo local

Gagner en visibilité sur votre région grâce au SEO local

Avant, lorsque vous recherchiez un restaurant, un artisan ou un service dans votre région, vous consultiez des annuaires tels que les Pages Blanches. Mais depuis les années 2000, de moins en moins de personnes utilisent les annuaires (seulement 30% des foyers disposent d’un annuaire en 2019). Pourquoi ? Parce que les moteurs de recherche sont arrivés dans notre quotidien. Alors plutôt que de feuilleter les nombreuses pages de l’annuaire et de choisir au hasard, nous préférons maintenant simplement rentrer quelques mots dans un moteur de recherche et le laisser nous proposer une sélection de prestataires. Nous faisons ensuite notre choix parmi l’un des 10 premiers résultats. Sauf que parmi les centaines de milliers de résultats, comment faire pour faire partie de ces 10 premiers résultats et être visible par les moteurs de recherche au niveau d’une ville ou d’une région ? Grâce au SEO local !
8 min