Guide complet pour sécuriser efficacement son site WordPress

Par Vincent Durrègne

Fondateur de Transfonumerique

illustration sécurisation site web
En 2024, on estimerait à plus de 60% le nombre de sites développés avec un CMS utilisant WordPress. Et pourtant, il a la mauvaise réputation de ne pas être nativement très sécurisé et d’être la cible privilégiée des pirates informatiques...

Un des principaux inconvénients de WordPress restera sa faible sécurité par défaut, car il s’agit d’une solution Open Source, ce qui signifie que n’importe qui peut accéder au code source général de WordPress. Ainsi, lorsqu’on ne met rien en place d’un point de vue sécurité, on se confronte à plusieurs dangers. 

Au niveau des conséquences, on parle de vol de données sensibles, d’atteinte à la réputation de l’entreprise, de pertes financières, de défiguration du site web voir de cessation complète de son activité… Bref ! On ne vous fait pas un dessin : il vaut mieux éviter.

Mais pas de panique, dans cet article, on vous donne quelques bonnes pratiques à mettre en place pour sécuriser votre site WordPress.

Sécuriser son site : choix d’un hébergement de qualité

L’hébergeur est le garant de la sécurité physique du serveur où est hébergé le site WordPress. Dans un monde idéal, votre hébergeur web vous fournit des sauvegardes régulières, l’installation de certificats SSL, une surveillance par pare-feu, et la recherche et suppression automatique des logiciels malveillants…

💡 Ce qu’on fait chez Transfonumerique : nous utilisons une des solutions les plus réputées en France qui est OVH qui propose des services d’hébergement dédiés ou mutualisés. 

logo OVH cloud

Utilisation de thèmes et de plugins fiables pour son site web

Pour faire simple, un site WordPress est construit à partir d’un thème, qu’on peut comparer au squelette, et de divers plugins ou modules, qui viennent ajouter des fonctionnalités spécifiques à votre site.

La plupart du temps, les incompatibilités entre les modules et le thème sont à l’origine des bugs sur WordPress.

Pensez à supprimer les plugins inutilisés : c’est d’autant moins de risques de développer une faille de sécurité (et, en plus, ça optimise les performances de votre site).

💡 Ce qu’on fait chez Transfonumerique : pour tous les sites qu’on a eu l’occasion de créer, on part d’un thème le plus simple possible. Ainsi, on s’assure la compatibilité des plugins dans la majorité des cas. 

logo SecuPress

Installer un plugin de sécurité complet et fiable

Puisqu’il existe des plugins pour à peu près toutes les fonctionnalités que vous voulez ajouter à votre site, vous vous doutez bien que certains modules ont été spécialement conçus pour renforcer la sécurité de votre site WordPress 😉

Généralement, parmi les fonctionnalités proposées par ces modules, on retrouve :

  • l’analyse du site pour détecter les vulnérabilités et les malwares,
  • la protection contre les attaques par force brute,
  • la sauvegarde et la restauration de la base de données,

💡 Ce qu’on fait chez Transfonumerique : nous, on utilise le plugin Secupress en version agence qui permet d’effectuer des scans de sécurité ainsi que de protéger contre d’éventuelles attaques. 

Renforcement des paramètres et identifiants de connexion sur votre WordPress

Par défaut, la page de connexion au back-office est “www.votre-site.fr/wp-admin” et votre nom d’utilisateur est “admin”. Ça peut paraître un peu bête, mais c’est comme si vous donniez aux hackeurs le chemin d’accès à vos données sensibles et votre nom d’utilisateur. Ok, il lui manque le mot de passe, mais c’est toujours mieux de rajouter quelques couches de sécurité supplémentaires, non ?

On vous recommande donc de modifier l’URL de chemin d’accès à votre back-office, ainsi que votre nom d’utilisateur.

Concernant le mot de passe, on se permet de préciser au cas où : évitez votre date de naissance, le nom de votre chat, de mettre le même mot de passe sur Facebook, votre boîte mail et votre compte Marmiton, et oubliez le azerty123456. Plus sérieusement, on vous recommande

  • un mot de passe long (minimum syndical : 12 caractères),
  • une combinaison de chiffres, de lettres (minuscules et majuscules), et de caractères spéciaux,
  • d’utiliser un gestionnaire de mots de passe pour générer des mots de passe forts et uniques.

Vous pouvez aussi penser à limiter le nombre de tentatives de connexions autorisées et à activer l’authentification à deux facteurs.

interface de connexion au back office wordpress

💡 Ce qu’on fait chez Transfonumerique : on change toujours le chemin d’URL de la page de connexion au back-office et le nom d’utilisateur. Simple. Basique. 

Mises à jour régulières de WordPress et des extensions

On a déjà traité en détail Comment effectuer la maintenance de son site web dans cet article dédié, mais c’est l’occasion de refaire un point rapide.

Un site non maintenu devient assez rapidement vulnérable aux attaques. Et quand on dit “maintenu”, ici, on veut dire “mis à jour”. En mettant à jour votre site, vous évitez que des pirates profitent des failles de sécurité des anciennes versions de WordPress et que des bugs persistent.

💡 Ce qu’on fait chez Transfonumerique : on effectue les mises à jour de nos sites tous les vendredis matin afin de ne pas tomber en panne le week-end et ainsi que nos sites en gestion soient opérationnels pour recevoir un maximum de trafic.

Sauvegarde la base de données

On ne veut pas vous faire peur, mais on va parler du scénario catastrophe : dans le cas où vous perdriez tout ou partie de votre site, vous pourriez restaurer assez “facilement” les données perdues grâce à des sauvegardes préalablement effectuées. On parle, ici, de “backups”.

D’ailleurs, on ne l’a pas précisé dans la partie précédente, mais il est essentiel d’effectuer une sauvegarde avant de réaliser vos mises à jour.

Techniquement, comment ça se passe ?

Deux solutions s’offrent à vous : sauvegarder votre site WordPress manuellement, ou installer une extension pour le faire. Dans le deuxième cas, selon que vous choisissiez une version gratuite ou premium de l’extension, vous devrez quand même demander manuellement la sauvegarde, mais le process de sauvegarde se fera tout seul.

💡 Ce qu’on fait chez Transfonumerique : nous installons une solution de gestion des backups ainsi qu’une copie des sauvegardes hébergeur stockées sur un cloud sécurisé. 

Faites-vous accompagner par une agence pour sécuriser votre site web

Ce qu’il faut savoir avec WordPress, c’est que le fait de ne pas le tenir à jour régulièrement est très dangereux en termes de piratage. Le développement web est un métier à part entière, et l’aspect sécuritaire de votre site web en est une composante essentielle. Savoir sécuriser son site WordPress n’est pas donné à tout le monde : vous faire accompagner par une agence, c’est la garantie que vous n’aurez pas de problème à venir, et que vous aurez toujours une main technique pour gérer les évolutions ainsi que palier à tout souci. Chez Transfonumerique, nous pouvons être fiers d’annoncer que 100% des sites que nous accompagnons en maintenance sont sécurisés et ne présentent aucune faille de sécurité. 

agence experte WordPress

💡 Ce qu’on fait chez Transfonumerique : c’est que pour tous les sites qu’on a en maintenance, on fait toutes les mises à jour nécessaires de façon hebdomadaire. Vous avez donc la garantie, qu’une fois par semaine, votre site est à jour, et que le moindre bug qui pourrait survenir lors du processus de mise à jour, est géré par une équipe d’experts. Parce que ça serait quand même embêtant que votre site ne soit pas fonctionnel sur un week-end, non ? 😬

Sécuriser son site WordPress est essentiel pour protéger vos données et votre réputation. En suivant les bonnes pratiques décrites dans cet article, vous pouvez réduire considérablement les risques d’attaque.

Voici quelques points clés à retenir :

  • Choisissez un hébergeur de qualité qui propose des services de sécurité adaptés.
  • Utilisez des thèmes et des plugins fiables et compatibles.
  • Installez un plugin de sécurité complet et fiable.
  • Renforcez les paramètres et identifiants de connexion.
  • Effectuez les mises à jour régulières de WordPress et des extensions.
  • Sauvegardez régulièrement la base de données.

Et si vous n’avez pas les compétences ou le temps pour sécuriser votre site vous-même, faites-vous accompagner par une agence web experte en WordPress.

N’hésitez pas à nous contacter si vous avez des questions ou si vous souhaitez obtenir un devis 🚀
Table des matières
Temps de lecture
7 min
Partager l'article
Vous souhaitez échanger avec nous au sujet d'un de vos projets ?

Découvrez des articles similaires.

plugin seo chrome

Nos plugins SEO Chrome favoris

Chez Transfonumérique, nous avons tous notre propre “setup” d’extensions. Lors de la rédaction de cet article, j’ai fait un tour d’open space pour voir avec mes collaborateurs quels étaient les leurs. Aujourd’hui, je vous révèle les plugins Chrome préférés de nos équipes en matière de SEO.
7 min
meilleurs outils SEO

Les 10 meilleurs outils SEO en 2024

Avec l’avènement de l’intelligence artificielle, on entend de plus en plus dire que les “robots” ne remplaceront jamais les humains pour mettre en place une bonne stratégie de référencement, et c’est vrai. En revanche, on n’a jamais dit que vous deviez vous débrouiller à 100% seul !
9 min
Dashboard monitoring seo

Comment créer un dashboard SEO sur Google Looker Studio

Le dashboard est votre meilleur allié pour analyser les résultats de votre stratégie SEO et prendre des décisions la concernant. Sans un dashboard de monitoring, l’analyse de votre stratégie est réalisable, mais elle vous demandera plus de temps et d’énergie. Grâce à l’outil gratuit de création de dashboard de Google : Looker Studio, vous pouvez regrouper l’ensemble de vos données pour prendre des décisions éclairées.
9 min