Un des principaux inconvénients de WordPress restera sa faible sécurité par défaut, car il s’agit d’une solution Open Source, ce qui signifie que n’importe qui peut accéder au code source général de WordPress. Ainsi, lorsqu’on ne met rien en place d’un point de vue sécurité, on se confronte à plusieurs dangers.
Au niveau des conséquences, on parle de vol de données sensibles, d’atteinte à la réputation de l’entreprise, de pertes financières, de défiguration du site web voir de cessation complète de son activité… Bref ! On ne vous fait pas un dessin : il vaut mieux éviter.
Mais pas de panique, dans cet article, on vous donne quelques bonnes pratiques à mettre en place pour sécuriser votre site WordPress.
Sécuriser son site : choix d’un hébergement de qualité
L’hébergeur est le garant de la sécurité physique du serveur où est hébergé le site WordPress. Dans un monde idéal, votre hébergeur web vous fournit des sauvegardes régulières, l’installation de certificats SSL, une surveillance par pare-feu, et la recherche et suppression automatique des logiciels malveillants…
💡 Ce qu’on fait chez Transfonumerique : nous utilisons une des solutions les plus réputées en France qui est OVH qui propose des services d’hébergement dédiés ou mutualisés.
Utilisation de thèmes et de plugins fiables pour son site web
Pour faire simple, un site WordPress est construit à partir d’un thème, qu’on peut comparer au squelette, et de divers plugins ou modules, qui viennent ajouter des fonctionnalités spécifiques à votre site.
La plupart du temps, les incompatibilités entre les modules et le thème sont à l’origine des bugs sur WordPress.
Pensez à supprimer les plugins inutilisés : c’est d’autant moins de risques de développer une faille de sécurité (et, en plus, ça optimise les performances de votre site).
💡 Ce qu’on fait chez Transfonumerique : pour tous les sites qu’on a eu l’occasion de créer, on part d’un thème le plus simple possible. Ainsi, on s’assure la compatibilité des plugins dans la majorité des cas.
Installer un plugin de sécurité complet et fiable
Puisqu’il existe des plugins pour à peu près toutes les fonctionnalités que vous voulez ajouter à votre site, vous vous doutez bien que certains modules ont été spécialement conçus pour renforcer la sécurité de votre site WordPress 😉
Généralement, parmi les fonctionnalités proposées par ces modules, on retrouve :
- l’analyse du site pour détecter les vulnérabilités et les malwares,
- la protection contre les attaques par force brute,
- la sauvegarde et la restauration de la base de données,
💡 Ce qu’on fait chez Transfonumerique : nous, on utilise le plugin Secupress en version agence qui permet d’effectuer des scans de sécurité ainsi que de protéger contre d’éventuelles attaques.
Renforcement des paramètres et identifiants de connexion sur votre WordPress
Par défaut, la page de connexion au back-office est “www.votre-site.fr/wp-admin” et votre nom d’utilisateur est “admin”. Ça peut paraître un peu bête, mais c’est comme si vous donniez aux hackeurs le chemin d’accès à vos données sensibles et votre nom d’utilisateur. Ok, il lui manque le mot de passe, mais c’est toujours mieux de rajouter quelques couches de sécurité supplémentaires, non ?
On vous recommande donc de modifier l’URL de chemin d’accès à votre back-office, ainsi que votre nom d’utilisateur.
Concernant le mot de passe, on se permet de préciser au cas où : évitez votre date de naissance, le nom de votre chat, de mettre le même mot de passe sur Facebook, votre boîte mail et votre compte Marmiton, et oubliez le azerty123456. Plus sérieusement, on vous recommande
- un mot de passe long (minimum syndical : 12 caractères),
- une combinaison de chiffres, de lettres (minuscules et majuscules), et de caractères spéciaux,
- d’utiliser un gestionnaire de mots de passe pour générer des mots de passe forts et uniques.
Vous pouvez aussi penser à limiter le nombre de tentatives de connexions autorisées et à activer l’authentification à deux facteurs.
💡 Ce qu’on fait chez Transfonumerique : on change toujours le chemin d’URL de la page de connexion au back-office et le nom d’utilisateur. Simple. Basique.
Mises à jour régulières de WordPress et des extensions
On a déjà traité en détail Comment effectuer la maintenance de son site web dans cet article dédié, mais c’est l’occasion de refaire un point rapide.
Un site non maintenu devient assez rapidement vulnérable aux attaques. Et quand on dit “maintenu”, ici, on veut dire “mis à jour”. En mettant à jour votre site, vous évitez que des pirates profitent des failles de sécurité des anciennes versions de WordPress et que des bugs persistent.
💡 Ce qu’on fait chez Transfonumerique : on effectue les mises à jour de nos sites tous les vendredis matin afin de ne pas tomber en panne le week-end et ainsi que nos sites en gestion soient opérationnels pour recevoir un maximum de trafic.
Sauvegarde la base de données
On ne veut pas vous faire peur, mais on va parler du scénario catastrophe : dans le cas où vous perdriez tout ou partie de votre site, vous pourriez restaurer assez “facilement” les données perdues grâce à des sauvegardes préalablement effectuées. On parle, ici, de “backups”.
D’ailleurs, on ne l’a pas précisé dans la partie précédente, mais il est essentiel d’effectuer une sauvegarde avant de réaliser vos mises à jour.
Techniquement, comment ça se passe ?
Deux solutions s’offrent à vous : sauvegarder votre site WordPress manuellement, ou installer une extension pour le faire. Dans le deuxième cas, selon que vous choisissiez une version gratuite ou premium de l’extension, vous devrez quand même demander manuellement la sauvegarde, mais le process de sauvegarde se fera tout seul.
💡 Ce qu’on fait chez Transfonumerique : nous installons une solution de gestion des backups ainsi qu’une copie des sauvegardes hébergeur stockées sur un cloud sécurisé.
Faites-vous accompagner par une agence pour sécuriser votre site web
Ce qu’il faut savoir avec WordPress, c’est que le fait de ne pas le tenir à jour régulièrement est très dangereux en termes de piratage. Le développement web est un métier à part entière, et l’aspect sécuritaire de votre site web en est une composante essentielle. Savoir sécuriser son site WordPress n’est pas donné à tout le monde : vous faire accompagner par une agence, c’est la garantie que vous n’aurez pas de problème à venir, et que vous aurez toujours une main technique pour gérer les évolutions ainsi que palier à tout souci. Chez Transfonumerique, nous pouvons être fiers d’annoncer que 100% des sites que nous accompagnons en maintenance sont sécurisés et ne présentent aucune faille de sécurité.
💡 Ce qu’on fait chez Transfonumerique : c’est que pour tous les sites qu’on a en maintenance, on fait toutes les mises à jour nécessaires de façon hebdomadaire. Vous avez donc la garantie, qu’une fois par semaine, votre site est à jour, et que le moindre bug qui pourrait survenir lors du processus de mise à jour, est géré par une équipe d’experts. Parce que ça serait quand même embêtant que votre site ne soit pas fonctionnel sur un week-end, non ? 😬
Sécuriser son site WordPress est essentiel pour protéger vos données et votre réputation. En suivant les bonnes pratiques décrites dans cet article, vous pouvez réduire considérablement les risques d’attaque.
Voici quelques points clés à retenir :
- Choisissez un hébergeur de qualité qui propose des services de sécurité adaptés.
- Utilisez des thèmes et des plugins fiables et compatibles.
- Installez un plugin de sécurité complet et fiable.
- Renforcez les paramètres et identifiants de connexion.
- Effectuez les mises à jour régulières de WordPress et des extensions.
- Sauvegardez régulièrement la base de données.
Et si vous n’avez pas les compétences ou le temps pour sécuriser votre site vous-même, faites-vous accompagner par une agence web experte en WordPress.
