WordPress, le système de gestion de contenu (CMS) le plus répandu, propulse plus de 30 % des sites Web. Cependant, à mesure que sa popularité augmente, les cybercriminels ont pris conscience de cette tendance et ciblent de plus en plus les sites WordPress. Peu importe le type de contenu que votre site présente, il n’échappe pas à cette menace potentielle. Sans prendre des mesures de précaution, votre site pourrait être la cible de pirates. Comme dans le domaine technologique en général, il est essentiel de garantir la sécurité de votre site Web.
Dans ce guide, dix principales recommandations pour renforcer la sécurité de votre site WordPress.
Choisissez le bon service d’hébergement
La manière la plus simple de renforcer la sécurité de votre site consiste à opter pour un fournisseur d’hébergement proposant plusieurs niveaux de sécurité.
Bien qu’il puisse sembler attrayant de choisir un hébergeur bon marché, il est important de ne pas céder à cette solution. Cela pourrait être désavantageux techniquement sur le long terme.
Investir un peu plus dans un fournisseur d’hébergement de qualité signifie que des couches de sécurité supplémentaires sont automatiquement appliquées à votre site Web. De plus, en optant pour un hébergement WordPress de qualité, vous avez l’avantage significatif d’améliorer considérablement les performances de votre site WordPress.
Parmi la multitude d’entreprises d’hébergement disponibles, notre recommandation s’oriente vers les plus performant. Ils mettent à disposition une variété de mesures de sécurité, comprenant des analyses quotidiennes à la recherche de logiciels malveillants, ainsi qu’une assistance accessible 24 heures sur 24, 7 jours sur 7, toute l’année. En prime, leur tarification est également des plus raisonnables.
Choisir un thèmes recommandé
Les thèmes premium de WordPress semblent plus professionnels et offrent davantage d’options de personnalisation que leurs homologues gratuits. Cependant, comme on dit, la qualité a un prix. Les thèmes premium sont conçus par des développeurs hautement qualifiés, et ils subissent des tests rigoureux pour s’assurer de leur compatibilité avec WordPress dès leur installation. Vous avez une totale liberté pour personnaliser votre thème, et vous bénéficiez d’un support complet en cas de problème sur votre site. De plus, vous recevez régulièrement des mises à jour pour votre thème.
Cependant, il existe des sites qui proposent des versions annulées ou craquées de ces thèmes. Un thème annulé ou craqué est une version piratée d’un thème premium, accessible de manière illégale. Ces thèmes présentent également un risque considérable pour votre site. Ils contiennent des codes malveillants dissimulés, susceptibles de causer des dommages à votre site Web et à votre base de données, voire de compromettre vos informations d’identification administrateur.
Même si l’idée d’économiser quelques dollars peut sembler tentante, il est fortement déconseillé de recourir à des thèmes annulés.
Installez un plugin de sécurité WordPress
La tâche de vérifier fréquemment la sécurité de votre site Web pour détecter d’éventuels logiciels malveillants peut s’avérer fastidieuse, d’autant plus que, à moins que vous ne soyez constamment à jour sur les meilleures pratiques de codage, vous risquez de ne pas identifier un logiciel malveillant dissimulé dans le code. Heureusement, d’autres ont reconnu que tout le monde n’a pas les compétences de développeur, et ils ont développé des plugins de sécurité WordPress pour vous simplifier la tâche. Un tel plugin de sécurité agit en tant que gardien vigilant de votre site, scrutant en permanence les menaces, effectuant des analyses de logiciels malveillants et surveillant les activités de votre site 24 heures sur 24, 7 jours sur 7.
Un exemple remarquable de plugin de sécurité WordPress tel que Wordfence Security qui propose un panel de fonctionnalités, notamment des audits des activités liées à la sécurité, une surveillance de l’intégrité des fichiers, des analyses à distance des logiciels malveillants, un contrôle des listes noires, un renforcement efficace de la sécurité, des mesures de protection après une éventuelle compromission, des notifications de sécurité, et même la possibilité d’intégrer un pare-feu pour votre site Web (moyennant un coût supplémentaire).
Utilisez un mot de passe fort
es mots de passe sont un élément de sécurité essentiel pour les sites Web, pourtant, ils sont souvent négligés. Si vous utilisez un mot de passe simple tel que « abcde », « 123456 », ou « votredatedenaissance », il est impératif de le changer immédiatement.
Malgré sa facilité à mémoriser, ce type de mot de passe est aussi extrêmement facile à deviner. Un utilisateur averti pourrait aisément le décoder et accéder à votre compte sans grande difficulté.
Il est crucial d’opter pour un mot de passe complexe, voire préférablement d’en utiliser un généré automatiquement. Ce dernier devrait contenir une combinaison de chiffres variés, de lettres aléatoires, et de caractères spéciaux tels que @ ou #.
Désactivez l’édition de fichiers
Lorsque vous configurez votre site WordPress, vous avez la possibilité d’accéder à un éditeur de code via votre tableau de bord, vous permettant de modifier votre thème et vos plugins. Pour y accéder, vous pouvez vous rendre dans « Apparence » > « Éditeur » ou, pour l’éditeur de plugins, vous diriger vers « Plugins » > « Éditeur ».
Cependant, une fois que votre site est en ligne, il est vivement recommandé de désactiver cette fonctionnalité. Cela s’explique par le fait que si des pirates informatiques parviennent à accéder à votre tableau de bord WordPress, ils pourraient insérer subrepticement du code malveillant dans votre thème ou vos plugins. Souvent, ce code sera si discret que vous ne remarquerez peut-être rien d’anormal jusqu’à ce qu’il soit trop tard.
Pour désactiver la possibilité de modifier les plugins et le fichier de thème, vous pouvez simplement insérer le code suivant dans votre fichier wp-config.php :
phpdefine('DISALLOW_FILE_EDIT', true);
Cela permettra de renforcer la sécurité de votre site en empêchant toute modification de code via l’interface d’administration.
Installer le certificat SSL
Aujourd’hui, SSL (Single Sockets Layer) présente des avantages considérables pour une variété de sites Web. Initialement, SSL était principalement utilisé pour sécuriser les sites traitant des transactions spécifiques, telles que le traitement des paiements en ligne. Cependant, à l’heure actuelle, Google reconnaît pleinement son importance en donnant une pondération accrue aux sites qui disposent d’un certificat SSL dans ses résultats de recherche.
Un certificat SSL est désormais essentiel pour tous les sites qui gèrent des informations sensibles, telles que des mots de passe ou des données de cartes de crédit. En l’absence d’un certificat SSL, toutes les données échangées entre le navigateur de l’utilisateur et votre serveur Web sont transmises en texte clair, ce qui les rend potentiellement vulnérables aux pirates informatiques. L’utilisation d’un certificat SSL garantit que les informations sensibles sont cryptées avant d’être transmises entre le navigateur de l’utilisateur et votre serveur, ce qui complique toute tentative de lecture par des tiers non autorisés et renforce la sécurité de votre site.
Les coûts moyens d’un certificat SSL varient généralement de 70 à 199 dollars par an pour les sites qui traitent des informations sensibles. Si votre site ne collecte pas ce type d’informations, la plupart des sociétés d’hébergement proposent un certificat SSL Let’s Encrypt gratuit, facile à installer sur votre site.
Modifiez votre URL de connexion WP
Par défaut, pour accéder à l’interface d’administration de WordPress, l’URL utilisée est généralement « votresite.com/wp-admin ». Cependant, en conservant cette adresse par défaut, vous vous exposez à des attaques potentielles de type force brute, où des tiers tentent de déchiffrer votre combinaison nom d’utilisateur/mot de passe. De plus, si vous autorisez les inscriptions d’utilisateurs sur votre site, vous pourriez être confronté à un flot d’inscriptions indésirables et de spams. Pour éviter ces désagréments, vous avez la possibilité de personnaliser l’URL de connexion de l’administrateur ou d’ajouter des mesures de sécurité, telles qu’une question de sécurité, à la page d’inscription et de connexion.
Renforcer davantage la sécurité de votre page de connexion en intégrant un plugin d’authentification à deux facteurs dans votre installation WordPress. En optant pour cette solution, vous devrez fournir, en plus de votre nom d’utilisateur et de votre mot de passe, une deuxième forme d’authentification, telle qu’une adresse e-mail ou un code SMS. Cela offre un niveau de sécurité accru pour protéger votre site contre des accès non autorisés.
De même, il est judicieux de surveiller les adresses IP effectuant le plus grand nombre de tentatives de connexion infructueuses et de bloquer ces adresses IP. Cette pratique renforce considérablement la sécurité de votre site en réduisant le risque d’accès non autorisés.
Limiter les tentatives de connexion
WordPress autorise les utilisateurs à effectuer un nombre illimité de tentatives de connexion. Bien que cela puisse s’avérer pratique pour corriger des erreurs de frappe, cette approche expose également votre site à des attaques par force brute.
En imposant une limite au nombre de tentatives de connexion, les utilisateurs ont le droit à un nombre prédéfini de tentatives avant d’être temporairement bloqués. Cette restriction réduit considérablement les risques d’attaques par force brute, car les pirates informatiques sont empêchés d’achever leur attaque avant même de commencer.
Pour mettre en place cette fonctionnalité, vous pouvez utiliser un plugin de gestion des tentatives de connexion dans WordPress. Une fois le plugin installé, vous avez la possibilité de configurer le nombre de tentatives autorisées en accédant à « Paramètres » > « Tentatives de limite de connexion ». Si vous préférez activer cette limite sans utiliser de plugin, il existe également une méthode manuelle, que vous pouvez retrouver dans un tutoriel dédié.
Masquer les fichiers wp-config.php et .htaccess
Bien que la dissimulation des fichiers .htaccess et wp-config.php de votre site soit une étape avancée visant à renforcer la sécurité, elle représente une bonne pratique pour quiconque prend sa sécurité au sérieux, afin d’empêcher l’accès de pirates à ces fichiers sensibles.
Nous préconisons vivement que cette mesure soit mise en place par des développeurs expérimentés, car elle nécessite de préalablement effectuer une sauvegarde de votre site et d’agir avec une grande prudence. Une erreur dans ce processus pourrait rendre votre site inopérant.
Pour effectuer la dissimulation des fichiers, après avoir pris une sauvegarde de sécurité, vous devez accomplir deux étapes essentielles. Tout d’abord, dans votre fichier wp-config.php, vous devez insérer le code suivant :
Étape 1 : wp-config.php se trouve dans le répertoire principal de votre installation WordPress et est utilisé par WordPress pour accéder à la base de données.
Étape 2 : Ce fichier comprend votre identifiant utilisateur, votre mot de passe et le nom de la base de données non chiffrés.
Étape 3 : Même s’il s’agit d’un fichier .php, ce qui signifie que personne ne devrait pouvoir voir son contenu depuis le navigateur, cela n’a tout simplement pas de sens pour moi de le conserver dans le dossier principal sans rien y faire.
Étape 4 : L’utilisation la plus courante de .htaccess dans WordPress consiste à définir un lien permanent personnalisé pour une meilleure optimisation du référencement. Cependant, .htaccess pourrait être davantage utilisé pour minimiser davantage la vulnérabilité de votre site.
Étape 5 : Une bonne solution serait de mettre à jour votre .htaccess pour en refuser l’accès. Ici, vous pouvez utiliser la directive files pour refuser l’accès à certains fichiers. Vous pouvez utiliser cette directive pour n’importe quel fichier de votre site Web.
Étape 6 : Ajoutez simplement ce qui suit à votre .htaccess sous le répertoire www :
Dans une méthode similaire, vous ajouterez le code suivant à votre fichier .htaccess,
<Files .htaccess>
order allow,deny
deny from all
</Files>
Même si la procédure en elle-même est relativement simple, il est impératif de garantir que vous avez effectué une sauvegarde préalable avant de démarrer, au cas où un problème surviendrait pendant le processus.
Mettez à jour votre version WordPress
Maintenir votre site WordPress à jour constitue une pratique cruciale pour garantir la sécurité de votre site Web. Lors de chaque mise à jour, les développeurs apportent des modifications, incluant fréquemment des améliorations en matière de sécurité. En restant à jour avec la dernière version, vous vous protégez contre le risque d’être vulnérable à des failles et à des vulnérabilités déjà identifiées que les pirates pourraient exploiter pour accéder à votre site.
Il est également essentiel de mettre à jour vos plugins et thèmes pour des raisons similaires.
Par défaut, WordPress effectue automatiquement les mises à jour mineures. Toutefois, pour les mises à jour majeures, vous devrez effectuer la mise à jour directement depuis votre tableau de bord d’administration WordPress.
Conclusion
La sécurité de votre site WordPress représente un aspect fondamental de la gestion d’un site Web. Si vous négligez la sécurité de votre installation WordPress, vous exposez votre site à des attaques potentielles de pirates. Cependant, il est essentiel de souligner que garantir la sécurité de votre site Web n’est pas une tâche complexe, et de nombreuses mesures peuvent être mises en place sans qu’elles n’engendrent de coûts supplémentaires. Certaines de ces solutions peuvent sembler plus techniques et s’adresser aux utilisateurs chevronnés, mais n’oubliez pas que si vous avez des questions ou des préoccupations, l’aide est à portée de clic, Consulter un des experts prêts à vous assister dans votre conversion numérique.