Comment bien sécuriser son site WordPress ?

Comment bien sécuriser son site WordPress ?

Avec plus de 60 millions d’utilisateurs, WordPress est le CMS (Content Management System = Système de Gestion de Contenu) le plus utilisé au monde (loin devant Joomla, Drupal, Magento, Prestashop, Shopify etc.). On entend donc beaucoup de rumeurs disant que WordPress est peu sécuritaire et qu’il vaut mieux opter pour une autre plateforme. Chez My Little Big Web, nos experts en conception web ne privilégient aucune plateforme, seules les performances comptent. En revanche, en tant que créateurs et hébergeurs de sites web, nous pouvons vous assurer que les sites WordPress (du moins ceux que nous concevons) sont très sécuritaires et je vais vous détailler dans cet article comment, vous aussi, vous pouvez sécuriser votre site WordPress.

Le choix du thème

Lorsque vous concevez votre site WordPress, vous devez d’abord choisir un thème parmi tous ceux qui sont proposés. Certains sont gratuits, connus, fiables et d’autres non. Un des sites que je recommande pour le choix de votre thème WordPress est Theme Forest. Ce site offre une multitude de thèmes et pas uniquement des thèmes WordPress. Ce que j’aime également sur ce site est qu’il vous donne beaucoup d’information sur le thème que vous choisissez (commentaires clients, dernières mises à jour, compatibilité avec les plugins, nombre de fois où il a été téléchargé etc.) :

comment-securiser-son-site-wordpress-choix-du-theme-2

Un conseil, privilégiez plutôt un thème payant où vous pourrez bénéficier d’un support en cas de problème plutôt qu’un thème gratuit de base car le faible montant additionnel investi en vaut vraiment la peine. Pensez également à enlever le nom du thème que vous utilisez car il comporte peut-être des failles de sécurité connues des pirates.

Le choix des modules

Comme je vous le disais plus haut, WordPress fonctionne avec un thème (squelette du site) et des modules (applications permettant d’ajouter des fonctionnalités à votre site). Il arrive donc souvent que le thème et les modules rencontrent des incompatibilités. Dans ces cas là, il faut soit changer de thème, soit essayer de régler les incompatibilités, soit changer de modules et vous pouvez vite perdre beaucoup de temps.

Pour votre information, la plupart des bugs sur WordPress sont dûs à des incompatibilités entre les modules ou le thème. Là aussi, vous devez choisir des modules compatibles avec votre thème et ne pas hésiter à investir un peu pour avoir un module stable et régulièrement mis à jour.

Le plus simple est de faire la liste des fonctionnalités que vous souhaitez avoir sur votre site, chercher les modules correspondants et vérifier sur internet si votre thème est compatible avec ces modules (et également si les modules sont compatibles entre eux). Faites également attention aux sites sur lesquels vous téléchargez vos modules. Je vous recommande de les télécharger directement sur le site de WordPress pour avoir les dernières versions.

comment-securiser-son-site-wo rdpress-choix-des-modules

La sécurité de vos paramètres de connexion

La première chose à faire est de supprimer le nom d’utilisateur « admin » proposé par défaut lorsque vous installer WordPress. Beaucoup de gens le laissent et se disent qu’il « ne faut pas l’enlever » alors qu’il représente une faille de sécurité importante. En effet, pour accéder à la partie admin de votre site WordPress, une personne a besoin d’un login et d’un mot de passe. En conservant le login « admin » vous facilitez le travail des éventuels hackers :

comment-securiser-son-site-w ordpress-choix-des-logins

Pensez également à bien sécuriser votre mot de passe (ne pas mettre « admin » comme mot de passe comme nous avons déjà pu le voir sur certains sites). Utilisez un mot de passe d’au moins 8 caractères avec des chiffres, des majuscules et des caractères spéciaux.

Même s’il peut être tentant d’utiliser le même mot de passe pour votre boite de messagerie, votre compte Facebook, votre site WordPress (etc.), gardez en tête que si vous vous faites pirater votre mot de passe, les pirates vont essayer tous vos comptes.

Pensez également à restreindre le nombre de tentatives de connexion afin d’éviter qu’un robot se lance à la recherche de votre mot de passe. Vous pouvez pour cela télécharger un module comme Login Lock Down sur le site de WordPress qui vous permet de définir le nombre maximum de tentatives de connexions.

Mettez à jour WordPress mais faites attention

Il est très important de garder votre WordPress à jour pour pouvoir profiter des dernières corrections de sécurité. Il est important de procéder rapidement aux mises à jour car lorsque WordPress annonce une mise à jour de sa plateforme (ou de ses modules), il est souvent indiqué que c’est pour régler telle ou telle faille de sécurité. Autant dire que WordPress indique clairement le chemin aux hackers en disant « les failles de sécurité pour telle et telle version de WordPress sont ici ». Pensez donc à masquer la version de WordPress que vous utilisez. Pour cela, ajoutez cette ligne de code dans le fichier function.php :

comment-securiser-son-site-wordpre ss-masquer-sa-version-wordpress

Dans le titre de cette partie, je vous dis de mettre à jour votre site WordPress mais de faire attention. En effet, il ne fait pas vous jeter sur chaque mise à jour proposée avant d’avoir lu et compris en quoi consiste cette mise à jour. Il peut arriver que la mise à jour ne vous concerne pas car elle permet de corriger une faille de sécurité d’un module que vous ne possédez pas. De plus, il convient d’attendre un peu avant de faire la mise à jour pour voir si des incompatibilités sont constatées par d’autres utilisateurs et ensuite corrigées par WordPress. Je sais que je vous ai conseillé plus haut de ne pas attendre trop longtemps avant de faire les mises à jour mais attendre une semaine ne va pas mettre en péril la sécurité de votre site.

Protégez et sauvegardez régulièrement votre base de données

En cas d’attaque, la première chose à faire est de restaurer la base de données pour réafficher votre site. Vérifiez auprès de votre hébergeur à quelle fréquence il sauvegarde vos données ou installez un module comme BackWPup vous permettant de sauvegarder vous-même votre base.

Pensez également à changer le nom de votre base MySQL qui attribue automatiquement le préfixe wp_ lorsque vous installez WordPress.

Protégez votre fichier wp-config

Par défaut, n’importe quelle personne peut accéder à vos dossiers WordPress à partir de son navigateur. Pour corriger cela, inscrivez ces lignes de code dans votre fichier htaccess :

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Protégez également votre fichier htaccess pour éviter qu’il soit consultable par n’importe qui :

<Files .htaccess> order allow,deny deny from all </Files>

Conclusion

Vous savez maintenant comment prendre les précautions de base pour protéger votre site WordPress. Il y en a d’autres mais cet article s’adresse aux personnes voulant gérer et sécuriser leur site WordPress elles-mêmes. Je ne suis donc pas rentré dans les détails et manipulations trop techniques car je ne voudrais pas vous faire faire de mauvaises manipulations.

Avant de mettre à jour vos fichiers sensibles et installer de nouveaux modules de sécurité, prenez le temps de sauvegarder votre base de données car il arrive souvent que les sites WordPress (et autres plateformes de gestion de contenu) soient attaqués par les propriétaires de sites eux-mêmes ! Personne n’est à l’abri d’une mauvaise manipulation donc prenez votre temps et n’hésitez pas à nous demander conseil si vous n’êtes pas sûr.

Si vous avez aimé cet article, vous aimerez surement celui-ci : créer un site web, 3 points à considérer.

Bonne lecture !

N’hésitez pas à nous contacter au 514 437 4245 ou via notre formulaire de contact si vous souhaitez parler à un conseiller qui répondra à toutes vos questions.

Your Name (required)

Your Email (required)

Subject

Your Message

Besoin d'un Little BIG coup de pouce ???
Contactez La LITTLE BIG TEAM !

+1 514 437-4245

Nom et prénom *
Adresse courriel *
Téléphone *
Sujet
Votre message