Conception sites web

Comment bien sécuriser son site WordPress ?

23 juin 2023 Maxence Pezzetta

Avec plus de 60 millions d’utilisateurs, WordPress est le CMS (Content Management System = Système de Gestion de Contenu) le plus utilisé au monde (loin devant Joomla, Drupal, Magento, Prestashop, Shopify etc.).

On entend donc beaucoup de rumeurs disant que WordPress est peu sécuritaire et qu’il vaut mieux opter pour une autre plateforme. Chez My Little Big Web, nos experts en conception Web sont axés sur la performance des sites Web qu’ils créent.

En tant que créateurs et hébergeurs de sites Web, nous pouvons vous assurer que les sites WordPress (du moins ceux que nous concevons) sont très sécuritaires et je vais vous détailler dans cet article comment sécuriser votre site WordPress.

Sommaire

1. Choisissez bien votre thème WordPress

Lorsque vous concevez votre site WordPress, vous devez d’abord choisir un thème parmi tous ceux qui sont proposés. Certains sont gratuits, connus, fiables et d’autres non. Un bon thème ne devrait pas seulement être esthétiquement plaisant, mais également offrir une protection adéquate contre les vulnérabilités de sécurité connues.

Un des sites que je recommande pour le choix de votre thème WordPress est Theme Forest.

Ce site offre une multitude de thèmes et pas uniquement des thèmes WordPress. Ce que j’aime également sur ce site est qu’il vous donne beaucoup d’information sur le thème que vous choisissez (commentaires clients, dernières mises à jour, compatibilité avec les plugins, nombre de fois où il a été téléchargé etc.) :

comment-securiser-son-site-wordpress-choix-du-theme-2

Un conseil, privilégiez plutôt un thème payant où vous pourrez bénéficier d’un support en cas de problème plutôt qu’un thème gratuit de base car le faible montant additionnel investi en vaut vraiment la peine. Pensez également à enlever le nom du thème que vous utilisez car il comporte peut-être des failles de sécurité connues des pirates.

Lorsque vous choisissez un thème ou un plugin, vérifiez que le développeur met à jour régulièrement son produit et qu’il a de bonnes évaluations. Un thème ou un plugin mal conçu peut créer des vulnérabilités sur votre serveur.

2. Choisissez des modules sécuritaires

WordPress fonctionne avec un thème (squelette du site) et des modules (applications permettant d’ajouter des fonctionnalités à votre site). Ces modules sont aussi appelées extensions ou plugins.

Plus le site aura de fonctionnalités, plus il aura d'extensions installées (à moins qu'elles soient toutes codées à la main mais c'est rare dans un site WordPress). Il arrive donc souvent que le thème et les modules rencontrent des incompatibilités. Dans ces cas là, il faut soit changer de thème, soit essayer de régler les incompatibilités, soit changer de modules et vous pouvez vite perdre beaucoup de temps.

Pour votre information, la plupart des bugs sur WordPress sont dûs à des incompatibilités entre les modules ou le thème. Là aussi, vous devez choisir des modules compatibles avec votre thème et ne pas hésiter à investir un peu pour avoir un module stable et régulièrement mis à jour.

Le plus simple est de faire la liste des fonctionnalités que vous souhaitez avoir sur votre site, chercher les modules correspondants et vérifier sur internet si votre thème est compatible avec ces modules (et également si les modules sont compatibles entre eux).

Faites également attention aux sites sur lesquels vous téléchargez vos modules. Je vous recommande de les télécharger directement sur le site de WordPress pour avoir les dernières versions.

comment-securiser-son-site-wo-rdpress-choix-des-modules

3. Installez un plugin de sécurité

Toujours dans le registre des extensions, l'installation d'un module de sécurité est indispensable pour bien sécuriser votre site WordPress. Encore une fois, il ne s'agit pas de l'installer pour rayer la tâche de sa liste de choses à faire mais de sélectionner le bon module.

Pour cela, il y a un trois critères importants :

  • Sécurisation des profils d'utilisateurs : un des points d'entrée courant sur les sites internet non sécurisé est le profil de vos utilisateurs. Cette fonction permet d'être informé quand une personne essaie de se connecter en utilisant des identifiants erronés. Ces extensions peuvent également mettre en place une interdiction sur les profils d'utilisateurs suite à un nombre défini de tentatives d'accès échouées.
  • Repérage des essais d'effraction : les extensions de sécurité sont également efficaces pour identifier toute tentative d'effraction sur un site Web. Elles restreignent le nombre de tentatives de connexion afin d’éviter qu’un robot ou un pirate se lance à la recherche de votre mot de passe. Le module comme Login Lock Down permet de définir le nombre maximum de tentatives de connexions.
  • Interdiction des adresses IP indésirables : il existe aussi des plugins de sécurité qui donnent la possibilité de refuser l'accès à certaines adresses IP indésirables. Dans ce cas, il est possible de créer une liste d'adresses IP à interdire, ou d'employer des listes publiques pour bloquer les adresses IP connues pour être exploitées par des pirates informatiques.
  • Antivirus : l'extension soit aussi avoir une fonction d'antivirus. En plus de servir de gardien de sécurité pour votre site Web, elle pourrait bloquer les menaces et vous avertir en cas de problème.

Il existe de nombreux plugins de sécurité, voici une liste des plus populaires.

  • All In One WP Security
  • Security Ninja
  • Sucuri Security
  • Bulletproof security
  • Wordfence
  • iTheme Security

Attention, ces plugins ne font pas tout. Il faut quand même une intervention humaine pour paramétrer le plugin et faire les vérifications.

4. Sécurisez vos paramètres de connexion

4.1. Modifiez le nom d'utilisateur par défaut

La première chose à faire est de supprimer le nom d’utilisateur « admin » proposé par défaut lorsque vous installer WordPress. Au lieu de cela, créez un nom d'utilisateur unique pour le compte administrateur.

Beaucoup de gens le laissent et se disent qu’il « ne faut pas l’enlever » alors qu’il représente une faille de sécurité importante. En effet, pour accéder à la partie admin de votre site WordPress, une personne a besoin d’un login et d’un mot de passe. En conservant le login « admin » vous facilitez le travail des éventuels hackers :

comment-securiser-son-site-w ordpress-choix-des-logins

En plus de servir de gardien de sécurité pour votre site Web, ce changement simple offre une couche supplémentaire de protection en rendant plus difficile pour les pirates d'accéder à vos données.

4.2. Modifier le mot de passe

Pensez également à bien sécuriser votre mot de passe (ne pas mettre « admin » comme mot de passe comme nous avons déjà pu le voir sur certains sites). Voici quelques règles à suivre pour créer un mot de passe solide :

  1. Longueur : Un mot de passe devrait contenir au moins 12 caractères, mais plus il est long, plus il est sûr.
  2. Diversité des caractères : Utilisez une combinaison de lettres (majuscules et minuscules), de chiffres et de symboles spéciaux.
  3. Évitez les informations personnelles : N'incluez pas votre nom, votre date de naissance, votre adresse ou toute autre information personnelle que quelqu'un pourrait facilement découvrir ou deviner.
  4. Évitez les mots communs : Les mots de passe basés sur des mots communs, des phrases courantes ou des séquences de clavier (par exemple, "123456" ou "qwerty") sont plus faciles à deviner ou à briser avec des logiciels d'attaque par force brute.
  5. Utilisez des phrases de passe : Une phrase de passe (une série de mots, par exemple "Le chat mange la pomme à midi!") peut être plus facile à retenir qu'un mot de passe traditionnel et plus difficile à pirater grâce à sa longueur.
  6. Pas de réutilisation : Même s’il peut être tentant d’utiliser le même mot de passe pour votre boite de messagerie, votre compte Facebook, votre site WordPress (etc.), gardez en tête que si vous vous faites pirater votre mot de passe, les pirates vont essayer tous vos comptes.
  7. Mise à jour régulière : Changez vos mots de passe régulièrement, surtout si vous suspectez qu'ils ont pu être compromis.
  8. Utilisez un gestionnaire de mots de passe : Un gestionnaire de mots de passe peut générer des mots de passe forts et uniques pour chaque site web et les stocker de manière sécurisée pour que vous n'ayez pas à les retenir tous.

Ces règles ne garantissent pas une sécurité absolue, mais elles peuvent grandement réduire le risque d'un piratage de vos comptes en ligne.

4.3. Utiliser l'authentification en 2 étapes.

L'authentification en deux étapes est devenue très populaire au cours des dernières années par les banques, les organismes gouvernmentaux etc. dans le but de sécuriser les données.

Voyez cela comme avoir une double serrure sur votre porte : même si quelqu'un trouve votre clé (votre mot de passe), il lui manque toujours le code du digicode (un code temporaire généré par votre téléphone, par exemple). Cette méthode est particulièrement efficace pour sécuriser l'accès administrateur.

Activer cette fonctionnalité sur votre site WordPress offre donc un niveau de sécurité supplémentaire, car même si un pirate obtient votre mot de passe, il lui sera toujours difficile d'accéder à votre compte sans ce deuxième facteur d'authentification.

agence seo consultation

5. Mettez à jour WordPress, le thème et les plugins mais faites attention

Il est très important de garder votre WordPress à jour pour pouvoir profiter des dernières corrections de sécurité et de ne pas trainer pour le faire. En effet, lorsque WordPress annonce une mise à jour de sa plateforme (ou de ses modules), il est souvent indiqué que c’est pour régler telle ou telle faille de sécurité.

Autant dire que WordPress indique clairement le chemin aux hackers en disant « les failles de sécurité pour telle et telle version de WordPress sont ici ». Pensez donc à masquer la version de WordPress que vous utilisez. Pour cela, ajoutez cette ligne de code dans le fichier function.php :

comment-securiser-son-site-wordpre ss-masquer-sa-version-wordpress

Avant de procéder à une mise à jour, renseignez vous. En effet, il ne fait pas vous jeter sur chaque mise à jour proposée avant d’avoir lu et compris en quoi elle consiste.

Il peut arriver qu'elle ne vous concerne pas car elle permet de corriger une faille de sécurité d’un module que vous ne possédez pas. De plus, il convient d’attendre un peu avant de faire la mise à jour pour voir si des incompatibilités sont constatées par d’autres utilisateurs et ensuite corrigées par WordPress. Je sais que je vous ai conseillé plus haut de ne pas attendre trop longtemps avant de faire les mises à jour mais attendre une semaine ne va pas mettre en péril la sécurité de votre site.

Une autre bonne pratique, avant de faire ces mises à jour, assurez-vous toujours de faire une sauvegarde complète de votre site pour éviter la perte de données. Une mise à jour peut mal se passer et vous ne voulez pas perdre tout le travail que vous avez fait sur votre site Web.

6. Protégez et sauvegardez régulièrement votre base de données

En cas d’attaque, la première chose à faire est de restaurer la base de données pour réafficher votre site. Vérifiez auprès de votre hébergeur à quelle fréquence il sauvegarde vos données ou installez un module comme BackWPup vous permettant de sauvegarder vous-même votre base.

Pensez également à changer le nom de votre base MySQL qui attribue automatiquement le préfixe wp_ lorsque vous installez WordPress.

7. Protégez votre fichier wp-config

Le fichier wp-config.php est l’un des fichiers les plus importants de votre installation WordPress. Il contient des informations sensibles, comme les informations de connexion à votre base de données et votre serveur.

Par défaut, n’importe quelle personne peut accéder à vos dossiers WordPress à partir de son navigateur.

Pour corriger cela, inscrivez ces lignes de code dans votre fichier htaccess :

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Protégez également votre fichier htaccess pour éviter qu’il soit consultable par n’importe qui :

<Files .htaccess> order allow,deny deny from all </Files>

Et bien entendu, assurez-vous d'avoir une sauvegarde de vos fichiers en cas de problème

8. Installez un certificat HTTPS

Le protocole HTTPS assure une connexion sécurisée entre ton navigateur et le site Web. Cela signifie que les informations que tu envoies et reçois sur ce site sont chiffrées, rendant très difficile leur lecture par quelqu'un d'autre.

C'est particulièrement important lorsque tu envoies des informations sensibles, comme des numéros de carte de crédit, des mots de passe, ou d'autres informations personnelles.

Depuis des années, Google et les principaux navigateurs ont mis en place tout un tas de mesure pour favoriser l'installation des certificats de sécurité sur les sites Web. La plupart d'entre eux sont donc sécurisés mais il est très important de maintenir le certificat à jour pour que le site Web reste accessible aux internautes.

9. Choisissez un bon hébergeur

Un bon hébergeur est votre première ligne de défense contre les attaques. Il est essentiel de choisir un hébergeur qui met l’accent sur la sécurité des serveurs, qui propose par exemple des sauvegardes automatiques et une assistance en cas de problème.

est essentiel de choisir un hébergeur qui met l’accent sur la sécurité des serveurs. Non seulement ils doivent offrir des sauvegardes automatiques et une assistance en cas de problème, mais ils devraient également proposer une multitude d'autres fonctionnalités de sécurité.

En premier lieu, recherchez un hébergeur qui offre un pare-feu intégré. Cette mesure supplémentaire de protection peut aider à bloquer les attaques avant qu'elles n'atteignent votre site. Certains hébergeurs offrent également des protections contre les attaques par déni de service distribué (DDoS), qui peuvent être dévastatrices si elles ne sont pas contrées.

Assurez-vous que votre hébergeur propose également une isolation des comptes, ce qui signifie que chaque compte sur un serveur partagé est séparé des autres. De cette façon, même si un autre site sur le même serveur est compromis, le vôtre reste en sécurité.

Vérifiez que votre hébergeur effectue régulièrement des scans de sécurité et dispose de systèmes pour détecter toute activité suspecte. Les mises à jour régulières du serveur, notamment du système d'exploitation et des logiciels de sécurité, sont également cruciales pour la sécurité de votre site.

Enfin, privilégiez un hébergeur qui propose une assistance 24/7. En cas de problème ou d'attaque de sécurité, vous aurez besoin d'aide immédiate pour résoudre la situation. La disponibilité de l'assistance est un facteur à prendre en compte lors du choix de votre hébergeur.

10. Déléguez la maintenance de votre site Web

La gestion et la maintenance d'un site Web peuvent être une tâche complexe qui nécessite une connaissance technique et une attention constante.

Si vous manquez de temps (ou d'intérêt pour le sujet), vous avez tout intérêt à déléguer l'administration de votre site WordPress à une personne ou une équipe qui sera responsable de mettre à jour WordPress, les thèmes et les plugins de votre site Web en plus d'en assurer la sécurité et la protection en continu.

Plus précisément, ces experts seront responsables de plusieurs tâches comme la mise à jour de WordPress, des thèmes et des plugins de votre site. Il seront également en charge d'assurer la sécurité et la protection de votre site en continu. Cela peut comprendre la surveillance de l'activité suspecte, la mise en place de mesures préventives contre les attaques, la réalisation de sauvegardes régulières et la restauration du site en cas de problème.

L'équipe aura besoin d'un accès à un client FTP pour gérer les fichiers du site de manière sécurisée.

N'hésitez pas à vous renseigner pour savoir combien coûte la maintenance et l'hébergement d'un site Web. Généralement, il vaut mieux le déléguer et avoir l'esprit tranquille pour se concentrer sur les activités qui vont vous permettre d'améliorer votre chiffre d'affaires.

Sécurisez votre site WordPress avec les experts de My Little Big Web

Vous savez maintenant comment prendre les précautions de base pour protéger votre site WordPress. Il y en a d’autres mais cet article s’adresse aux personnes voulant gérer et sécuriser leur site WordPress elles-mêmes. Je ne suis donc pas rentré dans les détails et manipulations trop techniques car je ne voudrais pas vous faire faire de mauvaises manipulations.

Avant de mettre à jour vos fichiers sensibles et installer de nouveaux modules de sécurité, prenez le temps de sauvegarder votre base de données car il arrive souvent que les sites WordPress (et autres plateformes de gestion de contenu) soient attaqués par les propriétaires de sites eux-mêmes !

N’hésitez pas à nous contacter au 514 572 7758 ou via notre formulaire de contact si vous souhaitez parler à un conseiller qui répondra à toutes vos questions.

Maxence Pezzetta
Cofondateur et Spécialiste Web Marketing et acquisition de clients Diplômé d’une double Maîtrise en Marketing et Communication, Max cumule plus de 10 ans d’expérience en Marketing digital. Ancien employé de Microsoft, sa mission est de « mettre le Web à la portée de tous » pour aider les entreprises à améliorer leur présence en ligne.
Envoyer un message
Soumission gratuite

Plus de lecture

Conception sites web Les différents types de site Web

Quels sont les différents types de sites Web ?

Conception sites web

Shopify vs WordPress : lequel choisir ?

Conception sites web page d'accueil

Comment créer une page d’accueil attractive ?

Conception sites web Création de site Web pour dentiste

Création de site Web pour dentiste

Conception sites web |

Blogue et site internet : quelles sont les principales différences ?

Conception sites web Optimiser son site Web

Comment optimiser son site Web ?

Youpi!
Scroll top