Conception de site web – 13 choses à faire pour sécuriser votre site WordPress

Un site web WordPress dont la sécurité n’est pas optimisée peut rapidement devenir une proie facile pour les Hackers. Suivez ces 13 étapes pour bien sécuriser votre site web. 

Cet article a été rédigé par notre blogueur invité Steve Pellan, responsable de la stratégie numérique chez Digital Marketing Solutions. 

Plus de 37% de sites web de nos jours sont créés avec WordPress. C’est le système de gestion de contenu le plus utilisé au monde. Ceci fait donc de lui la cible la plus visée par les pirates informatiques.

Un site web WordPress dont la sécurité n’est pas optimisée peut rapidement devenir une proie facile pour les Hackers.

WordPress est l’une des meilleures technologies de conception de site web. Mais pour réellement avoir l’esprit tranquille, vous ne devez pas vous limiter à la conception du site web.

Optimiser sa sécurité est essentiel pour la protection de vos données et la survie de votre site web.

Voilà pourquoi nous avons relevé 13 choses à faire pour sécuriser votre site WordPress.

1 # Sécurité WordPress : Investir dans un hébergement sécurisé

Sécuriser votre site WordPress va bien au-delà d’un verrouillage. Pour une bonne sécurité de votre site WordPress, vous devez acheter un hébergement auprès d’un hébergeur en qui vous pouvez avoir confiance et qui offre du support technique (rien de pire que d’attendre au téléphone pendant 1h qu’un agent finisse par vous répondre).

Vous pouvez également héberger vous-même votre site web sur votre propre VPS. Dans ce cas, des connaissances techniques sont nécessaires à cet effet.

Maintenir un environnement WordPress parfaitement résilient et sécurisé implique un durcissement du serveur. Ainsi, plusieurs couches de mesures de sécurité sont nécessaires aux niveaux matériel et logiciel. Ceci permettra à l’infrastructure hébergeant de se défendre même contre les attaques les plus sophistiquées.

Pour un hébergement de qualité, vous devez :

• Mettre à jour les serveurs hébergeants avec des systèmes les plus récents ;
• Utiliser les logiciels de sécurité les plus à jours ;
• Mettre en place les pare-feux au niveau du serveur avant d’installer WordPress;
• Configurer le serveur pour n’utiliser qu’un réseau sécurisé et des protocoles chiffrant les protocoles de transfert de fichiers (SFTP).

2 # Sécurité WordPress : Utiliser la version la plus récente de PHP

PHP est la colonne vertébrale d’un site WordPress, raison pour laquelle vous devez installer la version la plus récente sur votre serveur. Après sa sortie, chaque version de PHP est très souvent prise en charge au cours des deux années suivantes.

Pendant cette période, les problèmes de sécurité et les bugs sont en permanence résolus et corrigés. Mais malheureusement, environ la moitié d’utilisateurs de WordPress utilisent des versions de PHP qui ne sont plus supportées. C’est-à-dire des versions en dessous de 7.3.

Cela est tout à fait effrayant au regard de ce que cela signifie en termes de vulnérabilité de leurs sites WordPress et de leurs données.

3 # Sécurité WordPress : Faites régulièrement les backups de votre base de données

Les contenus de tous les sites web sont conservés dans une base de données. Une sauvegarde régulière de ces données est capitale. Ainsi, en cas de problème, vous pourrez restaurer votre site WordPress dans une version précédente.

Un minimum d’une sauvegarde par semaine est recommandé pour assurer la pérennité et la sécurité de votre site WordPress. Prenez le soin d’avoir les dates des différentes sauvegardes. Cela vous facilitera la restauration du site web en cas de piratage entraînant la perte du site ou d’erreurs.

Renseignez-vous auprès de votre hébergeur sur sa politique de backup. Par ailleurs, il existe des extensions offrant des services de sauvegardes automatiques de votre site WordPress.

À cet effet, vous pouvez par exemple utiliser les extensions telles que :

• Manage WP ;
• BackWpup ;
• UpdraftPlus WordPress Backup Plugin.

4 # Sécurité WordPress : Mettre régulièrement votre site web à jour

Pour optimiser la sécurité de votre site WordPress, il faut régulièrement le mettre à jour.

Voici 5 raisons très importantes de garder votre site web à jour.

Cette recommandation est valable non seulement pour le CMS, mais également pour les extensions installées.

Les développeurs de l’univers wordpress travaillent en permanence pour corriger les failles détectées. Dès que la faille est corrigée, une nouvelle version du CMS ou de l’extension est mise en place pour les corriger.

Les Hackers étant aux aguets pour exploiter la faille, tout site WordPress non à jour devient vulnérable à leurs attaques.

La mise à jour de votre extension de sécurité est également essentielle car elle intègre la protection contre de nouveaux virus et systèmes de piratage.

5 # Sécurité WordPress : Installer une extension de sécurité de votre site web

De même que les ordinateurs ont besoin des antivirus pour leur sécurité, vous pouvez assurer la sécurité de votre site WordPress en utilisant des extensions de sécurité.

Ces plugins sont très souvent conçus non seulement pour protéger votre site WordPress des virus, mais aussi pour assurer plusieurs aspects de la sécurité de votre site web. Il existe plusieurs tels que :

• Securi Sécurity ;
• Wordfence Security ;
• WP Fail2ban ;
• itheme Security.

Par exemple, plus de 3 millions de sites web WordPress sont sécurisés avec Wordfence Security, qui permet par exemple :

• La surveillance du trafic sur votre site WordPress et blocage du trafic suspect ou malveillant ;
• Vérification de l’intégration de vos fichiers et réparation de ceux-ci ;
• L’activation de l’authentification à 2 facteurs ;
• Vous notifier concernant les nouvelles mises à jour de WordPress ;
• L’utilisation d’un système CAPTCHA pour bloquer des robots.

6 # Sécurité WordPress : N’utilisez que des thèmes et extensions officiels

L’installation ou l’utilisation des plugins non officiels est un défaut de sécurité pour votre site WordPress.

Ainsi, les thèmes et extensions crackés contiennent très souvent des virus et leur installation expose votre site web aux intrusions des hackers. N’installez donc que des extensions validées par WordPress.

Vérifiez les commentaires et les évaluations laissés par les utilisateurs pour avoir une idée sur le plugin ou le thème.

Un thème ou une extension non validé peut rapidement devenir une porte d’entrée des virus et des pirates.

Passez toujours par l’option “ajout d’extensions” de WordPress pour installer vos thèmes et extensions.

7 # Désinstaller les plugin et thèmes non utilisés

De façon générale, lors du choix d’un thème ou d’un plugin, il faut en tester plusieurs. Mais la mauvaise habitude consiste à les laisser installer alors qu’on ne l’utilise plus ou de seulement les désactiver.

Ainsi, ces extensions et thèmes alourdissent votre base de données. Outre cela, ils peuvent devenir de véritables portes d’entrée pour les pirates, surtout si vous ne les mettez pas à jour.

Pour réduire le risque de piratage de votre site WordPress, il est donc recommandé de supprimer tous les thèmes et extensions inutiles.

8 # Modification de votre adresse de connexion

La modification de votre adresse de connexion peut également renforcer la sécurité de votre site WordPress. En effet, WordPress vous propose par défaut l’adresse de connexion : www.votresite.com/wp-admin et cette adresse est connue des hackers.

La modification de cet url sécurise davantage votre site WordPress. Vous pouvez le faire en modifiant le fichier .htaccess. L’utilisation d’une extension conçue à cet effet telle que : Custom Login Url est une autre alternative.

Pour les personnes n’ayant pas de connaissances en code, cette deuxième solution est bien meilleure.

9 # Activation de l’authentification en 2 étapes

Plusieurs extensions proposent l’option de l’authentification en 2 étapes pour perfectionner la sécurité de votre site WordPress. Cette option offre une sécurité quasiment à 100%.

Elle procède généralement par la fourniture d’un code de connexion par appel ou par SMS après l’insertion de votre mot de passe. Pour pirater votre site WordPress, le Hacker sera obligé d’avoir accès à votre téléphone et à votre mot de passe. Ce qui est quasi impossible.

De nombreuses extensions offrent le service d’authentification à 2 facteurs. Nous pouvons citer par exemple :

• Google Authenticator
• Duo Two-Factor Authentication
• Two Factor Authentication

Presque toutes ces extensions disposent chacune d’une application mobile fonctionnant de paire avec l’extension et à partir de laquelle le code de connexion est généré.

10 # Suppression de votre compte Administrateur

Sur WordPress, l’identifiant admin est fourni à défaut. Cela est connu des hackers qui n’hésitent pas à l’exploiter pour pirater votre site web.

Ne leur facilitez donc pas la tâche, créez dans un premier temps un identifiant personnalisé dont ils ne peuvent pas deviner. Ensuite, supprimez le compte administrateur. N’oubliez surtout pas de donner au nouveau compte un niveau d’accès admin avant la suppression du compte administrateur.

11 # Utilisation d’un certificat SSL (HTTPS) pour sécuriser la connexion à votre site WordPress 

Il vous arrive très souvent de voir un petit cadenas à au début de certaines url. Vous pouvez également remarquer le signe suivant : HTTPS au début de cet url. Ces insignes signifient que le site en question est tributaire d’un certificat SSL.

Il s’agit d’un certificat qui active le protocole HTTPS pour sécuriser la connexion entre votre navigateur et le serveur du site web.
Ce service est capital pour les sites web qui intègrent des systèmes de paiement (boutique en ligne, etc.) Il permet ainsi de sécuriser toutes les interactions entre les internautes et votre site WordPress.

C’est également un élément important pour le référencement naturel de votre site web. La présence du certificat SSL influence votre positionnement dans les moteurs de recherche.

12 # Sécurisation du site WordPress contre DDoS

C’est un système d’attaque de déni de service. Les pirates rendent votre site web inaccessible et lancent plusieurs attaques simultanées contre lui.
Concrètement, il s’agit de plusieurs serveurs qui effectuent en même temps des actions contre une cible. Le but étant de la surcharger et de l’amener à crasher afin d’être hors service.

Pour sécuriser votre site WordPress contre ces types d’attaques, il existe certaines extensions à y installer. Celles-ci sont assorties de système anti-DDoS pour contrer de telles attaques en atténuant la surcharge de requêtes.
Vous pouvez par exemple installer :

• Cloudflare ;
• Ou même Sucuri Security.

13 # Masquer votre version de WordPress


Chaque version de WordPress dispose des failles spécifiques connues des hackers qui peuvent facilement les exploiter. Masquer la version utilisée pour la conception de votre site web serait donc un moyen de leur compliquer les choses et renforcer la sécurité de votre site WordPress.

Cette modification se fait à deux niveaux :

• Dans le fichier function.php
• Dans le fichier Readme.html
• Situé à la racine de votre WordPress, ce dernier doit être supprimé.

---

Steve Pellan est responsable de la stratégie numérique chez Digital Marketing Solutions Visitez le site web https://digitalmarketsolution.com/ pour plus d’information sur la conception de site web.

---

À Propos de Nexxo

Nexxo Solutions informatiques est une entreprise qui se spécialise dans la prestation de services informatiques et technologiques auprès des entreprises québécoises. Sa mission est d’offrir aux entreprises québécoises des services informatiques adaptés à leurs besoins. En agissant comme un département T.I. externe, elle prend en charge toutes les tâches informatiques d’une entreprise pour lui permettre de se concentrer sur ses activités d’affaires. Elle y arrive en collaborant étroitement avec ses clients et en mettant leurs intérêts au centre de ses préoccupations.