WordPress est le système de gestion de contenu le plus populaire au monde, ce qui en fait la cible préférée des pirates informatiques. Un site WordPress sans mesures de sécurité appropriées est une invitation ouverte aux hackers qui souhaitent voler vos données ou corrompre votre site web.
Il est essentiel de mettre en place de bonnes pratiques de sécurité dès la création de votre site pour éviter les intrusions constantes. La mise en place de plugins de sécurité n’a pas un impact significatif sur le coût de votre site WordPress. Vous pouvez même sécuriser votre site vous-même.
C’est pourquoi nous allons vous présenter 13 astuces simples pour assurer la sécurité de votre WordPress.
1. Sauvegardez régulièrement votre base de données
Tous les sites possèdent une base de données où les contenus sont stockés. Il est important de sauvegarder régulièrement ces données en cas de problème sur le site. Même si votre site est hautement sécurisé, il est toujours prudent d’avoir une sauvegarde au cas où. Même les plus grands sites web, qui dépensent des sommes considérables pour leur sécurité, peuvent être piratés, alors pourquoi pas le vôtre ?
Effectuez des sauvegardes régulières de votre site pour pouvoir le restaurer après avoir corrigé une vulnérabilité en cas de piratage ou de corruption. Nous vous recommandons de faire une sauvegarde hebdomadaire et de noter la date de chaque sauvegarde.
Il existe des extensions qui vous permettent d’automatiser la sauvegarde de votre base de données et de vos fichiers, et de les stocker sur votre serveur ou sur le cloud (Dropbox, Azure, Google Drive, etc.) ou de les envoyer par e-mail.
2. Vérifiez régulièrement les mises à jour
Pour protéger votre site WordPress, vous devez effectuer régulièrement les mises à jour disponibles. Cette règle s’applique à votre CMS ainsi qu’à tous les plugins que vous utilisez. De nouvelles failles de sécurité sont découvertes régulièrement, ce qui pousse les développeurs à proposer des corrections. Utiliser des extensions obsolètes représente donc un risque majeur.
Les mises à jour de votre plugin de sécurité sont essentielles, car elles prennent en compte les nouveaux virus et les nouvelles méthodes de piratage.
3. Installez un plugin de sécurité
Tout comme vous installez un antivirus sur votre ordinateur, vous pouvez ajouter un plugin de sécurité pour protéger votre site WordPress. Ces plugins protègent non seulement votre site contre les virus, mais ils surveillent également la sécurité globale de votre WordPress.
Ces extensions vous permettent de gérer plusieurs aspects de la sécurité de votre site de manière simple et transparente. Elles regroupent plusieurs outils pour sécuriser votre site. Parmi les extensions populaires, on retrouve WordFence Security, iThemes Security, WP fail2ban, Sucuri Security, SecuPress et All In One WP Security & Firewall.
Par exemple, WordFence vous permet de surveiller le trafic sur votre site pour bloquer les activités malveillantes, de recevoir des alertes sur les mises à jour disponibles pour votre WordPress, de protéger votre système de connexion contre les attaques par force brute, de vérifier vos fichiers pour détecter les malwares, les injections de code, etc.
4. Utilisez des extensions et des thèmes officiels
L’utilisation d’extensions ou de thèmes piratés est dangereuse pour la sécurité de votre site. En installant des versions non officielles, vous facilitez l’accès à votre site à n’importe qui. Les versions piratées peuvent contenir des malwares ou d’autres codes malveillants, sans que vous vous en rendiez compte.
Il est fortement recommandé de n’installer que des extensions et des thèmes officiels provenant de WordPress ou des sociétés auprès desquelles vous avez acheté un thème ou une extension.
5. Supprimez les extensions et les thèmes inutilisés
Il arrive parfois que l’on installe des extensions ou des thèmes pour les essayer ou pour une courte période, puis on les désactive ou on les oublie. Cela peut poser un problème, surtout si vous ne les mettez pas à jour ou s’ils sont obsolètes. Les extensions et les thèmes inutilisés peuvent représenter une porte d’entrée supplémentaire pour les hackers et alourdir votre site inutilement.
Il est donc recommandé de supprimer toutes les extensions et les thèmes inutilisés pour réduire les risques de piratage.
6. Modifiez l’adresse de connexion
Pour réduire le risque de piratage, il est recommandé de modifier l’adresse de connexion par défaut de WordPress. Par défaut, cette adresse est “mon-site.com/wp-admin”, ce qui facilite la tâche des hackers. Vous pouvez changer cette URL en modifiant le fichier .htaccess ou en utilisant une extension comme Custom Login URL.
7. Supprimez le compte admin
L’identifiant “admin” est proposé par défaut pour se connecter à l’administration WordPress. C’est pourquoi il est massivement utilisé par les pirates pour accéder à votre site. Pour éviter de faciliter leur tâche, créez un identifiant personnel difficile à deviner avant de supprimer le compte admin.
8. Activez l’authentification à 2 étapes
L’authentification à 2 étapes offre un niveau de sécurité quasiment infaillible. La plupart des extensions proposent cette option de sécurité. La deuxième étape de connexion consiste généralement à entrer un code envoyé par SMS, un appel téléphonique ou une application mobile. Le pirate doit donc connaître votre mot de passe et avoir accès au périphérique utilisé pour la deuxième étape de connexion, ce qui est presque impossible.
Parmi les extensions proposant l’authentification à 2 étapes, citons Two Factor Authentication, Google Authenticator et Duo Two-Factor Authentication.
9. Masquez la version de WordPress utilisée
Chaque version de WordPress présente des vulnérabilités que les pirates exploitent. Pour compliquer leur tâche, pensez à masquer la version de WordPress que vous utilisez. Cette modification se fait dans le fichier version.php, ainsi que dans le fichier readme.html situé à la racine de votre WordPress, qui doit être supprimé.
10. Bloquez l’accès aux dossiers
Par défaut, les dossiers d’un site WordPress sont accessibles à tous. Il est donc essentiel de bloquer l’accès à ces dossiers pour les protéger. Vous pouvez modifier les conditions d’accès via votre fichier .htaccess ou utiliser un plugin comme Hide My WordPress.
11. Choisissez un hébergeur sécurisé
Les failles de sécurité peuvent provenir de votre hébergeur et non de votre site WordPress. Il est donc important de choisir un hébergeur sécurisé. Analysez les offres des hébergeurs en fonction de trois critères : la présence d’un pare-feu et d’un antivirus sur leurs serveurs, la réalisation de sauvegardes automatiques régulières, et l’isolation des comptes dans le cas d’un hébergement mutualisé.
12. Protégez la connexion à votre site avec un certificat SSL (HTTPS)
Un certificat SSL permet d’activer le protocole HTTPS, qui assure une connexion sécurisée entre le navigateur et le serveur web. Ce certificat est important non seulement pour les sites de commerce électronique, mais également pour d’autres raisons, notamment la confidentialité des données transférées, l’impact sur le référencement, la confiance des utilisateurs et la vitesse du site.
13. Protégez-vous contre les attaques DDoS
Les attaques DDoS consistent à rendre un site inaccessible en le ciblant avec plusieurs systèmes simultanément. Pour prévenir ces attaques, vous pouvez utiliser des services de sécurité tels que Cloudflare ou l’extension Sucuri Security, qui atténuent les attaques DDoS.
En mettant en pratique ces astuces, vous réduirez considérablement les risques de piratage de votre site WordPress. N’hésitez pas à consulter notre tutoriel complet sur la protection de WordPress contre les attaques malveillantes.
Si vous avez besoin d’aide pour sécuriser votre site WordPress, rendez-vous sur Codeur.com pour trouver rapidement un freelance capable de vous aider.