Guide pratique pour assurer la sécurité de votre site WordPress

WordPress est le système de gestion de contenu (CMS) le plus utilisé au monde. Sa popularité s’explique par de nombreuses qualités, en particulier la multitude d’options de personnalisation dont vous disposez lorsque vous créez votre site web avec WordPress. 

WordPress est conçu sur un logiciel sécurisé qui est continuellement maintenu et amélioré par de nombreux développeurs, mais sa popularité en a fait une cible de choix pour les cyberattaques. 

La sécurité sur WordPress est donc une priorité, qu’il s’agisse d’un simple blog WordPress ou d’un site web plus complet. En privilégiant la sécurité, vous réduisez le risque que votre site et vos données deviennent la cible d’attaques malveillantes.  

Heureusement, vous pouvez faire beaucoup pour protéger votre site web WordPress, même si vous manquez d’expertise technique. Dans ce guide, nous fournissons une liste de mesures de sécurité que vous pouvez facilement mettre en œuvre pour améliorer la sécurité de votre site web. 

Pourquoi la sécurité sur WordPress est-elle importante ?

En bref, en donnant la priorité à la sécurité de WordPress, vous pouvez protéger votre site web WordPress contre les cyberattaques dangereuses susceptibles de détruire vos données importantes, de provoquer le crash de votre site web ou de conduire à un vol d’identité.  

L’objectif classique d’une attaque de pirates informatiques est de voler des informations personnelles, de diffuser des logiciels malveillants ou de prendre le contrôle d’un site web.  

En veillant à la sécurité de votre site WordPress, vous vous protégez, vos utilisateurs et la réputation de votre entreprise.

Protection sur WordPress : Guide pratique 

Dans cette section, vous trouverez une liste de mesures de sécurité qui vous aideront à protéger votre site web WordPress. 

Hébergement WordPress sécurisé 

Afin de garantir la meilleure sécurité possible pour votre site web, il est essentiel de choisir un fournisseur d’hébergement qui excelle dans ce domaine. Choisissez de préférence un hébergeur qui propose une protection contre les logiciels malveillants, des sauvegardes automatiques et un certificat SSL. Avec un bon hébergeur WordPress, vous aurez également accès à une assistance lorsque vous en aurez besoin. Vous disposez ainsi du meilleur point de départ pour lancer votre projet en ligne. 

Mettre à jour WordPress 

L’une des choses les plus importantes que vous puissiez faire pour assurer une sécurité optimale sur votre site web est de mettre régulièrement à jour WordPress. WordPress publie continuellement de nouvelles mises à jour qui corrigent les vulnérabilités. En gardant votre système principal, vos thèmes et vos plugins à jour, vous réduisez le risque de cyberattaques. 

Même si votre site web et vos plugins fonctionnent correctement, ils peuvent présenter des bugs et des vulnérabilités que vous ne remarquerez que trop tard. Ces vulnérabilités peuvent être évitées en effectuant des mises à jour.  

Ignorer les mises à jour importantes reviendrait à laisser votre porte d’entrée ouverte, un comportement dangereux aux yeux de la plupart des citoyens. 

Si vous souhaitez éviter les inconvénients des mises à jour manuelles et renforcer la sécurité de votre site web, nous vous recommandons de choisir notre offre Managed WordPress, où nous nous assurons en permanence la mise à jour de votre site web et son bon fonctionnement. Vous trouverez plus d’informations sur ce service dans la suite de cet article. 

SSL et HTTPS 

SSL est l’abréviation de Secure Sockets Layer (couche de sockets sécurisée). Il s’agit d’un protocole qui chiffre le transfert de données entre votre site web et le navigateur de l’utilisateur. En activant le SSL sur votre site web, vous empêchez les pirates et les personnes non autorisées d’accéder à vos informations personnelles ou à celles de vos utilisateurs, comme les numéros de carte de crédit, les mots de passe ou d’autres données sensibles.  

Lorsqu’un certificat SSL est activé sur votre site web, son adresse passe de HTTP à HTTPS, qui est un protocole de chiffrement sécurisé. Après l’activation du certificat SSL, une icône de cadenas s’affiche également en haut de la barre d’adresse du navigateur, à gauche de l’URL de votre site web. Le symbole du cadenas indique à vos visiteurs que votre site WordPress est sécurisé.  

Généralement, vous devez payer pour un certificat SSL, mais si vous choisissez un hébergement WordPress chez one.com, un certificat SSL est inclus dans votre offre d’hébergement, quel que soit l’offre choisie. 

Mots de passe forts 

La sécurité des mots de passe est importante dans tous les contextes, et pourtant les utilisateurs choisissent souvent la voie de la facilité lorsqu’ils créent un mot de passe. C’est toujours une mauvaise idée, car c’est précisément un mauvais mot de passe ou un mot de passe réutilisé qui peut être à l’origine d’une cyberattaque ou faire en sorte que vos données personnelles tombent entre de mauvaises mains. Plus vous réutiliserez le même mot de passe, plus le risque sera grand. C’est pourquoi vous devez avoir des mots de passe forts partout sur votre site web WordPress. 

Un mot de passe fort : 

Si, comme de nombreuses personnes, vous avez du mal à vous souvenir de tous vos mots de passe, vous pouvez utiliser un gestionnaire de mots de passe. C’est un programme, une application ou un site web sécurisé qui rassemble tous vos mots de passe en un seul endroit.   

Grâce à un gestionnaire de mots de passe, tous vos mots de passe sont protégés par un seul mot de passe principal. Vous n’avez donc qu’à vous souvenir du mot de passe de votre gestionnaire de mots de passe pour accéder à tous les autres. 

Pour en savoir plus sur la protection par mot de passe, consultez notre article 5 façons de protéger votre site web WordPress par mot de passe. 

Authentification à double facteur (2FA) 

Dans le cadre de l’authentification à deux facteurs, une deuxième forme d’authentification est requise lors de la connexion, en plus du mot de passe. Il peut s’agir d’un code unique envoyé par SMS à votre numéro de téléphone ou d’un code généré par une application d’authentification, comme celle de Google.   

Il est parfois possible d’utiliser votre empreinte digitale ou la reconnaissance faciale comme deuxième étape, si votre smartphone ou votre tablette en est équipé.  

La 2FA offre une protection supplémentaire contre les attaques, car un pirate ne pourra pas accéder à votre site web même s’il s’est procuré votre mot de passe. 

Si vous hébergez votre site WordPress chez one.com, vous pouvez renforcer la protection de votre site en activant la protection avancée des connexions directement depuis votre panneau de contrôle. 

Autorisations d’accès pour les utilisateurs 

Plusieurs personnes accèdent à votre site WordPress ? Vous devez alors être attentif à la gestion des permissions de vos utilisateurs. Chaque nouvel utilisateur que vous créez ouvre une brèche potentielle pour les pirates, c’est pourquoi vous ne devez donner à vos utilisateurs que les autorisations dont ils ont réellement besoin. Par exemple, si un ami ou un employé vous aide à relire ou à rédiger les textes de votre site web, il n’a besoin que de droits d’édition, pas de droits d’administrateur. 

Si un utilisateur est chargé de relire le contenu de votre site, vous pouvez lui attribuer le rôle d’éditeur. Si l’utilisateur est plutôt un rédacteur qui doit seulement écrire et éditer ses propres articles, le rôle d’auteur est le meilleur choix.  

Il est également conseillé de revoir régulièrement vos utilisateurs et de supprimer ceux qui ne sont plus pertinents. 

Changer l’identifiant d’administrateur 

Il n’y a pas que votre mot de passe qui doit être fort et unique ! Votre nom d’utilisateur pour l’administration de WordPress doit également être unique afin de réduire le risque d’une attaque par force brute. Lorsque vous avez créé votre site web WordPress, vous pouvez modifier manuellement le nom d’utilisateur dans la table wp_users de phpMyAdmin. Cet outil est préinstallé dans votre plan d’hébergement lorsque vous hébergez votre site WordPress chez one.com. 

Vous pouvez accéder aux paramètres de PHP et de la base de données dans le panneau de contrôle sous Paramètres avancés. 

Créer des sauvegardes 

La sécurité de votre site web WordPress peut être élevée, mais il y a toujours un risque qu’un imprévu se produise, comme une cyberattaque ou une erreur technique. Les sauvegardes sont votre filet de sécurité dans ce genre de situation. Si vous avez une sauvegarde, vous pouvez facilement restaurer votre site web et ses fonctions, évitant ainsi un temps d’arrêt prolongé qui pourrait nuire à la réputation et au chiffre d’affaires de votre entreprise. 

Éviter les plugins dangereux 

De nombreux plugins WordPress, gratuits ou payants, vous permettent d’étendre les fonctionnalités de votre site web. Malheureusement, certains d’entre eux peuvent présenter un risque pour la sécurité de votre site web ou entraîner des problèmes techniques qui empêchent votre site de fonctionner. 

Il existe une longue liste de plugins susceptibles d’endommager votre site ou de présenter un risque pour la sécurité. Voici notre liste complète des plugins WordPress à éviter. 

Nous vous recommandons ces plugins, qui offrent une sécurité optimale et garantissent la performance de votre site web. 

Supprimer les plugins dont vous n’avez plus besoin 

Toujours à propos des plugins, il est important de supprimer ceux que vous n’utilisez plus. La présence d’un grand nombre de plugins peut nuire à la sécurité de votre site. Vérifiez régulièrement vos plugins et débarrassez-vous de ceux qui ne font qu’accumuler de la poussière numérique. Bien entendu, assurez-vous d’abord que le plugin en question n’est pas utilisé pour des fonctions importantes sur votre site web. 

Désactiver l’exécution de PHP 

Chez one.com, vous pouvez installer WordPress en un seul clic. Si vous avez utilisé ou allez sélectionner cette option, vous pouvez ignorer cette partie.   

Si vous avez installé WordPress manuellement, vous devez désactiver l’exécution de PHP dans le dossier de téléchargement. Vous éviterez ainsi les cyberattaques au cours desquelles des logiciels malveillants se propagent à partir d’une porte dérobée PHP vers le reste de votre site web.  

Pour désactiver l’exécution de PHP, vous pouvez ajouter les lignes de code suivantes au fichier .htaccess qui se trouve dans le dossier upload (wp-content/uploads). 

# Block executables 
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$"> 
    deny from all 
</FilesMatch> 

Surveillance des vulnérabilités 

La surveillance des vulnérabilités consiste à rechercher sur votre site WordPress les failles potentielles que les pirates informatiques pourraient exploiter. Lorsque cette surveillance est assurée, toutes les parties de votre site web, y compris les thèmes et les plugins, sont analysées, ce qui réduit considérablement le risque de rencontrer des erreurs imprévues ou des cyberattaques.  

En choisissant un hébergeur WordPress qui propose une surveillance quotidienne automatique des vulnérabilités, vous vous assurez que votre site web est toujours bien protégé contre les attaques. 

Choisissez Managed WordPress pour une meilleure protection 

Comme nous l’avons mentionné plus tôt dans l’article, la vérification manuelle des mises à jour, des sauvegardes et des mesures de sécurité supplémentaires pourrait être longue et compliquée. Si vous préférez éviter les problèmes et gagner du temps, vous pouvez choisir une de nos offres Managed WordPress, qui comprend : 

Avec Managed WordPress, vous disposez de plus de temps pour vos projets les plus importants et vous n’avez pas à vous soucier de la maintenance de votre site WordPress. 

Renforcez la résilience de votre site WordPress 

En suivant les étapes décrites dans cet article, vous pouvez améliorer de manière significative la sécurité de votre site WordPress. Des mises à jour régulières, des mots de passe forts et uniques, un hébergement WordPress sécurisé et les autres mesures de sécurité mentionnées assureront la sécurité de votre site et de vos utilisateurs.