Sécuriser son site WordPress
Parce que WordPress est le CMS le plus utilisé, il est aussi la plus grande victime des attaques de pirates. En effet, son grand nombre d’utilisateurs engendre/implique un grand nombre de potentielles victimes de piratages. En effet, dans son rapport, une entreprise spécialisé en sécurité : Sucuri, montre que 90% des sites piratés tournent sous WordPress. Ces pirates réussis sont très souvent dus à la négligence des web développeurs. Pourtant, même un débutant peut appliquer de simples mesures de sécurité pour de prémunir son site web WordPress contre les attaques courantes.
Choisir un bon hébergeur Web
Un bon hébergeur Web, chez lequel la sécurité est une affaire sérieuse constitue un premier blocage contre les pirates. En effet, il déploiera sur son infrastructure, des outils protégeant votre site web de nombreuses attaques comme les DDOS.
Même si vous avez la meilleure sécurité au niveau de votre site WordPress, si des failles existent déjà au niveau du serveur d’hébergement, votre site ne sera jamais parfaitement sécurisé. Une potentielle attaque peut provenir d’un site compromis hébergé sur le même serveur que le vôtre site par exemple.
Mettre à jour WordPress régulièrement
Il faudra mettre à jour WordPress ainsi que toutes les extensions installées. En plus d’apporter de nouvelles fonctionnalités et améliorations, les nouvelles versions de WordPress apportent aussi des corrections à des bugs et failles de sécurité connues et détectées. De ce fait, si vous utilisez une version obsolète de WordPress, votre site présentera des failles exploitables par les pirates. De ce fait, des problèmes qui auront pu être facilement évités en procédant juste à la mise à jour de WordPress, adviendront.
Utiliser un mot de passe fort
Une mesure de sécurité importante, pas seulement pour votre site WordPress est l’utilisation de mot de passe fort.
Un mot de passe fort est long, contient des majuscules et minuscules, des chiffres et des ponctuations et autres types de caractères. Bien sûr, ça ne doit pas être un mot que l’on retrouve dans les dictionnaires, c’est-à-dire difficile à deviner. On conseille aussi d’utiliser des mots de passe différents sur des plate-formes différentes. De même, on recommande de modifier périodiquement ses mots de passe.
Configurer l’authentification à deux facteurs
Elle est différente de l’authentification standard. Au lieu de s’authentifier avec juste un identifiant sur la même plate-forme, un autre élément entre en jeu. C’est par exemple le cas des cartes de crédit. Afin de s’authentifier au guichet, il faut avoir la bonne carte et le bon code. Pour revenir au web, certaines applications en plus de votre mot de passe, vous envoie un code numérique sur votre téléphone nécessaire à votre authentification.
Cette étape supplémentaire bloque complètement les attaques attaques par force brute.
Sécuriser l’accès au panneau d’administration
Sécuriser l’accès au panneau d’administration passe par trois mesures:
- Ne pas utiliser l’identifiant « Admin » comme nom d’utilisateur administrateur.
L’identifiant « Admin » est l’identifiant par défaut de nombreux applications web de même que de bon nombre d’appareils que beaucoup ne se préoccupent pas de modifier. C’est cet identifiant que les pirates testent en premier lorsqu’ils désirent s’introduire dans un site web. Si vous utilisez cet identifiant vous courrez un très grand risque. Mais ne vous inquiétez pas, vous pouvez très facilement modifier cet identifiant ou tout simplement en renseigner un autre lors de l’installation de votre WordPress. - Modifier l’URL de la page de connexion à la console d’administration.
Les pirates utilisent toutes les données par défaut lors des attaques qu’ils implémentent. Naturellement, il utiliseront aussi le l’URL de l’interface d’administration. - Limiter les tentatives de connexion.
Afin de deviner un mot de passe, les pirates font usage d’une attaque information nommée attaque par force brute. Elle consiste à essayer toutes les combinaisons possibles de mot afin de deviner le bon mot de passe. En limitant le nombre de tentatives de connexion, vous mette un barrage supplémentaire aux cyberattaques. L’extension WordPress « Login LockDown » permet de bloquer l’adresse IP de toute personne qui s’essaie à ce type d’attaque.
Utiliser un certificat SSL et passer vers HTTPS
Sur les sites web beaucoup d’informations plus ou moins confidentielles circules. Le contenu des pages web, les identifiants de connexion, les coordonnées bancaires. Sur un site qui ne dispose pas de certificat SSL, toutes ces informations sont transmises en clair. Par conséquent, tout pirate qui interceptera ces flux de données aura accès à toutes ces informations. En installant un certificat SSL sur votre site WordPress et en passant au protocole HTTPS, vos communications seront sécurisées. Cette opération s’avère ardue pour les néophytes au besoin, veuillez contacter un développeur expérimenté.
Protéger votre ordinateur
Des fois, votre WordPress peut tout à fait être sécurisé mais jusque là vous subissez toujours des attaques. La porte d’entrée, souvent mésestimée, est l’ordinateur que vous utiliser pour vous connecter à votre site. Si un pirate a infecté votre ordinateur de virus et de logiciels malveillants et que vous l’utilisiez pour vous connecter au panneau d’administration de votre site, ce pirate peut très bien pirater votre site. Il peut par exemple y avoir installé un enregistreur de frappe. Ainsi, il obtiendra tous les mots de passe que vous aurez saisi sur votre clavier.
Veuillez donc à protéger votre ordinateur avec un antivirus performant, payant de préférence. Faites aussi attention à ne pas administrer votre WordPress depuis un Wifi public, à défaut d’avoir un VPN. Utiliser des connexions sécurisées lorsque vous vous connectez à votre serveur, utiliser les protocoles SSH et FTPS pour le transfert des fichiers.
Sauvegarder régulièrement votre site WordPress.
Malgré toutes les mesures de sécurité qu’on puisse implémenter, on est jamais totalement à l’abri d’une cyberattaque. Tous les jours, les pirates usent de méthodes et de stratagèmes pour venir à bout des meilleurs systèmes de sécurité. De ce fait, en cas d’attaque, vous pourrez très facilement récupérer une version complète et saine de votre site WordPress si vous effectuez régulièrement des sauvegardes.
Ce conseil est aussi valable au cas où un problème surviendrait sur le serveur hébergeant votre site. Des plugins pouvant effectuer cette tâche existent notamment BackupBuddy.Toutefois, nous vous conseillons de préférer pour votre hébergement web, un hébergeur qui propose des sauvegardes régulières de votre site.
Ne pas utiliser des extensions piratés
N’utilisez pas des extensions à la base payante mais que vous avez obtenu sur Internet gratuitement. Ces extensions contiennent très souvent des virus compromettrons votre site. Nous vous conseillons de télécharger vos extensions depuis le site officiel de WordPress ou depuis le tableau de bord de votre site WordPress.
Conclusion
Ces mesures peuvent sembler complexes mais il n’en est absolument rien. Dès que vous les aurez mises en place, vous pourrez profiter de votre site avec le cœur plus tranquille. De plus, bon nombre de ces actions sont gratuites et ne nécessitent pas beaucoup de connaissances. D’autre part, grâce à un site sécurisé vous serez plus à même d’obtenir la confiance de vos visiteurs. Alors, qu’attendez vous? Lancez vous!
Pour aller plus loin vous, trouvez ici une liste de plugins de sécurité qui s’avéreront utiles pour vous.