Wordpress

Sécurité WordPress : comment la mettre en place ?

securisation wordpress guide

WordPress constitue un système de gestion de contenu prisé par de nombreux blogueurs et entreprises. En effet, ce CMS donne la possibilité de créer un site web robuste, fonctionnel et complexe. WordPress est doté de plusieurs fonctionnalités et cela constitue l’un de ses points forts. Celui-ci possède également une réputation qui peut se mettre en travers de lui   : celui d’être vulnérable aux attaques des virus, des arnaques et d’autres malware. Dans ce guide nous allons vous expliquer comment obtenir un wordpress sécurisé

La réputation de WordPress

WordPress fait partie des CMS les plus utilisés du monde, ce qui en fait une cible prisée des hackers. WordPress est libre d’accès. Tout le monde peut donc l’utiliser.

Toutefois, cette gratuité comporte un inconvénient majeur : même une personne qui n’a que très peu d’expérience dans la gestion d’un site web peut créer un site via cette plateforme. Et c’est à partir de là que les problèmes peuvent commencer.

Comme il est inexpérimenté, le gestionnaire peut utiliser une version obsolète de WordPress sans savoir que cela peut avoir des conséquences néfastes pour son site. Il se pourrait également qu’il n’ait pas la capacité et les compétences requises pour gérer le système et les informations d’identification.

Le risque est décuplé si l’utilisateur du site ne connaît rien en web ni en sécurisation d’un site. Il est donc essentiel que les gestions de ce dernier, par le biais de WordPress ou grâce à un autre CMS, se fassent par un webmaster avisé et expérimenté.

sécuriser wordpressPourquoi sécuriser votre site WordPress ?

Que la réputation soit mauvaise non, il est toujours important que votre site soit le plus sécurisé possible. Vous ne voudrez certainement pas retrouver un site chamboulé suite à une attaque !

Pour vous donner une idée sur l’ampleur du problème, sachez qu’il y a chaque jour pas moins de 180.000 tentatives de connexions qui ne sont pas autorisées par les administrateurs sur les sites WordPress.

La plupart de ces tentatives constituent des attaques par force brute, c’est-à-dire que leurs attaqueurs essayent plusieurs combinaisons de mots de passe et de noms d’utilisateurs pour entrer dans le site. Si votre nom d’utilisateur est donc « admin » et que votre mot de passe est simple comme « 1234 » ou « abcd », il y a de grandes chances que les attaques puissent vous atteindre.

Il y a aussi une chose que vous devez toujours garder à l’esprit : la vie de votre site web ne commence que quand il est mis en ligne. Il s’agit de votre investissement, surtout si vous l’utilisez pour vendre des produits et services.

Il est donc normal que vous fassiez tout pour le protéger, l’entretenir, et effectuer les maintenances nécessaires pour que votre site fonctionne de façon optimale.

Par ailleurs, comme il est question de prévenir les attaques, non de remettre en ordre les dégâts provoqués par les hackers, le meilleur moyen que vous avez à votre disposition pour sécuriser votre site est donc la prévention.

Heureusement, WordPress comporte des options de personnalisation et permet même au webmaster de l’arranger dans le but d’améliorer sa sécurité. Pour vous rassurer, sachez que cette plateforme dispose d’environ 25 experts qui travaillent avec acharnement pour que ce produit satisfasse aux besoins de ses utilisateurs, tant pour les fonctionnalités que pour la sécurité.

Comment sécuriser votre site hébergé par WordPress ?

Voici quelques astuces pour maintenir un haut niveau de sécurité sur votre site.

Compliquez le mot de passe

S’il vous plaît, arrêtez les mots de passe faciles à deviner comme votre date de naissance tout en chiffres, des suites de touches qui se succèdent sur votre clavier comme « qsdf » ou « 5678 ». Mettez à la place un mot de passe combinant des chiffres, des lettres, des majuscules, des symboles et des minuscules. Les mots de passe doivent être forts pour l’administrateur, mais aussi les autres utilisateurs.

Mettez votre site régulièrement à jour

Une version obsolète de WordPress ouvre grand la porte pour les hackers. Mettez donc toujours à jour WordPress, les plugins et les thèmes.

Pour la mise à jour de votre logiciel, si ce dernier est récent, tout se fera automatiquement et ne nécessite aucune action de votre part. Si votre logiciel est antérieur à la version 3.7, la mise à jour doit se faire manuellement à partir du back-office. Attention, si vous n’avez aucune connaissance sur les éléments de votre site, confiez cette démarche à un professionnel.

Pour les plugins, effectuez la mise à jour un à un pour vérifier en même temps les incompatibilités.

Ne faites pas l’impasse sur les sauvegardes

Vous avez deux solutions pour effectuer les sauvegardes. Vous pouvez donc utiliser un plugin spécial à l’instar de BackWPUp et BackupWordPress ou effectuer une sauvegarde manuelle. Cette dernière option est plus technique : duplication des fichiers depuis le FTP et sauvegarde depuis l’espace d’administration.

Utilisez un plugin de sécurité wordpress

Ces plugins analysent les requêtes selon le paramétrage que vous avez effectué. Ils repoussent donc les visiteurs non autorisés. Parmi ces plugins, il y a Wordefence, MalCare et Secupress.

Renommez votre compte d’administrateur

Le nom d’utilisateur installé par défaut sur WordPress est « admin ». C’est le nom d’utilisateur qu’un pirate essaiera en premier pour accéder de force à votre site. Après avoir installé WordPress, il est donc conseillé de créer un nouveau compte d’utilisateur ayant des droits d’administrateurs puis de supprimer le compte « admin ».

Activez l’authentification en deux étapes

Cela vous procurera une sécurité supplémentaire. La plupart des banques utilisent ce procédé pour sécuriser votre compte. Dans ce cas, pourquoi ne pas l’utiliser également sur votre site ? La démarche est simple : installer une application dédiée.

Désactivez l’édition de fichier

WordPress comporte par défaut un éditeur de fichiers PHP. Bien sûr, vous avez besoin de cet outil, mais si jamais un hacker réussit à accéder à votre tableau d’administration, il peut utiliser l’éditeur de fichiers pour détruire complètement votre site. Il est donc conseillé de désactiver cette fonctionnalité. Pour ce faire, éditez le fichier wp-config.php et intégrez le code suivant : define( ‘DISALLOW_FILE_EDIT’, true ). Il est toujours possible de réactiver cet outil en utilisant votre client FTP.

Vous savez maintenant comment sécuriser au mieux votre site WordPress. N’oubliez pas de vous tenir au courant sur les nouveautés concernant ce CMS pour avoir une utilisation optimale.

Call Now Button