Comment sécuriser votre WordPress ?
La sécurité est l’un des aspects les plus importants lorsque vous créez votre site WordPress. Cela est encore plus crucial si vous devez manipuler des données de vos utilisateurs ou accepter des paiements sur votre site internet. Mais si on en parle tant, c’est parce que cela n’est pas toujours simple.
Sommaire
- Les 12 bonnes pratiques pour sécuriser votre WordPress
- 1 > Les mises à jour régulières
- 2 > Utiliser des mots de passe et noms d’utilisateur renforcés
- 3 > Utiliser la dernière version de PHP
- 4 > Utiliser des thèmes et plug-ins officiels
- 5 > La sauvegarde de la base de données
- 6 > Authentification à 2 étapes
- 7 >Cacher la version de WordPress
- 8 > Hébergeur Web sécurisé
- 9 > La sécurité WordPress par l’obscurité
- 10 > Certificat SSL (connexions chiffrées avec HTTPS)
- 11 > Protection contre les attaques DDoS
- 12 > Les extensions de sécurité WordPress
- Un exemple avec AIOS plug-in pour sécuriser votre WordPress
- Fonctionnalités Premium
- Pour conclure
Pour mémoire, WordPress est actuellement le système de gestion de contenu le plus utilisé pour la création de sites web. Il a servi à construire à lui seul plus de 37 % des sites web dans le monde. Naturellement, sa popularité lui vaut d’être la cible numéro 1 des hackers… Il est donc indispensable de sécuriser votre WordPress.
Un site WordPress non (ou mal) sécurisé est une proie de choix pour les pirates et bots (robots) malveillants.
Afin de protéger au mieux votre site WordPress contre les pirates et autres dangers du web, il est important de respecter des règles et de mettre en place un système de sécurité renforcé.
Si vous faites partie de ceux qui ont toujours négligé cela, il n’est pas trop tard pour s’y mettre.
Les 12 bonnes pratiques pour sécuriser votre WordPress
1 > Les mises à jour régulières
La sécurité de votre site WordPress dépend en grande partie de la version du CMS que vous utilisez.
La communauté WordPress publie régulièrement des mises à jour du logiciel afin de corriger les failles de sécurité et les vulnérabilités connues. L’utilisation de versions de WordPress, de plug-ins ou de thèmes obsolètes rend donc votre site vulnérable aux attaques de hackers, de malwares et de virus.
Pour protéger votre site WordPress, il est recommandé de télécharger et d’installer chaque nouvelle version de WordPress dès qu’elle est disponible. Il en va de même pour les plugins et les thèmes que vous utilisez sur votre site WordPress.
2 > Utiliser des mots de passe et noms d’utilisateur renforcés
La sécurité de votre site WordPress dépend grandement de la qualité de vos noms d’utilisateur et de vos mots de passe.
Évitez au maximum les noms d’utilisateur facilement devinables, tels que « admin » ou « administrateur ».
De même, vos mots de passe doivent être complexes et difficiles à trouver. Évitez d’utiliser des mots courants ou des informations personnelles, tels que des dates de naissance ou des noms de famille.
L’idéal est d’utiliser des phrases longues et complexes avec des chiffres, des lettres majuscules et minuscules, ainsi que des caractères spéciaux.
Surtout, n’oubliez pas de changer régulièrement vos noms d’utilisateur et mots de passe pour réduire le risque de piratage. Enfin, pensez à utiliser des générateurs comme KeePass pour générer et stocker des mots de passe forts. Vous pouvez également conserver les mots de passe suggérés par WordPress.
3 > Utiliser la dernière version de PHP
Selon WordPress, 77,5 % des utilisateurs utilisent des versions obsolètes de PHP sur leur site > pas bien !
Les versions obsolètes de PHP sont susceptibles de comporter des vulnérabilités connues que les pirates informatiques n’hésitent pas à exploiter. Les versions dépassées ne reçoivent plus de mises à jour de sécurité, cela les rend d’autant plus fragiles. En revanche, les nouvelles versions de PHP incluent des correctifs de sécurité importants pour prévenir les failles de sécurité potentielles.
Pour garantir la sécurité de votre site WordPress, il est donc crucial d’utiliser constamment la dernière version de PHP.
En outre, il convient de choisir un hébergeur qui prend en charge les dernières versions de PHP. Certains hébergeurs sont incapables de mettre à jour leurs versions de PHP aussi souvent que nécessaire, laissant ainsi votre site vulnérable aux attaques.
4 > Utiliser des thèmes et plug-ins officiels
Si les thèmes (Template) et plugins (extensions) craqués vous évitent de payer des frais, leurs utilisations sont très dangereusee pour la sécurité de votre site.
En effet, ces thèmes et plugins ont subi des modifications. Il se peut donc que les auteurs de ces thèmes ou extensions craqués aient glissé à l’intérieur des fichiers malwares ou du code malveillant qui leur servirait de porte d’entrée pour pirater votre site. C’est pourquoi il est fortement recommandé de n’installer que des plugins et thèmes officiels même si cela représente un coût.
En agissant de la sorte, vous protégez vos données et empêchez des personnes malveillantes d’accéder à votre site.
5 > La sauvegarde de la base de données
Les sauvegardes de la base de données sont très utiles pour récupérer vos données et remettre votre site en état après un piratage. Seulement, très peu de gens prennent le temps de le faire.
En réalité, un piratage est vite arrivé. Les gros sites dépensent des fortunes pour sécuriser leurs sites, mais même eux ne sont pas épargnés. À défaut de pouvoir garantir une sécurité à 100 %, il est fortement recommandé de sauvegarder régulièrement votre base de données.
Nous recommandons idéalement d’effectuer des sauvegardes hebdomadaires tout en prenant soin d’enregistrer la date de l’archivage. De cette façon, vous limitez le risque de perte de données en cas d’erreur, de piratage ou de perte du site.
6 > Authentification à 2 étapes
L’authentification à deux facteurs est une mesure de sécurité hyper efficace pour protéger votre système de connexion. Son utilisation est d’ailleurs recommandée, quelle que soit la complexité de votre mot de passe.
Pour se connecter, les utilisateurs doivent entrer leur mot de passe et aussi fournir une deuxième preuve d’identité. Cela peut être une clé de sécurité physique ou un code généré par une application sur votre smartphone. Cette méthode rend plus difficile l’accès à votre site pour les pirates informatiques, même s’ils ont réussi à deviner ou à voler votre mot de passe.
Pour mettre en place la double authentification, vous avez le choix entre plusieurs extensions comme :
- Two Factor Authentication
- Google Authenticator
- Duo Two-Factor Authentication
7 >Cacher la version de WordPress
Comme nous l’avons dit plus haut, chaque version de WordPress contient des failles identifiées. Si les pirates découvrent que vous utilisez une version obsolète de WordPress, il leur suffira de rechercher les failles connues de cette version et les exploiter.
Dans le cas où vous êtes de ceux qui négligent les mises à jour régulières de votre CMS, il est préférable de cacher cette information avec une extension en ajout ce bout de code
8 > Hébergeur Web sécurisé
Un hébergement WordPress non sécurisé offre des failles potentielles aux hackers pour accéder à votre site. Ainsi, un grand nombre de sites WordPress sont quotidiennement victimes de piratage à cause de leur hébergeur web.
Pour ne pas faire partie de ce lot, il est important d’héberger votre site WordPress sur un espace sécurisé.
Les hébergeurs « sécurisés » offrent :
- des mises à jour régulières,
- des fonctionnalités de sauvegarde automatique,
- ainsi qu’une protection contre les attaques DDoS et le piratage de serveurs.
Si vous utilisez un hébergement mutualisé, assurez-vous que chaque compte est isolé des autres comptes utilisateurs.
9 > La sécurité WordPress par l’obscurité
Comme son nom l’indique, la sécurité de WordPress par l’obscurité est une stratégie populaire qui consiste à cacher certains backdoor aux pirates. Si ceux-ci ne trouvent pas de portes pour accéder à votre installation, il leur sera plus difficile de vous atteindre.
Nous listons ci-dessous trois excellents moyens de faire :
1 Changer l’URL de connexion wp-admin par défaut
L’URL de connexion par défaut à l’administration WordPress est domain.com/wp-admin. Les scripts, les hackers et les robots le savent très bien. Ils peuvent même l’utiliser pour tenter de se connecter à votre site.
Changer cette adresse vous offrira une couche de sécurité supplémentaire contre les attaques par force brute. Cela peut se faire facilement avec l’extension gratuite WPS Hide Login. De préférence, optez pour une adresse unique qui n’existerait pas encore.
2 Cacher le fichier wp-config.php
Le fichier wp-config.php contient les paramètres de configuration (informations de connexion, clés de sécurité, etc.) de votre installation WordPress.
Il est donc primordial de prendre des mesures de sécurité efficaces pour protéger ce fichier. Voici quelques mesures simples à prendre :
- déplacer le fichier wp-config.php pour empêcher des personnes non autorisées de le trouver,
- changer les permissions pour restreindre l’accès à la lecture du fichier,
- changer les clés de sécurité WordPress qui servent de cryptage pour les informations contenues dans les cookies.
3 Limiter les tentatives de connexion à votre site WordPress
Limiter les tentatives de connexion est un moyen efficace afin de sécuriser la connexion à votre backoffice ; vous pouvez utiliser l’extension Login Lockdown qui est entièrement compatible avec l’extension WPS Hide Login mentionnée plus haut.
10 > Certificat SSL (connexions chiffrées avec HTTPS)
Le certificat SSL = petit cadenas à côté de l’URL d’un site.
Ce cadenas signifie que la connexion entre le navigateur de l’utilisateur et le serveur du site visité est protégée par le protocole HTTPS. Ce certificat s’avère très utile pour plusieurs raisons :
1 Les données sont cryptées
Contrairement au HTTP, les données transférées entre le navigateur et le serveur sont cachées et illisibles par un tiers lorsque vous utilisez le protocole HTTPS
2 Votre site est crédible et inspire confiance
Si vous ne détenez pas un certificat SSL, les versions de Chrome 68 et supérieures signaleront à vos visiteurs que la connexion à votre site est « non sécurisée ».
Ceux-ci prennent généralement la fuite en voyant ce message. À l’inverse, si vous possédez ce certificat, le cadenas apparaît à côté de la barre d’adresse du navigateur. Cela rassure vos visiteurs qui savent désormais que leurs données sont en sécurité.
3 Le SEO
Le HTTPS fait partie des critères de Google pour classer les sites.
Pour mémoire, aux débuts de la sécurisation des sites, vous augmentiez vos chances d’être bien positionnés dans les résultats de recherche ! Aujourd’hui, si votre WordPress n’est pas sécurisé, les robots de Google empêchent l’affichage de votre site web dans les résultats de recherche : si vous ne ressortez pas dans les SERP, on ne vous consultera pas…
4 Les performances
Contrairement au HTTP, le protocole HTTPS assure une meilleure vitesse de chargement des pages de votre site internet.
11 > Protection contre les attaques DDoS
Les attaques DDoS consistent à surcharger un site web (ou un système) avec un nombre de requêtes tellement conséquent qu’il ne peut gérer. Résultat : le site finit par crasher ; il devient alors inaccessible et hors service.
Heureusement, il est possible de mettre en place une protection anti-DDoS pour prévenir et atténuer ce genre d’attaques de déni de service. Parmi les outils les plus efficaces, nous avons le plug-in WordPress Securi Security et l’outil Cloudflare.
12 > Les extensions de sécurité WordPress
Les plugins de sécurité sont comme des antivirus pour votre site WordPress. Ils offrent de nombreuses fonctionnalités pour améliorer la sécurité de votre site WordPress. Nous pouvons citer :
- le système CAPTCHA pour bloquer les robots,
- générer et obliger à utiliser des mots de passe forts pour la création de profils utilisateurs,
- définir une date d’expiration de mots de passe et les réinitialiser régulièrement,
- un pare-feu de sécurité sur site WordPress,
- l’authentification à deux facteurs,
- une liste blanche et liste noire d’adresses IP,
- les mises à jour WordPress,
- vérifier l’intégrité des fichiers,
- surveiller et bloquer le trafic malveillant,
- ou encore le scan antimalware.
Un exemple avec AIOS plug-in pour sécuriser votre WordPress
Comme l’indique son nom, All-In-One Security est une extension de sécurité tout-en-un spécialement conçue pour WordPress.
Cela signifie que vous y trouverez toutes les fonctionnalités nécessaires pour assurer une sécurité complète à votre site WordPress. Avec plus de 1 million d’installations actives, AIOS est la seule extension de sécurité WordPress avec une note de 5 étoiles, ce qui en fait une référence.
Les fonctionnalités gratuites de AIOS
Dans sa version gratuite, l’extension de sécurité AIOS propose une longue liste de fonctionnalités très importantes pour sécuriser WordPress. Voyons en détail ces fonctionnalités.
Sécurisation de connexion
All in One Security offre des fonctionnalités intéressantes pour protéger votre site WordPress contre les attaques par force brute et les robots.
L’outil soutient les meilleures pratiques de connexion (identifiants et mots de passe intelligents) et limite les tentatives de connexion provenant d’utilisateurs externes. Il propose aussi des fonctionnalités pour :
- masquer la page de connexion aux bots,
- forcer les déconnexions,
- utiliser Google reCAPTCHA, un CAPTCHA mathématique, Turnstile de Cloudflare ou d’autres alternatives,
- mettre le site en « mode maintenance »,
- arrêter l’énumération des utilisateurs.
Dans sa version gratuite, AIOS intègre également la fonctionnalité d’authentification simple à deux facteurs (AIOS TFA). Cette fonctionnalité prend en charge Google Authenticator, Microsoft Authenticator, Authy et bien d’autres.
Pare-feu et protection des fichiers
All In One Security propose des fonctionnalités de pare-feu applicatif web (WAF) avec différents niveaux de paramétrage (base, intermédiaire et avancée) dans le but de dresser une ligne défensive efficace contre les logiciels et codes malveillants. Cela vous confère une sécurité complète et instantanée à votre site WordPress.
Les fonctionnalités de protection de pare-feu et de protection de fichier se déclinent en différentes catégories :
- protection automatique contre les menaces les plus récentes,
- protection des fichiers .htaccess,
- liste noire 6G,
- protection contre les faux bots Google,
- liste noire d’adresses IP,
- protection contre les attaques DDoS,
- sécurité contre la liaison hypertexte d’images,
- protection XSS (Cross-Site Scripting),
- détection des modifications de fichiers,
- prévention de l’accès aux fichiers readme.html, license.txt et wp-config-sample.php,
- blocage de l’édition de fichiers PHP.
Cette extension de sécurité WordPress offre également la possibilité aux utilisateurs avancés de créer des règles personnalisées pour limiter voire bloquer l’accès à différentes ressources du site WordPress.
Protection du contenu
Les fonctionnalités de protection de contenu sont destinées à lutter contre le spam et à protéger votre contenu ainsi que le référencement naturel (SEO) de votre site WordPress.
En effet, vous pouvez configurer l’extension pour :
- prévenir les spams dans les commentaires en bloquant les commentaires provenant d’autres domaines ou avec un CAPTCHA,
- empêcher d’autres sites de reproduire le contenu de votre site via un « iFrame »,
- désactiver le clic droit pour empêcher le vol de votre contenu,
- ou encore désactiver les flux Atom et RSS pour empêcher les robots de voler le contenu de votre site WordPress.
Fonctionnalités Premium
All-In-One Security Premium propose des fonctionnalités plus étendues pour les utilisateurs désireux d’aller plus loin avec la sécurisation de leur site WordPress.
Blocage de logiciels malveillants
Le blocage des logiciels malveillants est nécessaire pour prévenir l’intrusion de logiciels indésirables dans votre site.
AIOS Premium analyse automatiquement 24 heures sur 27 et 7 jours sur 7 votre site pour détecter les logiciels espions et chevaux de Troie. Il vous alerte également si votre site a été mis sur la liste noire des moteurs de recherche en raison d’un piratage.
Vous pouvez même compter sur les alertes et les notifications pour vous informer si le temps de réponse de votre site est affecté négativement, s’il devient indisponible ou si quelque chose ne va pas. Vous recevez un rapport et vous pouvez bénéficier de l’aide de l’équipe de soutien pour corriger le problème.
Authentification flexible à deux étapes
AIOS Premium ajoute de nouveaux niveaux de contrôles sur la façon dont vous pouvez implémenter l’authentification à double facteurs à votre site WordPress.
De plus, l’extension prend en charge plusieurs formulaires de connexion (WooCommerce, Elementor Pro, etc.) et est compatible pour un usage multisite.
Vous pouvez notamment :
- configurer l’authentification en fonction rôles,
- rendre le TFA obligatoire après une période spécifique,
- contrôler la fréquence pour les appareils de confiance,
- générer des codes d’urgence à usage unique,
- personnaliser la mise en page de la TFA,
- masquer l’existence de formulaires sur les pages de connexion.
Blocage intelligent 404
Le Smart Lock 404 fournit une protection renforcée contre la génération d’erreurs 404 sur votre site WordPress par des bots ou pirates informatiques. Il bloque les adresses IP génératrices d’erreurs 404 et vous envoie un rapport complet.
Blocage de pays
La plupart des attaques proviennent de quelques pays.
Pour protéger votre site, la version Premium de l’extension All In One Security propose de bloquer le trafic en fonction du pays avec une précision de 99,5 %. Vous pouvez également bloquer le l’accès à des pages spécifiques ou définir une liste blanche d’adresses IP autorisées même si elles proviennent d’un pays bloqué.
Support premium
Enfin, vous pouvez compter sur l’assistance personnalisée de l’équipe d’experts en sécurité d’AIOS pour toutes les difficultés rencontrées avec l’extension.
Le support est particulièrement important pour la prise en main de l’outil durant votre première utilisation. L’équipe de support promet une réponse dans les 72 heures même si la plupart des utilisateurs Premium reçoivent une réponse dans les 24 heures.
Plans d’abonnement
All-In-One Security WordPress propose une version gratuite et quatre plans d’abonnement Prémium selon les besoins des utilisateurs.
Les plans Premium annuels offrent accès à toutes les fonctionnalités et avantages de AIOS Premium pour la sécurisation de votre site WordPress ; la différence se trouve au niveau du nombre de sites sur lesquels vous pouvez installer l’extension.
- Personnel 70 $/an pour une utilisation sur 02 sites
- Business 95 $/an pour une utilisation sur 10 sites
- Agence 145 $/an pour une utilisation sur 35 sites
- Entreprise 195 $/ an pour une utilisation sur un nombre illimité de sites
Pour conclure
Vous l’aurez remarqué, assurer la sécurité de son site WordPress nécessite d’utiliser un certain nombre de bonnes pratiques et d’outils de sécurité web.
Cela implique les mises à jour régulières du CMS et des extensions, la sauvegarde de la base de données, l’utilisation de mots de passe renforcés, le choix d’un hébergeur sécurisé et bien d’autres pratiques. Heureusement, il existe des outils très utiles comme All-In-One Security pour assurer le fonctionnement en toute sécurité de votre site sans prise de tête.
Le CMS WordPress est-il vraiment sécurisé ?
Comme tous les CMS et tous les systèmes informatiques d’ailleurs, la sécurité à 100 % n’existe pas.
Cependant, WordPress rassemble une très grande communauté de développeurs qui travaillent d’arrache-pied afin de sécuriser au max’ le CMS. Dès qu’une faille apparaît, elle est automatiquement corrigée dans la nouvelle version.
Comment sécuriser votre WordPress facilement ?
La sécurisation de votre WordPress commence par la mise en place des bonnes pratiques listées ci-dessus.
Pour vous rendre la tâche plus facile, vous pouvez utiliser une extension de sécurité complète (AIOS par exemple). Toutefois, la meilleure option reste de confier la sécurisation de votre site à votre agence web.
Quelles sont les différentes vulnérabilités de sécurité WordPress ?
Les sites WordPress sont exposés à différentes vulnérabilités.
Il s’agit notamment du backdoor, du déni de Service (DoS), du Cross-site Scripting (XSS), de l’injection de code malveillant, des Pharma Hacks, des redirections malveillantes et des tentatives de connexion par force brute.
Quelles sont les erreurs à éviter lorsque vous securisez votre WordPress ?
Les mots de passe trop basiques, l’utilisation d’une version de WordPress ou de plugins obsolètes, une mauvaise administration du site ou encore le manque de connaissance en sécurité web sont autant d’erreurs qui rendent votre site WordPress vulnérable aux attaques de pirates.