WordPress est un système de gestion de contenu le plus utilisé au monde. Environ la moitié des sites internet les plus consultés dans le monde ont été créés grâce à WordPress.
La simplicité et la facilité d’utilisation sont parmi les principales raisons pour lesquelles WordPress a connu un énorme succès auprès des utilisateurs du web, expérimentés et débutants. Cependant, sa simplicité n’est pas qu’un atout, puisque cela fait de lui une cible facile pour les hackers.
Si vous êtes le propriétaire d’un site internet WordPress ; ou que vous avez l’intention d’en créer un prochainement, vous devez mettre en place des mesures de protection pour assurer sa sécurité.
Pourquoi doit-on sécuriser notre site WordPress ?
Vous devez assurer la sécurité de votre site ainsi que celle des internautes qui consultent votre site internet. Dans le cas où ce dernier se fait pirater, cela provoquerait la fuite de non seulement toutes vos données personnelles, mais également celles des utilisateurs.
Les pirates informatiques peuvent prendre possession de votre site et y installer des logiciels nocifs et malveillants, qui seraient transmis à tous ceux qui auront la malchance de visiter votre site internet.
Comment protéger efficacement son site WordPress ?
Choisir un bon hébergeur web
Il peut sembler tentant de choisir un fournisseur d’hébergement bon marché. Cependant, cela peut vite vous causer des ennuis. En effet, vos données pourraient être complètement effacées et votre url pourrait commencer à rediriger vers un autre site.
Payer un peu plus pour un hébergeur de qualité signifie que des couches supplémentaires de sécurité sont automatiquement attribuées à votre site web. Un avantage supplémentaire, en utilisant un bon hébergement WordPress, vous pouvez accélérer de manière significative votre site WordPress.
Notre top 3 des hébergeurs pour votre site WordPress :
Supprimer les extensions et les thèmes inutilisés
Dans certains cas, on a tendance à installer des extensions et des thèmes afin de les tester ou alors pour une courte utilisation, et finir ensuite par les désactiver ou carrément les oublier.
Cela est un réel souci pour votre site, surtout s’ils sont obsolètes ou pas mis à jour, car ces thèmes et extensions que vous n’utilisez plus, sont des éventuels chemins d’accès pour les pirates informatiques à votre site web. La meilleure chose à faire est donc de les supprimer et ainsi éviter tout risque de piratage.
Installer un plugin pour contrôler l’accès aux dossiers
Sur un site WordPress, par défaut, tout le monde peut avoir accès aux dossiers. C’est pour cela qu’il est crucial de bloquer leur accès afin de bien les protéger. Pour cela, vous n’aurez qu’à changer les conditions d’accès grâce à votre .htaccess ou choisir un plugin adapté comme Hide My WordPress.
Par défaut, les dossiers d’un site wordpress sont accessibles à tous. Pour protéger votre site internet, nous vous recommandons l’installation du plugin Hide My IP qui permet de contrôler l’accès aux fichiers PHP du site et protège le site
Bien choisir ses mots de passe
Le choix des mots de passe est important pour un site WordPress, mais celui-ci est souvent négligé. Évitez donc de choisir des mots de passe trop simples. Privilégiez des mots de passe complexes en veillant à ce qu’ils comprennent plusieurs caractères spéciaux et une combinaison de lettres et de chiffres.
Installer un Certificat SSL (HTTPS)
Un certificat SSL garantit une connexion sécurisée et cryptée entre un navigateur (votre visiteur du site) et un serveur (votre site Web) ; protégeant ainsi les informations importantes échangées lors de chaque session, telles que les informations de carte de crédit ou de passeport, etc. Ainsi, si vos utilisateurs ne partagent aucune donnée sensible avec votre site, le besoin d’utiliser HTTPS est assez minime.
Bien qu’il existe de nombreux guides et tutoriels sur la façon de passer de HTTP à HTTPS, et même si cela semble simple et facile, il est préférable de consulter un professionnel avant de passer à HTTPS. Si le certificat SSL n’est pas correctement installé, cela pourrait engendrer de nombreux problèmes sur votre site.
Changer le préfixe de la base de données WP
Il est fort probable que votre site WordPress utilise le préfixe par défaut wp_ pour toutes les tables de la base de données ; ce qui le rend facilement accessible aux pirates. Pour renforcer la sécurité de votre site, nous vous recommandons de modifier ce préfixe. Toutefois, n’hésitez pas à demander de l’aide à un développeur.
Limiter les tentatives d’accès
En général, WordPress n’a aucune limite quant au nombre de fois que vous pouvez essayer de vous connecter à votre site . Heureusement, vous pouvez facilement changer cela et définir un nombre fixe de tentatives de connexion .
Pour ce faire, vous devez télécharger et activer un plugin appelé Login LockDown . Ensuite, via l’onglet Paramètres, accédez au plugin Login LockDown et entrez vos préférences – Max Login Retries, Retry Time Period, Lockout Length, etc. Tout est assez simple et direct. Nous suggérons de configurer jusqu’à 5 tentatives, pas plus.
Un autre avantage du plugin Login LockDown, est qu’il enregistre également l’adresse IP et l’horodatage de chaque échec de tentative de connexion. Si plus d’un certain nombre de tentatives sont détectées sur une courte période à partir de la même plage IP, la connexion est désactivée pour toutes les demandes de cette plage IP. Login LD est entièrement compatible avec le plugin WPS Hide Login susmentionné.
Mettre régulièrement à jour la version de WordPress et des plugins
Un autre moyen très important de renforcer la sécurité de WordPress est de toujours le maintenir à jour. Cela s’applique à la fois au noyau WordPress et à vos plugins. Ceux-ci sont mis à jour pour une raison, et cette raison est souvent liée à des améliorations de sécurité et à des corrections de bogues.
Faire des sauvegardes périodiques
Mieux vaut prévenir que guérir, et il n’y a pas de moyen plus efficace de protéger votre travail que d’en sauvegarder une copie à intervalles réguliers sur un stockage extérieur à votre site. Les sauvegardes peuvent vous éviter des situations catastrophiques, vous permettant de récupérer le contenu de votre site même si ce dernier a été endommagé de manière irréparable.
De nombreux services d’hébergement incluent des services de sauvegarde pour leurs clients. Cependant, ce n’est pas une bonne idée de se fier entièrement à votre hébergeur, car la sauvegarde n’est souvent que partielle.
Il existe différents plugins, gratuits et payants, pour automatiser le processus de sauvegarde. Le plus utilisé est Updraft Plus, qui peut être programmé pour effectuer des sauvegardes périodiques de votre site.