Pour vous éviter des cheveux blancs et des scénarios catastrophes, mieux vaut sécuriser son site WordPress dès sa création. Il est cependant toujours possible d’intervenir plus tard, c’est pourquoi nous vous aidons à protéger votre WordPress et à garantir un web sûr pour vos utilisateurs avec nos 10 astuces pour sécuriser votre site en 2023.
WordPress, c’est l’un des CMS les plus populaires au monde, avec ses 64% de parts de marché en 2023, bien loin devant toutes les autres plateformes. Par nature, WordPress est donc une cible de choix aux yeux des cybercriminels et de tous ceux qui ne sont pas si bien intentionnés que ça. Environ 13 000 sites WordPress sont hackés chaque jour, ce qui est énorme !
Pour ne pas faire partie de cette malheureuse statistique, il n’appartient qu’à vous de faire le nécessaire. A l’origine, WordPress est conçu et pensé pour être compatible avec la sécurité informatique du web. Les équipes de développement de WordPress effectuent aussi régulièrement des mises à jour et implémentent des patchs de sécurité. Mais tout cela n’est pas suffisant si l’utilisateur ne joue pas le jeu des bonnes pratiques en matière de sécurité.
Pourtant, il ne suffit pas nécessairement de grand-chose parfois, ni d’être un.e développeur.se de haut niveau pour sécuriser son site WordPress, comme nous allons le voir au fil de nos 10 astuces.
Si évident, et pourtant si peu utilisé, l’usage d’un mot de passe fort et unique est nécessaire pour assurer la première ligne de défense de votre WordPress. Votre mot de passe doit être long et complexe, avec une suite de chiffres, lettres, en minuscule et majuscule et avec si possible des caractères spéciaux. Ce mot de passe ne doit pas être réutilisé ailleurs, y compris sur d’autres sites, pour limiter les risques qu’il soit un jour découvert. Pour vous aider à trouver et à conserver un mot de passe fort, n’hésitez pas à utiliser un gestionnaire de mot de passe de confiance.
En plus de choisir un mot de passe de compétition lors de la création de votre site WordPress, renommer les tables de votre base de données pose une couche de sécurité supplémentaire. En effet, WordPress vous demandera de valider ou de modifier le nom des tables qu’il va utiliser pour votre base de données, avec un préfixe « wp_ » qu’il posera par défaut. Nous vous conseillons de choisir un préfixe personnalisé, ce qui a pour but de rendre plus difficile pour les pirates de deviner la structure de votre site et d’injecter du code malveillant.
Pour tout propriétaire de site WordPress, l’une des étapes les plus simples mais des plus essentielles est tout simplement d’effectuer ses mises à jour régulièrement, qu’il s’agisse des mises à jour de la version de WordPress ou bien encore de celles de vos plugins installés. WordPress, comme Google et d'autres grands acteurs du web, insiste sur l'importance des mises à jour pour garantir un site sécurisé.
En effet, avec chaque mise à jour, les développeurs de WordPress ainsi que des extensions cherchent à détecter et corriger chaque faille de sécurité qui pourraient avoir été exploitées par des pirates informatiques lors d’attaques. Chaque version obsolète de WordPress ou de vos plugins est une potentielle porte d’entrée vers un malheureux piratage de votre site.
Pour se protéger, rien de plus simple : allez régulièrement faire un tour du côté de votre WordPress et installez les mises à jour. N’oubliez pas les plugins et extensions installés, ainsi que votre thème. WordPress étant assez intuitif à utiliser, il vous préviendra toujours des mises à jour que vous devez effectuer.
La seule mise en garde que nous pouvons vous faire est dans le cas où votre WordPress n’est plus tout récent, est assez lourd ou à quelques mises à jour en retard. Il se pourrait que les mises à jour ne se déroulent pas comme prévu, dans ce cas il vaut mieux laisser la maintenance du WordPress a une agence qualifiée.
Autre étape essentielle pour la sécurité de votre site WordPress est celle de la sauvegarde de vos données en cas de pépin. Perdre toutes les données de votre site, vos contenus, produits, utilisateurs, sans avoir la moindre possibilité de les récupérer, c’est vivre un véritable film d’horreur !
Il existe plusieurs scénarios dans lesquels vous pourriez perdre vos données, telles que certaines attaques de pirates informatiques qui visent à détruire votre site, une mise à jour conflictuelle qui casse littéralement votre site, une migration compliquée, un problème majeur au niveau du serveur ou bien encore, tout simplement, l’erreur humaine.
Pour effectuer la sauvegarde régulière de votre base de données, plusieurs choix s’offrent à vous :
Si vous ne vous y connaissez pas spécialement et que vous souhaitez vous occupez vous-mêmes de la sécurité de votre WordPress, nous vous conseillons d’opter pour un plugin pour sauvegarder votre base de données et vos fichiers essentiels.
L’écosystème entourant WordPress est vaste et diversifié, si bien qu’on y trouve de tout, du bon et du moins bon. Il existe en effet énormément de plugins et extensions, souvent gratuits, que l’on peut trouver pour assurer telle ou telle fonctionnalité sur son site. Peu de ces plugins sont développés par WordPress, mais plutôt par des développeurs divers et variés. Ce qui veut dire qu’à chaque fois que vous installez un plugin, vous faites une confiance aveugle à ceux qui l’ont créé. Chaque extension que vous ajoutez augmente potentiellement les risques si elle n'est pas bien maintenue. Assurez-vous toujours que le contenu de votre extension soit de confiance.
Malheureusement, pas toutes les extensions sont créées par des équipes qui maintiennent régulièrement à jour leur produit. Une extension qui n’est pas maintenue à jour, c’est le risque qu’elle comporte des failles de sécurité que les pirates vont ensuite exploiter pour pénétrer sur votre site.
Pour mettre toutes les chances de votre côté et vous éviter des prises de risque inutiles, mieux vaut privilégier les plugins et extensions provenant du répertoire officiel de WordPress. En cas de doute, n’hésitez pas à consulter les avis sur le plugin. WordPress a la chance, de par sa popularité, de jouir d’une grande communauté. Si vous hésitez à installer un module dont personne ne semble vraiment parler, nous vous conseillons fortement de vous abstenir !
Pour poser une couche de sécurité supplémentaire et dormir tranquille la nuit, rien ne vaut l’installation d’un plugin de sécurité WordPress, à choisir parmi les plus connus et populaires. Ces plugins se dédient exclusivement à la sécurité de votre site, et vont par exemple :
L’installation d’un plugin de sécurité sur votre WordPress est pour nous une nécessité qui ne doit recevoir aucune excuse ! Il n’y a aucune bonne raison de ne pas en installer un sur votre site WordPress aujourd’hui : même les versions gratuites de certains modules de sécurité, avec les paramétrages de base, offrent déjà une couche de sécurité nécessaire.
Parmi les meilleurs plugins de sécurité, on retrouve :
Au fur et à mesure du temps qui passe et de l’utilisation de son WordPress, on a tendance à accumuler des plugins, extensions et thèmes que l’on utilise plus. En plus de surcharger son site, ces éléments inutilisés peuvent poser un risque en matière de sécurité, surtout s’ils ne sont plus mis à jour. Les fichiers obsolètes ou inutilisés peuvent devenir une menace si les pirates trouvent une faille dans une extension ou un thème abandonné.
Pour éviter ce phénomène, il suffit simplement de faire le ménage régulièrement. Supprimez les thèmes que vous n’utilisez pas, ainsi que tous les plugins qui ne vous sont plus d’aucune utilité. Moins vous possédez d’extensions, moins vous votre WordPress a de chances de présenter de failles de sécurité.
Vous connaissez probablement déjà cette fonctionnalité qui renforce considérablement la fiabilité de votre méthode de connexion : l’authentification à deux facteurs. La plupart du temps, elle implique la réception d’un code via SMS ou encore la nécessité de se connecter via une application externe. Un cybercriminel aurait ainsi besoin non seulement de votre mot de passe, mais aussi d’accéder physiquement à l’appareil lié à l’étape de connexion, ce qui est à priori fort peu probable.
Pour mettre en place l’authentification à deux facteurs, vous pouvez recourir à quelques plugins WordPress tels que :
Afin de réduire considérablement les risques d’intrusion sur votre site WordPress, vous pouvez déplacer l’URL de connexion au panneau d’administration. WordPress utilise l’adresse par défaut « site.com/wp-admin », ce qui simplifie la tâche des pirates informatiques qui n’ont ensuite plus qu’à tenter leur chance avec des attaques de type brute force.
Il est possible de personnaliser cette adresse, et ainsi de la rendre très difficile à trouver, en modifiant le fichier .htaccess du site ou encore en passant pour un plugin tel que Custom Login URL. Certains modules complets de sécurité, tels que iThemes Security, permettent également ce réglage.
Les vulnérabilités ne viennent pas toujours directement de votre utilisation ou de WordPress lui-même. Parfois, elles proviennent de votre fournisseur d’hébergement. Nombreux sont les sites WordPress qui ont été compromis à la suite de failles de sécurité liées à leurs hébergeurs ! Assurez-vous que les sauvegardes automatiques sont effectuées, protégeant ainsi vos fichiers et votre contenu.
Pour bien choisir son hébergeur et s’éviter le drame, nous vous conseillons d’explorer les points suivants :
Devenu une véritable norme dans le monde du web moderne, le certificat SSL est un must pour votre site WordPress. C’est un protocole de sécurité qui permet d’établir une connexion cryptée entre le serveur web de votre site et le navigateur de l’internaute qui vous visite. Il s’assure que toutes les données échangées entre les deux partis restent confidentielles et intègres.
Pour installer un certificat SSL, le plus pratique est d’obtenir un via un service tel que Let’s Encrypt et de l’installer via votre hébergeur. Il faut ensuite configurer WordPress pour utiliser le HTTPS et assurer la redirection via le fichier .htaccess.
L’intervention demandant un peu de technique, il vaut mieux faire appel à une agence web pour traiter l’installation de votre certificat SSL et assurer que votre contenu est sécurisé.