Pour la plupart des utilisateurs de WordPress, la sécurité n’est pas une priorité. Pourtant c’est souvent après avoir été victime d’une intrusion que l’on se rend compte à quel point il important de sécuriser son site.
Nous vous rappelons que WordPress est le CMS le plus populaire au monde. Il est donc une cible priviliégiée des hackers. La plupart des inernautes ne savent pas bien sécuriser leur site mais la bonne nouvelle c’est qu’aujourd’hui il n’est plus nécessaire d’être un expert pour y parvenir.
Attention, entendons nous bien… il n’y a aucun système parfaitement étanche à toutes les attaques, cela n’existe pas. Néanmoins il y a différentes façons de se protéger, plus ou moins compliquées. La liste des trucs et astuces est assez longue, nous ne la verrons pas dans son intégralité aujourd’hui. Il s’agit uniquement ici de prendre les premières mesures.
Examinons déjà le MINIMUM ultra facile à faire et que TOUT site wordpress se doit de mettre en place pour limiter les risques.
1. Page de login : protégez là
La page de connexion WordPress est une cible privilégiée pour les attaques. Votre page de connexion est certainement une partie vulnérable de votre site Web, si vous ne mettez pas en place les mesures de sécurité appropriées.
“Admin” ou “administrateur” n’est pas un bon nom d’utilisateur. WordPress avait choisi précédemment admin comme le nom d’utilisateur par défaut. Aujourd’hui, heureusement lorsque vous installez WordPress, vous pouvez choisir un nom d’utilisateur différent. “Admin” est un nom d’utilisateur extrêmement prévisible et il rend votre site beaucoup trop facile à percer. Choisissez tout sauf celui là !
Par ailleurs les hackers, pour forcer un mot de passe, utilisent la méthode dite de la “force brute”, c’est à dire qu’ils tentent toutes les combinaisons possibles jusqu’au bon mot de passe grâce à des robots. Pour lutter contre cela limitez le nombre de tentatives possibles par adresse IP (c’est à dire par poste ou visiteur unique).
Il existe plusieurs plugins qui permettent de le faire et notamment
2. Thèmes et plugins
Voici 3 choses fondamentales à prendre en compte :
- Faites les mises à jour de WordPress, des thèmes et des plugins dès qu’elles sont disponibles afin de corriger toutes les failles de sécurité existantes et d’avoir des éléments qui fonctionnent correctement
- N’installez pas n’importe quoi sur votre site : préférez les thèmes et les plugins dont la dernière mise à jour par leur auteur est relativement récente. Evitez par exemple tout ce qui n’a pas été revu et corrigé il y a plus de 2 ans.
- Désinstallez et supprimez tout ce qui ne vous sert plus parmi vos thèmes et plugins. Ne laissez pas traîner des choses inutiles dans un coin de votre site qui pourraient représenter autant de portes d’entrées dérobées pour les pirates du web.
3. Installez des plugins de sécurité
L’installation d’un plugin de sécurité WordPress ne devrait pas être une option. Cela devrait être obligatoire, tout simplement.
Vous êtes débutant ? Vous avez la chance de pouvoir utiliser une solution globale qui gérera à votre place tous les aspects liés à la sécurité de votre site WordPress. Les fonctionnalités de ces plugins sont diverses, allant de l’ajout d’un firewall au scan quotidien de votre site. Bref, ce sont des logiciels qui vont réaliser toutes les tâches essentielles à votre place en un clic.
Ci dessous vous trouverez une liste de plugins que vous devriez examiner. Ils ont à peu près tous les mêmes fonctionnalités, sont souvent partiellement voire totalement gratuits, mais ne sont pas tous aussi faciles à prendre en main. Alors à vous de les tester et de définir celui qui vous convient le mieux.
Sucuri Security est par exemple un bon compromis entre gratuité, performance et facilité d’utilisation. Voici notre liste :
- All In One WP Security & Firewall
- BulletProof Security
- Wordfence Security
- Sucuri Security
- iThemes Security
- WP Security Audit Log
- Security Ninja
- Acunetix WP Security
- AntiVirus For WordPress
4. Dernière ligne de défense : la sauvegarde
Malgré toutes les mesures que vous aurez prises, la sécurité de votre site peut être compromise. Si cela se produit, vous devez intervenir et corriger les choses. Les sauvegardes avec restauration en un clic sont une parade facile à mettre en place.
Voici quelques plugins qui proposent un service gratuit :
Une fois toutes ces mesures prises vous vous sentirez déjà mieux. Vous aurez accompli l’essentiel. En gagnant en autonomie et en expertise avec votre site vous serez à même de muscler la protection de votre site au fur et à mesure de sa popularité et donc de son trafic.
Bon courage dans la sécurisation de votre site WordPress !
Pour aller plus loin…
Vous avez besoin de conseils pour développer une stratégie webmarketing ? accroître votre visibilité sur internet ? attirer de nouveaux clients ? augmenter votre chiffre d’affaires ? C’est par ici
