Contact

Sécurité : 8 Étapes pour protéger son site WordPress

Miniature pour l'article "Sécurité : 8 étapes poour sécuriser son site WordPress"

Maintenant que vous avez construit votre site et l’avez alimenté en contenu, il serait bête qu’après tous ces efforts votre site soit piraté non ?

Si un des points forts de WordPress est le fait qu’il soit beaucoup utilisé, son point faible est aussi le fait que WordPress est un système utilisé par plus de 60 % des sites web en fait aussi une cible de choix pour les personnes malintentionnées.

Voici donc quelques conseils pour sécuriser son site WordPress.

1. Les mises à jour

Une femme procédant à des mises à jour sur son site WordPress

Il est très important de maintenir votre site web à jour. Pour cela, il va falloir effectuer 3 types de mises à jour : 

  • Le coeur de WordPress
  • Les plugins
  • Le thème

Pour l’ensemble de ces éléments, il existe 2 types de mises à jour :

  • Les mises à jour ajoutant des fonctionnalités
  • Les mises à jour correctives pour pallier un problème technique ou de sécurité

Pour vérifier s’il existe une mise à jour, on se rend dans “Tableau de bord > Mises à jour”.

Là, vous pouvez procéder individuellement aux mises à jour des éléments précédemment cités.

Un GIF expliquant comment mettre à jour le coeur, les plugins et les thèmes de son site WordPress

Gardez en tête que le fait de mettre à jour les plugins régulièrement est important car celà permet de se protéger au mieux des dernières menaces.

2. Les identifiants de connexion

Une liste de mot de passe peu sécurisé suivi d'un mot de passe qui l'est beaucoup plus

Dans cette partie, je vais vous demander d’oublier le fait que votre mot de passe est le nom de votre premier chien suivi de votre date de naissance et on va tâcher de vous trouver quelque chose d’un peu plus solide.

Les identifiants de connexion sont un des points clé pour éviter les tentatives de piratage. Le fait d’avoir un mot de passe fort vous protège déjà d’une certaine manière et empêche les intrus de pénétrer trop facilement sur votre site web.

Pour modifier son mot de passe, on se rend dans Utilisateurs > Profil, puis on scroll jusqu’à la section dédiée au mot de passe.

Et là, magie, WordPress propose un générateur de mot de passe complexe ! Alors oui cela n’est pas très simple à retenir, mais en tout cas cela rendra la tâche de casser votre mot de passe beaucoup plus compliqué.

Un GIF expliquant comment créer un mot de passe fort pour son compte utilisateur WordPress

3. La page de connexion

Une poignée de porte ancienne en gros plan

Par défaut, la page de connexion à l’administration WordPress se trouve toujours sur l’adresse “votresite.fr/wp-admin”. Cette porte d’entrée eest donc visible très facilement. Vous pouvez modifier cela en installant un plugin comme WPS Hide Login qui vous permet de redéfinir l’adresse de votre page de connexion.

Après installation de ce plugin, on se rend dans Réglages > général puis tout en bas, vous pouvez modifier l’URL de connexion à votre site.

Un GIF indiquant comment modifier l'URL d'accès à l'administration de son site WordPress

Un autre plugin utile est WPS Limit Login, qui vous permet de limiter le nombre de tentatives de connexion afin d’éviter les personnes voulant craquer votre mot de passe en essayant plusieurs combinaisons en boucles jusqu’à trouver la bonne.

Après installation, on se rend dans Réglages > WPS Limit Login afin de modifier les paramètres de blocage.

Attention de ne pas paramétrer le plugin de manière trop agressive afin que cela ne se retourne pas contre vous si un jour vous vous trompez en saisissant votre mot de passe.

Un GIF expliquant comment appliquer des restrictions lors d'echecs de connexion

4. Utilisateurs et autorisations

Une jeune homme configurant les accès à un bâtiment

Un point d’attaque important sont les comptes utilisateurs. Pour limiter l’impact des utilisateurs sur votre site, il faut s’assurer de deux choses.

Pour commencer, assurez que les comptes utilisateurs que vous avez créés sont vraiment utiles. Si une personne ne fait plus partie de votre projet ou de votre entreprise, alors supprimez le compte utilisateur.

Concernant les utilisateurs eux-mêmes, sachez que chaque compte possède des droits plus ou moins importants selon le rôle que vous avez définis.

Vous pouvez modifier le rôle attribué à un utilisateur en se rendant dans “Comptes > tous les comptes > Choisir le compte dont vous souhaitez modifier le rôle”.

Un GIF indiquant comment modifier le rôle d'un utilisateur pour son accès à l'interface d'administration WordPress

Voici quelques indications sur les différents rôles :

  • Administrateur : Possède les pleins pouvoir sur le site, il peut tout faire
  • Éditeur : Possède les droits pour accéder et modifier le contenu et peut gérer le contenu des autres
  • Auteur : Comme l’éditeur, mais ne peut pas gérer le contenu des autres
  • Contributeur : Comme l’auteur, mais il ne peut pas publier ses contenus directement, il doit d’abord les soumettre
  • Abonné : Peut accéder à du contenu privé sur le site et permet de commenter les publications.

Pour choisir quels droits les utilisateurs doivent posséder, garder en tête que “moins c’est mieux” et qu’il faut donc donner les justes droits aux utilisateurs.

Enfin, si vous souhaitez modifier les droits directement, vous pouvez installer un plugin comme User Role Editor.
Après installation, on se rend dans “Comptes > User Role Editor”. Tout d’abord, cochez la case “Afficher les permissions dans une forme lisible par l’homme” afin de rendre lisibles les différents droits.

Ensuite, vous pouvez en haut choisir le rôle à modifier et en dessous cocher ou décocher les droits.

Un GIF expliquant comment modifier les permissions d'un rôle utilisateur de WordPress

5. Plugin de sécurité

Un homme responsable de la sécurité vérifiant une personne avant qu'elle ne rentre dans un bâtiment

L’installation et la configuration d’un plugin de sécurité contribue au bien-être de votre site web.

Voici des exemples de plugin à installer :

Le logo de iThemes, une extension de sécurité pour WordPress

iThemes

Le Logo de Wordfence, une extension de sécurité pour WordPress

Wordfence

Le Logo de SecuPress, une extension de sécurité pour WordPress

SecuPress

Les atouts principaux de ce genre de plugin sont d’améliorer globalement la sécurité de votre site web et d’assurer une surveillance constante des activités suspectes sur votre site.

Ces plugins proposent des fonctionnalités comme :

  • Renforcement de mot de passe
  • Protection contre les attaques d’intrusion
  • Sécurisation des commentaires
  • Analyse de vulnérabilité
  • Blocage de robots malveillants
  • Notification de sécurité
  • Protection de base de données
  • Sécurisation des fichiers médias

6. Certificat SSL et HTTPS

Un cadena posé sur un clavier d'ordinateur pour représenter l'utilisation de chiffrement en informatique

Le certificat SSL est un outil qui vous permet d’appliquer le protocole HTTPS à votre site web. Par défaut, votre site est accessible via le protocole HTTP.

HTTPS permet de sécuriser les échanges de données entre les utilisateurs et votre site web, par exemple les identifiants lors de la connexion ou bien les données transmises via un formulaire de contact.

Outre le fait qu’un certificat SSL renforce la sécurité de votre site et contribue à la confidentialité des données de vos utilisateurs, Google prend maintenant en compte le fait d’avoir un certificat SSL comme un critère important lors des résultats de recherche.

L’installation et la configuration du certificat SSL sont propre à chaque hébergeur et vous devez donc vous rapprocher de celui-ci afin de pouvoir le mettre en place.

Une fois que le certificat est installé et configuré, assurez-vous qu’il est bien appliqué sur l’ensemble de votre site simplement en tentant d’accéder à votre site via “https://votresite.fr”.

7. Sécuriser les fichiers

Une personne cherchant des fichiers dans des dossiers

Les fichiers de votre site web sur votre hébergement possèdent chacun des droits d’accès spécifique afin de restreindre l’accès à certains fichiers.

Je vais ici utiliser le logiciel FTP Filezilla à titre d’exemple, mais tout logiciel de connexion FTP convient.

Vous pouvez visualiser les droits d’accès à un dossier ou un fichier en faisant simplement clic droit puis “Droit d’accès au fichier…

Un GIF montrant comment gérer les droits d'accès d'un fichier ou d'un dossier via Filezilla

Là, vous pouvez visualiser des droits qui sont représentés par une valeur numérique.

Généralement, on préfère la configuration suivante :

  • L’ensemble des dossiers devrait être sous l’autorisation 755
  • Sauf les fichiers “index.php” et “wp-config.php” qui devrait être sous l’autorisation 644

Ce système de droit permet logiquement de donner les droits nécessaires aux utilisateurs pour accéder aux fonctionnalités et aux contenus du site, tout en conservant les informations de configuration cachées.

8. Hébergement et sécurité

Un homme intervenant sur des serveurs d'hébergement en utilisant sa tablette

Au-delà de votre site web, l’hébergement est aussi un point clé de la sécurité de celui-ci. Comme tous les services, certains hébergements proposent donc des solutions de sécurité plus poussée que d’autres et il vous advient donc de regarder attentivement les fonctionnalités de sécurité de chacun d’entre eux.

Voici cependant quelques points clé à garder à l’esprit lors du choix de votre hébergement en termes de sécurité.

Certificat SSL

Comme déjà évoqué plus haut, la mise en place d’un certificat SSL est essentiel pour votre site web. Un hébergement avec la possibilité d’installer un certificat SSL est donc obligatoire.

Protection et pare-feu

Un pare-feu, des protections contre les attaques par force brutes et un service de protection DDoS sont des bons points de départ pour un hébergement sécurisé.

Cela pose une bonne base pour maintenir votre site web en ligne et éviter les accès frauduleux sur votre site WordPress.

Sauvegardes et récupérations

Cela n’est pas vraiment de la sécurité, mais cela vous donne une certaine assurance, un service de sauvegarde de vos fichiers et de votre base de données vous permet de pouvoir rétablir votre site en cas d’attaque.

En effet, généralement, il est beaucoup plus simple de détecter une faille et de la corriger plutôt que de réparer un site web qui a été corrompu. Le fait de pouvoir récupérer une sauvegarde de votre site est donc un atout si jamais vous rencontrez un problème.

Sécuriser son site WordPress

La sécurité de votre site web est votre responsabilité. Au-delà, du fait qu’il ne soit pas agréable de se faire pirater son site WordPress, il est aussi important d’assurer la confidentialité de vos données et celles de vos utilisateurs !

Gardez en tête que la sécurité est une tâche continue, il faut mettre à jour votre site et le surveiller afin de vous assurer que tout va bien et mettre en place les outils nécessaires afin de détecter les problèmes qui pourraient survenir.

Prenez donc un moment pour appliquer une partie des mesures décrites dans cet article pour assurer à votre site WordPress une vie paisible et tranquille.

Julien

Julien

Designer WordPress

Partagez cet article !

Nos derniers articles

Vous souhaitez avoir plus d'informations ?

Contactez nous via la page de contact

Contactez nous
Personne ouvrant une application sur son téléphone

Restez informés !

Infos, offres, pas de spam.

suivez-nous

Facebook-f Twitter Instagram Linkedin-in

Mentions légales  –  Politique de confidentialité des données  –  Gérer vos données

Made with  and  by J-Code

Facebook-f Twitter Linkedin-in