Nos 10 conseils pour sécuriser votre site WordPress de A à Z

Comme tous les CMS, ces outils qui permettent de créer un site sans coder, il est indispensable de sécuriser WordPress pour protéger votre site web et son contenu.

En 2020, le géant annonce fièrement sur son site que “37% du web utilise WordPress ”. 

C’est colossal et impressionnant mais cela fait aussi de lui une cible encore plus alléchante pour toutes les attaques. Les pirates connaissent bien la structure du CMS commune à ces 37% de sites et va exploiter chacune de ses failles. 

En prenant les bonnes précautions vous sécurisez votre site WordPress et évitez facilement :

• les publications de spams dans les commentaires
• les interventions de faux comptes, gérés par des robots
• les injections de codes malveillants qui permettent l’accès à vos données ou même d’espionner les activités des utilisateurs
• les tentatives d’accès au back office, les coulisses de votre site, et donc à son contrôle total

Voici nos 10 conseils pour renforcer la sécurité de votre site WordPress: 

1. 1. Protégez votre ordinateur
   2. Choisissez le bon hébergeur
   3. Changez votre identifiant WordPress
   4. Utilisez un mot de passe complexe
   5. Activez l’authentification à deux facteurs
   6. Personnalisez l’URL de votre page de connexion
   7. Masquez la version WordPress de votre site
   8. Supprimez les thèmes et plugins inutiles
   9. Vérifiez régulièrement les mises à jour
   10. Faites des sauvegardes fréquentes

1. Protégez votre ordinateur

Cela parait évident mais si un hacker infiltre l’ordinateur depuis lequel vous vous connectez à votre site, il aura beaucoup plus de facilité à le pirater. Pensez donc à bien sécuriser votre ordinateur.

Concrètement ?

Installez un bon anti-virus, configurez votre pare-feu et ne vous connectez jamais à un réseau internet public sans utiliser de VPN pour crypter vos données.

2. Choisissez le bon hébergeur

La sécurité de votre site WordPress dépend aussi de la fiabilité de votre hébergeur. Si votre hébergeur ne couvre pas vos arrières, tous vos efforts ne seront pas suffisants pour sécuriser votre site. Plus de 40% des piratages sont le résultat d’un hébergement wordpress trop vulnérable.

En pratique ?

Prenez soin de choisir votre hébergeur en vérifiant les points essentiels : le logiciel de sécurité du serveur, le support SSL, la sauvegarde et restauration, l’analyse des programmes malveillants, le pare-feu… Et consultez les avis des internautes !

3. Changez votre identifiant WordPress.

Au moment d’installer WordPress, votre identifiant par défaut est “admin”. Si vous le conservez, c’est un cadeau que vous faites à tous les hackers. Ils auront deviné votre identifiant à la première tentative et pourront se consacrer entièrement à la recherche de votre mot de passe. 

Application :

Vous ne pouvez pas modifier l’identifiant de votre compte. Vous devez d’abord créer un nouveau compte dans la rubrique “utilisateurs” de votre tableau de bord. Vous pourrez alors vous connecter à ce nouveau compte et supprimer l’ancien.

4. Utilisez un mot de passe complexe

Évidemment, votre mot de passe doit lui aussi être complexe pour sécuriser votre site WordPress. Au moment d’une attaque, des serveurs essaient d’accéder à votre compte WordPress en essayant des centaines voire des milliers de combinaisons à la minute. Si votre mot de passe est composé d’un ou de plusieurs mots existants ou de dates par exemple, il sera beaucoup plus rapide et facile à deviner. 

Pour sécuriser WordPress, votre mot de passe doit se composer d’au minimum 10 caractères. Il lui faut des chiffres, lettres, caractères spéciaux, des majuscules et minuscules et il ne doit composer aucun mot réel. 

Comment faire ?  

Eh bien il existe des gestionnaires de mots de passe, comme Dashlane,  pour vous faciliter la tache. Ils génèrent des mots de passe complexes pour tous vos comptes mais vous n’en retenez qu’un seul. Celui du gestionnaire. Il vous permet ensuite d’accéder à tous vos comptes en ligne dont les mots de passe sont enregistrés. 

5. Activez l’authentification à deux facteurs

Faites comme les grands !

Sur les sites d’Apple, de votre banque ou même sur Amazon, on nous demande régulièrement un second facteur d’identification. Il faut entrer un code reçu par SMS ou par email en plus de son mot de passe. 

Activez la même option pour la connexion à votre espace administrateur WordPress ! Il serait vraiment improbable qu’on pirate votre mot de passe tout en ayant accès à votre téléphone. 

En d’autres termes : 

Activez l’option directement grâce à votre hébergeur s’il la propose ou installez une extension WordPress tel que Two-Factor ou Google Authenticator.

L’extension Wordfence Security propose aussi cette fonctionnalité parmi de nombreuse autres, vous allez en entendre parler dans cet article. 😉

6. Personnalisez l’URL de votre page de connexion.

Évitez les classiques “wp-admin” ou “wp-login” configurés par défaut. Pour la même raison que pour votre identifiant, ils sont bien trop connus des hackers pour que vous leur fassiez ce cadeau. 

But how ?

Utilisez l’extension iThemes Security par exemple et choisissez votre propre URL de connexion.

7. Masquez la version WordPress de votre site

Les failles de WordPress sont découvertes par les utilisateurs puis corrigées par WordPress au fur et à mesure des mises à jour. Mais chaque version de WordPress a ses propres failles. 

La version de WordPress dont vous vous servez fait partie des informations très facile à obtenir.

Avec cette donnée, un bon hackeur saura exactement les fragilités de votre site et où il faut frapper. C’est la raison pour laquelle, vous devriez la masquer. 

Traduction :

Utilisez le plugin Hide My WordPress

Dans le fichier header.php, supprimez la ligne :

<meta name= »generator » content= »WordPress <?php bloginfo(‘version’); ?> »

8. Supprimez les thèmes et plugins inutiles

Chaque plugin WordPress est une ouverture vers votre site, encore plus grande s’il est aux oubliettes et qu’il n’est pas mis à jour régulièrement. 

Plus simplement ?

Si vous téléchargez un plugin qui ne vous sert pas finalement, pensez à le supprimer et fautes le tri régulièrement. 

9. Vérifiez régulièrement les mises à jour

Il s’agit d’une des précautions les plus importantes et dont on vous parle sans cesse dans notre formation WordPress.  Pour sécuriser votre site web est d’effectuer régulièrement les mises à jour WordPress. Comme je le disais un peu plus haut, les bugs sont révélés petit à petit par les utilisateurs et corrigés par les mises à jour.  N’attendez-pas trop longtemps pour les effectuer après leur sortie pour ne pas rester vulnérable après la mise en avant des dernières failles. 

Cela vous inquiète ?  

Keep calm et suivez notre guide complet sur les mises à jour WordPress.

10. Faites des sauvegardes fréquentes

Last but not least. Pour limiter les dégâts en cas d’attaque malveillante malgré toutes ses précautions, sauvegardez régulièrement votre base de données. Mettez des rappels dans votre agenda s’il le faut, mais ne passez pas à côté. 

Pour faire simple : 

Parce que c’est une précaution obligatoire là aussi, la marche à suivre est complète dans le guide sur la mise à jour WordPress. 

Notre article touche à sa fin et vous pouvez souffler un peu. Après avoir pris toutes ces précautions, votre site est en sécurité. Mais n’oubliez pas ! Plusieurs de ces étapes sont à réitérer régulièrement pour maintenir votre site en bonne santé !

Et n’oubliez pas : un site sécurisé est un site qui est bien vu par l’algorithme de Google. Vous gagnerez donc de précieux points en termes de référencement naturel.

Et vous, comment procédez-vous pour sécuriser votre site WordPress ?

Je suis curieuse de le découvrir dans les commentaires de cet article ! 

Bonus :

• Comment migrer son WordPress.com en WordPress.org ?
• Comment optimiser la vitesse de chargement de son site WordPress ?
• Les bases du code HTML sur WordPress