Comment securiser WordPress pour les débutants

Comment sécuriser WordPress sans être un expert ?

Avec sa prise en main simplissime et plus de 40% des sites internet mondiaux, sécuriser WordPress doit être ta priorité ! Car les pirates profitent souvent des utilisateurs inexpérimentés qui négligent la sécurité.

Les trois principales causes des failles de sécurité sur WordPress proviennent :

  • d’un défaut de mise à jour de WordPress, ses thèmes et ses plugins ;
  • de l’installation accidentelle de logiciels malveillants (provenant de sources hasardeuses) ;
  • de l’utilisation de mots de passe non sécurisés.

En respectant les bonnes pratiques, il y a de fortes chances que tu sois en parfaite sécurité. Alors laisse-moi te guider pour mettre en place les mesures indispensables pour sécuriser ton site WordPress.

5 tâches obligatoires pour sécuriser WordPress

1- Un hébergement solide et sécurisé pour protéger WordPress

La mauvaise qualité de l’hébergement constitue une porte d’entrée facile pour les hackers. Choisis une société reconnue, qui dispose d’une bonne réputation et qui est transparente sur son infrastructure.

De mon côté j’utilise O2switch dont je suis pleinement satisfaite et que je ne peux que te recommander !

Sécuriser WordPress passe avant tout par l’installer dans un environnement sûr, bénéficiant d’une surveillance permanente.

2- Sécurise ton site WordPress en activant le HTTPS

Plus personne n’a envie de voir la mention « site non sécurisé » dans la barre d’adresse en navigant sur internet. Même si tu n’as pas de paiement en ligne, si tes visiteurs veulent s’inscrire à ta newsletter, leur adresse email peut se retrouver facilement dans la nature ! Assurer la confidentialité des données est également une obligation du RGPD (Règlement Général sur la Protection des Données).

Rapproche-toi de ton hébergeur pour générer un certificat SSL (Secure Sockets Layer) qui crypte les données transmises entre l’utilisateur et ton site. Ainsi tu pourras sécuriser WordPress en activant une connexion sécurisée HTTPS.

3- Renforce ton système de connexion à WordPress

Choisis impérativement un login et un mot de passe suffisamment forts pour sécuriser ton site WordPress. Adieu les « admin », « root » ou « 123456 » ! Ces identifiants sont crackés en à peine quelques secondes en utilisant des listes qui circulent sur internet. Le strict minimum pour un mot de passe c’est au moins 10 caractères dont 1 majuscule, 1 minuscule, 1 chiffre et 1 symbole. Et bien sûr, ne le partage à personne. Si quelqu’un d’autre a besoin d’accéder à l’administration, tu dois lui créer un compte utilisateur dédié.

Ensuite mets en place un captcha ou double authentification qui nécessite de saisir un code fourni par ton smartphone pour te connecter. Le plugin 2FAS le propose gratuitement en utilisant par exemple Google Authenticator, très répandu sur de nombreux autres services.

Enfin, déplace ta page de connexion vers une autre URL que /wp-admin ! Des plugins de sécurité comme SecuPress proposent cette option en deux clics. Plus tu sèmeras d’embûches sur le chemin des pirates, plus tu auras de chance qu’ils te laissent tranquille.

4- Utilise des thèmes et extensions à jour et téléchargés depuis une source fiable

On ne le répétera jamais assez mais conserver son ordinateurs, ses logiciels, ses thèmes, plugins et son installation de WordPress à jour est primordial en sécurité informatique. C’est valable aussi pour les mobiles et leurs nombreuses applications…

En effet, avec le temps et le travail des hackers des vulnérabilités apparaissent. Mais une fois que ces failles sont connues, les éditeurs les corrigent et publient des mises à jour. Si tu ne les installes pas, les hackers n’ont qu’à suivre le mode d’emploi pour faire voler en éclat toutes les mesures de sécurité de ton site WordPress !

Par ailleurs, n’installe jamais de thèmes ou extensions provenant de sources non fiables. D’une manière générale, privilégie toujours le catalogue officiel de WordPress qui assure une bonne traçabilité des éléments qu’il propose.

5- Des sauvegardes régulières, l’assurance-vie de ton site !

Même s’il vaut mieux prévenir que guérir, c’est quand même pratique et rassurant d’avoir du secours en cas de problème. Que ton site soit victime d’un piratage, d’une catastrophe naturelle, d’une négligence de ton hébergeur ou autre, si tu as une sauvegarde récente tu pourras remettre ton site en ligne rapidement avec peu ou pas de pertes de données.

Pour que ton site reste performant et sécurisé sur le long terme, il ne suffit pas de bien faire au début. Il faut ensuite réaliser une maintenance régulière. Je t’ai préparé une checklist pour t’aider à entretenir ton site que tu trouveras dans cet article : Maintenance WordPress facile et efficace !

Mon plugin préféré pour sécuriser WordPress : SecuPress

Il existe de très nombreuses extensions pour assurer la sécurité de WordPress : Wordfence, iThemes Security, Defender Security… Je ne les ai pas toutes testées. Mais il y en a une qui m’a séduite par son affichage ludique qui permet de gérer la sécurité très facilement et sa grande quantité d’options dans la version gratuite : SecuPress.

Pas de longues pages de cases à cocher incompréhensibles, ici tout est expliqué et accompagné d’un diagnostic qui fait gagner un temps précieux !

Pour ma part, je trouve que la version gratuite est amplement suffisante. Les fonctionnalités premium importantes pour sécuriser WordPress se retrouvent dans d’autres plugins gratuits comme la double authentification ou les backups.

Sécuriser WordPress : le plugin SecuPress
« Plus qu’un plugin WordPress, l’assurance d’un site protégé par des experts » ©secupress.me

Que faire si la sécurité de ton site WordPress est compromise ?

Si malheureusement ton site est victime d’un piratage ou d’un gros problème technique, commence par réaliser un diagnostic rapide.

Si le site s’affiche mais que certaines choses ne fonctionnent pas comme prévu

Essaye de vider le cache de ton navigateur puis recharger la page. Consulte le site en navigation privée ou dans un autre navigateur. Si tout rentre dans l’ordre, alors tu n’as rien à faire, il s’agissait simplement d’un problème d’affichage.

Il n’y a pas toujours d’explications à certains bugs et ces actions basiques suffisent généralement à passer outre les petits soucis.

Si le site ne s’affiche plus (page blanche ou message d’erreur)

Commence par vérifier, en allant sur ce site bien pratique downforeveryoneorjustme.com, que le problème ne vient pas simplement de chez toi (internet coupé, câble débranché, ordinateur crashé, etc.).

Si c’est général et que tu peux quand même te connecter à l’espace d’administration, annule les dernières opérations que tu as réalisées. Supprime le contenu ajouté, désactive les nouvelles extensions, remets les éventuels paramètres que tu as modifiés. Ton site a peut-être planté suite à une modification récente (mise à jour, ajout ou modification d’un contenu…).

Si une erreur s’affiche à l’écran, Google est ton ami 🙂 Fais une recherche de la phrase exacte sur Google, tu trouveras
sûrement la solution.

Si tu ne trouves pas d’où vient le bug ou que tu ne te sens pas en mesure de réaliser les corrections, contacte rapidement un professionnel. D’ailleurs, si tu as souscrit à mon abonnement maintenance, je m’en occupe pour toi ! En fonction des mesures que tu avais mises en place et de l’importance du hack, il sera alors possible de récupérer plus ou moins de données.

Une fois la menace écartée, renforce la sécurité de ton site en suivant au minimum toutes les recommandations de cet article.

En résumé, les 5 mesures essentielles pour assurer la sécurité de WordPress

Pas besoin d’être un petit génie des nouvelles technologies pour sécuriser WordPress et ainsi assurer stabilité et intégrité à ton site. Dans un premier temps, applique-toi bien à :

  1. Choisir un hébergement solide et sécurisé pour protéger WordPress
  2. Activer la navigation sécurisée HTTPS
  3. Renforcer ton système de connexion, ta première défense contre les attaques malveillantes
  4. Utiliser des thèmes et extensions à jour et téléchargés depuis une source fiable
  5. Réaliser des sauvegardes régulières, pour éviter de perdre tes données en cas de bug ou de piratage

Tu connais maintenant la base pour conserver un site solide et fiable, qui inspire confiance à ses visiteurs. Avec ça, la protection de ton site sera déjà meilleure que la majorités des gens.

Et si tu veux aller plus encore loin, SecuPress a réalisé pour toi des checklists encore plus complètes.


Si tu souhaites te lancer dans la création ou la refonte de ton site internet, faire appel à un professionnel, comme YelloWeb Marine par exemple, est l’assurance d’avoir un site adapté à ton projet, conforme aux règlementations en vigueur et sécurisé. Contacte-moi dès maintenant en cliquant ici pour en parler !

Information :
Les différents liens vers O2switch présents dans cet article sont des liens d’affiliation. C’est-à-dire que je toucherai une commission si tu passes par eux pour te procurer leurs produits ou services. Cela ne change rien pour toi mais permet en revanche de rétribuer le travail de recherche et d’écriture réalisé sur ce blog 🙂