Comment sécuriser WordPress sans être un expert ?
Avec sa prise en main simplissime et plus de 40% des sites internet mondiaux, sécuriser WordPress doit être ta priorité ! Car les pirates profitent souvent des utilisateurs inexpérimentés qui négligent la sécurité.
Pas de panique, le coeur de WordPress (en dehors des thèmes et plugins) est déjà très bien sécurisé grâce à sa communauté. En effet, de nombreuses personnes travaillent en permanence à tester la sécurité et fournir des patch correctifs dès qu’une faille est trouvée.
C’est pour ça que les trois principales causes des failles de sécurité sur WordPress proviennent :
- d’un défaut de mise à jour de WordPress, ses thèmes et ses plugins ;
- de l’installation accidentelle de logiciels malveillants (provenant de sources hasardeuses) ;
- de l’utilisation de mots de passe non sécurisés.
Heureusement, le CMS (Content Management System) le plus connu du marché a des ressources ! Et en respectant les bonnes pratiques, il y a de fortes chances que tu sois en parfaite sécurité.
Alors laisse-moi te guider pour mettre en place les mesures indispensables pour sécuriser ton site WordPress.
-
1.
5 mesures obligatoires pour sécuriser WordPress
- 1.1. 1- Un hébergement solide et sécurisé pour protéger WordPress
- 1.2. 2- Sécurise ton site WordPress en activant le HTTPS
- 1.3. 3- Renforce ton système de connexion à WordPress
- 1.4. 4- Utilise des thèmes et extensions à jour et téléchargés depuis une source fiable
- 1.5. 5- Des sauvegardes régulières, l’assurance-vie de ton site WordPress !
- 2. Mon plugin préféré pour sécuriser WordPress : SecuPress
- 3. Les 3 signes qui peuvent indiquer qu’un site WordPress est piraté
- 4. Que faire si la sécurité de ton site WordPress est compromise ?
- 5. En résumé, les 5 mesures essentielles pour assurer la sécurité de WordPress
5 mesures obligatoires pour sécuriser WordPress
Que tu disposes d’un site vitrine ou d’une boutique en ligne, mettre en place les mesures élémentaires de protection de ton site web t’évitera de gros soucis. Les conséquences peuvent aller de la perte de quelques heures de travail, jusqu’à plusieurs centaines ou milliers d’euros de chiffre d’affaires pour une boutique Woocommerce indisponible. Mais cela peut avoir également un impact au niveau du référencement naturel (SEO) selon la nature du piratage.
Alors pourquoi prendre un tél risque quand on peut éviter 99% des problèmes ?
Avec un outil de gestion de contenu accessible et polyvalent comme WordPress, je suis certaine que les quelques conseils ci-dessous vont vite te paraître évident.
1- Un hébergement solide et sécurisé pour protéger WordPress
La mauvaise qualité de l’hébergement web constitue une porte d’entrée facile pour les hackers. Choisis une société reconnue, qui dispose d’une bonne réputation et qui est transparente sur son infrastructure.
De mon côté, j’utilise O2switch dont je suis pleinement satisfaite. Il s’agit de l’un des meilleurs hébergements web pour WordPress et je ne peux que te recommander !
Sécuriser WordPress passe avant tout par l’installer dans un environnement sûr, bénéficiant d’une surveillance permanente.
2- Sécurise ton site WordPress en activant le HTTPS
Plus personne n’a envie de voir la mention “site non sécurisé” dans la barre d’adresse en naviguant sur internet.
Même si tu n’as pas de boutique e-commerce avec un paiement en ligne, si tes visiteurs veulent s’inscrire à ta newsletter, leur adresse email peut se retrouver facilement dans la nature ! Assurer la confidentialité des données est également une obligation du RGPD (Règlement Général sur la Protection des Données).
Rapproche-toi de ton hébergeur pour générer un certificat SSL (Secure Sockets Layer) qui crypte les données transmises entre l’utilisateur et ton site. Ainsi, tu pourras protéger WordPress en activant une connexion sécurisée HTTPS.
Ce qui te permettra de bénéficier d’une adresse avec un nom de domaine bien choisi qui inspire confiance, comme https://yellowebmarine.com !
3- Renforce ton système de connexion à WordPress
Choisis impérativement un login et un mot de passe suffisamment forts pour sécuriser ton site WordPress. Adieu les “admin”, “root” ou “123456” ! Ces identifiants sont crackés en à peine quelques secondes en utilisant des listes qui circulent sur internet.
Le strict minimum pour un mot de passe c’est au moins 10 caractères dont 1 majuscule, 1 minuscule, 1 chiffre et 1 symbole. Et bien sûr, ne le partage à personne. Si quelqu’un d’autre a besoin d’accéder à l’administration, tu dois lui créer un compte utilisateur dédié.
Ensuite mets en place un captcha ou double authentification qui nécessite de saisir un code fourni par ton smartphone pour te connecter. Le plugin WP 2FA le propose gratuitement en utilisant par exemple Google Authenticator, très répandu sur de nombreux autres services.
Enfin, déplace ta page de connexion vers une autre URL que celle par défaut ! Tous les sites WordPress ont la même. Donc si tu ne changes pas l’adresse, n’importe qui et surtout les robots peuvent facilement s’y rendre pour tenter de se connecter. Des plugins de sécurité comme SecuPress proposent cette option en deux clics. Plus tu sèmeras d’embûches sur le chemin des pirates informatique, plus tu auras de chance qu’ils te laissent tranquille.
4- Utilise des thèmes et extensions à jour et téléchargés depuis une source fiable
L’une des plus grandes forces de WordPress réside dans son immense catalogue de fonctionnalités disponibles gratuitement. Tu peux les ajouter à ton site en passant par ton tableau de bord via l’installation d’extensions ou modules complémentaires, qui seront améliorés et corrigés au fil du temps par leurs créateurs.
Règle n°1 : on ne le répétera jamais assez, mais conserver son ordinateur, ses logiciels, ses thèmes, plugins et son installation de WordPress à jour est primordial en sécurité informatique. C’est valable aussi pour les mobiles et leurs nombreuses applications…
En effet, avec le temps et le travail des hackers, des vulnérabilités apparaissent. Mais une fois que ces failles sont connues, les éditeurs les corrigent et publient des mises à jour. Si tu ne les installes pas, les hackers n’ont qu’à suivre le mode d’emploi pour faire voler en éclat toutes les mesures de sécurité de ton site WordPress !
Par ailleurs, n’installe jamais de thèmes ou extensions provenant de sources douteuses ou inconnues. Par exemple, des thèmes premium que tu trouves gratuitement… Ces “bonnes affaires” en apparence cachent souvent du code malicieux qui peut placer des liens ou récupérer tes données à ton insu.
D’une manière générale, privilégie toujours le catalogue officiel de WordPress qui assure une bonne traçabilité des éléments qu’il propose. Si tu veux en savoir plus, je te guide dans mon article sur l’installation et le choix des meilleures extensions pour WordPress.
5- Des sauvegardes régulières, l’assurance-vie de ton site WordPress !
Même s’il vaut mieux prévenir que guérir, c’est quand même pratique et rassurant d’avoir du secours en cas de problème. Que ton site soit victime d’un piratage, d’une catastrophe naturelle, d’une négligence de ton hébergeur ou autre, si tu as une sauvegarde récente tu pourras remettre ton site en ligne rapidement avec peu ou pas de pertes de données.
Pour que ton site reste performant et sécurisé sur le long terme, il ne suffit pas de bien faire au début. Il faut ensuite réaliser une maintenance régulière. Je t’ai préparé une checklist pour t’aider à entretenir ton site que tu trouveras dans cet article : Maintenance WordPress facile et efficace !
Mon plugin préféré pour sécuriser WordPress : SecuPress
Il existe de très nombreuses extensions pour assurer la sécurité de WordPress : Wordfence, iThemes Security, Defender Security… Je ne les ai pas toutes testées. Mais après plusieures expérimentations, il y en a une qui m’a séduite par son affichage ludique qui permet de gérer la sécurité très facilement et sa grande quantité d’options dans la version gratuite : SecuPress.
Pas de longues pages de cases à cocher incompréhensibles. Ici tout est expliqué et accompagné d’un diagnostic qui fait gagner un temps précieux !
Pour ma part, je trouve que la version gratuite est amplement suffisante. Les fonctionnalités premium importantes pour sécuriser WordPress se retrouvent dans d’autres plugins gratuits comme la double authentification ou les backups.
Les 3 signes qui peuvent indiquer qu’un site WordPress est piraté
Que tu aies déjà un doute sur l’intégrité de ton site WordPress ou que tu fasses une vérification de routine sur la sécurité, voici les trois éléments qui peuvent te mettre la puce à l’oreille.
Un nombre de visites anormalement élevé
Si tu constates un trafic nettement plus élevé que d’habitude sur certaines pages, il vaut mieux vérifier d’où ça vient. Surtout si tu n’as pas publié d’article récemment. Ni aucune raison particulière pour avoir bénéficé d’une importante publicité.
Vérifie quelles sont les pages concernées, si elles existent bien et l’origine de ce nouveau trafic. Pour faire ça, tu dois bien sûr avoir configuré Google Analytics (par exemple) pour compiler les statistiques de ton site.
Des redirections intempestives
Lorsque tu cliques sur un lien de ton site, si tu atterris sur un site étranger bizarre, tu peux être certain·e que c’est l’oeuvre d’un piratage.
Attention, cela peut arriver seulement sur mobile ou bien seulement une fois sur 10 ou de manière aléatoire. Dans ce cas, tu auras plus de mal à l’identifier alors fais confiance à tes visiteurs si quelqu’un se plaint de redirections étranges !
Des résultats de recherches corrompus
Pense à rechercher le nom de ton site de temps en temps sur Google. Si les titres de pages ou les descriptions ne correspondent pas à ce que tu avais configuré, tu vas devoir réagir vite ! En effet, cela signifie que ton site WordPress est déjà infecté mais en plus que Google a déjà eu le temps d’indexer le nouveau contenu du pirate.
Il s’agit très souvent de piratages appelé pharma hacks qui transforment ton site WordPress en vendeur de produits pharmaceutiques illégaux.
Que faire si la sécurité de ton site WordPress est compromise ?
Si malheureusement ton site WordPress est victime d’un piratage ou d’un gros problème technique, commence par réaliser un diagnostic rapide.
Si tu as identifié l’un des 3 signes d’un possible piratage
Il y a très certainement péril en la demeure mais si tu réagis correctement tout devrait ien se passer. Si tu n’as ni le temps ni les compétences pour t’attaquer au problème, fais appel dès que possible à un professionnel de WordPress. Plus vite tu règleras le souci, moins les conséquences seront importantes.
Voici quelques actions que tu peux faire de ton côté pour corriger le souci :
- Changer tous les mots de passe des comptes administrateurs et du compte FTP associé à ton hébergement web.
- Trouver l’origine du code qui pose problème : un fichier du thème, un fichier de plugin, une page, un article de blog…
- Supprimer le code malveillant si tu peux, sinon supprimer le plugin ou le thème (le désactiver ne suffit pas !). Pour une page ou un article, copie le contenu, supprime-les puis crée un nouvel article. Pense à vider la corbeille.
- Corriger les données qui ont été modifiées ou alors réinstaller une sauvegarde du site datant d’avant le probème, s’il est trop impacté par le piratage.
- Réaliser un scan de sécurité (par exemple avec WPScan) pour valider l’intégrité de tout le site après avoir effectué les actions précédentes.
- Vérifier que tu as bien suivi tous les conseils donnés dans cet article !
Si le site s’affiche mais que certaines choses ne fonctionnent pas comme prévu
Essaye de vider le cache de ton navigateur puis recharger la page. Essaie de naviguer sur d’autres pages web et consulte le site en navigation privée ou dans un autre navigateur. Si tout rentre dans l’ordre, alors tu n’as rien à faire, il s’agissait simplement d’un problème d’affichage.
Il n’y a pas toujours d’explications à certains bugs et ces actions basiques suffisent généralement à passer outre les petits soucis.
Si le site ne s’affiche plus (page blanche ou message d’erreur)
Commence par vérifier, en allant sur ce site bien pratique downforeveryoneorjustme.com, que le problème ne vient pas simplement de chez toi (internet coupé, câble débranché, ordinateur crashé, etc.).
Si c’est général et que tu peux quand même te connecter à l’espace d’administration, annule les dernières opérations que tu as réalisées. Supprime le contenu ajouté, désactive les nouvelles extensions, remets les éventuels paramètres que tu as modifiés. Ton site a peut-être planté suite à une modification récente (mise à jour, ajout ou modification d’un contenu…).
Si une erreur s’affiche à l’écran, Google est ton ami. Utilise les moteurs de recherche pour trouver des conseils en tapant la phrase exacte qui s’affiche sur ton site. La communauté WordPress étant gigantesque à travers le monde, il y a de fortes chances que quelqu’un d’autre ait déjà eu le souci avant toi et que la personne ait partagé la solution.
Si tu ne trouves pas d’où vient le bug ou que tu ne te sens pas en mesure de réaliser les corrections, contacte-moi rapidement (ou un autre professionnel de WordPress). D’ailleurs, si tu as souscrit à mon abonnement maintenance, je m’occupe de tout pour toi ! En fonction des mesures que tu avais mises en place et de l’importance du hack, il sera alors possible de récupérer plus ou moins de données.
Une fois la menace écartée, renforce la sécurité de ton site en suivant au minimum toutes les recommandations de cet article.
En résumé, les 5 mesures essentielles pour assurer la sécurité de WordPress
N’importe quel site en ligne sur la toile peut faire l’objet d’attaques de pirates. Il faut tout simplement se prémunir et mettre des mesures en place qui permettront à ton site de réagir correctement face à d’éventuelles attaques.
Pas besoin d’être un petit génie des nouvelles technologies pour sécuriser WordPress et ainsi assurer stabilité et intégrité à ton site. Dans un premier temps, applique-toi bien à :
- Choisir un hébergement solide et sécurisé pour protéger WordPress
- Activer la navigation sécurisée HTTPS
- Renforcer ton système de connexion, ta première défense contre les attaques malveillantes
- Utiliser des thèmes WordPress et extensions à jour et téléchargés depuis une source fiable
- Réaliser des sauvegardes régulières, pour éviter de perdre tes données en cas de bug ou de piratage
Tu connais maintenant la base pour conserver un site solide et fiable, qui inspire confiance à ses visiteurs. Avec ça, la protection de ton site sera déjà meilleure que la majorités des gens.
Et si tu veux aller plus encore loin, SecuPress a réalisé pour toi des checklists encore plus complètes.
Je te suggère aussi cette playlist du GOAT WPMarmite qui passe en revue tous les aspects de la sécurité sur WordPress à travers des courtes vidéos. Bon visionnage !
Information :
Certains liens présents dans cet article sont des liens d’affiliation. C’est-à-dire que je toucherai une commission si tu passes par eux pour te procurer leurs produits ou services payants. Cela ne change rien pour toi mais permet en revanche de rétribuer le travail de recherche et d’écriture réalisé sur ce blog 🙂