Les bases de la sécurité sur WordPress
Comme tu le sais, je me suis spécialisée dans les sites WordPress. Je te présente même les raisons pour lesquelles tu devrais choisir WordPress comme CMS pour ton propre site. Mes deux blogs (celui-ci ainsi que Margaux Lifestyle) ont été développés sur WordPress. Je suis loin d’être la seule à avoir fait ce choix puisque 40% des sites dans le monde sont faits avec WordPress. Il s’agit tout simplement du CMS le plus utilisé dans le monde. Cependant, avec cette utilisation massive, vient aussi un risque accru concernant la sécurité.
Or, un défaut de sécurité peut coûter très cher. Prenons l’exemple de Garmin, qui à la suite d’un piratage en août 2020, a dû payer une rançon de 10 millions de dollars pour récupérer l’accès à ses serveurs.
Aujourd’hui, nous allons voir ensemble comment sécuriser ton site WordPress.
Les bases de la sécurité sur WordPress
L’hébergement
Dans un premier temps, il est important de choisir un hébergement qui intègre une protection contre les attaques par déni de services. C’est-à-dire des attaques qui rendent indisponibles votre serveur et le font crasher. Personnellement, j’utilise OVH.
Certains hébergeurs intègrent également une protection contre les attaques par force brut : une attaque durant laquelle un programme malveillant va essayer de forcer la connexion à ton site internet en essayant une multitude de mot de passe. Il s’agit d’une des failles de votre compte utilisateur que nous verrons dans le point suivant.
Dans un second temps, il te faudra sécuriser ton nom de domaine en passant du protocole HTTP au HTTPS. Il s’agit d’un impératif autant de sécurité que de référencement pour ton site. En effet, l’algorithme de Google pénalise très fortement les sites encore en HTTP. Du point de vue de la sécurité, sur un site encore en HTTP, les données transférées à un utilisateur peuvent être interceptées par des personnes mal intentionnées (ce qui est problématique quand il s’agit de données bancaires…). Le protocole HTTPS permettra de crypter toutes les données.
Tu retrouveras la procédure complète pour le faire sur OVH juste ici : https://docs.ovh.com/fr/hosting/passer-site-internet-https-ssl/
Le compte utilisateur
Après l’hébergement, le plus gros de la sécurité de ton site se fera par le compte utilisateur. Celui-ci comporte trois failles :
- Le nom d’utilisateur
- Le mot de passe
- La page de connexion
Ces failles de sécurité sont à multiplier par le nombre de comptes utilisateurs créés sur ton site. Pour protéger au maximum ton site WordPress, voici quelques étapes simples à mettre en place.
1/ Le nom d’utilisateur :
- supprimer le compte admin créé par défaut lors de l’installation de ton site wordpress
- créer un nouveau compte, avec un rôle d’administrateur, avec un nouveau nom. De préférence, sans utiliser le nom de ton blog ou de ton entreprise
- pour chaque compte d’utilisateur créé sur ton site, attribuer un rôle bien défini et ne pas tous les laisser en administrateur.
2/ Le mot de passe :
- choisir un mot de passe sécurisé et chiffré, voire une authentification à 2 facteurs
- ne jamais utiliser un mot de passe déjà utilisé ailleurs
3/ La page de connexion :
- changer l’URL de la page de connexion
Imagine ton compte utilisateur comme la clé et la serrure de la porte d’entrée de ton site. Le nom d’utilisateur et le mot de passe constituent la clé. Plus tu les rendras complexes et uniques, plus il sera difficile de les reproduire. La page de connexion, quant à elle, est la serrure. En cachant la localisation de la serrure, même si les hackers ont la clé, ils ne sauront pas où l’utiliser.
Les plugins et extensions recommandées
Il existe des plugins qui augmenteront la sécurité de ton site. Je te recommande très fortement de les installer, si ce n’est pas déjà fait, sur ton site Worpress.
WP Activity Log : il te fournira un journal des activités sur ton site web. Tu auras ainsi la liste de toutes les mises à jour d’extensions, de toutes les actions que tu auras réalisées… mais aussi de toutes les attaques et tentatives de connexion. C’est extrêmement utile quand ton site vient à planter, car tu peux trouver l’origine du problème.
WPS Hidelogin : il te permet de changer l’url de ta page de connexion. Par défaut, celle-ci ressemble à www.ton-site.com/wp-admin/. Grâce à ce plugin, tu pourras remplacer wp-admin par ce que tu veux, et ainsi cacher l’accès à ta page de connexion.
Wordfence : c’est LE plugin de sécurité par excellence. Gratuit, celui-ci fonctionnera comme un anti-virus, notamment en bloquant les IPs ayant trop de tentatives de connexion infructueuses ainsi que les attaques de force brute.
All-in-on WP migration : ce plugin te permettra de réaliser une sauvegarde de ton site. Normalement, celles-ci se font automatiquement grâce à ton hébergeur; Cependant, il est toujours utile d’avoir des sauvegardes en locale dans le cas où tu perdrais l’accès à ton hébergement. Ainsi, si on te supprime ton site internet, tu pourras le « télécharger » à nouveau sur un autre site wordpress… Très utile aussi en cas de problème de mise à jour…
D’une manière générale, il te faudra faire très attention aux plugins (ainsi que les thèmes) que tu choisiras d’installer sur ton site internet. Privilégie les extensions officielles, ayant un nombre d’utilisateurs élevés ainsi que des mises à jours fréquentes. Cela diminuera le risque de failles de sécurité.
Conclusion : les étapes pour sécuriser ton site wordpress
En résumé, pour sécuriser ton site wordpress, voici les étapes à suivre :
- Choisir un bon hébergeur
- Protéger sa page de connexion et son compte utilisateur WordPress
- Choisir un bon thème WordPress régulièrement mis à jour
- Choisir de bons plugins régulièrement mis à jour
- Installer des plugins de sécurité
- Effectuer les mises à jour de WordPress, de votre thème et de vos plugins régulièrement