Comment sécuriser un site WordPress en 7 étapes simples

Bien que WordPress soit sécurisé en soi, cela ne signifie pas qu’il n’y a pas de mesures à prendre pour protéger davantage votre contenu. Quelques changements ici et là peuvent transformer votre site web en une véritable forteresse et assurer la sécurité des données de vos utilisateurs.

Dans ce guide, nous allons parler de la sécurité de WordPress en général. Ensuite, nous vous apprendrons comment sécuriser un site WordPress en sept étapes clés. Mettons-nous au travail !

Dans cet article 🔭

• WordPress est-il sécurisé ? Comprendre la sécurité et les vulnérabilités de WordPress
• Comment sécuriser un site WordPress en 7 étapes simples
• Conclusion

WordPress est-il sécurisé ? Comprendre la sécurité et les vulnérabilités de WordPress 🤷

Oui, WordPress est sécurisé, mais il dépend de vous pour qu’il le reste. Le système de gestion de contenu (CMS) reçoit régulièrement des mises à jour pour corriger les vulnérabilités, et il existe une grande communauté de personnes qui se consacrent à assurer sa sécurité permanente.

Cependant, WordPress est massif. Ce CMS open-source alimente plus de 30 % du web et son ampleur en fait une cible juteuse pour les cyber-attaquants. Avec de tels chiffres, il n’est pas étonnant que les “nettoyages” de WordPress (réparation de sites piratés) représentent 90 % de l’activité de services tels que Sucuri.

Pensez-y de la manière suivante : si un plugin populaire présente une vulnérabilité, celle-ci peut affecter de 1 à 2 millions de personnes, et des milliers à des centaines de milliers de sites. Si un pirate découvre le problème et décide de l’exploiter, une simple faille pourrait endommager un grand nombre de propriétés en ligne.

Ce problème peut être exacerbé lorsque les utilisateurs ne mettent pas à jour les plugins, les thèmes ou le noyau de WordPress. Un code obsolète est encore plus vulnérable aux attaques malveillantes, c’est pourquoi il est important de prêter attention lorsque les développeurs publient de nouvelles versions.

WordPress est sécurisé. Cependant, une fois que vous ajoutez l’erreur humaine au mélange, les choses ont tendance à se détraquer. En fonction de vos choix, vous pouvez finir par exposer votre site Web à des attaques.

Comment sécuriser un site WordPress en 7 étapes simples 👮

Il y a beaucoup de conseils généraux de sécurité en ligne, comme l’utilisation de mots de passe forts et la sauvegarde de vos données. Ces bases sont certainement précieuses, mais nous n’allons pas perdre votre temps en les répétant dans cet article. Nous allons plutôt nous concentrer sur des approches plus avancées pour sécuriser votre site WordPress.

1. Choisir un service d’hébergement Web sécurisé
2. Configurer un certificat SSL (Secure Socket Layer) et activer HTTPS.
3. Utiliser des plugins et des thèmes qui reçoivent des mises à jour régulières
4. Protéger votre page de connexion
5. Intégrer une solution de journal d’activité
6. Gérer les permissions des utilisateurs
7. Créer une liste blanche des accès à votre tableau de bord WordPress

Étape 1 : Choisir un service d’hébergement Web sécurisé

L’une des choses les plus importantes que vous pouvez faire pour sécuriser votre site WordPress est de commencer par une base solide. Cela signifie qu’il faut choisir un fournisseur d’hébergement réputé et fiable.

Certains hébergeurs appliquent des normes de sécurité plus élevées et font le maximum pour assurer la sécurité de votre site Web. Les options économiques peuvent être attrayantes, mais elles font généralement des économies d’une manière ou d’une autre pour réduire les coûts… Et souvent, la sécurité est l’un des premiers postes impacté.

Si vous voulez vous éviter de nombreux maux de tête pendant les années à venir, optez pour le meilleur de l’hébergement WordPress tout de suite. Voici quelques-unes de nos meilleures recommandations :

• Kinsta (à partir de 30 $ par mois)
• Liquid Web (hébergement géré de WooCommerce à partir de 19 $ par mois)
• WP Engine (à partir de 30 $ par mois)

Ces trois services offrent des plans d’hébergement WordPress gérés. Cela signifie qu’ils prennent en charge certaines tâches de maintenance pour vous, comme l’exécution des mises à jour. Ils sécurisent également votre serveur et utilisent diverses mesures de détection et de prévention des menaces.

Si vous souhaitez examiner d’autres options, consultez notre liste de services approuvés. Chacun d’entre eux constituera un partenaire d’hébergement de qualité.

Étape 2 : Configurer un certificat SSL et activer le HTTPS

Le protocole de transfert hypertexte sécurisé (HTTPS) est une version cryptée du protocole HTTP normal. Cela signifie que toutes les données qui circulent entre le navigateur d’un utilisateur et le site Web qu’il visite sont protégées contre les robots qui pourraient essayer de les intercepter.

La plupart des navigateurs vous indiquent si vous consultez un site Web sécurisé en affichant une simple icône de cadenas à côté de l’URL :

Pour activer HTTPS pour votre propre site web, vous avez besoin d’un certificat SSL (Secure Sockets Layer). Il valide votre site Web afin que les visiteurs sachent que leurs informations sont protégées.

De nos jours, la plupart des sites Web que vous visitez utilisent probablement le protocole HTTPS et sont dotés de certificats SSL valides. Les utilisateurs sont de plus en plus sensibilisés en matière de sécurité en ligne et plus enclins à éviter les sites non sécurisés. C’est donc un avantage pour vous du point de vue du trafic également.

De plus, le HTTPS est si important pour la sécurité du Web que les moteurs de recherche favorisent activement les sites qui utilisent le protocole HTTPS. Vous pouvez même obtenir des certificats SSL gratuitement, vous n’avez donc aucune excuse pour ne pas en installer un, même si vous ne traitez pas de données sensibles telles que des données de carte de crédit.

Étape 3 : Utiliser des plugins et des thèmes qui sont régulièrement mis à jour.

Les logiciels qui reçoivent des mises à jour régulières de la part de leurs développeurs sont, en règle générale, plus sûrs. Prenez WordPress, par exemple. Pour chaque version majeure, il y a souvent plusieurs correctifs de sécurité et des mises à jour mineures entre les deux :

Cette même logique s’applique aux plugins et aux thèmes. Plus vous utilisez d’extensions, plus vous multipliez les vecteurs d’attaque potentiels votre site. Il est donc d’autant plus important que vous n’utilisiez que des outils régulièrement mis à jour.

La question est de savoir ce qu’est une ” mise à jour régulière “. En ce qui nous concerne, nous ne toucherons pas à un plugin ou à un thème qui n’a pas été mis à jour… au cours des six derniers mois. C’est presque une éternité dans les cycles de développement et cela montre généralement qu’il y a un manque d’intérêt pour une maintenance continue.

Que vous téléchargez des plugins et des thèmes depuis WordPress.org ou d’autres sources, vous pouvez généralement voir la date de mise à jour la plus récente. S’il existe des critiques, vous voudrez également les examiner de plus près :

En outre, n’oubliez pas d’exécuter les mises à jour pour vos plugins et votre thème périodiquement. C’est une chose simple, mais vous seriez surpris de voir combien de personnes l’oublient, même avec les notifications du tableau de bord de WordPress :

Si vous utilisez un hébergement WordPress géré, votre fournisseur peut s’occuper des mises à jour pour vous. Vous pouvez également investir dans un service de maintenance tel que l’un de nos plans de maintenance Weapzy pour obtenir le même résultat. C’est une tâche de moins dont vous devrez vous préoccuper.

Étape 4 : Protéger votre page de connexion

Votre page de connexion est la passerelle qui maintient les attaquants en dehors de votre tableau de bord. Cependant, la sécurité de cette zone dépend entièrement de vous. Si vous choisissez de réutiliser des mots de passe ou de créer des informations d’identification faciles à deviner, vous rendez un mauvais service à votre site Web.

Si vous êtes prêt à renforcer la sécurité de votre page de connexion, il existe de nombreux autres changements que vous pouvez mettre en œuvre pour faire une grande différence tels que :

• Modifier l’URL de votre page de connexion WordPress
• Limiter les tentatives de connexion
• Mettre en place un CAPTCHA pour empêcher les robots d’entrer dans le système

Changer l’adresse de la page de connexion par défaut de WordPress de votre-site.com/wp-login.php suffit pour stopper la plupart des attaques les plus directes contre votre site web. Cependant, au cas où quelqu’un identifierait votre nouvelle URL, limiter le nombre de tentatives de connexion peut également dissuader les attaquants.

Étape 5 : Intégrer une solution de journal d’activité

Les journaux d’activité ou d’audit sont l’un des outils de sécurité les plus utiles que vous puissiez avoir dans votre arsenal WordPress. En un mot, ils enregistrent tous les événements notables qui se produisent sur votre site web et vous permettent de parcourir facilement ces données :

Prenez l’exemple que nous avons mentionné précédemment de quelqu’un qui tente de craquer votre page de connexion. Un plugin de journal d’activité vous informera à chaque fois que quelqu’un essaiera d’accéder à votre tableau de bord WordPress et à votre site Web, que le pirate réussisse ou échoue. Si vous voyez un grand nombre de tentatives échouées à partir de la même adresse IP, vous savez qu’un robot a probablement essayé de pirater votre site.

Les types d’événements qu’un journal d’activité vous permet de suivre dépendent de l’outil que vous utilisez. Voici quelques-uns de nos plugins préférés pour ce travail :

• WP Security Audit Log. Un outil approfondi qui vous permet de suivre presque tout ce qui se passe sur votre site Web. Cela inclut les tentatives de connexion, les changements de profil, les erreurs, et plus encore.
• Simple History. Si vous souhaitez une solution plus simple à utiliser, Simple History n’offre pas autant d’informations détaillées, mais vous permet tout de même de suivre des événements tels que les échecs de connexion.

Les journaux d’activité peuvent sembler exagérés. Cependant, vous serez heureux d’avoir accès aux données qu’ils fournissent au cas où quelque chose se produirait sur votre site Web. Après tout, si vous pouvez localiser la source des failles de sécurité même après qu’elles se soient produites, vous pouvez mieux les empêcher de se reproduire.

Étape 6 : Gestion des autorisations des utilisateurs

Appliquer les rôles corrects des utilisateurs est essentiel si vous utilisez un logiciel complexe tel que WordPress. En tant qu’administrateur, vous avez un accès complet à chaque partie du CMS et vous pouvez modifier tout ce que vous voulez. Cependant, aucun autre utilisateur ne devrait avoir le même niveau de permissions.

WordPress inclut cinq rôles par défaut que vous pouvez assigner aux nouveaux utilisateurs, chacun avec un niveau d’autorisation différent :

1. Administrateur : A un accès complet à tous les contenus, plugins, thèmes et paramètres.
2. Editeur : Peut modifier le contenu, les commentaires et les paramètres associés, mais pas les plugins, les thèmes ou les options du site.
3. Auteur : Est capable de modifier, publier et supprimer ses propres messages.
4. Contributeur : Peut modifier et supprimer ses propres messages.
5. Abonné : A l’autorisation de consulter votre site et (dans certains cas) de laisser des commentaires.

Du point de vue de la sécurité, les permissions sont très simples. C’est un système efficace par défaut, mais si vous voulez verrouiller encore plus votre tableau de bord, il existe des plugins qui vous permettent de modifier les rôles des utilisateurs comme le bien nommé “Editeur de rôle d’utilisateur” :

Une règle de base intelligente est que personne ne devrait avoir plus de permissions que ce dont il a besoin pour faire son travail. Aussi peu de personnes que possible devraient avoir un accès complet.

Etape 7: Etablir la liste blanche d’accès à votre tableau de bord WordPress

Si vous voulez aller plus loin dans la sécurité de votre tableau de bord, vous pouvez mettre sur liste blanche des adresses IP spécifiques afin que seuls ces utilisateurs puissent accéder à la partie arrière de votre site. Il s’agit d’une approche efficace, mais qui pose également quelques difficultés techniques. Par exemple :

• Vous devrez régulièrement ajouter de nouvelles IP à la liste pour les utilisateurs sans adresse statique.
• Vous devrez vous-même avoir une IP statique, afin de ne pas perdre l’accès.

Selon votre fournisseur d’accès Internet, il se peut que vous n’ayez pas d’adresse IP statique. Cependant, vous pouvez contourner ce problème en utilisant un réseau privé virtuel (VPN).

Vous pouvez même créer votre propre VPN avec le bon logiciel et un serveur privé virtuel (VPS) bon marché, pour économiser un peu d’argent et obtenir une confidentialité totale. Si vous souhaitez mettre en place une liste blanche, vous devrez modifier le fichier de WordPress intitulé .htaccess ce qui est plus facile que vous ne l’imaginez.

Conclusion 💪

La sécurisation d’un site Web WordPress n’est pas si compliquée, mais cela prend du temps. Heureusement, un grand nombre des mesures de sécurité les plus populaires ne nécessitent pas beaucoup de maintenance après leur mise en œuvre. Un peu de travail supplémentaire maintenant peut assurer la sécurité de votre site Web pour les années à venir.

Lorsqu’il s’agit de sécuriser WordPress, vous devez commencer par choisir un hébergeur fiable et mettre en place un certificat SSL. Ensuite, renforcez les défenses de votre page de connexion et contrôlez qui a accès à votre tableau de bord.