11 astuces pour sécuriser votre site WordPress
Sécurité WordPressCybersécuritéProtection CMS
Dès la création de votre site WordPress, et quelle que soit son envergure, celui-ci devient une cible pour les pirates informatiques. Si votre site n’est pas bien protégé, les données qu’il contient pourraient être copiées, modifiées ou supprimées. Or, d’après la loi européenne sur la protection des données (RGPD), en vigueur depuis 2018, les propriétaires d’un site Web doivent être particulièrement vigilants.
Heureusement, il existe de nombreuses façons de sécuriser votre site WordPress. Dans cet article, nous vous présentons nos 11 astuces favorites. Rassurez-vous : de nombreuses extensions vous aideront dans votre démarche (par exemple, Wordfence Security). Nul besoin de compétences approfondies en informatique pour appliquer la plupart de ces astuces.
Sommaire
- 1. Choisissez un hébergeur sécurisé
- 2. Ne négligez pas les mises à jour
- 3. Utilisez un mot de passe fort
- 4. Changez l’URL de connexion à l’administration WordPress
- 5. Instaurez une limite du nombre de tentatives de connexion
- 6. Mettez en place une authentification Ă deux facteurs (2FA)
- 7. Supprimez l’accès « admin »
- 8. Passez votre site en HTTPS
- 9. Supprimez les thèmes et extensions WordPress inutiles
- 10. Faites des sauvegardes régulières de votre site
- 11. Vérifiez la sécurité de votre site WordPress
- FAQ : sécuriser son site WordPress
📢 Écouter l'article en version audio
1. Choisissez un hébergeur sécurisé
Toutes les données de votre site web sont supportées par votre hébergeur. Il est donc primordial de porter votre choix sur un hébergeur respectant au maximum les critères de sécurité, comme o2switch. Assurez-vous que votre hébergeur soit notamment équipé :
- d’un pare-feu ;
- d’un antivirus ;
- de filtres anti-spam ;
- d’une protection contre les attaques DDos ;
- d’un certificat de sécurité SSL.
2. Ne négligez pas les mises à jour
Les mises à jour relatives à votre site WordPress permettent d’installer de nouvelles fonctionnalités, d’améliorer sa performance ou de corriger certaines failles de sécurité. Si les mises à jour mineures se font souvent automatiquement, certaines versions majeures peuvent demander une démarche manuelle de votre part.
Ces mises à jour s’appliquent :
- à votre version de WordPress, dont le numéro est affiché sur votre tableau de bord ;
- à toutes les extensions installées sur votre site WordPress ;
- à votre thème ;
- Ă votre version de PHP.
3. Utilisez un mot de passe fort
L’administration de votre site WordPress est la porte d’entrée privilégiée des hackeurs, car elle donne un accès direct à l’ensemble de vos contenus et de vos données sensibles. Cela commence, bien entendu, par le choix d’un mot de passe fort (combinant majuscules et minuscules, chiffres et caractères spéciaux). Ce mot de passe doit être unique, différent de ceux utilisés sur vos autres comptes en ligne, et idéalement renouvelé tous les 3 à 6 mois.
4. Changez l’URL de connexion Ă l’administration WordPress
Par défaut, WordPress attribue à l’espace d’administration une URL standard de type www.nomdevotresite.com/wp-admin, connue de tous… y compris des pirates informatiques. Vous pouvez facilement la modifier grâce à une extension telle que WPS Hide Login.
5. Instaurez une limite du nombre de tentatives de connexion
Les pirates informatiques chercheront à accéder à votre administration en testant des combinaisons successives. Ce type d’attaque, souvent mené par des bots, peut non seulement compromettre la sécurité de votre site, mais également surcharger le serveur et ralentir ses performances. Afin de diminuer leurs chances de succès, utilisez une extension dédiée, par exemple Login LockDown ou Limit Login Attempts Reloaded.
6. Mettez en place une authentification Ă deux facteurs (2FA)
DĂ©cidĂ©ment, vous menez la vie dure aux pirates ! VoilĂ que le mot de passe ne suffit plus. La connexion Ă votre administration doit ĂŞtre confirmĂ©e par un code validation envoyĂ© par SMS, ou via une application. Pour sĂ©curiser votre site WordPress, vous pouvez mettre en place ce système d’authentification Ă deux facteurs (2FA) avec une extension telle que Duo Two-Factor Authentication ou Two Factor Authentication.
7. Supprimez l’accès « admin »
C’est l’identifiant de connexion par défaut attribué par WordPress. Il est fortement recommandé de le changer d’emblée. Créez un autre utilisateur avec le rôle « administrateur », puis supprimez l’utilisateur « admin » (n’oubliez de remplir le champ « Attribuer tout le contenu à  », au risque de perdre des données).
S’il est important de renforcer la sécurité de votre interface administrateur, une surcharge de dispositifs de sécurité pourrait vous ralentir dans votre travail : recherchez le bon équilibre.
8. Passez votre site en HTTPS
La méthode de chiffrement HTTPS permet de sécuriser la connexion entre votre serveur et le navigateur des utilisateurs de votre site. Il vous faut pour cela obtenir un certificat SSL auprès de votre hébergeur : c’est généralement gratuit.
En revanche, il est conseillé de confier la migration vers HTTPS à un développeur.
9. Supprimez les thèmes et extensions WordPress inutiles
Faites du tri ! Plus un site est chargé, plus il risque de présenter des failles de sécurité.
Sur WordPress, vous ne pouvez utiliser qu’un seul thème à la fois : supprimez les autres. Il en va de même avec les extensions. Même si elles sont désactivées ou correctement mises à jour, un pirate pourrait trouver le moyen d’en tirer parti.
10. Faites des sauvegardes régulières de votre site
Malgré toutes vos précautions, vous n’êtes jamais totalement à l’abri d’un piratage (ni d’un bug technique). C’est à ce moment-là qu’un processus régulier de sauvegarde peut réellement vous sauver la mise.
Programmez des sauvegardes régulières (pourquoi pas quotidiennes ?) de votre base de données et du contenu de votre site, grâce à une extension comme UpdraftPlus ou BackUpWordPress.
11. Vérifiez la sécurité de votre site WordPress
Vous avez mis en place les 10 astuces précédentes ? Ce serait dommage de vous arrêter en si bon chemin… Pour dormir sur vos deux oreilles, faites un dernier effort en vérifiant la sécurité de votre site WordPress grâce à des outils d’analyse externe comme SSL Server Test et Sucuri SiteCheck, ou via un plugin de sécurité tel que Wordfence Security, SecuPress ou Security Ninja.
En mettant en pratique ces 11 astuces pour sécuriser votre site WordPress, vous serez parfaitement armé pour contrer les pirates et leurs attaques.
Et si vous passiez à l’action ?
Vous avez un projet web ? Notre agence est là pour vous accompagner.
Contactez-nous dès aujourd’hui !
FAQ : sécuriser son site WordPress
Pourquoi est-il essentiel de sécuriser son site WordPress ?
Quelle que soit la taille ou la nature de votre site WordPress, croire qu’il est trop peu important pour attirer l’attention des hackers est une erreur. En matière de vol d’informations, tout le monde peut devenir une cible. Que vous dirigiez un cabinet d’architectes, un restaurant de quartier ou une multinationale, l’ampleur de votre activité importe peu face aux risques de piratage.
Déléguer la sécurité de son site WordPress est‑il une bonne idée ?
Confier la sécurité de son site WordPress à un professionnel, via un contrat de maintenance (TMA), permet de limiter efficacement les risques de piratage. En plus de gagner du temps, cette délégation offre l’avantage de bénéficier de l’expertise technique d’un spécialiste tout en assurant un suivi durable de votre projet.
Retrouvez plus d’informations sur notre offre de maintenance WordPress.
CrĂ©dit illustration : pch.vector – fr.freepik.com
Fondateur de l’agence de communication digitale Kromaweb, il met Ă profit son expertise WordPress ainsi que ses compĂ©tences en rĂ©fĂ©rencement SEO afin d’accompagner les entreprises, les associations et les collectivitĂ©s dans le dĂ©veloppement de leur prĂ©sence en ligne. DiplĂ´mĂ© en 2013, il a acquis une solide expĂ©rience dans la crĂ©ation de sites performants, optimisĂ©s et adaptĂ©s aux exigences du web moderne.
