11 astuces pour sécuriser votre site WordPress

Publié le 8 juillet 2021 par Fabien Grenet

SécuritéWordPressProtection CMS

11 astuces pour sécuriser votre site WordPress

Dès la création de votre site WordPress, et quelle que soit son envergure, celui-ci devient une cible pour les pirates informatiques. Si votre site n’est pas bien protégé, les données qu’il contient pourraient être copiées, modifiées ou supprimées. Or, d’après la loi européenne sur la protection des données (RGPD), en vigueur depuis 2018, les propriétaires d’un site Web doivent être particulièrement vigilants.

Heureusement, il existe de nombreuses façons de sécuriser votre site WordPress. Dans cet article, nous vous présentons nos 11 astuces favorites. Rassurez-vous : de nombreuses extensions vous aideront dans votre démarche (par exemple, WP Cerber). Nul besoin de compétences approfondies en informatique pour appliquer la plupart de ces astuces.

Astuce n°1 : choisissez un hébergeur sécurisé

Toutes les données de votre site web sont supportées par votre hébergeur. Il est donc primordial de porter votre choix sur un hébergeur respectant au maximum les critères de sécurité, comme o2switch. Assurez-vous que votre hébergeur soit notamment équipé :

  • d’un pare-feu ;
  • d’un antivirus ;
  • de filtres anti-spam ;
  • d’une protection contre les attaques DDos ;
  • d’un certificat de sécurité SSL.

Astuce n°2 : ne négligez pas les mises à jour

Les mises à jour relatives à votre site WordPress permettent d’installer de nouvelles fonctionnalités, d’améliorer sa performance ou de corriger certaines failles de sécurité. Si les mises à jour mineures se font souvent automatiquement, certaines versions majeures peuvent demander une démarche manuelle de votre part.

Ces mises à jour s’appliquent :

  • à votre version de WordPress, dont le numéro est affiché sur votre tableau de bord ;
  • à toutes les extensions installées sur votre site WordPress ;
  • à votre thème.

Astuces n°3 : utilisez un mot de passe fort

L’administration de votre site web est la porte d’entrée privilégiée des hackeurs. Cela commence, bien entendu, par le choix d’un mot de passe fort (combinant majuscules et minuscules, chiffres et caractères spéciaux), à renouveler tous les 3 à 6 mois.

Astuces n°4 : changez l’URL de connexion à l’administration

Par défaut, WordPress crée une URL de type www.nomdevotresite.com/wp-admin. Vous pouvez la modifier grâce à une extension telle que WPS Hide Login.

Astuces n°5 : instaurez une limite du nombre de tentatives de connexion

Les pirates informatiques chercheront à accéder à votre administration en testant des combinaisons successives. Afin de diminuer leurs chances de succès, utilisez une extension spéciale, par exemple Login LockDown ou Limit Login Attempts Reloaded.

Astuces n°6 : mettez en place une identification à deux étapes

Décidément, vous menez la vie dure aux pirates ! Voilà que le mot de passe ne suffit plus. La connexion doit être confirmée par un code validation envoyé par SMS, ou via une application. Encore une fois, vous pouvez mettre en place ce système avec une extension telle que Duo Two-Factor Authentication.

Astuces n°7 : supprimez l’accès « admin »

C’est l’identifiant de connexion par défaut attribué par WordPress. Il est fortement recommandé de le changer d’emblée. Créez un autre utilisateur avec le rôle « administrateur », puis supprimez l’utilisateur « admin » (n’oubliez de remplir le champ « Attribuer tout le contenu à », au risque de perdre des données).

S’il est important de renforcer la sécurité de votre interface administrateur, une surcharge de dispositifs de sécurité pourrait vous ralentir dans votre travail : recherchez le bon équilibre.

Astuce n°8 : HTTPS au lieu d’HTTP

La méthode de chiffrement HTTPS permet de sécuriser la connexion entre votre serveur et le navigateur des utilisateurs de votre site. Il vous faut pour cela obtenir un certificat SSL auprès de votre hébergeur : c’est généralement gratuit.

En revanche, il est conseillé de confier la migration vers HTTPS à un développeur.

Astuce n°9 : supprimez les thèmes et extensions inutiles

Faites du tri ! Plus un site est chargé, plus il risque de présenter des failles de sécurité.

Sur WordPress, vous ne pouvez utiliser qu’un seul thème à la fois : supprimez les autres. Il en va de même avec les extensions. Même si elles sont désactivées ou correctement mises à jour, un pirate pourrait trouver le moyen d’en tirer parti.

Astuce n°10 : faites des sauvegardes régulières de votre site

Malgré toutes vos précautions, vous n’êtes jamais totalement à l’abri d’un piratage (ni d’un bug technique). C’est à ce moment-là qu’un processus régulier de sauvegarde peut réellement vous sauver la mise.

Programmez des sauvegardes régulières (pourquoi pas quotidiennes ?) de votre base de données et du contenu de votre site, grâce à une extension comme UpdraftPlus ou BackUpWordPress.

Astuce n°11 : vérifiez la sécurité de votre site

Vous avez mis en place les 10 astuces précédentes ? Ce serait dommage de vous arrêter en si bon chemin… Pour dormir sur vos deux oreilles, faites un dernier effort en vérifiant la sécurité de votre site WordPress grâce à SSL Server Test ou Securi SiteCheck.

Alors, vous sentez-vous de taille à repousser les pirates ?

Pour plus d’informations, n’hésitez pas à nous contacter en détaillant votre besoin.
Nous vous répondrons dans les plus brefs délais.

Crédit illustration : pch.vector – fr.freepik.com

Kromaweb : Agence WordPress - Portrait de Fabien Grenet
FABIEN GRENET
Depuis plus de 8 ans, je travaille en tant que développeur web et intégrateur front-end pour les entreprises et les associations. Spécialiste dans la création de sites web WordPress, mon objectif est d’offrir à mes clients un outil optimisé pour le référencement naturel et lisible sur tous les supports, smartphones, tablettes et ordinateurs.