Comment sécuriser un site WordPress ?

WordPress est le CMS le plus utilisé au monde pour la création de site internet. A ce titre, il engendre une communauté importante, mais aussi de nombreuses attaques de la part des hackers à travers le monde. Ce qui lui vaut la réputation de CMS peu fiable en termes de sécurité. C’est en réalité une idée reçue et les problèmes de sécurité de WordPress viennent le plus souvent des administrateurs et des choix réalisés. Pour éviter d’avoir à subir les contraintes d’une attaque et tout ce que cela signifie, nous vous proposons un guide pour savoir comment sécuriser votre site WordPress.

Sans rentrer dans un climat de défiance autour de votre site internet, sachez que les attaques sur le web n’arrivent pas qu’aux autres. En tant qu’agence, nous avons nous même déjà eu à faire à plusieurs reprises à des clients qui ont eu ce genre de problème. Mais de quoi devons nous nous défendre exactement et quels sont les risques ?

Il existe plusieurs types d’attaques comme les brutes force ou encore les DDos. Finalement, ce qu’il faut retenir c’est que vous risquez soit de perdre l’accès à votre service, soit de vous retrouver avec des éléments sur votre site comme des liens dans tous les sens. Le tout vous empêchera au final d’utiliser votre site dans de bonnes conditions.

Si vous souhaitez sécuriser votre WordPress (ce que l’on vous conseille vivement), voici un guide des actions à mettre en place pour assurer la défense de votre site. Gardez toutefois en tête que si cela mettra votre site à l’abri de la plupart des attaques connues, le risque 0 n’existe pas.

Jouer la carte de la sécurité sur votre site internet c’est avant tout trouver un hébergement sécurisé. Il faut savoir que plus de la moitié des attaques sont en réalité liées à votre hébergement et non à votre site directement.

Nous vous conseillons donc de passer sur un hébergement qui ne fait pas partie des basiques. WordPress a cette spécificité d’en proposer des spécialisés qui ne travaillent qu’avec ce CMS. Les coûts restent acceptables et surtout, sachez que les performances techniques de votre site impact aussi votre référencement naturel. Les meilleurs hébergements WordPress du moment sont certainement Hostinger, WP Serveur ou encore Kinsta.

Pour avoir eu l’occasion de tester ses 3 plateformes, elles proposent toutes les trois un très bon niveau de performances, des fonctionnalités complémentaires intéressantes et surtout un support réactif, ce qui est vraiment important pour résoudre les problèmes.

La deuxième étape pour sécuriser votre site WordPress va être d’optimiser la phase de connexion. Ceci pour répondre à la problématique des attaques de type brute force qui vont créer des tentatives de connexion en masse. Pour faire cela, plusieurs éléments sont importants à réaliser.

Tout d’abord, vous allez devoir supprimer votre compte “Admin”. Par défaut lorsque vous installez un site WordPress, celui-ci créer un compte dont l’identifiant est admin. En connaissant l’identifiant, cela facilite l’accès à votre site. Il s’agit d’une optimisation facile à mettre en place. Pour cela, rendez-vous dans l’espace d’administration de votre site. Allez sur l’onglet comptes puis ajouter pour créer un nouvel utilisateur avec le rôle administrateur. Il vous suffira ensuite de supprimer le premier compte.

Durant cette même étape, pensez à mettre en place un identifiant et un mot de passe sécurisé. Qui dit “sécurisé” dit unique, avec des majuscules et des minuscules, des chiffres et des caractères spéciaux et assez long.

Ensuite, nous vous conseillons de modifier votre url de connexion. Par defaut, WordPress l’url de connexion sera toujours monsite.com/wp-admin. Vous pouvez la modifier. Cela peut se faire via votre développeur, ou par un plugin comme Protect WP-Admin ou encore WPS Hide Login.

Si vous souhaitez aller encore plus loin dans la démarche de sécurité sur votre inscription, vous pouvez créer un système de double authentification. Cela imposera à toute personne voulant se connecter de passer par deux étapes d’inscription. Ici aussi, vous pourrez utiliser un plugin WordPress pour mettre en place ce travail.

Une fois les basiques bien en place, il va aussi falloir vous assurer de réaliser certaines actions dans le temps. Notamment des actions de maintenance. Pour cela, vous allez devoir mettre à jour vos extensions régulièrement ainsi que votre thème. Il est important de savoir qu’une partie des MAJ sur WordPress sont réalisées avec pour but de rendre les différents outils plus sécurisés. Généralement c’est aussi pour répondre à des nouvelles attaques ou des failles repérées. Il serait donc dommage de s’en priver.

De la même manière, si vous avez encore sur votre administration WordPress des plugins et des thèmes dont vous ne vous servez pas, vous pouvez les supprimer. Ils peuvent créer des failles et des accès sur votre site et prennent de la place inutilement.

Sécuriser un site WordPress est bien plus complexe qu’on ne peut le penser. Cela demande de très fortes compétences techniques et nécessite l’intervention d’un, voire de plusieurs développeurs. Mais comme toujours avec WordPress, la communauté est très active et certains membres plutôt généreux. Vous pourrez donc compter dessus et utiliser des plugins de sécurité qui font très bien le travail. La plupart d’entre eux proposent un modèle freemium, avec une version gratuite qui fait déjà très bien le travail.

Plusieurs plugins font référence sur le marché, on pensera à Sucuri, Wordfence ou encore iThemes Security. Mais au sein de l’agence, nous avons une réelle préférence pour SecuPress, le module développé par Julio Potier, l’un des meilleurs experts sécurité en France.

Malgré tous nos conseils, le risque 0 sur internet n’existe pas. Et quoi de mieux pour s’assurer de garder votre site en état que de créer des sauvegardes régulières ? Vous pourrez ainsi revenir en arrière en cas de problème et même si vous faites tout simplement une mauvaise manipulation.

Si vous possédez un site à fort trafic avec des enjeux importants, vous pouvez aller encore plus loin dans la démarche de sécurité de votre site. En effet, il est possible de réaliser régulièrement des audits de sécurité. Il s’agit souvent d’attaques simulées pour découvrir les failles potentielles avec des séries de recommandations qui s’en suivent. Seulement, si cela est réservé aux sites à forts enjeux, c’est notamment en raison du coût de ces interventions qui peuvent rapidement être onéreuses.