Comment sécuriser un site WordPress ?

WordPress est le CMS le plus utilisé au monde pour la création de site internet. A ce titre, il engendre une communauté importante, mais aussi de nombreuses attaques de la part des hackers à travers le monde. Ce qui lui vaut la réputation de CMS peu fiable en termes de sécurité. C’est en réalité une idée reçue et les problèmes de sécurité de WordPress viennent le plus souvent des administrateurs et des choix réalisés. Pour éviter d’avoir à subir les contraintes d’une attaque et tout ce que cela signifie, nous vous proposons un guide pour savoir comment sécuriser votre site WordPress.

Site non sécurisé, quels sont les risques ?

Sans rentrer dans un climat de défiance autour de votre site internet, sachez que les attaques sur le web n’arrivent pas qu’aux autres. En tant qu’agence, nous avons nous même déjà eu à faire à plusieurs reprises à des clients qui ont eu ce genre de problème. Mais de quoi devons nous nous défendre exactement et quels sont les risques ?

Il existe plusieurs types d’attaques comme les brutes force ou encore les DDos. Finalement, ce qu’il faut retenir c’est que vous risquez soit de perdre l’accès à votre service, soit de vous retrouver avec des éléments sur votre site comme des liens dans tous les sens. Le tout vous empêchera au final d’utiliser votre site dans de bonnes conditions.

Le guide pour sécuriser votre site WordPress

Si vous souhaitez sécuriser votre WordPress (ce que l’on vous conseille vivement), voici un guide des actions à mettre en place pour assurer la défense de votre site. Gardez toutefois en tête que si cela mettra votre site à l’abri de la plupart des attaques connues, le risque 0 n’existe pas.

#1 Choisir un hébergement de qualité

Jouer la carte de la sécurité sur votre site internet c’est avant tout trouver un hébergement sécurisé. Il faut savoir que plus de la moitié des attaques sont en réalité liées à votre hébergement et non à votre site directement.

Nous vous conseillons donc de passer sur un hébergement qui ne fait pas partie des basiques. WordPress a cette spécificité d’en proposer des spécialisés qui ne travaillent qu’avec ce CMS. Les coûts restent acceptables et surtout, sachez que les performances techniques de votre site impact aussi votre référencement naturel. Les meilleurs hébergements WordPress du moment sont certainement Hostinger, WP Serveur ou encore Kinsta.

Pour avoir eu l’occasion de tester ses 3 plateformes, elles proposent toutes les trois un très bon niveau de performances, des fonctionnalités complémentaires intéressantes et surtout un support réactif, ce qui est vraiment important pour résoudre les problèmes.

Les tips en bref

> Passer votre site sur un hébergement spécialisé WordPress

#2 Sécurisez votre connexion

La deuxième étape pour sécuriser votre site WordPress va être d’optimiser la phase de connexion. Ceci pour répondre à la problématique des attaques de type brute force qui vont créer des tentatives de connexion en masse. Pour faire cela, plusieurs éléments sont importants à réaliser.

Tout d’abord, vous allez devoir supprimer votre compte “Admin”. Par défaut lorsque vous installez un site WordPress, celui-ci créer un compte dont l’identifiant est admin. En connaissant l’identifiant, cela facilite l’accès à votre site. Il s’agit d’une optimisation facile à mettre en place. Pour cela, rendez-vous dans l’espace d’administration de votre site. Allez sur l’onglet comptes puis ajouter pour créer un nouvel utilisateur avec le rôle administrateur. Il vous suffira ensuite de supprimer le premier compte.

Durant cette même étape, pensez à mettre en place un identifiant et un mot de passe sécurisé. Qui dit “sécurisé” dit unique, avec des majuscules et des minuscules, des chiffres et des caractères spéciaux et assez long.

Ensuite, nous vous conseillons de modifier votre url de connexion. Par defaut, WordPress l’url de connexion sera toujours monsite.com/wp-admin. Vous pouvez la modifier. Cela peut se faire via votre développeur, ou par un plugin comme Protect WP-Admin ou encore WPS Hide Login.

Si vous souhaitez aller encore plus loin dans la démarche de sécurité sur votre inscription, vous pouvez créer un système de double authentification. Cela imposera à toute personne voulant se connecter de passer par deux étapes d’inscription. Ici aussi, vous pourrez utiliser un plugin WordPress pour mettre en place ce travail.

Les tips en bref

> Supprimer le compte “Admin” de base pour le remplacer par un nouveau
> Créer un identifiant et un mot de passe sécurisé
> Changer l’url de connexion pour ne pas garder le classique www.monsite.com/wp-admin/
> Créer une double authentification

#3 Mettre à jour vos thèmes et extensions

Une fois les basiques bien en place, il va aussi falloir vous assurer de réaliser certaines actions dans le temps. Notamment des actions de maintenance. Pour cela, vous allez devoir mettre à jour vos extensions régulièrement ainsi que votre thème. Il est important de savoir qu’une partie des MAJ sur WordPress sont réalisées avec pour but de rendre les différents outils plus sécurisés. Généralement c’est aussi pour répondre à des nouvelles attaques ou des failles repérées. Il serait donc dommage de s’en priver.

De la même manière, si vous avez encore sur votre administration WordPress des plugins et des thèmes dont vous ne vous servez pas, pensez à les supprimer. Ils peuvent créer des failles et des accès sur votre site et prennent de la place inutilement.

#4 Installez un plugin de sécurité

Sécuriser un site WordPress est bien plus complexe qu’on ne peut le penser. Cela demande de très fortes compétences techniques et nécessite l’intervention d’un, voire de plusieurs développeurs. Mais comme toujours avec WordPress, la communauté est très active et certains membres plutôt généreux. Vous pourrez donc compter dessus et utiliser des plugins de sécurité qui font très bien le travail. La plupart d’entre eux proposent un modèle freemium, avec une version gratuite qui fait déjà très bien le travail.

Plusieurs plugins font références sur le marché, on pensera à Sucuri, Wordfence ou encore iThemes Security. Mais au sein de l’agence, nous avons une réelle préférence pour SecuPress, le module développé par Julio Potier, l’un des meilleurs expert sécurité en France.

Les tips en bref

> Installer et paramétrer un plugin de sécurité

#5 Créer des sauvegardes régulières

Malgré tous nos conseils, le risque 0 sur internet n’existe pas. Et quoi de mieux pour s’assurer de garder votre site en état que de créer des sauvegardes régulières ? Vous pourrez ainsi revenir en arrière en cas de problème et même si vous faites tout simplement une mauvaise manipulation.

Réaliser des audits de sécurité pour les plus gros sites

Si vous possédez un site à fort trafic avec des enjeux importants, vous pouvez aller encore plus loin dans la démarche de sécurité de votre site. En effet, il est possible de réaliser régulièrement des audits de sécurité. Il s’agit souvent d’attaques simulées pour découvrir les failles potentielles avec des séries de recommandations qui s’en suivent. Seulement, si cela est réservé aux sites à fort enjeux, c’est notamment en raison du coût de ces interventions qui peuvent rapidement être onéreuses.