10 Bonnes pratiques pour protéger votre site web WordPress

1) Maintenez votre WordPress à jour

Un rapport de sécurité, publié par Sucuri, révèle que 50% des sites WordPress piratés n’avaient pas été mis à jour. WordPress diffuse régulièrement des mises à jour, certaines mineures, mais la plupart sont importantes pour la sécurité du CMS. Bien que les mises à jour majeures comportent des nouveaux aspects et/ou des nouvelles fonctionnalités, les mises à jour mineures visent aussi à corriger les problèmes et à gérer les failles de sécurité. Par conséquent, il est important d’appliquer ces mises à jour mineures à votre site web. Vous pouvez également activer les mises à jour automatiquement. La mise à jour d’un site web WordPress est la plus simple parmi toutes les plateformes CMS existantes, il n’y a aucune raison de ne pas l’appliquer régulièrement.

2) Utilisez des identifiants de connexion forts

Lorsque vous installez WordPress, un compte d’administrateur est configuré par défaut avec l’identifiant “Admin”. La plupart des utilisateurs de WordPress ne modifient pas cet identifiant ou le compte créé par défaut, ce qui rend le piratage du site facile. Pour s’assurer que les pirates ne peuvent pas facilement deviner votre nom d’utilisateur, n’utilisez pas « Admin » ou tout autre identifiant de base. Créez simplement un nouveau compte d’administrateur avec un nom d’utilisateur personnalisé et supprimez le compte par défaut. Cela rend non seulement votre nom d’utilisateur imprévisible, mais aussi modifie l’identifiant utilisateur par défaut de votre compte.

Le mot de passe devrait également être fort pour que les pirates ne puissent pas le deviner. L’une des pires choses que vous pouvez faire est d’utiliser des mots de passes faciles comme « 123456 » (si si beaucoup l’utilisent encore !! ), « abcdef », « mot de passe » ou le mot de passe administrateur de base. En réalité, le nombre de personnes qui utilisent de tels mots de passe est terrible. Pour créer un mot de passe fort, mélangez les lettres majuscules et minuscules avec des chiffres et des caractères spéciaux qui ne sont pas couramment utilisés. Aussi, plus le mot de passe est long, plus il est difficile à deviner par les pirates.

Vous trouverez dans cet article quelques indications pour choisir un bon mot de passe.

3) Gardez un contrôle sur les tentatives de connexion

Beaucoup de pirates attaquent les sites web par la “brute force”, c’est-à-dire en tentant de se connecter avec le nom et le mot de passe de l’administrateur à plusieurs reprises à la suite, et très rapidement, jusqu’à ce que le login corresponde à l’utilisation du CMS. Vous pouvez sécuriser votre site en limitant le nombre de tentatives de connexion à 2-3 et si une quatrième tentative échoue, le système d’identification est bloqué. Il existe plusieurs plugins qui vous aident à le faire. Ces plugins blacklistent l’adresse IP tentant de se connecter pendant une certaine période de temps (que vous pouvez la préciser) et envoyez également un courrier électronique à l’administrateur à chaque fois que quelqu’un est banni ou tente de se connecter.

4) Choisissez avec prudence vos plugins et vos thèmes

Vous devez être plus prudent lorsque vous activez des plugins sur votre site car plus que la moitié des hacks WordPress sont dus à des failles de sécurité dans les plugins. Optez pour les plugins qui sont mis à jour régulièrement et si vous avez installé un plugin particulier que vous n’utilisez pas, supprimez-le, c’est un risque en moins. Aussi, n’oubliez pas qu’un plugin mal codé peut rendre votre site plus vulnérable aux pirates informatiques. Vos thèmes devraient également être à jour et choisis avec prudence. Évitez d’utiliser des plugins qui ne sont pas mis à jour dans l’année. Utilisez uniquement des plugins que vous devez absolument avoir besoin et téléchargez les plugins les plus populaires pour répondre à un besoin particulier. Les plugins populaires ont tendance à être plus sécurisés car ils sont bien testés et mis à jour régulièrement.

5) Choisissez le bon hébergeur

Un certain pourcentage des hacks WordPress est également dû à des problèmes de sécurité liés aux prestataires d’hébergement qui ne suivent pas les meilleures pratiques de sécurité du serveur. Tout en choisissant votre société d’hébergement de sites web, assurez-vous qu’elle ne néglige pas les problèmes liés à la sécurité. Parmi les autres services proposés par la société d’hébergement, vous devez vous assurer qu’elle prend en charge les dernières versions PHP et MySQL et qu’ils soient optimisés pour l’exécution de WordPress. L’hébergeur devrait également avoir une application Firewall et un système de détection d’intrusions de bas niveau sur ses serveurs.

6) Mise à jour antivirus pour votre ordinateur

Les failles de sécurité ne concernent pas seulement le système de gestion de votre site web, les périphériques que vous utilisez pour y accéder devraient également être propres et sans logiciels malveillants. Si votre ordinateur est infecté par des virus, votre identifiant d’administration, votre mot de passe et d’autres informations cruciales sont à risque.
Il existe même aujourd’hui des virus qui exploitent les logiciels de connexion FTP installé sur votre ordinateur pour se connecter sur tous vos comptes FTP et y placer des fichiers malveillants… Assurez-vous que tous les ordinateurs utilisés pour gérer votre site disposent d’un programme Antivirus récent et à jour.

7) Utiliser l’authentification de connexion en deux étapes

Un processus d’authentification de connexion en deux étapes évite la probabilité que votre site web soit piraté par des attaques de « brute force » . Ce processus demande un code d’authentification à chaque fois que quelqu’un essaie de se connecter à votre site. Ce code est envoyé à votre numéro de téléphone autorisé ou vous pouvez définir ce code secret par défaut. Ce processus peut vous paraître encombrant, mais certainement il protégera votre site web contre les tentatives de piratage dangereuses.

8) Déplacez l’emplacement de votre page de connexion

L’adresse de connexion par défaut de votre compte administrateur WordPress est : www.yourwebsite.com/wp-admin/  ou  www.yourwebsite.com/wp-login.php.

Lorsqu’un attaquant connaît votre adresse de connexion, il peut facilement essayer de décoder votre mot de passe par attaque de force brute. Pour protéger votre page et toute la partie administrateur contre les pirates informatiques, vous pouvez modifier l’emplacement de ce répertoire en installant le bon plugin ou en changeant le code source si vous connaissez le codage PHP.

9) Sauvegarde des données à intervalles réguliers

Peu importe le degré de votre prudence, le risque zéro n’existe pas. Malgré toutes les préventions que vous faites pour sécuriser votre site, il est toujours possible d’être piraté. Par conséquent, vous devez toujours être prêt pour le pire. Sauvegardez fréquemment votre base de données, vos fichiers thème et vos fichiers multimédias. Vous pouvez utiliser des plugins qui sauvegardent automatiquement votre site Web à intervalles réguliers.
Certain hébergeur proposent même ce service en assurant des sauvegardes automatiques pour quelques euros par mois.

10) Utilisez un bon plugin de sécurité

Pour mettre en œuvre certains points mentionnés ci-dessus, si vous n’êtes pas un développeur web, vous devrez utiliser un plugin de sécurité. Donc, au lieu d’ajouter différents plugins pour différents besoins de sécurité, vous devriez choisir un bon plugin qui prendra en charge la plupart des points cités ci-dessus et aussi des mesures de sécurité avancées, comme la personnalisation des préfixes de base de données et la modification .htaccess. Utilisez l’un des plugins de sécurité wordpress populaires tels que Wordfence , iThemes ou Sucuri. L’utilisation de l’un de ces éléments garantira que toutes les préoccupations de sécurité sont prises en charge. Si vous êtes plus sérieux au sujet de la sécurité de votre site web, achetez les versions premium. Le fait de payer un peu d’argent vous garantit un site complètement sécurisé, sans soucis.

Avec l’émergence de l’Intelligence Artificielle, il y a même des outils de protection intelligents qui commencent à être proposés comme WR Protect qui proposent quelque chose d’interessant et de pas cher.

Pour finir

Le rapport de sécurité Sucuri a également révélé que sur 11 000 sites piratés, 75% d’entre eux étaient sur la plate-forme WordPress. Mais cela ne signifie pas que ce CMS présente des lacunes en soi. Cela est principalement dû aux mauvaises configurations, la mauvaise maintenance des sites web ou à l’utilisation de plugins vulnérables. Le fait d’être vigilant et suivre les meilleures pratiques est tout ce que vous avez besoin pour garder votre site sécurisé.

Les points cités ci-dessus sont des bonnes pratiques à respecter, vous pouvez également nous demander de l’aide pour sécuriser votre site.