Avec 37 % des sites existants créés à partir de WordPress, le CMS le plus utilisé au monde est donc la cible privilégiée des hackers. Aucune solution n'est parfaite et WordPress présente quelques vulnérabilités sur lesquelles il est, heureusement, possible d'agir. Dès la création d'un site web WordPress, il est conseillé de mettre en place des actions pour empêcher les intrusions. Voici 10 conseils pour sécuriser son site WordPress.

Téléchargement  >> Le guide et le modèle pour maîtriser les regex

 

Faire des sauvegardes régulières de la base de données

La base de données est l'espace où le contenu du site WordPress est conservé. Régulièrement, il faut penser à réaliser des sauvegardes de cette base de données en physique, c'est-à-dire sur un ordinateur ou un disque dur externe. En cas de piratage ou de faille de sécurité, il sera alors possible de récupérer la dernière version sauvegardée du site web. Les professionnels du web recommandent de réaliser des sauvegardes à un rythme hebdomadaire et de les classer dans des dossiers datés semaine après semaine.

Cependant, les sauvegardes manuelles sont des tâches qui demandent du temps et qui peuvent être oubliées. Sur WordPress, plusieurs extensions permettent de sauvegarder automatiquement les fichiers d'un site ou ses éléments graphiques (templates, add-on, etc.). UpdraftPlus WordPress Backup Plugin et BackWPup sont ainsi de bonnes références.

 

Suivre les mises à jour de WordPress

En tant que CMS, WordPress propose à ses utilisateurs des mises à jour régulières de son système. Il est conseillé de suivre ses recommandations et de télécharger la dernière version de WordPress dès que celle-ci est disponible. En effet, ces mises à jour du système interviennent pour corriger d'éventuelles failles de sécurité ou prévenir l'obsolescence avec les navigateurs web.

Pour les plugins WordPress, la même règle s'applique. Les extensions sont régulièrement corrigées par l'arrivée d'une nouvelle version. Autant que possible, il faut s'assurer de disposer de la dernière mise à jour afin de maximiser la compatibilité avec la version WordPress en cours et les autres extensions.

 

Ajouter un plugin antivirus

Les plugins antivirus sont conçus spécialement pour assurer la sécurité générale des sites WordPress. En plus d'une protection contre les virus et les attaques malveillantes, ces extensions informent le propriétaire du site en temps réel. Véritable boîte à outils, ce type de plugin offre une vue d'ensemble sur le niveau de sécurité du site. Voici quelques exemples de plugins antivirus pour WordPress :

 

 

Utiliser seulement des extensions officielles

Les propriétaires de sites WordPress peuvent être tentés d'installer une extension non officielle pour développer des fonctionnalités dont leur thème ne dispose pas ou éviter de payer un « vrai » plugin. Pourtant, ces systèmes compromettent sévèrement la sécurité du site web tout entier.

Le téléchargement d'une version « crackée » donne accès au site à n'importe qui grâce à un fichier malveillant glissé dans le code de l'extension et permettant de récupérer les accès au site WordPress destinataire.

Pour éviter d'installer par erreur une version non officielle d'extension, il faut passer par la section « Ajout d'extension » du back-office de WordPress. Il s'agit de la seule et unique bibliothèque officielle.

 

Créer un identifiant personnel à la place du compte admin

Par défaut, l'URL de connexion au back-office de WordPress se compose de la manière suivante : « nom-du-site.com/wp-admin ». Si un hacker tente de pirater le contenu d'un site WordPress, il lui suffit de taper « wp-admin » à la suite du nom de domaine. Il est alors plus facile de se frayer un chemin vers le contenu du site.

Pour s'en prémunir, il est possible de modifier cette URL par défaut en se rendant dans le fichier nommé « .htaccess ». Il existe également des extensions spécifiques qui permettent de remplacer l'URL de connexion par défaut, comme Custom Login URL, par exemple.

De même, la connexion à l'administration WordPress se fait via un identifiant par défaut nommé « admin ». Les hackers l'utilisent aussi largement pour tenter de pirater les sites WordPress. À la place d'« admin », il est conseillé de créer un identifiant personnel, facilement mémorisable, mais impossible à deviner pour quelqu'un d'extérieur. Si une équipe entière a accès au même site WordPress, il peut s'agir du prénom de chaque membre. Ensuite, la meilleure manœuvre

est tout simplement de supprimer le compte « admin ».

 

Activer l'authentification en 2 étapes

L'authentification en 2 étapes est la méthodologie utilisée par les banques pour sécuriser les transactions en ligne. Elle permet de doubler le niveau de sécurité, en l'occurrence lors de la connexion à l'administration WordPress. Tout d'abord, le premier niveau de sécurité se traduit par le processus habituel : l'utilisateur est invité à renseigner son identifiant et son mot de passe. Puis, le second niveau prend le relais, via un appel téléphonique ou l'envoi d'un SMS. Étant donné qu'un autre périphérique est utilisé pour la deuxième étape de connexion, il n'y a aucune chance qu'un logiciel malveillant y ait accès.

Pour bénéficier de l'authentification à 2 facteurs, le plus simple est de télécharger un plugin WordPress spécifique, Google Authenticator ou Two Factor Authentication, par exemple.

 

Bloquer l'accès aux dossiers WordPress

Par défaut, WordPress autorise l'accès aux dossiers du site web à tout le monde. Pour les protéger des attaques extérieures, il est fortement conseillé de bloquer leur accès. Les conditions d'accès aux dossiers peuvent être modifiées dans le fichier .htaccess. Pour les propriétaires de sites WordPress peu habitués au code informatique, l'extension Hide My WordPress permet de réaliser la même opération plus facilement.

Gagnez du temps dans la gestion de votre code et de vos données

Téléchargez ce guide pour effectuer des vérifications et des changements en masse avec les regex et gagner en productivité.

Choisir un hébergeur sécurisé

Même quand tous les moyens sont mis en œuvre pour sécuriser un site WordPress, il arrive que l'hébergeur du site soit en cause lors d'une faille de sécurité. Afin d'éviter ce type de situation, il convient de ne pas négliger l'étape du choix de l'hébergeur WordPress. Pour bien protéger le contenu d'un site web, il doit disposer d'un pare-feu et d'un antivirus intégrés et proposer des sauvegardes automatiques régulières du site.

 

Activer le protocole HTTPS

L'activation d'un protocole HTTPS est possible lorsque le site web détient un certificat SSL. Cette certification permet de faire s'afficher un petit cadenas à gauche de l'adresse web. Elle garantit que la connexion entre le navigateur et le serveur web est sécurisée. Détenir ce certificat est aussi un facteur de réassurance pour les internautes. Cela garantit que leurs données personnelles sont transmises de manière cryptée.

 

Prévenir les attaques DDoS

Les attaques DDoS (attaques par déni de service) sont un type d'actes malveillants plus récent. Leur objectif est de bloquer l'accès à un site web en réalisant une attaque simultanée à partir des différents systèmes. Ces attaques coordonnées surchargent le site de sorte qu'il ne puisse plus répondre aux nombreuses requêtes qu'il reçoit.

Pour prévenir et atténuer les attaques DDoS, l'extension Sucuri Security pour WordPress est efficace. C'est un plugin complet pour la sécurisation d'un site. Il peut ainsi également tenir le rôle d'un programme antivirus.

 

Pour aller plus loin, découvrez comment effectuer des vérifications et des changements en masse dans votre code ou vos données en téléchargeant le guide sur les regex ; ou découvrez l’outil CMS de HubSpot.
Nouveau call-to-action

Publication originale le 3 juin 2021, mise à jour le 17 mai 2023

Sujet(s):

Site WordPress