Avec 42 % des sites existants créés à partir de WordPress, le CMS le plus utilisé au monde est un cible privilégiée pour les hackers. Aucune solution n'étant parfaite, WordPress présente des vulnérabilités. Il est toutefois possible, dès la création d'un site web WordPress, d'agir pour limiter les risques. Voici 13 conseils pour sécuriser son site WordPress.
Pourquoi sécuriser son site WordPress ?
Garder la confiance du public
Les cyberattaques proférées à l'encontre des sites d'entreprises notoires sont relayées par la presse, dans un enjeu d'information du public. Cette publicité, d'ailleurs, est un des objectifs poursuivis par les pirates informatiques qui souhaitent dégrader la réputation de l'entreprise.
Sécuriser son site limite le risque de cyberattaques. L'entreprise évite une mauvaise publicité : sa fiabilité n'est pas remise en cause. Sécuriser son site WordPress évite en outre les attaques qui entraînent la perte ou le vol de données personnelles : les données personnelles sont correctement protégées par l'entreprise, qui garde la confiance du public.
Préserver son image de marque
La défiguration de site web est un risque à prendre en compte au moment de sécuriser son site WordPress. La pratique consiste à pirater le site de manière à changer son contenu : les pages deviennent illisibles, et des fenêtres pop-up apparaissent de manière intempestive pour afficher des messages à caractère préjudiciable.
Certains internautes réalisent immédiatement que le site a été piraté, d'autres ne s'en aperçoivent pas. Dans un cas comme dans l'autre, l'image de marque de l'entreprise en pâtit.
Protéger son chiffre d’affaires
Sécuriser son site WordPress d'e-commerce est fondamental, pour éviter le vol des informations de paiement considérées comme des données personnelles sensibles. Sécuriser sa boutique en ligne, en outre, permet de réduire les tentatives de ransomware. Cette technique de cyberattaque consiste à paralyser le site web dans l'attente du paiement d'une rançon. Les pertes de CA peuvent être considérables.
L'avis de HubSpot
Si les enjeux financiers sont particulièrement conséquents, je recommande d'étudier l'opportunité d'une assurance cyber. Ce type d'assurance, en fonction des garanties souscrites, indemnise votre perte de CA en cas de ransomware.
Comment sécuriser son site WordPress en 13 astuces ?
-
Faire des sauvegardes régulières de la base de données
-
Suivre les mises à jour de WordPress
-
Autoriser les mises à jour automatiques en arrière-plan
-
Ajouter un plugin antivirus
-
Utiliser seulement des extensions officielles
-
Supprimer les extensions non utilisées
-
Créer un identifiant personnel à la place du compte admin
-
Activer l'authentification en deux étapes
-
Bloquer l'accès aux dossiers WordPress
-
Choisir un hébergeur sécurisé
-
Activer le protocole HTTPS
-
Prévenir les attaques DDoS
-
Analyser régulièrement la sécurité du site WordPress
Faire des sauvegardes régulières de la base de données
La base de données est l'espace où le contenu du site WordPress est conservé. Régulièrement, il faut penser à réaliser des sauvegardes de cette base de données en physique, c'est-à-dire sur un ordinateur ou sur un disque dur externe. En cas de piratage ou de faille de sécurité, il sera alors possible de récupérer la dernière version sauvegardée du site web.
L'avis de HubSpot
Je vous conseille de réaliser les sauvegardes à une fréquence hebdomadaire, et de les classer dans des dossiers datés. Pour gagner du temps, vous pouvez utiliser un plugin WordPress de sauvegarde automatique, UpdraftPlus WordPress Backup Plugin par exemple.
Suivre les mises à jour de WordPress
Le CMS WordPress évolue constamment : ses utilisateurs, en conséquence, sont invités à effectuer des mises à jour régulières. Il est recommandé de télécharger la dernière version de WordPress dès que celle-ci est disponible. En effet, certaines mises à jour du système interviennent pour corriger d'éventuelles failles de sécurité.
Pour les plugins WordPress, la même règle s'applique. Les extensions sont régulièrement corrigées par l'arrivée d'une nouvelle version. Autant que possible, il faut s'assurer de disposer de la dernière mise à jour afin de maximiser la compatibilité avec la version WordPress en cours et avec les autres extensions.
Autoriser les mises à jour automatiques en arrière-plan
Depuis WordPress 3.7, certaines mises à jour sont effectuées automatiquement en arrière-plan. Les mises à jour mineures du cœur pour des raisons de sécurité sont concernées, et activées par défaut. Cela signifie que sauf action de la part de l'utilisateur, WordPress se met à jour à chaque nouvelle MAJ de sécurité disponible.
Il est possible de configurer le retrait des mises à jour automatiques en arrière-plan. La pratique toutefois est déconseillée. Certaines manipulations dans le fichier de configuration WordPress peuvent entraîner le retrait involontaire de la MAJ automatique : attention à éviter cette erreur.
Ajouter un plugin antivirus
Les plugins antivirus sont conçus spécialement pour assurer la sécurité générale des sites WordPress. En plus d'une protection contre les virus et les attaques malveillantes, ces extensions informent le propriétaire du site en temps réel en cas d'alerte de sécurité. Véritable boîte à outils, ce type de plugin offre une vue d'ensemble sur le niveau de sécurité du site. Voici quelques exemples de plugins antivirus pour WordPress :
-
All In One Security (AIOS) – Security and Firewall, noté 4,8 sur 5, avec plus d'un million d'installations actives en 2024.
-
Wordfence Security, noté 4,7 sur 5, avec plus de cinq millions d'installations actives en 2024.
-
Solid Security, anciennement iThemes Security, noté 4,6 sur 5, avec plus de neuf cent mille installations actives en 2024.
-
Sucuri Security, noté 4,2 sur 5, avec plus de huit cent mille installations actives en 2024.
Utiliser seulement des extensions officielles
Les propriétaires de sites WordPress peuvent être tentés d'installer une extension non officielle, pour développer des fonctionnalités dont leur thème ne dispose pas ou pour éviter de payer un plugin. Pourtant, ces systèmes compromettent sévèrement la sécurité du site web tout entier.
Le téléchargement d'une version « crackée » donne accès au site à n'importe qui grâce à un fichier malveillant glissé dans le code de l'extension et permettant de récupérer les accès au site WordPress destinataire.
Pour éviter d'installer par erreur une version non officielle d'extension, il faut passer par la section Ajout d'extension du back-office de WordPress. Il s'agit de la seule et unique bibliothèque officielle.
Supprimer les extensions non utilisées
Chaque plugin du site web, actif ou désactivé, est une porte d'entrée potentielle pour les cybercriminels. Supprimer les plugins obsolètes apparaît comme une évidence pour limiter le risque d'intrusion. Il ne suffit pas de les désactiver, il faut les désinstaller. Cette pratique est d'autant plus utile qu'à mesure des versions de WordPress, certaines extensions ne sont plus maintenues.
Le même exercice doit être effectué sur les thèmes WordPress&nbps;: un thème qui n'est pas utilisé est désinstallé pour réduire le risque de cyberattaque.
Créer un identifiant personnel à la place du compte admin
Par défaut, l'URL de connexion au back-office de WordPress se compose de la manière suivante : nom-du-site.com/wp-admin. Si un hacker tente de pirater le contenu d'un site WordPress, il lui suffit de taper « wp-admin » à la suite du nom de domaine. Il est alors plus facile de se frayer un chemin vers le contenu du site.
Pour s'en prémunir, il est possible de modifier cette URL par défaut en se rendant dans le fichier nommé « .htaccess ». Il existe également des extensions spécifiques qui permettent de remplacer l'URL de connexion par défaut, WPS Hide Login par exemple.
De même, il est recommandé de remplacer l'identifiant par défaut par un identifiant personnel, facilement mémorisable, mais impossible à deviner pour quelqu'un d'extérieur.
L'avis de HubSpot
La pratique semble évidente, pourtant on en mesure rarement l'importance : je vous conseille d'utiliser des mots de passe forts. Créer un mot de passe avec chiffres, lettres majuscules et minuscules et caractères spéciaux peut suffire à faire échouer une tentative de cyberattaque.
Activer l'authentification en deux étapes
L'authentification en deux étapes est la méthode utilisée par les banques pour sécuriser les transactions en ligne. Elle permet de doubler le niveau de sécurité, en l'occurrence lors de la connexion à l'administration WordPress. Tout d'abord, le premier niveau de sécurité se traduit par le processus habituel : l'utilisateur est invité à renseigner son identifiant et son mot de passe. Puis le second niveau prend le relais, via un appel téléphonique ou l'envoi d'un SMS. Étant donné qu'un autre périphérique est utilisé pour la deuxième étape de connexion, le risque d'accès par un logiciel malveillant est réduit.
Pour bénéficier de l'authentification à deux facteurs, le plus simple est de télécharger un plugin WordPress spécifique, tels que Two Factor Authentication.
Bloquer l'accès aux dossiers WordPress
Par défaut, WordPress autorise l'accès aux dossiers du site web à tout le monde. Pour les protéger des attaques extérieures, il est fortement conseillé de bloquer leur accès. Les conditions d'accès aux dossiers peuvent être modifiées dans le fichier .htaccess. Pour les propriétaires de sites WordPress peu habitués au code informatique, l'extension Hide My WordPress permet de réaliser la même opération plus facilement.
Choisir un hébergeur sécurisé
Les mesures de sécurisation du site WordPress ne sont pas systématiquement en cause : il arrive que la faille de sécurité relève de la responsabilité de l'hébergeur du site. Afin d'éviter ce type de situation, il convient de ne pas négliger l'étape du choix de l'hébergeur WordPress. Pour bien protéger le contenu d'un site web, il doit disposer d'un pare-feu et d'un antivirus intégrés et proposer des sauvegardes automatiques régulières du site.
Activer le protocole HTTPS
L'activation d'un protocole HTTPS est possible lorsque le site web détient un certificat SSL. Cette certification permet de faire s'afficher un petit cadenas à gauche de l'adresse web. Elle garantit que la connexion entre le navigateur et le serveur web est sécurisée. Détenir ce certificat est aussi un facteur de réassurance pour les internautes. Cela garantit que leurs données personnelles sont transmises de manière cryptée.
Prévenir les attaques DDoS
Les attaques DDoS (attaques par déni de service) représentent un risque avéré aux conséquences dommageables : un grand nombre de machines œuvre collectivement et simultanément pour surcharger le site web et en bloquer l'accès. Des botnets, notamment, sont responsables d'attaques DDoS d'envergure.
Pour limiter ce risque, il est recommandé de restreindre le nombre d'administrateurs du site web. Un plugin antivirus performant et à jour contribue également à préserver le site WordPress.
Analyser régulièrement la sécurité du site WordPress
Les failles de sécurité d'un site sont invisibles, jusqu'à être exploitées par un cybercriminel. Des logiciels malveillants, en outre, peuvent infecter le site web sans que son administrateur s'en aperçoive immédiatement. Des attaques DDoS et des attaques de type cross-site scripting (attaques XSS) risquent de se produire en conséquence.
Des outils d'analyse permettent de détecter les failles avant qu'une attaque survienne. Ces « scanners » de vulnérabilités fournissent des rapports de sécurité enrichis, pour prendre les mesures de sécurisation adaptées.
L'avis de HubSpot
Je vous recommande par ailleurs de vous rendre quotidiennement dans l'onglet Santé du site du tableau de bord du site WordPress. C'est un moyen très simple et efficace de détecter des problèmes de sécurité à temps.
Pour aller plus loin, découvrez comment effectuer des vérifications et des changements en masse dans votre code ou vos données en téléchargeant le guide sur les regex ; ou découvrez le CMS de HubSpot.
Comment sécuriser son site WordPress ?
Publié :
Avec 42 % des sites existants créés à partir de WordPress, le CMS le plus utilisé au monde est un cible privilégiée pour les hackers. Aucune solution n'étant parfaite, WordPress présente des vulnérabilités. Il est toutefois possible, dès la création d'un site web WordPress, d'agir pour limiter les risques. Voici 13 conseils pour sécuriser son site WordPress.
Pourquoi sécuriser son site WordPress ?
Garder la confiance du public
Les cyberattaques proférées à l'encontre des sites d'entreprises notoires sont relayées par la presse, dans un enjeu d'information du public. Cette publicité, d'ailleurs, est un des objectifs poursuivis par les pirates informatiques qui souhaitent dégrader la réputation de l'entreprise.
Sécuriser son site limite le risque de cyberattaques. L'entreprise évite une mauvaise publicité : sa fiabilité n'est pas remise en cause. Sécuriser son site WordPress évite en outre les attaques qui entraînent la perte ou le vol de données personnelles : les données personnelles sont correctement protégées par l'entreprise, qui garde la confiance du public.
Préserver son image de marque
La défiguration de site web est un risque à prendre en compte au moment de sécuriser son site WordPress. La pratique consiste à pirater le site de manière à changer son contenu : les pages deviennent illisibles, et des fenêtres pop-up apparaissent de manière intempestive pour afficher des messages à caractère préjudiciable.
Certains internautes réalisent immédiatement que le site a été piraté, d'autres ne s'en aperçoivent pas. Dans un cas comme dans l'autre, l'image de marque de l'entreprise en pâtit.
Protéger son chiffre d’affaires
Sécuriser son site WordPress d'e-commerce est fondamental, pour éviter le vol des informations de paiement considérées comme des données personnelles sensibles. Sécuriser sa boutique en ligne, en outre, permet de réduire les tentatives de ransomware. Cette technique de cyberattaque consiste à paralyser le site web dans l'attente du paiement d'une rançon. Les pertes de CA peuvent être considérables.
L'avis de HubSpot
Si les enjeux financiers sont particulièrement conséquents, je recommande d'étudier l'opportunité d'une assurance cyber. Ce type d'assurance, en fonction des garanties souscrites, indemnise votre perte de CA en cas de ransomware.
Comment sécuriser son site WordPress en 13 astuces ?
Faire des sauvegardes régulières de la base de données
Suivre les mises à jour de WordPress
Autoriser les mises à jour automatiques en arrière-plan
Ajouter un plugin antivirus
Utiliser seulement des extensions officielles
Supprimer les extensions non utilisées
Créer un identifiant personnel à la place du compte admin
Activer l'authentification en deux étapes
Bloquer l'accès aux dossiers WordPress
Choisir un hébergeur sécurisé
Activer le protocole HTTPS
Prévenir les attaques DDoS
Analyser régulièrement la sécurité du site WordPress
Faire des sauvegardes régulières de la base de données
La base de données est l'espace où le contenu du site WordPress est conservé. Régulièrement, il faut penser à réaliser des sauvegardes de cette base de données en physique, c'est-à-dire sur un ordinateur ou sur un disque dur externe. En cas de piratage ou de faille de sécurité, il sera alors possible de récupérer la dernière version sauvegardée du site web.
L'avis de HubSpot
Je vous conseille de réaliser les sauvegardes à une fréquence hebdomadaire, et de les classer dans des dossiers datés. Pour gagner du temps, vous pouvez utiliser un plugin WordPress de sauvegarde automatique, UpdraftPlus WordPress Backup Plugin par exemple.
Suivre les mises à jour de WordPress
Le CMS WordPress évolue constamment : ses utilisateurs, en conséquence, sont invités à effectuer des mises à jour régulières. Il est recommandé de télécharger la dernière version de WordPress dès que celle-ci est disponible. En effet, certaines mises à jour du système interviennent pour corriger d'éventuelles failles de sécurité.
Pour les plugins WordPress, la même règle s'applique. Les extensions sont régulièrement corrigées par l'arrivée d'une nouvelle version. Autant que possible, il faut s'assurer de disposer de la dernière mise à jour afin de maximiser la compatibilité avec la version WordPress en cours et avec les autres extensions.
Autoriser les mises à jour automatiques en arrière-plan
Depuis WordPress 3.7, certaines mises à jour sont effectuées automatiquement en arrière-plan. Les mises à jour mineures du cœur pour des raisons de sécurité sont concernées, et activées par défaut. Cela signifie que sauf action de la part de l'utilisateur, WordPress se met à jour à chaque nouvelle MAJ de sécurité disponible.
Il est possible de configurer le retrait des mises à jour automatiques en arrière-plan. La pratique toutefois est déconseillée. Certaines manipulations dans le fichier de configuration WordPress peuvent entraîner le retrait involontaire de la MAJ automatique : attention à éviter cette erreur.
Ajouter un plugin antivirus
Les plugins antivirus sont conçus spécialement pour assurer la sécurité générale des sites WordPress. En plus d'une protection contre les virus et les attaques malveillantes, ces extensions informent le propriétaire du site en temps réel en cas d'alerte de sécurité. Véritable boîte à outils, ce type de plugin offre une vue d'ensemble sur le niveau de sécurité du site. Voici quelques exemples de plugins antivirus pour WordPress :
All In One Security (AIOS) – Security and Firewall, noté 4,8 sur 5, avec plus d'un million d'installations actives en 2024.
Wordfence Security, noté 4,7 sur 5, avec plus de cinq millions d'installations actives en 2024.
Solid Security, anciennement iThemes Security, noté 4,6 sur 5, avec plus de neuf cent mille installations actives en 2024.
Sucuri Security, noté 4,2 sur 5, avec plus de huit cent mille installations actives en 2024.
Utiliser seulement des extensions officielles
Les propriétaires de sites WordPress peuvent être tentés d'installer une extension non officielle, pour développer des fonctionnalités dont leur thème ne dispose pas ou pour éviter de payer un plugin. Pourtant, ces systèmes compromettent sévèrement la sécurité du site web tout entier.
Le téléchargement d'une version « crackée » donne accès au site à n'importe qui grâce à un fichier malveillant glissé dans le code de l'extension et permettant de récupérer les accès au site WordPress destinataire.
Pour éviter d'installer par erreur une version non officielle d'extension, il faut passer par la section Ajout d'extension du back-office de WordPress. Il s'agit de la seule et unique bibliothèque officielle.
Supprimer les extensions non utilisées
Chaque plugin du site web, actif ou désactivé, est une porte d'entrée potentielle pour les cybercriminels. Supprimer les plugins obsolètes apparaît comme une évidence pour limiter le risque d'intrusion. Il ne suffit pas de les désactiver, il faut les désinstaller. Cette pratique est d'autant plus utile qu'à mesure des versions de WordPress, certaines extensions ne sont plus maintenues.
Le même exercice doit être effectué sur les thèmes WordPress&nbps;: un thème qui n'est pas utilisé est désinstallé pour réduire le risque de cyberattaque.
Créer un identifiant personnel à la place du compte admin
Par défaut, l'URL de connexion au back-office de WordPress se compose de la manière suivante : nom-du-site.com/wp-admin. Si un hacker tente de pirater le contenu d'un site WordPress, il lui suffit de taper « wp-admin » à la suite du nom de domaine. Il est alors plus facile de se frayer un chemin vers le contenu du site.
Pour s'en prémunir, il est possible de modifier cette URL par défaut en se rendant dans le fichier nommé « .htaccess ». Il existe également des extensions spécifiques qui permettent de remplacer l'URL de connexion par défaut, WPS Hide Login par exemple.
De même, il est recommandé de remplacer l'identifiant par défaut par un identifiant personnel, facilement mémorisable, mais impossible à deviner pour quelqu'un d'extérieur.
L'avis de HubSpot
La pratique semble évidente, pourtant on en mesure rarement l'importance : je vous conseille d'utiliser des mots de passe forts. Créer un mot de passe avec chiffres, lettres majuscules et minuscules et caractères spéciaux peut suffire à faire échouer une tentative de cyberattaque.
Activer l'authentification en deux étapes
L'authentification en deux étapes est la méthode utilisée par les banques pour sécuriser les transactions en ligne. Elle permet de doubler le niveau de sécurité, en l'occurrence lors de la connexion à l'administration WordPress. Tout d'abord, le premier niveau de sécurité se traduit par le processus habituel : l'utilisateur est invité à renseigner son identifiant et son mot de passe. Puis le second niveau prend le relais, via un appel téléphonique ou l'envoi d'un SMS. Étant donné qu'un autre périphérique est utilisé pour la deuxième étape de connexion, le risque d'accès par un logiciel malveillant est réduit.
Pour bénéficier de l'authentification à deux facteurs, le plus simple est de télécharger un plugin WordPress spécifique, tels que Two Factor Authentication.
Bloquer l'accès aux dossiers WordPress
Par défaut, WordPress autorise l'accès aux dossiers du site web à tout le monde. Pour les protéger des attaques extérieures, il est fortement conseillé de bloquer leur accès. Les conditions d'accès aux dossiers peuvent être modifiées dans le fichier .htaccess. Pour les propriétaires de sites WordPress peu habitués au code informatique, l'extension Hide My WordPress permet de réaliser la même opération plus facilement.
Choisir un hébergeur sécurisé
Les mesures de sécurisation du site WordPress ne sont pas systématiquement en cause : il arrive que la faille de sécurité relève de la responsabilité de l'hébergeur du site. Afin d'éviter ce type de situation, il convient de ne pas négliger l'étape du choix de l'hébergeur WordPress. Pour bien protéger le contenu d'un site web, il doit disposer d'un pare-feu et d'un antivirus intégrés et proposer des sauvegardes automatiques régulières du site.
Gagnez du temps dans la gestion de votre code et de vos données
Téléchargez ce guide pour effectuer des vérifications et des changements en masse avec les regex et gagner en productivité.
Télécharger
Tous les champs sont obligatoires.
Merci d'avoir soumis le formulaire
Cliquez sur le lien pour accéder au contenu en tout temps
Activer le protocole HTTPS
L'activation d'un protocole HTTPS est possible lorsque le site web détient un certificat SSL. Cette certification permet de faire s'afficher un petit cadenas à gauche de l'adresse web. Elle garantit que la connexion entre le navigateur et le serveur web est sécurisée. Détenir ce certificat est aussi un facteur de réassurance pour les internautes. Cela garantit que leurs données personnelles sont transmises de manière cryptée.
Prévenir les attaques DDoS
Les attaques DDoS (attaques par déni de service) représentent un risque avéré aux conséquences dommageables : un grand nombre de machines œuvre collectivement et simultanément pour surcharger le site web et en bloquer l'accès. Des botnets, notamment, sont responsables d'attaques DDoS d'envergure.
Pour limiter ce risque, il est recommandé de restreindre le nombre d'administrateurs du site web. Un plugin antivirus performant et à jour contribue également à préserver le site WordPress.
Analyser régulièrement la sécurité du site WordPress
Les failles de sécurité d'un site sont invisibles, jusqu'à être exploitées par un cybercriminel. Des logiciels malveillants, en outre, peuvent infecter le site web sans que son administrateur s'en aperçoive immédiatement. Des attaques DDoS et des attaques de type cross-site scripting (attaques XSS) risquent de se produire en conséquence.
Des outils d'analyse permettent de détecter les failles avant qu'une attaque survienne. Ces « scanners » de vulnérabilités fournissent des rapports de sécurité enrichis, pour prendre les mesures de sécurisation adaptées.
L'avis de HubSpot
Je vous recommande par ailleurs de vous rendre quotidiennement dans l'onglet Santé du site du tableau de bord du site WordPress. C'est un moyen très simple et efficace de détecter des problèmes de sécurité à temps.
Pour aller plus loin, découvrez comment effectuer des vérifications et des changements en masse dans votre code ou vos données en téléchargeant le guide sur les regex ; ou découvrez le CMS de HubSpot.
Partager cet article sur les réseaux sociaux
Articles recommandés
Comment créer un site WordPress en 11 étapes ?
Comment dupliquer une page ou article WordPress ?
Page WordPress vs article WordPress : quelle est la différence ?
Tag ou catégorie, comment différencier les deux sous WordPress ?
Tutoriel WordPress : comment débuter en 2024
Comment créer un portfolio WordPress ? Thèmes, plugins et conseils
Comment créer un blog WordPress ? 10 étapes pour bien démarrer
Comment faire un bon footer WordPress ? [+ plugins]
Comment créer un custom post type dans WordPress ?
WordPress SEO : 11 conseils pour être bien référencé