Chaque créateur de site WordPress se doit de se préoccuper de la sécurité de son site, Google blacklist (met sur liste noire) plus de 10.000 sites tous les jours, car ces deniers se sont vus infectés par des malwares.
Ça n’arrive pas qu’aux autres malheureusement. Plus tôt vous en serez conscient mieux ce sera pour vous.

Même si le noyau de WordPress est très sécurisé grâce à une centaine de développeurs, il n’en demeure pas moins qu’il reste vulnérable, car très ciblé par les hackers du fait qu’environ 25% des sites internet sont réalisés avec WordPress.
En tant que webmaster, il y a de nombreuses choses que vous pouvez faire pour accroître la sécurité de votre site WordPress.

C’est pourquoi j’ai décidé de rédiger cet article en espérant qu’il soit le plus simple et le plus clair possible.
Vous verrez qu’il y a de nombreuses mesures que vous pouvez prendre pour éviter de voir votre site infecté voire détruit par un pirate.
Certes, ces mesures n’élimineront pas complètement les risques, mais elles les réduiront considérablement.

1 : Faire les mises à jours de WordPress ainsi que ses thèmes et ses plugins.

WordPress est régulièrement mis à jour, les thèmes et les plugins de qualités aussi. C’est crucial pour la sécurité et la stabilité de votre site.

2 : Renforcer ses mots de passe pour sécuriser WordPress

L’attaque la plus répandue est le vol de mot de passe dû à un mot de passe relativement faible.
Vous pouvez compliquer considérablement la tache à un pirate en renforçant votre mot de passe WordPress, mais aussi ceux à la connexion à votre compte FTP, votre base de donnée, votre hébergeur, vos emails etc.

Beaucoup d’entre vous n’aiment pas utiliser un mot de passe trop complexe de peur de les oublier. Dans ce cas, je vous conseille d’utiliser un « password managers » (Gestionnaires de mots de passe).
Un gestionnaire de mot de passe va stocker tous vos mots de passe dans un cloud sécurisé et vous permettre de les gérer grâce à un seul et unique mot de passe.
Il en existe beaucoup, mais je vous conseille LastPass, il est facile à utiliser, en français et gratuit.

Vous pouvez trouver des tests complets sur les gestionaires de mots de passesur ce site : vpnmonde

3 : Installer un plugin de sauvegarde

La sauvegarde de votre site est un bon moyen de réparer d’éventuels dégâts qu’aurait pu commettre un pirate sur votre site.
En cas d’attaque, un plugin de sauvegarde va vous permettre de restaurer votre site dans un état antérieur à l’attaque.

Il existe de nombreux plugins de sauvegarde pour WordPress, mais tous ne se valent pas. Il doit être simple d’emploi, vous permettre de sauvegarder la totalité de votre site, de faire des sauvegardes automatiques régulières et bien sûr de pouvoir sauvegarder vos sauvegardes hors des serveurs de votre hébergeur (disque dur, cloud etc).

En voici trois qui répondent à tous les critères ci-dessus. Les trois possèdent une version gratuite et payante.

updraftplus
Backupbuddy
Duplicator 

4 : Installer un plugin de sécurité

Après avoir vu les sauvegardes, la prochaine étape est d’installer un plugin de sécurité qui surveille votre site en permanence et traque toutes les activités suspectes qui peuvent s’y dérouler.
• Scan anti-malware
• Détection d’altération de fichiers
• Blocage d’utilisateurs
• Etc

Plugin conseillé :
iThemes security (version gratuite et payante). Voir notre test.
Sucuri 

5 : Choisir un thème de qualité

Un thème WordPress de qualité est un thème sécurisé qui n’a aucune vulnérabilité connue, qui est régulièrement mis à jour, qui respecte les normes de codage appropriées et qui est à la fois compatible avec votre version de WordPress mais aussi avec autres éléments de votre site, tels que les plugins.

Avoir un thème qui répond à tous ces critères vous aidera non seulement à éviter les bugs, les erreurs de compatibilité et tout un tas de problèmes similaires mais aussi à restreindre les possibilités d’attaques, car votre site WordPress aura moins de failles de sécurité à exploiter.

Vous trouverez ci-dessous quelques thèmes que j’utilise souvent et que je vous recommande les yeux fermés :

Le thème : Oceanwp (gratuit) voir notre test.
Les themes : ThemeIsle (gratuit et payant) voir notre test .
Le thème : Divi (payant) voir notre test.
Le thème : extra (payant) voir notre test.
Le thème : Generate press (gratuit et payant).
Le thème : Astra (gratuit et payant).

6 : Changer le nom d’utilisateur de WordPress

Si lors de l’installation de versions récentes de WordPress il est possible de choisir un nom autre que le célèbre « admin » ce n’était pas le cas avant. Or, il est toujours préférable pour un administrateur de ne pas laisser un nom d’utilisateur connu. Bien sûr dans ce cas il ne faut pas poster d’article ou répondre à des commentaires avec votre pseudo d’administrateur.

Il y a différentes méthodes pour changer votre nom d’utilisateur dans WordPress :
• La méthode manuelle.
• Utiliser un plugin

Lisez cet article pour voir les 2 méthodes en détails (tutos).
https://www.globalwordpress.com/comment-changer-le-nom-dutilisateur-dans-wordpress/

7 : Ajouter deux facteurs d’identification (Two Factor Authentification)

Cette option oblige un utilisateur à s’identifier par le biais de deux méthodes différentes. La méthode classique avec nom d’utilisateur et mot de passe et une seconde méthode qui consiste à recevoir un code sur autre appareil que l’ordinateur que vous utilisez habituellement.

Voir notre article: Comment installer une Authentification à deux facteurs sur WordPress ?

8 : Déconnexion automatique des utilisateurs inactifs dans WordPress ?

Il est courant qu’un utilisateur s’éloigne de son écran pour un bon moment tout en restant connecté à WordPress, ce qui peut poser un risque pour la sécurité. Quelqu’un peut détourner sa session, modifier ses mots de passe où modifier son compte.

La solution consiste a installer un plugin qui va se charger de déconnecter un utilisateur inactif après un laps de temps déterminé.
Pour ce faire je vous conseille le plug-in « Inactive Logout »  il est gratuit, très simple à configurer et fait bien son travail.

Une fois installé, allez dans « Réglages » dans le tableau de bord de WordPress et cliquez sur « Déconnexion inactive » pour configurer le plugin

Là vous n’avez plus qu’à stipuler le temps d’inactivité avant que la déconnexion n’ait lieu et un message à afficher lorsque ça se produit, cliquez sur « sauvegarder les modifications » pour finir.

Si vous êtes intéressé par les autres options qu’offre ce plugin, vous pouvez consultez cet article :
Inactive Logout : Déconnexion automatique des utilisateurs inactifs dans WordPress.

9 : Ajouter une question de sécurité pour vous connecter à WordPress

Ajouter une question de sécurité sur l’écran de connexion à WordPress va restreindre grandement les probabilités que quelqu’un non autorisé puisse accéder à votre compte.
Vous pouvez ajouter une ou des questions de sécurité en installant le plug-in : WP Security Question

Pour des instructions plus détaillées, consultez notre tutoriel : Comment ajouter des questions de sécurité à l’écran de connexion WordPress ?

10 : Changer l’url de connexion

Par défaut l’url de connexion à WordPress est toujours la même : https://www.nomdevotresite.com/wp-admin (je mets .com mais cela peut être .fr ou une autre extension).
Pour compliquer la tâche d’un éventuel pirate qui voudrait lancer une attaque « Brute Force » contre votre site, on peut changer l’url de connexion.

Voir notre article : Comment modifier l’url de connexion à WordPress ? 

11 : Scanner WordPress à la recherche de virus ou malware et d’éventuelles failles de sécurité et d’autre vulnérabilités

Si vous n’avez pas installé un plugin de sécurité sur votre WordPress et que vous constatez une baisse soudaine du trafic ou une dégradation de votre classement dans les moteurs de recherches, il est urgent de faire une analyse complète de votre site.

Dans ce cas deux options :
Ou bien vous vous décidez à installer un plugin de sécurité et lancez un scan immédiatement ou bien vous lancez un scan en ligne sur l’un des sites ci-dessous. Ils sont tous gratuits et très simples à utiliser.
Il vous suffit d’entrer l’adresse de votre site et de lancer le scan.

https://www.isitwp.com/wordpress-website-security-scanner/
https://wpsec.com
https://quttera.com
https://app.webinspector.com
https://app.upguard.com/webscan
https://www.virustotal.com/gui/home/upload

12 : Désinfectez votre site

Si vous avez installé un plugin de sécurité, il est peu probable que vous ayez été infecté. Mais vous êtes encore nombreux à ne pas y penser.
Avant tout, il faut bien comprendre qu’il est bien plus facile d’éviter une infection de votre site WordPress que de le désinfecter.

Nettoyer un site WordPress peut prendre beaucoup de temps et vous devrez souvent faire appel à un professionnel, tout particulièrement si vous n’avez pas fait de sauvegarde complète de votre site.
Les pirates installent des backdoors sur les sites infectés et si ces derniers ne sont pas traités correctement, votre site Web sera probablement piraté de nouveau.

Néanmoins, il y a certaines procédures que vous pouvez essayer pour tenter de désinfecter votre site.
Je vous invite à consulter cet article pour en savoir plus : Que faire en cas de piratage de votre site WordPress ?

0 commentaires

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *