Accueil
A propos
Services
Nos Services
Vitrine
Présenter l'activité de votre société
E-Commerce
Vendre vos produits ou vos services
Sur Mesure
Développé selon vos besoins
Maintenance
Garder votre site en parfaite santé
Blog
KleverWeb logo

15 meilleures pratiques de sécurité WordPress

Partager
Partager
Partager
Partager
Partager
KleverWeb logo bleu
KleverWeb - 
29 janvier 2021

WordPress est un système de gestion de contenu qui vous permet de créer et gérer votre site web ou votre blog. Il s'agit de l'une des plateformes de publication web les plus populaires et permet de gérer plus de 40 % de la toile.

Il existe toutefois d'éventuels facteurs dont les utilisateurs de WordPress doivent en tenir compte. L'un d'eux concerne la sécurité.

Mais pourquoi la sécurité de votre WordPress est-elle si essentielle ?

Quelle que soit votre activité, votre site internet sera toujours exposé aux menaces des pirates informatiques. Si votre site web est piraté, la marque et la réputation de votre entreprise peuvent être sérieusement compromises. Les cyberpirates y réussissent généralement en installant des logiciels malveillants ou des virus dans l'intention d'extraire des données sensibles de votre site web. Ces logiciels peuvent également être transmis à vos clients.

Ces pirates du web sont en constante recherche de sites internet vulnérables afin de profiter des leurs failles. Certains peuvent même se résoudre à payer ces pirates pour récupérer l'accès à leurs sites web. Un site internet piraté entraîne une perte de confiance dans l'entreprise et les clients peuvent se tourner vers ses concurrents.

À court terme, vous perdez des revenus et à long terme, vous devrez investir davantage pour reconstruire votre réputation et rétablir la confiance de vos clients.

Pour cela, il est vivement conseillé de vous assurer que votre site WordPress est bien sécurisé. Vous devez le faire, ou vous risquez d'en subir les conséquences un jour.

La sécurité sur WordPress est-elle assurée ?

Beaucoup sont persuadés que le fait que WordPress soit un logiciel libre le rend facilement vulnérable à divers types d'attaques. Cela signifie-t-il que WordPress n'est pas du tout sécurisé ? La réponse est clairement non.

WordPress fait sa part du travail en publiant régulièrement des correctifs de sécurité et des mises à jour logicielles. Mais tout cela reste inutile si vous ne savez pas comment et quoi en faire.

Il est sans doute impossible d'avoir un système parfaitement sécurisé à 100 %. La sécurité est une question de réduction des risques et non une élimination totale. Il s'agit donc de mettre en place les bonnes mesures de contrôle appropriées.

Voici donc 15 des meilleures pratiques de sécurité de WordPress, pour vous aider à protéger votre site web contre les menaces potentielles.

Choisir un bon fournisseur d'hébergement

Tous les hébergeurs et leurs offres d'hébergement ne sont pas équivalents. Quoi qu'il en soit, une chose est sûre : vous devez choisir un fournisseur d'hébergement fiable et de qualité pour héberger votre site web. Cela peut faire toute la différence.

En général, il existe plusieurs types d'hébergement web, à savoir le mutualisé, le VPS et le dédié. Les petites entreprises optent généralement pour un hébergement mutualisé, plus économique, mais où vous partagerez les ressources serveurs avec d'autres clients.

Les serveurs privés virtuels (VPS) utilisent une technologie de virtualisation, vous donnant des ressources dédiées sur un serveur avec plusieurs utilisateurs. C'est une solution plus sûre et plus stable qu'un hébergement mutualisé.

Un serveur dédié est quant à lui un serveur totalement réservé à votre seule et unique utilisation. Cette solution est la plus onéreuse et surtout utilisée pour les sites internet à fort trafic.

Un petit conseil avant de faire votre choix, assurez-vous que votre futur hébergeur prend au sérieux la sécurité de votre site web, ainsi que les incidents tels que des attaques pirates, les interruptions et les performances de leurs serveurs, etc.

Mettre à jour WordPress

Des mises à jour de WordPress, de ses thèmes et de ses plugins, sont publiées régulièrement. Ces mises à jour visent à vous apporter les derniers correctifs de sécurité, des corrections de bogues ou simplement de nouvelles fonctionnalités.

Une étude réalisé auprès de propriétaires de sites web a même confirmé que les vulnérabilités des extensions WordPress représentent 56 % des failles exploitées par les pirates informatiques.

Ainsi pour protéger et assurer la sécurité de votre site internet, l'installation de ces corrections est recommandée. Soyez donc toujours à l'affût des nouvelles mises à jour, car l'utilisation de versions obsolètes présente une véritable menace pour votre site web.

De plus, le langage de programmation PHP est la base de votre site WordPress. Il est donc crucial que vous utilisiez aussi sa dernière version stable. Toute version majeure de PHP est prise en charge pendant deux ans après sa publication. Les éventuels bogues et problèmes de sécurité et de performance seront corrigés et mis à jour régulièrement.

Aujourd'hui, environ 45 % des sites utilisent encore PHP 7.2 ou moins. Ils sont donc vulnérables aux attaques potentielles.

Changer votre URL et identifiant de connexion

Il est important de changer l’URL de votre page de connexion WordPress "wp-login" ou "wp-admin" vous permettant d'accéder à votre interface d'administration. La raison principale est évidente : décourager et compliquer la tache aux pirates qui tenteront d'accéder à votre site par force brute.

Pour changer facilement votre URL de connexion, vous pouvez simplement utiliser WPS Hide Login, un plugin très léger et efficace.

Il est aussi très conseillé de changer votre identifiant de connexion, très souvent celui par défaut : "admin". Il est donc très utilisé par les cyber-pirates lors de leurs tentatives d'intrusions. L'idéal serait de choisir un identifiant et un mot de passe unique et assez complexe. Il est aussi évident que ces données sont personnelles et confidentielles, il ne faut donc surtout pas les communiquer à un tierce personne.

Protéger votre fichier wp-config

Le fichier wp-config.php est le cœur de votre WordPress et donc le plus important en matière de sécurité. Il contient toutes les informations cruciales relatives à votre installation de WordPress, telles que les détails de connexion à votre base de données ou les clés de sécurité pour le cryptage de vos informations.

Il est donc vivement recommandé de protéger ce fichier, car cela revient à protéger le cœur de votre site web. Il vous suffit de déplacer ce fichier à un niveau supérieur à celui de votre répertoire WordPress.

Modifier le préfixe de votre base de données

Les attaques par injection SQL représentent environ 80 % des tentatives de piratage. C'est un chiffre très élevé ! La base de données de votre site WordPress est donc la cible la plus fréquente de ces attaques. Lorsqu'elle parvient à ses fins, ce type d'attaque force la base de données à exécuter le code malveillant injecté, permettant aux pirates d'accéder à vos données et de les modifier.

Le préfixe par défaut de votre base de données WordPress est "wp_". Il est recommandé de le modifier sans tarder.

Mots de passe et gestion des rôles

L'une des tentatives de piratage les plus courantes est l'utilisation des mots de passe volés. Vous pouvez rendre la tâche plus difficile à ces pirates en utilisant des mots de passe et des identifiants plus sécurisés.

Si vous ne vous en occupez pas, votre site web demeurera vulnérable aux attaques par force brute, qui sont généralement des cyber-attaques utilisant une approche par essai pour deviner vos identifiants de connexion.

Faites attention aussi à vos autorisations d'accès. Ne donnez pas accès à votre compte administrateur WordPress que si vous en avez absolument besoin. Ayez une compréhension approfondie des rôles des utilisateurs de votre équipe, avant d'ajouter de nouveaux comptes à votre site.

Activer l'authentification à double facteur (2FA)

L'utilisation de l'authentification à deux facteurs ajoute une couche de protection supplémentaire qui oblige les utilisateurs à obtenir un code unique à partir d'une application d'authentification. Les utilisateurs devront entrer les informations de connexion correctes en plus de ce code pour accéder à leur compte.

WordPress propose plusieurs plugins 2FA. Les plus connus étant Google Authenticator et Two Factor Authentication. Vous devez décider de ce qu'implique la mise en œuvre de ce type d'authentification. Il peut s'agir d'un mot de passe ordinaire suivi d'une question secrète, d'un code secret ou, plus couramment, de l'envoi d'un code sur votre téléphone.

Désactiver l'accès à vos répertoires

Bien que l'accès aux répertoires soit un moyen rapide pour y accéder, cette fonction pourrait se retourner contre vous si d'autres personnes y ont aussi accès.

Les pirates utilisent souvent cette méthode pour profiter des vulnérabilités et essayer d'accéder à votre site web. Il est donc préférable de désactiver cette fonction pour protéger votre site.

Désactiver les rapports d'erreurs PHP

Cette fonctionnalité permet de repérer les erreurs dans vos fichiers PHP. Toutefois, cela permet également à d'autres de voir les vulnérabilités de votre site web.

C'est pourquoi il est fortement recommandé de désactiver cette fonction. Par défaut, elle est désactivée. Cependant, si elle a été activée pour une raison quelconque, vous devrez la désactiver manuellement via votre fichier wp-config en ajoutant les lignes suivantes :

ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

Verrouillage du site web

Cette fonctionnalité, présente dans la plupart des plugins de sécurité, est très utile pour prévenir les tentatives continues de recours à la force brute. Lorsque plusieurs tentatives de connexion échouent, cette fonction de verrouillage est déclenchée et le site web est verrouillé. Cela permet d'éviter toute tentative de piratage informatique avec des mots de passe erronés et répétitifs.

securité https

Masquer votre version WordPress

Les anciennes versions de WordPress sont naturellement plus vulnérables. Par conséquent, il n'est pas très judicieux de rendre votre version de WordPress publique.

Votre version de WordPress est visible dans l'entête du code source de votre site web. Pour la supprimer complètement , vous devez effectuer quelques modifications à votre fichier functions.php en ajoutant le code suivant :

function kleverweb_masquer_version() {
return'';
}
add_filter('the_generator', 'kleverweb_masquer_version');

Désactiver l'édition des fichiers

WordPress vous permet de modifier les scripts de vos extensions et de vos thèmes via l'éditeur de fichiers intégré. Malheureusement, cette fonctionnalité pourrait compromettre la sécurité de votre site internet.

Si un utilisateur mal intentionné a accès à votre tableau de bord WordPress, il pourrait modifier vos fichiers. Il est donc fortement recommandé de désactiver cette fonction en éditant le fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Procéder à des sauvegardes régulières

Il est toujours judicieux de créer régulièrement des sauvegardes de votre site. C'est aussi important que de le sécuriser. Si vous disposez d'une sauvegarde, vous pourrez facilement et rapidement rétablir le fonctionnement de votre site WordPress en cas de problèmes.

Utiliser le protocole SSL

Le protocole SSL (Secure Socket Layer) crypte et sécurise le transfert de données entre le navigateur et le serveur. Ainsi, la mise en place d'un certificat SSL est un excellent moyen pour sécuriser votre site web WordPress.

En outre, le certificat SSL a aussi un impact sur le référencement de votre site web, car Google a tendance à classer les sites en HTTPS plus haut, ce qui augmentera votre trafic.

Cependant, beaucoup ont tendance à installer le plugin SSL Really Simple pour sécuriser leur site internet. Il est fortement conseillé de ne pas l'utiliser, et d'activer votre certificat SSL depuis votre espace d’hébergement.

protocole https

Bloquer le Hotlinking

Le hotlinking implique qu'une autre personne utilise votre image et vole la bande passante de votre serveur pour afficher l'image sur son site web. Lorsque cela se produit, vous remarquerez des vitesses de chargement plus lentes de votre côté.

Vous pouvez éviter cela grâce à des plugins de sécurité qui bloqueront le hotlinking ou en ajoutant ces quelques lignes à la fin de votre fichier .htaccess :

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?votrenomde domaine.fr[NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?bing.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?facebook.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?twitter.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

Conclusion

Tout comme il incombe aux entreprises de protéger leurs locaux, vous, en tant que propriétaire de site internet, devez également vous protéger.

Heureusement, il existe de nombreuses mesures de sécurité simples et efficaces que vous pouvez mettre en place pour améliorer la sécurité de votre site WordPress. Dans l'ensemble, elles sont peu coûteuses et ne nécessitent pas de connaissances techniques avancées pour être mises en œuvre.

Pour résumer, plus vous vous souciez de la sécurité de votre site WordPress, plus cela devient compliqué pour un pirate informatique de s'y introduire.

envelopeuserscartsmartphonelaptop-phoneheart-pulsecodecrossmenuchevron-downchevron-right linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram