16 conseils pour savoir comment sécuriser votre site WordPress

Fév 2021 | Astuces, WordPress | 1 commentaire

Sur Internet, il existe un grand nombre de personnes malveillantes – les fameux hackers – et il est vivement conseillé de s’en protéger. WordPress étant un CMS utilisé par 40% des sites selon W3Techs à travers le monde, il est d’autant plus une cible privilégiée des pirates.

À travers ce billet, nous aborderons 16 conseils et bonnes pratiques à appliquer dès maintenant pour sécuriser votre site WordPress.

1. Protégez votre compte administrateur

J’ai une question à vous poser : laisseriez-vous les clés de votre appartement sur la serrure avant de partir en vacances pour quelques jours ?

J’anticipe la réponse : non. Et bien vous devez considérer vos accès administrateur comme les clés de votre domicile et les protéger de la même manière, c’est à dire en ne les partageant jamais.

De plus, ils doivent être le plus difficile à deviner possible. Par défaut, votre compte administrateur est appelé “admin…”. Ce n’est pas bon. Pour commencer, créez un nouveau compte administrateur puis supprimez celui de base.

Supprimer un compte WordPress

Enfin, et bien que cet adage ait déjà été répété maintes et maintes fois, utilisez un mot de passe complexe. Vous ne voulez pas de visiteurs indésirables chez vous, non ?

Pour vous aider : WordPress détermine la complexité du mot de passe que vous choisissez et vous affiche s’il est robuste ou non.

Complexité du mot de passe WordPress

Pour rappel, la règle est d’utiliser un mot de passe d’un grand nombre de caractères, alternant majuscules, minuscules, caractères spéciaux et dont le sens n’est connu que de vous.

2. Limitez le nombre de tentatives de connexion

Les hackers tenteront par de nombreux moyens de s’introduire dans votre système et l’un de ceux-ci est l’attaque par force brute.

Pour être simple, cette attaque consiste à tester le plus de combinaisons possibles afin de déterminer vos identifiants (on parle de milliers de tentatives dans un laps de temps très court).

Pour lutter contre ce type d’attaques, vous devez absolument limiter les tentatives de connexion. Les extensions telles que WPS Limit Login ou Limit Login Attempts vous permettent de le faire.

Ensuite, définissez un nombre maximum de tentatives de connexion raisonnable. Je vous suggère de choisir un nombre compris entre 3 et 10 maximum.

WPS Limit Login WordPress

3. Pensez faire des sauvegardes très régulièrement

Premièrement, on ne le répétera jamais assez mais faîtes des sauvegardes régulières.

Ensuite, et même si votre site est au top en matière de sécurité, personne n’est à l’abri d’une erreur, d’une mauvaise manipulation ou d’un piratage. Il serait prétentieux d’affirmer le contraire. En cas de problèmes, une sauvegarde permet de restaurer tous les fichiers qui composent votre site (thème, extensions, contenu…).

Il est donc indispensable d’effectuer des sauvegardes régulières de votre site et sa base de données. Il existe des plugins comme les excellents UpdraftPlus, BackWPup ou Jetpack – embarquant désormais VaultPress – qui sauvegarderont votre environnement vers l’emplacement de votre choix (Google Drive, Dropbox et même par e-mail).

Vous pouvez même planifier et automatiser cette tâche afin d’avoir l’esprit tranquille. C’est facile et vraiment pratique 😻

A noter que votre hébergeur propose généralement un service de sauvegarde automatique et de restauration en cas d’anomalies. N’hésitez pas à vous y intéresser.

UpdraftPlus WordPress

Nous vous conseillons d’effectuer au minimum une sauvegarde par semaine. Cela permettra de retrouver du contenu récent en cas de problème critique ou de corruption de votre système.

Ainsi, vous n’avez plus d’excuses pour ne pas faire de sauvegardes 😼

5. Vous devez constamment maintenir à jour votre écosystème

Votre site internet est comme votre véhicule : si vous ne le faîtes pas réviser, vous augmentez considérablement le risque de panne. Et une panne peut avoir des conséquences désastreuses.

Imaginez un instant : une boutique en ligne qui s’arrête sans prévenir. Des milliers d’euros potentiels qui s’envolent. Vous ne voulez pas que cela arrive, c’est une certitude.

Mettre à jour WordPress

Il est donc impératif de maintenir constamment à jour WordPress. Depuis l’onglet Tableau de bord de votre espace d’administration, cliquez sur Mises à jour pour vérifier si de nouvelles versions sont disponibles et installez-les le cas échéant.

Avant de procéder à une mise à jour de votre système attention toutefois à :

  • Toujours sauvegarder votre environnement pour prévenir les problèmes techniques.
  • Vous renseigner sur la stabilité de la mise à jour proposée via les forum ou en échangeant avec des utilisateurs avertis.
  • Désactiver tous vos plugins car ils peuvent interférer avec le processus de mise à jour.
  • Checker si votre thème et vos extensions sont compatibles avec la nouvelle version.

Un système à jour est un système sain alors n’en privez pas votre site internet.

6. Configurez vos entêtes de sécurité HTTP

Pour renforcer la sécurité de votre site, vous pouvez pouvez configurer vos entêtes de sécurité HTTP. Ce sont des petits morceaux de codes qui indiquent comment doit réagir le navigateur quant à la gestion des ressources de votre site.

Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec la requête ou la réponse. Un en-tête de requête est constitué de son nom (insensible à la casse) suivi d’un deux-points : , puis de sa valeur (sans saut de ligne).

Source : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers

Il existe un grand nombres d’entêtes de sécurité HTTP que vous pouvez configurer mais certains sont considérés comme essentiels lors d’un scan de vulnérabilité :

  • Strict-Transport-Security.
  • Content-Security-Policy.
  • X-XSS Protection.
  • X-Frame-Options.
  • X-Content-Type-Options.
  • Referrer-Policy.
  • Permissions-Policy.

Vous pouvez configurer vos entêtes via le fichier .htaccess présent dans le répertoire racine de votre site WordPress. Connectez-vous à votre FTP pour éditer ce fichier et y ajouter vos entêtes. Pensez à effectuer une copie de fichier .htaccess avant de le modifier, on ne sait jamais 😼

Voici un exemple de configuration pour quelques entêtes :

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header always append X-Frame-Options SAMEORIGIN
Header Referrer-Policy: no-referrer-when-downgrade

Pour vérifier si vos entêtes sont correctement ajoutées, testez votre site avec l’outil proposé par SecurityHeaders. De plus amples informations concernant les valeurs à définir pour chaque entête sont disponibles sur Internet.

7. Pensez à modifier votre jeu de clés de sécurités secrètes et leurs sels

Dans vos fichiers WordPress, il existe des clés de sécurités auxquelles sont associés des sels (ou SALT Keys).

Excuse-moi chef mais… du sel ? On est pas sur marmiton.com 😂

Riiiien à voir avec le condiment présent dans votre cuisine 🙀 Pour être synthétique, il s’agit d’ajouter un composant aléatoire aux clés de sécurités pour les rendre extrêmement difficile à trouver, notamment pendant le transit des informations lors du processus d’authentification. Pour la culture, on appelle cette technique le hachage.

Pas de panique : depuis déjà plusieurs versions WordPress est installé avec son jeu de clés secrètes et leurs sels donc vous n’avez pas besoin d’ajouter ces dernières par vous-même. En revanche, il peut être intéressant de les modifier régulièrement pour les rendre encore plus difficiles à trouver.

Voilà à quoi ressemble un jeu de clés et leurs sels :

API Salt Key WordPress
4 clefs et 4 sels.

La manière de les obtenir est très simple : vous pouvez les générer en quelques secondes grâce à l’API de génération de SALT Keys de WordPress.

Ok j’ai généré mes clés… où dois-je les saisir ?

Elles doivent être remplacées dans le fichier wp-config.php. Connectez-vous en FTP sur votre site et éditez ce fichier. Repérez la ligne contenant les clés et leurs sels puis remplacez les informations présentes par celles précédemment générées via l’API.

A présent, enregistrez vos modifications afin de mettre à jour le fichier wp-config sur votre serveur et c’est terminé.

Astuce : Vous pouvez également installer un plugin comme Salt Shaker pour automatiser cette tâche 😺

8. Passer son site en HTTPS avec un certificat de sécurité SSL/TLS

En 2017, Google a annoncé pour la mise à jour de son navigateur Chrome que l’ensemble des sites web n’étant pas passés en HTTPS seront affichés aux internautes comme non sécurisés et potentiellement dangereux. Un message plutôt rédhibitoire pour votre trafic…

Une fois cette annonce communiquée, cette pratique s’est généralisée aux autres acteurs principaux du net : en 2021, il est donc inconcevable de proposer un site internet sans certificat de sécurité à votre visiteur.

Vous aurez donc compris que passer votre site en HTTPS est une priorité si vous souhaitez délivrer votre contenu à vos visiteurs tout en garantissant à ces derniers que les échanges entre eux et votre serveur sont bien chiffrés.

HTTPS… certificat… chiffré… tu es gentil mais qu’est ce que cela signifie ? 😅

Sans s’étaler dans de longues explications techniques, le HTTPS – pour HyperText Transfer Protocole Secure – est un protocole informatique permettant de sécuriser les échanges entre un visiteur et votre site grâce à l’envoi d’un certificat de sécurité attestant la crédibilité et authentifiant le domaine visité au début de la communication.

Ce certificat de sécurité empêche qu’une tierce personne puisse espionner la communication entre les deux parties, en comprendre le contenu pour en tirer profit. Cette technique de piratage s’appelle l’attaque de l’homme du milieu.

Pour information, un site qui utilise le protocole HTTPS possède un cadenas à côté de son adresse. C’est le cas pour notre site altefkat.com 😸

Site WordPress en HTTPS

Les modalités de déploiement du HTTPS sur votre domaine sont propres à votre hébergeur alors rapprochez-vous en pour les découvrir. Pour vous aider à correctement passer votre site WordPress en HTTPS, il existe aussi des extensions légères comme Really Simple SSL.

En conclusion, aucune hésitation à avoir : votre site doit être en HTTPS.

9. N’installez pas n’importe quelle extension

La puissance de WordPress vient en partie de son incroyable catalogue d’extensions qui permettent d’ajouter diverses fonctionnalités sur votre site depuis votre espace d’administration et son onglet Extensions.

Installer une extension WordPress

Malheureusement, toutes les extensions ne se valent pas. Afin de ne pas risquer de corrompre votre système, les extensions installées sur votre site doivent toujours être :

  • Conçues par des éditeurs fiables et reconnus.
  • Compatibles avec la version de WordPress installée.
  • Mises à jour dès que possible.
  • Testées avant d’être installées dans votre environnement de production.
  • Indispensables au bon fonctionnement de votre site (plus elles sont nombreuses, plus elles sont susceptibles d’être une source de ralentissements pour votre site).

Soyez attentifs lorsque vous décidez d’installer une extension. Prenez le temps de l’analyser, de la comprendre et d’en évaluer les risques avant de l’inclure dans votre écosystème WordPress.

10. Choisissez un thème WordPress solide

Choisir le thème pour votre site WordPress est une décision importante et doit être murement réfléchie. Veillez à toujours privilégier l’emploi de thèmes officiels, distribués par des entités sérieuses et validées par la communauté WordPress.

Un thème fiable et mis à jour est un gage de sécurité pour votre site internet. Vous devez donc le choisir avec le plus grand soin. En effet, un thème laissé à l’abandon par son éditeur sera sujet aux vulnérabilités et mettra très vite en péril l’intégrité de votre site.

Attention, un thème payant n’est pas forcément un thème de qualité. Avant d’investir dans un thème payant, renseignez-vous ou faîtes appel à des professionnels.

11. Changez l’URL de votre page de connexion

Par défaut, l’adresse de votre page de connexion est www.votresite.com/wp-admin. Ne pas changer cet URL c’est faciliter la tâche pour un acteur malveillant qui souhaite accéder à votre espace d’administration.

Vous pouvez le faire manuellement ou installer une extension comme WPS Hide Login qui vous permettra de modifier celle-ci. Cela réduira drastiquement le nombre d’attaques que subit votre site.

Extension WPS Hide Login

Au même titre que pour votre mot de passe administrateur, choisissez une URL de connexion difficile à trouver. ‘”Login” ou “Connexion” ne sont donc pas des termes conseillés 😾

Changer l'URL de connexion avec WPS Hide Login

Après avoir modifié l’URL de connexion, il suffit de cliquer sur le bouton Enregistrer les modifications pour les appliquer immédiatement.

12. Désactivez l’édition de fichiers

Vous devez être vigilant sur les permissions que vous attribuez aux autres gestionnaires de votre site. L’édition de fichier est une fonctionnalité critique qui doit être distribuée avec parcimonie.

Pourquoi ? Car cette fonctionnalité permet d’ajouter ou de modifier le code de votre thème et de vos extensions directement depuis l’administration de WordPress.

Elle ne doit donc pas être attribuée à des utilisateurs ne possédant pas de compétences en développement web et doit être désactivée par défaut pour empêcher un pirate d’y avoir accès s’il arrive à récupérer un compte sur votre site.

Pour désactiver l’édition de fichier, rendez-vous sur votre serveur et cherchez le fichier wp-config.php. Une fois en mode édition, repérer la ligne suivante :

define('DISALLOW_FILE_EDIT', true);

Si la valeur est sur true, alors l’édition de fichier est désactivée. Pour l’activer, passez la valeur à false puis sauvegardez vos modifications.

13. Investissez dans un hébergeur de confiance

C’est un point qui semble évident mais votre hébergeur doit être un acteur sérieux et dont la sécurité de votre site est la priorité. Il doit disposer de technologies performantes, posséder des dispositifs de protections robustes tout en étant soucieux de la disponibilité de votre site.

La qualité de votre hébergeur conditionne celle de votre site. Par ailleurs, privilégiez un hébergeur optimisé pour WordPress !

Vous ne savez pas lequel choisir ? Je suis disponible pour vous aider 👍

14. Camouflez votre version de WordPress

Comme toute chose, WordPress n’est pas infaillible et chaque version possède son lot de vulnérabilités. Afin de ne pas faciliter la tâche aux pirates, pensez à masquer la version de WordPress que vous utilisez.

Pour masquer la version de WordPress, ajoutez la ligne ci-dessous dans le fichier functions.php de votre thème. Si vous ne le savez pas, ce fichier est situé dans le répertoire wp-content > themes > le nom de votre thème > functions.php.

add_filter('the_generator', 'wpm_delete_version');

// On retourne une chaine de caractère vide à la place de la version de WordPress
function wpm_delete_version() {
return '';
}

Pour finir, sauvegardez vos modifications afin de les appliquer.

15. Installez un plugin de sécurité

Votre ordinateur est doté d’un bon logiciel anti-virus n’est-ce pas ? Donc votre site WordPress en mérite un tout autant 💪

Il existe de nombreux plugin de sécurité que vous pouvez utiliser pour apporter plus de protection à votre site comme :

Par ailleurs, ces plugins vous permettent aussi de superviser le trafic de votre site et vous avertir en cas de tentatives malveillantes, de recevoir une notification quand une mise à jour doit être faite ou encore de scanner vos fichiers afin de détecter ceux comportant des menaces.

Pour finir, je vous recommande donc vivement d’installer une extension de ce type.

16. Supprimez les extensions qui ne vous servent plus

Trop souvent les utilisateurs installent des extensions pour les tester puis les désactivent. Cela signifie qu’ils n’ont peut-être pas bien respecté le point numéro 9 de ce guide.

Il faut savoir qu’une extension désactivée reste installée sur votre serveur. En plus de prendre inutilement de la place sur votre serveur, elle représente potentiellement une brèche de sécurité pour votre site si elle comporte une ou plusieurs vulnérabilités.

Alors adoptez le bon réflexe : je n’utilise plus ? Alors je la supprime. Pour désinstaller une extension, rendez vous dans l’onglet du même nom depuis votre administration puis cliquez sur supprimer à côté de celle-ci.

Supprimer une extension WordPress

Une extension inutilisée supprimée c’est un chaton de sauvé, je vous le jure 😽

Conclusion rapide

La sécurité de votre site WordPress est indispensable. Bien que certains aspects techniques peuvent effrayer, il est primordial de s’y intéresser.

Tous ces conseils sont applicables à n’importe quel moment et n’ont aucune incidence sur votre budget car ils sont totalement gratuits alors n’hésitez pas une seconde à les appliquer.

Bien sûr, ce guide n’est pas exhaustif mais je le met régulièrement à jour donc n’hésitez pas le consulter de temps à autre.

Amicalement 👋

Par Samy Bentemam

Entrepreneur et rédacteur d’articles passionnants, je serais ravi d’échanger avec vous de votre futur projet. Au plaisir de partager de nouvelles connaissances tous ensemble 😸

Confiez votre projet web à des professionnels compétents

Laisser un commentaire

1 Commentaire

  1. Quilitrurn

    It is possible to speak infinitely on this question.

    Réponse

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tu veux recevoir du contenu exclusif ?

Tu veux recevoir du contenu exclusif ?

Alors rejoins gratuitement la communauté Altefkat et bénéficie de nombreux avantages. Garanti sans spam, ni colorants, ni conservateurs !

Bienvenue dans la communauté Altefkat ! Nous te remercions pour ton inscription et ta confiance.

Hey, on s'occupe de votre maintenance WordPress ?

Remplissez le formulaire ci-dessous et notre équipe vous enverra une proposition gratuitement dans 48h. 

Votre message a été transmis 😺

Share This