WordPress est de l’un des CMS (Content Management System) les plus utilisés au monde. C’est donc un outil efficace, mis à jour régulièrement et, de manière générale, sécurisé. Cependant, sa popularité fait également de lui un des CMS les plus attaqués au monde. En effet, lorsqu’un pirate trouve une faille dans un site WordPress, il pourra pirater très rapidement un grand nombre de sites web ! Pour n’importe quel acteur du web, il est donc primordial de sécuriser son site wordpress. Ci-dessous, quelques trucs à mettre en place pour augmenter la sécurité de votre blog ou site.
1. Backups automatiques
Avant toute chose, vous avez beau avoir la meilleure sécurité du monde, il y aura toujours une faille. C’est pourquoi il est crucial de mettre en place des sauvegardes automatiques de votre base de données et de vos fichiers. Il existe de nombreuses extensions WordPress pour ça. La fréquence des backups sera à configurer au cas par cas: plus votre contenu est mis à jour régulièrement et vos données sont sensibles, plus votre fréquence de backup sera élevée. Pour le commun des mortels, je conseille 1 sauvegarde par jour.
Je vous conseille l’extension BackWPup pour configurer la sauvegarde automatique de votre WordPress.
2. Mises à jour fréquentes
Lorsqu’une faille de sécurité est trouvée, elle est très souvent rapidement corrigée. C’est pourquoi il est très très important de maintenir votre site WordPress ainsi que toutes vos extensions à jour. Avoir un blog ou un site qui n’est pas à jour est l’une des principales causes de piratage !
3. Utiliser le protocole HTTPS
Le protocole HTTPS (qui est la version sécurisée de HTTP utilisant SSL) devrait maintenant être la norme. Cependant, il y a encore beaucoup trop de sites qui n’utilisent pas cette technologie. C’est dommage, il y a de nombreux avantages à utiliser HTTPS, que ce soit en terme de sécurité ou de référencement. De plus, le prix d’un certificat SSL s’est bien démocratisé et il est maintenant accessible à tous, du webmaster du dimanche aux grosses agences web ! Petite note à part, en plus de certifier la connexion entre un internaute et un site web, la technologie SSL peut également être utilisée pour certifier l’authenticité d’un logiciel, cela s’appelle le certificat code signing.
4. Masquer la version de WordPress
La plupart des failles de sécurité sont liées à une version particulière de WordPress (ou d’une extension WordPress). Si un pirate essaie d’attaquer votre site, la version de WordPress est, pour lui, une très bonne information. Il est donc important de cacher cette info !
5. Supprimer le compte admin
Par défaut, lorsque vous installez WordPress, un identifiant admin est créé. Connaître l’identifiant de l’administrateur est la première étape du pirate lorsque celui-ci essaiera d’accéder à votre espace d’administration. Ce serait vraiment bête de lui donner cette information gratuitement ! Pensez-donc à supprimer cet utilisateur et à créer un autre avec un pseudonyme un peu plus compliqué / personnel 😉
6. Modifier l’adresse de connexion
Par défaut, vous pouvez accéder à votre espace d’administration en ajoutant /wp-login.php (ou /wp-admin/) à l’URL de votre site. De nouveau, comme pour le compte admin, mieux vaut ne pas donner cette information à un pirate. Pour ce faire, vous pouvez utiliser l’extension WPS Hide Login.
7. Un mot de passe complexe
Par pitié, n’utilisez pas un mot de passe de 5 caractères, tout en minuscule, qui est, en fait, le nom de votre chat ! Vos mots de passe devraient toujours avoir plus de 8 caractères, contenir des minuscules, majuscules, chiffres et, si possible, des caractères spéciaux (comme ?!. par exemple). De plus, évitez d’utiliser le même mot de passe partout sur internet: il suffit qu’un seul site où votre mot de passe est stocké se fasse pirater pour que les pirates aient maintenant accès à tous les autres sites où vous êtes inscrit !
De manière générale, étant donné que vous accédez à votre site / blog WordPress depuis votre ordinateur, il est important de sécuriser autant votre ordinateur que votre site web.
13 autres astuces en vrac
Parce qu’un article trop long, c’est assez lourd à lire, je vous liste toutes les autres idées à investiguer pour sécuriser votre WordPress:
- Empêcher la navigation dans vos dossiers et fichiers WordPress (ex: le /wp-uploads/)
- Utiliser un plugin d’Antivirus
- Utiliser un scanner de failles de sécurité (cfr l’extension WP Security Scan)
- Changer le préfixe de votre base de données
- Ajouter des clés de sécurité dans le wp-config.php
- Protéger l’accès au wp-config.php par .htaccess
- Bloquer les attaques « brute force » sur votre formulaire de login (cfr plugin Login LockDown)
- Masquer les erreurs explicites de connexion
- Monitorer les changements de vos fichiers (cfr plugin Wordfence Security)
- Désactiver l’édition des fichiers depuis la zone d’administration (cfr option WordPress DISALLOW_FILE_EDIT)
- Désactiver l’exécution de fichiers PHP dans certains dossiers
- Désactiver XML-RPC dans WordPress (pour éviter le brute force)
- Mettre en place l’authentification en 2 étapes (cfr extension Rublon)
A vous !
Et vous ? Avez-vous d’autres idées et conseils pour sécuriser un site WordPress ?