WordPress : comment sécuriser son site

De nos jours, il est de plus en plus important de sécuriser un site WordPress. Le CMS WordPress est devenu un standard en matière de création de site internet en France, ce qui le rend de plus en plus vulnérable et intéressant pour les hackers. Selon l’utilisation que vous en faites, site vitrine, e-commerce, blog… il faudra bien réfléchir au besoin et à l’importance de bien sécuriser votre site.

Les entreprises qui nous contactent et souhaitent refondre leur site, ne demandent que très rarement comment se passe la sécurité sur un site WordPress et quelles sont extensions installées pour sécuriser le site. Pour rendre un site plus sécurisé il existe une multitude d’extensions gratuites ou payantes à découvrir dans cet article. Sécuriser un site WordPress passe par plusieurs étapes importantes et simples à mettre en œuvre :

1- Le login administrateur de WordPress

La première chose à faire au moment de la création de votre site sera de définir un compte administrateur. Ce compte permet de se connecter au back office (l’administration) du WordPress.

Trop souvent, le créateur du site utilise le mot admin ou encore nom ou son prénom. Cela est à éviter fortement, car c’est un login bien trop facile à trouver, d’autant plus que ces informations sont souvent présentes sur le site pour présenter les membres de l’équipe. Voici un exemple en gardant le mot admin si vraiment vous y tenez :).

Exemple : aDmin45-22, Admin45-22.

Pour aller encore plus loin, il est possible d’ utiliser une extension comme Google Authentification ou Duo Two-Factor Authentification pour activer l’authentification à 2 étapes.

2- Les mots de passe

Il est fortement déconseillé d’utiliser des mots de passe comme « toto12345 » ou « votre date de naissance ». Pensez à recourir à un générateur de mot de passe gratuit comme : https://www.motdepasse.xyz.

• Cochez « Avec des chiffres »
• Choisissez « Avec des lettres minuscules »
• Cliquez « Avec des lettres majuscules »
• Validez « un nombre de caractères dans le mot de passe » de 9 par exemple voir plus !
• Et faite « Créer votre mot de passe »

Et n’oubliez pas de sauvegarder votre mot de passe !

3- La sauvegarde dans WordPress

Installez une extension pour sauvegarder la base de données et les fichiers de votre site.

Vous pouvez utiliser un hébergement comme Wpserveur qui propose de créer un clone ( c’est à dire une copie) de votre WordPress. Cela permettra, en cas d’attaque et/ou de perte de données, de pouvoir écraser le site par le clone qui avait été créé précédemment. Si vous décidez de partir sur une solution d’extensions, il existe UpdraftPlus de David Anderson pour WordPress en version gratuite ou payante dans le cas où vous souhaitez bénéficier d’autres options comme par exemple le transfert et la sauvegarde dans un cloud.

4- Le lien au back office

Si vous installez un WordPress par défaut, le lien pour se connecter à l’administration est https//monsite.fr/wp-login ou https//monsite.fr/wp-login.php. Ce lien, les hackers le connaissent bien et c’est pour eux une belle porte d’entrée.

Vous pouvez changer à tout moment le lien d’administration devoir site. Pour cela, utilisez par exemple une extension telle que WPS Hide Login de chez WPSERVEUR. Avec cette extension de qualité, vous pourrez tout simplement changer l’url d’administration par celle que vous souhaitez.

5- Les mises à jour

Il est important de faire les mises à jour de votre WordPress à chaque nouvelle version. WordPress propose de nombreux correctifs de sécurités. Pour cela, allez dans le tableau de bord de WordPress et choisissez « mise à jour ». Si une mise à jour est proposée, installez-là en choisissant la langue de votre site. Par ailleurs, WordPress vous proposera parfois de mettre à jour les traductions, vous pouvez le faire sans crainte, cela a pour but de corriger et d’ajouter des traductions.

Les extensions que vous utilisez ont besoin elles aussi d’être mises à jour régulièrement. Vous pouvez programmer, si vous le souhaitez, les mises à jour automatiquement si vous ne vous connectez pas régulièrement à votre site.

A- Allez dans le menu WordPress et choisissez « Extensions »,

B- Ensuite, dans la colonne « Mise à jour automatique », cliquez sur « Activez les mises à jour auto » au niveau de l’extension que vous souhaitez mettre à jour automatiquement. Vous n’êtes pas obligé de toutes les faire.

6- Les plugins de sécurité

La dernière chose à faire est d’installer une extension pour sécuriser votre site. Grâce à ce type d’extension vous pourrez sécuriser facilement votre site contre les attaques les plus courantes. De plus, vous aurez un rapport qui vous préviendra en cas d’attaque. Les attaques sont réalisées de différentes façons, comme des attaques de force brute, de malwares, de redirection d’url et bien d’autres !

Voici une petite liste d’extensions intéressantes pour sécuriser votre site :

• WordFence Security
• SecuPress
• Sucuri Security
• All In One WP Security

En suivant ces différentes étapes vous rendrez votre site WordPress bien plus sécurisé. Si vous souhaitez mettre en place ce type de solution, n’hésitez pas à nous contacter!