Sécuriser son site sous WordPress est une des priorités avant de penser contenu, référencement et visibilité. Voyons les actions et plugins indispensables pour prévenir les bugs et les attaques de votre site web.
WordPress est le CMS le plus utilisé au monde. Notre CMS préféré, gratuit et Open-Source, est utilisé par près de 30% des sites internet dans le monde. Du blog au webzine en passant par les boutiques en ligne et sites vitrine, WordPress est devenu incontournable. De fait, il est donc, aussi, le CMS le plus attaqué par les hackers de tout niveau. Ces derniers s’intéressent à tous les types de site, du plus petit aux plus gros sites internationaux. Que l’on parle d’attaque DDoS, de force brute ou d’attaques complexes ( qui ciblent les failles d’un plugin ou d’un thème WordPress), ces attaquent ciblent toutes les installations.
Sécuriser son site sous WordPress est donc indispensable. Si la probabilité de se faire attaquer est faible, le risque est bien là. Et perdre son blog, ou son site E-commerce, ainsi que tout son contenu, après y avoir passé des heures voir des nuits ne fait pas forcément plaisirs… Surtout quand il s’agit de votre gagne-pain.
Alors pour maximiser la sécurité de son site web, il existe des solutions. Quelques modifications sur votre WordPress permettront d’être plus serein. Si vous êtes novice ou ne souhaitez pas mettre les mains dans le code, des plugins permettent de sécuriser de façon efficace votre blog ou site internet.
Sécuriser son site WordPress dés l’installation
Avant tout, il important d’avoir en tête que la sécurité de votre site web doit être prise en compte dés son installation. Avant même la mise en ligne de votre site, et dès votre première connexion, vous devez avoir en tête la sécurité de votre projet. Alors, quelles sont les bonnes pratiques?
Avant l’installation de votre site
J’ai envie de dire que la sécurité de votre site passe, en premier lieu, par le choix de votre hébergeur web. Plutôt que de courir après le prix, regardez bien ce que propose votre hébergeur. Il doit vous proposer, entre autres:
- Des sauvegardes et restaurations possibles de votre site
- Des accès FTP sécurisés
- Un pare-feu contre les attaques DDoS
- Une surveillance du réseau
- Un tableau de bord complet pour la gestion de vos fichiers et base de donnée ( voire CPanel)
A titre personnel, je conseille l’hébergeur Web O2Switch, une société française très performante et compétente, très reconnue dans le monde WordPress, ou encore le suisse Infomaniak. Si OVH propose des hébergements très complets, leur SAV me semble insuffisant pour répondre à la demande d’un petit éditeur de site ou d’un commerçant indépendant.
Dés l’installation de WordPress
Puisque vous avez choisi le bon hébergeur, et que vous êtes prêt à installer votre site WordPress, nous allons prendre quelques précautions.
Avant toute chose, changez le préfixe de votre base de données MYSQL qui est, par défaut, « wp_ ». Cela peut se faire dés l’installation de votre site WordPress. Si vous ne l’avez pas fait, vous pouvez utiliser un plugin comme WP Security Scan.
Autre précaution, avant de commencer, supprimez le fichier readme.html. Ce dernier est situé à la racine de votre WordPress et donne pas mal d’infos comme le numéro de la version de votre WordPress.
Après l’installation et la mis en ligne
Après avoir installé votre site et l’avoir mis en ligne, plusieurs actions devront être effectuées. La première consiste à changer votre identifiant. Encore trop de d’éditeurs de sites, et de blogueurs, oublient cette opération.
Par défaut, en installant WordPress, votre identifiant est « admin ». Autant vous dire que les hackers vont utiliser, en priorité, cet identifiant pour tenter de se connecter à votre site. Ces derniers utilisent, ensuite, des robots qui vont tenter plusieurs connexions sur cet identifiant en multipliant les mots de passe. La priorité est donc de personnaliser votre identifiant Administrateur. Cela se fait lors de l’installation de WordPress. Si vous ne l’avez pas fait à ce moment-là, vous pouvez en créer un nouveau via le tableau de bord et l’onglet « utilisateurs ».
La deuxième action est de modifier le nom qui sera publié à la fin de votre article. Cela permettra de ne pas donner un indice sur votre identifiant à une personne mal intentionnée.
Dans un troisième temps, sécurisez votre page de connexion. Il est possible de changer l’adresse de cette dernière. Il existe plusieurs plugin pour cela. De fait, quand les hackers arriveront sur la page « www.monsite.fr/wp_admin », il arriveront sur une page d’erreur.
Dans le même temps, vous pouvez renforcer votre page de connexion en utilisant des systèmes de double authentification et des capcha, ainsi que des outils qui limitent le nombre de tentatives de connexion ( plusieurs plugin permettent de l faire, vous les trouverez plus bas).
Enfin, changez l’adresse de votre page auteur. Et oui, parce que votre identifiant apparaît toujours à cet endroit… c’est bête, non?
Les bonnes habitudes pour sécuriser son site web
Les mises à jour font partie de la base des réflexes sécurité, sous WordPress. La grande majorité des attaques de hackers se font sur des sites qui ne sont pas jour. En effet, ces derniers utilisent les failles de ces derniers pour entrer dans votre site et s’amuser…
Les mises à jour du CMS
WordPress est un CMS open source et très utilisé, donc attaqué. Pour répondre et anticiper ces attaques, le CMS est régulièrement mis à jour, afin de combler les failles de sécurité. Ces dernières sont donc importantes. Vous devez donc, régulièrement, suivre les mises à jour de votre site WordPress.
En parallèles, une ou deux fois par an, WordPress connaît de forte évolution et des mises à jour majeures.
Les mises à jour des plugins et des thèmes
Les plugins sont des modules qui permettent d’apporter des solutions supplémentaires à WordPress. Ces extensions vont améliorer la sécurité, la productivité,…
Leur mise à jour est tout aussi importante que pour le CMS. En effet, au-delà de l’impact, sur la sécurité, d’avoir une extension obsolète, cela peut avoir des conséquences sur les fonctions et le design du site. Une extension non mise à jour pourra, éventuellement, avoir des failles de sécurité. Dans le même temps, elle peut faire bugger votre site. Mais l’inverse est aussi vrai.
Il en est de même pour les thèmes. Même causes, même conséquences. Les thèmes permettent de gérer le rendu visuel de votre site pour vos visiteurs. Un thème qui n’est pas à jour, c’est un risque de piratage et un site avec des problèmes visuels.
Enfin, il faudra distinguer deux types de thèmes et d’extensions. Si ceux-ci proviennent de la bibLiot2que officielle wordpress.org, vous serez prévenu des mises à jour en allant sur votre tableau de bord, en haut à gauche. Vous pourrez, éventuellement, recevoir un mail d’information.
Pour les thèmes et extensions achetés sur des places de marché, ou directement sur le site de l’éditeur, vous ne serez pas toujours informé des mises à jour. Il vous faudra être vigilant et surveiller ceci de temps en temps, sur leur propre site.
Sauvegarder régulièrement son site
En parallèle des mises à jour, l’autre impératif, pour se protéger des menaces, est d’effectuer des sauvegardes régulières de votre site WordPress. L’idée n’est plus ici, d’empêcher les attaques, mais de les réparer.
En effet, si votre site connaît un bug, suite à une attaque, ou grâce à vous, tout simplement, il sera possible de le réparer rapidement. L’opération consiste à conserver des sauvegardes de votre site, à certaines périodes, et de façon régulière. En cas de fichiers corrompus, de mauvaise manipulation de votre part, vous pouvez recharger une sauvegarde antérieure de votre site.
Certains hébergeurs comme o2switch, OVH et IONOS proposent ce service. Sinon, vous pouvez utiliser des extensions spécifiques comme Jetpack ou BlogVault.
Les plugins de sécurité WordPress
Wordfence Security est le plugin de sécurité par excellence pour WordPress. Disponible en gratuit ou premium, il est utilisé sur plus de 3 millions de sites. Il embarque un Anti-virus, un Firewall et un anti malware. On peut paramétrer pas mal de chose, bloquer des pays, des adresses IP,…
SecuPress est une extension française que je trouve au dessus du lot. Elle est disponible en version gratuite, déjà très complète, et payante. C’est un plugin de type « All In One », il embarque plusieurs fonctions ( blocage des adresses IP, changement adresse de connexion, pare-feu, anti brute force, gestion du XML-RPC, blocage des robots,…).
Login LockDown permet de limiter les tentatives de connexion d’une adresse IP. Il est très efficace et complètement paramétrable. Nombre de tentatives avec blocage, délai avant nouvelle connexion,…
Il existe beaucoup d’autres plugins comme Block Bad Queries (BBQ), qui permettent de sécuriser votre site sous WordPress. Un autre plugin mérite sans doute une attention particulère, c’est All In One Security, qui embarque toutes les fonctionnalités vu précédemment.
Voici les conseils de base à respecter pour sécuriser votre site WordPress et avant de vous lancer dans la partie la plus agréable de votre site. Par la suite, plusieurs possibilités permettent de renforcer la sécurité de votre site. Ces actions demanderont un peu plus d’expertise et de mettre les mains dans le cambouis.