Sécurité sur WordPress

Comment protéger un site WordPress ? Si vous êtes propriétaire d’un site WP, vous devez vous poser cette question, et surtout, y trouver les meilleures réponses !

C’est parce que maintenant, plus que jamais, sécuriser votre site WordPress est primordiale.

Vous êtes au bon endroit pour trouver la bonne réponse. Je sais que WordPress est le CMS préféré des micro-entrepreneurs et j’en suis un inconditionnel, tout comme Toyota, Time Magazine, BBC…et The White House. Oui, celui-là !

Dans cet article, vous apprendrez pourquoi la sécurité d’un site WordPress est importante et ce que vous pouvez faire pour la renforcer.

Pourquoi protéger un site WordPress ?

Quelques statistiques pour illustrer la garvité du problème de sécurité des sites Web en 2023, selon une étude publiée par Zippia :

  • Les cyberattaques se produisent une fois toutes les 39 secondes.
  • 95 % des cyberattaques sont attribuées à une erreur humaine.
  • La cybercriminalité a coûté aux Américains environ 6,9 milliards de dollars en 2021.
  • À l’échelle mondiale, on estime que 30 000 sites Web sont piratés chaque jour.
  • 43 % des cyberattaques ciblent les petites entreprises.
  • 5 % des dossiers et des fichiers d’entreprise, uniquement, sont correctement protégés.

Les pirates informatiques et les acteurs malveillants ne ménagent aucun effort pour accéder aux sites Web et à leurs données sensibles. Le plugin WordPress Wordfence déclare, à lui seul, avoir bloqué plus de 100 milliards d’attaques par pulvérisation de mots de passe !

Les petites et moyennes entreprises constituent une cible plus facile pour les pirates en raison de leur manque de ressources et d’expertise en matière de sécurité. Seules 14 % des PME ont déployé les armes et les actions pour protéger un site WordPress. Pourtant, il existe de nombreuses mesures que vous pouvez prendre pour sécuriser votre site WordPress.

Comment protéger un site WordPress ?

Tout d’abord, vous devez effectuer certaines opérations de base lors de la configuration de la sécurité de votre site WordPress.

1. Implémenter des certificats SSL

Les certificats SSL (Secure Sockets Layer) sont une technologie standard qui établit une connexion cryptée entre un navigateur Web (client) et serveur Web (hôte). Cette connexion garantit que toutes les données transmises entre les deux restent privées.

À l’image de Hostinger, les hébergeurs majeurs de sites WordPress offre gratuitement une certification SSL : un simple clic suffit pour rendre votre site WordPress HTTPS.

Dashbord Hostinger

2. Exigez et utilisez des mots de passe forts

En plus d’obtenir un certificat SSL, l’une des toutes premières choses que vous pouvez faire pour protéger votre site est d’utiliser des mots de passe forts pour toutes vos connexions.

Améliorer la sécurité et la robustesse de votre mot de passe réduit vos risques de piratage. Plus votre mot de passe est fort, moins vous risquez d’être victime d’une cyberattaque.

Vérifiez la force de votre mot de passe en utilisant un outil gratuit, comme ce vérificateur de force de mot de passe de security.org.

La double authentification est une mesure supplémentaire pour faire échouer les attaques contre votre site WordPress.

Protéger un site WordPress par la double aunthentification

3. Installer un plugin de sécurité

L’installation d’un plugin de sécurité peut ajouter des couches de protection supplémentaires à votre site Web sans nécessiter beaucoup d’efforts.

Voici une liste de plugins de sécurité WordPress populaires :

4. Maintenez les fichiers principaux de WordPress à jour

En 2024, on estime qu’il existe 1,09 milliard de sites Web au total sur le Web, dont plus de 810 millions utilisent WordPress.

En raison de leur popularité, les sites Web WordPress sont souvent la cible de pirates informatiques, d’attaques de logiciels malveillants et de voleurs de données.

Maintenir votre installation WordPress à jour en permanence est essentiel pour maintenir la sécurité et la stabilité de votre site.

Chaque fois qu’une vulnérabilité de sécurité WordPress est signalée, l’équipe principale commence à travailler pour publier une mise à jour qui corrige le problème.

Si vous ne mettez pas à jour votre site Web WordPress, vous utilisez probablement une version de WordPress qui présente des vulnérabilités connues.

Il n’y a surtout aucune excuse pour utiliser une version obsolète de WordPress depuis l’introduction des mises à jour automatiques.

WordPress 6.7 : les nouveautés de la dernière version WordPress

5. Mettez à jour votre thème et vos plugins

Garder WordPress à jour renforce la sécurité de vos fichiers principaux, mais vous devez également mettre à jour constamment vos thèmes et vos plugins. En effet, tout comme pour une version obsolète de WordPress, l’utilisation de plugins et de thèmes obsolètes rend votre site Web plus vulnérable aux attaques.

Programmez la mise à jour des extensions WP que vous utilisez via le tableau de bord de WordPress.

6. Programmez des sauvegardes de votre site

Une façon de protéger votre site Web WordPress est de toujours disposer d’une sauvegarde à jour de votre site et de vos fichiers importants.

En plus de la sauvegarde WordPress (WordPress se veut nativement sécurisé), vous pouvez programmer des sauvegardes quotidiennes grâce à votre hébergeur (souvent, cette fonctionnalité est payante) ou via des plugins freemiums.

La sauvegarde n’est pas une mesure de contrer les attaques, mais elle permet de restaurer rapidement la dernière version saine de votre site.

En plus de ces configurations basiques, vous devez appliquer des mesures intermédiaires et/ou avancées pour bien protéger un site WordPress.

7. N’utilisez jamais « Admin » comme nom d’utilisateur

N’utilisez jamais le nom d’utilisateur « admin ». Vous seriez alors vulnérable aux Attaques par force brute et aux escroqueries par ingénierie sociale (technique de piratage qui repose sur la manipulation psychologique).

Tout comme pour le mot de passe, utiliser un nom d’utilisateur unique et ‘fort’ complique la tâche aux fraudeurs et aux pirates du Web.

8. Masquez votre page de connexion d’administrateur WP

En plus d’utiliser un nom d’utilisateur unique, une autre chose que vous pouvez faire pour protéger un site WordPress avec efficacité est de masquer votre page de connexion «votresite.com/wp-admin » via un plugin WP.

« Je peux attester que c’est tellement efficace que j’ai été obligé d’accéder au tableau de bord de ce site via mon compte Hostinger ! Soupçonnant un problème d’URLs en double, j’ai fini par supprimer le plugin installé à cette fin »

9. Désactiver XML-RPC

La plupart des utilisateurs de WordPress n’ont pas besoin de la fonctionnalité XML-RPC. Ce protocole présenterait des vulnérabilités. Aussi, si vous n’en avez pas besoin, il vaut mieux le désactiver. Certains plugins de sécurité WordPress permettent de le faire facilement (Wordfence security ou alternatif).

10. Renforcez le fichier wp-config.php

Le fichier « WordPress wp-config.php » contient des informations très sensibles (clés de sécurité WordPress et les détails de connexion à la base de données). Son renforcement doit être maximisé via le fichier « .htaccess. »

11. Scannez régulièrement votre site

Aucun propriétaire de site WP ne peut être certain que sa sécurité est totale. Les vulnérabilités provenant de sources extérieures (thème, plugins, fichiers, etc.) existeront toujours. Face à cette menace, il est judicieux d’utiliser des outils d’analyse capables de détecter les vulnérabilités, voire de les corriger.

sécuriser un site WP

Plugin WPScan pour scanner gratuitement votre site

Pour protéger un site WordPress comme un pro, vous devez en sus entreprendre des actions côté serveur.

12. Sélectionnez un hébergeur fiable

Choisissez un service d’hébergement de sites Web qui accorde autant d’importance au critère de sécurité qu’à celui de la rapidité (pare-feu, système capable de détection des logiciels malveillants, sauvegardes, etc.).

13. Utilisez la dernière version de PHP

Comme les anciennes versions de WordPress, les versions obsolètes de PHP pourraient présenter des vulnérabilités.

14. Préférez un hébergement dédié

Plus cher !

15. Utilisez un Web Application Firewall

Plus technique !

Notre meilleur conseil

Accordez de l’importance à la sécurité de votre site WordPress et améliorez-la régulièrement, doucement, mais constamment. C’est un combat qui ne s’arrête jamais !

Cette vidéo sur la sécurité sur WordPress est vieille mais assez complète et riche.

MAP Senior

Je suis un vieux baroudeur du marketing qui refuse de prendre sa retraite. J'ai vécu avec passion la transition du marketing traditionnel vers le e-marketing (j'avoue que mon fils et associé PAM Junior est plus calé en technologie appliquée au marketing). Et c'est cette passion que j'ambitionne de partager !

Faites défiler les articles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.