Sécuriser son site n’est pas la première chose que l’on fait, et pourtant… Ce devrait être une extrême priorité ! Imaginez… 💭
Il est tôt le matin. Vous allumez votre ordinateur et vous vous connectez à votre console WordPress comme d’habitude.
Bizarre, vos identifiants ne fonctionnent plus !
Vous recommencez : sans doute une faute de frappe. Toujours aucun accès.
Troisième essai et BAM, votre adresse IP vient d’être bannie par votre plugin de sécurité installé par défaut.
« Mais qu’est-ce qui se passe, je suis certain de mes identifiants…. »
Vous vous êtes probablement fait pirater par un hacker qui passait par là. 😱
Malheureusement, beaucoup de e-commerçants et blogueurs vivent cette situation.
Même si, la plupart du temps, le hacker utilisera vos données uniquement pour envoyer des emails en spam, il peut également réduire à néant votre projet, votre business.
Votre site (votre bébé) que vous avez mis tant de temps à créer, à façonner, à fignoler, vient de disparaître en une fraction de seconde, sans raison valable. Juste parce qu’une horrible personne, à l’abri derrière son clavier, peut-être à l’autre bout du monde, a trouvé une faille dans votre installation. 🤬
Et pourtant, vous saviez qu’il y avait un risque… Mais vous pensiez, à tort, que c’était pour les gros sites drainant plus de 50.000 visites par jour…
Allez, fini le calvaire ! Dans cet article, je vais vous donner quelques règles simples à suivre. Puis d’autres un peu plus poussées pour sécuriser votre site WordPress.
Rassurez-vous, pas besoin d’être un as de l’informatique et de la sécurité pour me suivre.
Les principales failles d’un site WordPress
Avant de connaître les différentes actions pour sécuriser votre site WordPress, il est important que je vous explique quelles sont ces faiblesses.
Selon les feed-backs de la grande communauté WordPress, plus de 40 % des sites se font hacker à cause de leur hébergeur. Je vous conseille donc de choisir un hébergement mettant en avant ses normes en matière de sécurité, mais je vous en reparlerai un peu plus loin.
Ensuite, entre 20 à 30 % se font pirater par l’intermédiaire de leur thème ou de leurs plugins.
Et finalement, 10 % pour avoir utilisé un mot de passe trop simple et pour avoir gardé l’identifiant « admin ». Vous voyez de quoi je veux parler ?
Allez, je commence par les actions les plus faciles à mettre en place. Suivez le guide.
4 étapes faciles à réaliser pour sécuriser votre site Worpdress
Protéger son ordinateur
C’est la toute première étape pour éviter de se faire pirater.
Logique ! me direz-vous, et je suis d’accord avec vous. Pourtant, beaucoup mettent en danger leurs données et leur outil de travail.
Si vous êtes sur Mac, la fameuse quasi-invulnérabilité de MacOs n’est plus forcément à l’ordre du jour. Un bon anti-virus (Intego, Norton, BitDefender…) peut être à conseiller pour plus de certitudes. 🦠
Windows Defender, par défaut dans Windows 10, est une protection très efficace aujourd’hui.
Dans les deux cas, il s’agit de :
- Vous assurer que votre système est à jour avec les derniers patchs de sécurité proposés par Microsoft et Apple.
- Faire attention à ne pas télécharger des logiciels douteux, notamment sur des sites pirates : le meilleur anti-virus ne peut rien pour vous si vous passez outre ses alertes !
Dans tous les cas, aussi, évitez de vous connecter à des réseaux wifi publics non sécurisés quand vous allez sur votre WordPress.
Choisir un bon hébergement
Comme énoncé un peu plus haut, je vous encourage à choisir un hébergement de qualité et optimisé pour WordPress.
L’idéal est de vérifier si celui-ci met en avant ses systèmes de sécurité. Pensez également à contrôler s’il supporte les dernières versions de PHP et de MySQL.
D’autres qualités comme :
- un firewall optimisé pour WordPress,
- un outil de détection des fichiers intrusifs
- et des sauvegardes quotidiennes automatiques des fichiers
sont, bien entendu, plus que souhaitées.
40 % des sites se font hacker à cause de leur hébergeur trop limité.
Coût ou investissement ? À vous de voir ! 💸
Changer d’identifiant
Par défaut, votre identifiant est « admin » lors de votre installation WordPress. On sait qu’on doit le changer pour sécuriser son site… Mais on se dit qu’on le fera plus tard.
⚠️ Erreur ! Surtout que c’est assez facile à faire.
Vous pouvez le faire manuellement :
- Rentrez sur votre tableau de bord.
- Sélectionnez l’onglet « utilisateur » et ajoutez un nouvel utilisateur.
- Choisissez un identifiant personnel et un mot de passe « difficile ».
- Donnez-lui le rôle d’administrateur.
- Reconnectez-vous avec ce profil et supprimez l’ancien.
Encore plus simple : faites-le grâce au plugin iThemes Security, par exemple. Je vous laisse le soin de l’installer et de trouver la fonctionnalité qui permet de faire ce changement.
Mise à jour WordPress
Les mises à jour sur Wordpess sont très importantes et tellement faciles à effectuer. Elles vous évitent bien des problèmes.
Elles permettent de corriger tous les bugs ou failles de sécurité liés à votre version de WordPress.
Surtout, qu’il n’y rien de plus simple qu’une mise à jour de son site WordPress :
- Connectez-vous au tableau de bord WordPress.
- Sélectionnez « Mises à jour » du menu principal à gauche, juste en dessous de l’onglet accueil..
- Cliquez sur le bouton « Mettre à jour maintenant ».
Avant chaque update, il est bien plus prudent de faire une sauvegarde de votre site et de sa base de données… Mais si vous avez suivi mon conseil plus haut, votre hébergeur réalise une sauvegarde quotidienne bien rassurante. 😅
Pensez aussi à faire les mises à jour des thèmes et plugins installés.
Elles sont proposées quand les développeurs éditent une nouvelle version de leur extension après les avoir améliorées (ou corrigé des failles découvertes).
Vous avez installé des plugins que vous n’utilisez pas ? Supprimez-les, tout simplement. Vous limiterez ainsi les portes d’entrée des pirates.
4 étapes plus techniques pour sécuriser votre site Worpdress
Utiliser le https
Par défaut, l’url de votre blog Worpdress commence par http://votreblog.com. Cela signifie que votre site n’est pas sécurisé et qu’il n’utilise pas un certificat SSL pour la sécurité des données.
Pour mieux comprendre : c’est un système de cryptage de données entre le serveur et le navigateur. C’est indispensable quand des informations sensibles (comme des mots de passe ou des numéros de carte de crédit) sont échangées sur votre site.
Vous pouvez le faire à partir de votre hébergement : celui-ci devrait offrir une clé SSL « Let’s Encrypt » au minimum. Puis, pour paramétrer votre SSL sur WordPress, je vous conseille d’utiliser le plugin Really Simple SSL. C’est beaucoup plus facile.
Désactiver le rapport d’erreur PHP
Là, ça peut sembler du chinois pour quelqu’un qui n’est pas du tout technique. Mais, rassurez-vous, ce n’est pas si compliqué à faire…..
Le langage PHP permet de créer les pages Web qui s’affichent chez vos visiteurs. De temps en temps, vous pouvez voir des messages d’erreurs. Ils permettent de corriger des problèmes plus ou moins importants dans le code.
Le souci, c’est que le message d’erreur peut afficher le chemin direct vers votre serveur. Une information que tout hacker va pouvoir exploiter.
Comment faire pour désactiver ce rapport ?
Vous pouvez modifier le code de votre fichier wp-config.php en allant à la racine de votre site wordpress grâce à un logiciel ftp.
Il vous suffit d’ajouter :
error_reporting(0) ;
@ini.set(‘display_error’, 0) ;
Si vous n’êtes vraiment pas à l’aise avec le code, contactez votre hébergeur.
Limiter les tentatives de login à votre site Worpdress
Il existe plusieurs solutions afin d’éviter que les hackers tentent de se connecter en utilisant de nombreux identifiants différents et de manière illimitée. Le plugin iThemes Security remplit très bien ce rôle.
Attention : évitez de faire bannir votre propre adresse ip car vous étiez persuadé de vos identifiants. La démarche pour débloquer votre IP vous demandera de réaliser quelques actions via votre hébergeur.
Vous pouvez également éloigner quelques hackers en modifiant simplement l’adresse de votre page d’identification. Vous savez, celle que tout le monde garde :
https://monblog.com/wp-admin
Il vous suffit d’utiliser un plugin comme Rename wp-login.php, Hide Login+ ou Lockdown WP Admin. Pour les plus intrépides, vous pouvez changer cette URL en modifiant le fichier .htaccess.
À cette étape, 80% des hackers iront tenter leur chance ailleurs.
Sauvegarder sa base de données
L’ensemble de vos contenus est enregistré dans une base de données. Il est donc indispensable de faire des sauvegardes régulièrement en cas de gros pépins.
Si vous n’avez pas opté pour un hébergeur proposant cette fonctionnalité, il est primordial de le faire par vous-même.
Je vais vous éviter de compliquer cette tâche en vous proposant d’utiliser un plugin. Il en existe de nombreux : BackWPup; UpdraftPlus, BackUpWordPress.
Il vous suffit de faire une sauvegarde manuelle ou automatique de manière hebdomadaire en allant dans les réglages de l’extension.
Quelques plugins pour sécuriser son site
Voici une liste non exhaustive de plugins de sécurité. La plupart sont efficaces. Vous pouvez prendre, comme indication, le nombre d’utilisateurs et la moyenne des avis pour vous aider à faire votre choix.
- Wordfence
- Better Wp Security
- iThemes Security
- Hide My WP protège votre site en cachant les fichiers et dossiers sensibles.
- Baw anti Csrf vous protège des attaques par CSRF.
Nous voici déjà à la fin de cet article. Vous êtes maintenant un PRO de la sécurité WordPress (ou presque ! 😉). En tout cas, vous savez sécuriser votre site WordPress de manière efficace.
Comme vous le constatez, ce n’est pas très difficile à mettre en place. Je vous conseille de le faire le plus rapidement possible afin de vous éviter de très (très) mauvaises surprises.
