Dernière modification le 23 octobre 2023
Si vous possédez un site internet sur WordPress, non seulement celui-ci vous est précieux, mais vous devez savoir qu’il est fragile. Fort de sa popularité, WordPress est une cible privilégiée des pirates du Web. Il est donc essentiel de comprendre pourquoi et surtout de savoir comment mettre en place des mesures simples pour assurer sa sécurité.
Sommaire
- Pourquoi les sites WordPress sont-ils visés par les pirates ?
- Les actions à entreprendre pour protéger votre site WordPress contre les pirates
- Installer un plugin de sécurité WordPress
- Sauvegarder régulièrement son site
- Mettre WordPress à jour
- Mettre en place un certificat SSL
- Dissimuler la page de connexion à votre site WordPress
- Utiliser un mot de passe unique et fort
- Déconnecter automatiquement les utilisateurs inactifs de votre site
- Bloquer les adresses IP suspectes et certains pays
Pourquoi les sites WordPress sont-ils visés par les pirates ?
WordPress est la plate-forme la plus utilisée dans le monde pour créer des sites internet. Il existe déjà plus de 75 millions de sites propulsés par WordPress et il s’en crée environ 500 de plus chaque jour.
Ce marché colossal attire forcément les attentions, bonnes ou mauvaises. C’est ainsi que les pirates ont fait de WordPress une de leur cible favorite. Ceci est d’autant facilité que WordPress est un contenu open source, ouvert et gratuit. Il leur est alors facile d’en analyser les failles.
Enfin, WordPress est utilisé par des grandes entreprises, mais aussi des particuliers ou des propriétaires de petits sites internet. Ces derniers peuvent penser que leur site Web est trop confidentiel pour attirer l’attention des pirates. Et ils traitent souvent la sécurité de leur site avec légèreté, ce qui rend plus faciles les attaques en tout genre.
Heureusement, il y a de nombreuses choses faciles à mettre en place pour protéger votre site contre les pirates afin d’éviter que votre WordPress de fasse hacker. La plupart coutent peu d’argent et peu de temps : il suffit juste d’avoir les bons réflexes et les bons outils.
Les actions à entreprendre pour protéger votre site WordPress contre les pirates
Il y a de nombreuses tactiques ou techniques pour sécuriser son site WordPress mais voici les premières mesures que vous pouvez mettre en place sans attendre. Elles sont toutes efficaces pour vous protéger des attaques courantes et elles nécessitent peu de connaissances techniques spécifiques.
Installer un plugin de sécurité WordPress
Il existe plusieurs plugins de sécurité tout à fait valables comme Wordfence, Sucuri ou iThemes Security : ils agissent comme une sorte de rempart et de vigie. Ils bloqueront la plupart des attaques et vous enverront des alertes. De plus, ils vous fourniront un tableau de bord récapitulatif de vos outils non mis à jours, des failles de sécurité de votre site et des menaces.
Sauvegarder régulièrement son site
Il est très important de sauvegarder son site de manière régulière. C’est le seul moyen que vous aurez de retrouver vos données en cas de problème. Vous pouvez le faire manuellement mais l’idéal est de souscrire à un outil (un plugin ou un service de votre hébergeur) qui assurera sauvegarde et stockage de manière automatisée.
Mettre WordPress à jour
WordPress a des mises à jour très fréquentes. Certaines sont des améliorations de l’outil, mais d’autres ont pour raison d’être de contrecarrer des failles de sécurité. Si vous ne mettez pas à jour votre version de WordPress rapidement, vous risquez de rester sur une ancienne version exposée aux attaques des pirates. Et la plupart de ces failles de sécurité sont vite publiques : elles peuvent donc conduire très vite à des attaques massives.
Mettre en place un certificat SSL
Un certificat SSL vous apporte un niveau de sécurité indéniable en chiffrant les données de connexion de vos visiteurs. Au même titre qu’un VPN est essentiel pour chiffrer ses données de connexion et préserver votre confidentialité, Il est une garantie de sécurité que vous offrez à vos internautes. Ils seront d’autant plus rassurés qu’un cadenas apparaîtra dans la barre URL de votre site, et non plus la mention “site non sécurisé”. Un certificat SSL est facile à installer : la plupart des hébergeurs proposent ce service dans leurs prestations.
Dissimuler la page de connexion à votre site WordPress
La page qui vous permet de vous connecter au back-office de votre site WordPress est souvent une page de type https://monsite.com/wp-login. Elle est donc facilement identifiable par des pirates et ceux-ci peuvent lui faire subir des attaques de force brute en essayant de manière automatique des dizaines de milliers de mots de passe. Pour éviter cela, vous pouvez changer la page de connexion de votre site de manière simple. Des plugins sécurisés vous permettent de créer une nouvelle page de ce type de manière rapide et facile.
Utiliser un mot de passe unique et fort
Trop de gens utilisent simplement le terme “admin” comme identifiant de leur site WordPress et un mot de passe basique souvent utilisé sur d’autres comptes. C’est très risqué, car la plupart des pirates savent facilement trouver la bonne combinaison et peuvent entre dans votre site. Il vous faut absolument mettre en place un mot de passe fort (constitué de lettres, chiffres et caractères spéciaux) et un identifiant personnalisé. Ces éléments doivent absolument être utilisés uniquement sur votre site internet : ceci vous protègera en cas de fuites de données si certains de vos identifiants et mots de passe venaient à être compromis.
Déconnecter automatiquement les utilisateurs inactifs de votre site
Ceci est fortement utile si vous avez une équipe qui s’occupe de votre site internet. Il n’est pas rare que des contributeurs laissent le panneau wp-admin de votre site ouvert sur leurs écrans lorsqu’ils ont terminé une tâche.
Cela peut constituer une menace sérieuse pour la sécurité de WordPress. Toute personne non autorisée peut alors modifier les informations de votre site, modifier le compte d’utilisateur d’une personne ou même désactiver complètement votre site.
Pour éviter cela, assurez-vous que votre site déconnecte automatiquement les utilisateurs lorsqu’ils sont restés inactifs pendant un certain temps. Un plugin comme BulletProof Security (il en existe d’autres équivalents) peut vous aider à programmer cette fonction de manière simple.
Bloquer les adresses IP suspectes et certains pays
Votre plugin de sécurité peut vous permettre de détecter les adresses IP sources d’attaques contre votre site, puis de les bloquer définitivement (ou temporairement). Vous pouvez aussi paramétrer des blocages par pays lorsque certains concentrent un grand nombre d’attaques et ne constituent pas une cible d’audience pour votre site WordPress.