Comment sécuriser un site WordPress ? C’est la première préoccupation de tous propriétaires de sites web sous le plus connu de CMS ; WordPress. Pourtant, tous ne prennent pas les précautions indispensables pour empêcher les pirates de s’introduire sur leurs sites web.

Pour preuve voici une anecdote personnelle. Nous sommes samedi, il est 18 heures quand en pleine partie de pêche, l’une des thérapeutes que j’accompagne m’appelle en urgence. « Mon site a été piraté« . 

Un incident que personne n’a envie d’expérimenter mais qui peut arriver à tous et à tout moment. Allant du simple spam envoyé automatiquement à toute votre mailing liste, modification majeure de la structure de votre site, détournement d’argent, jusqu’au site hors ligne et au vol de vos accès. 

C’est pourquoi aujourd’hui je souhaite partager avec vous l’importance de bien sécuriser votre site WordPress. Ainsi que vous donner mes conseils et recommandations en sécurité web. 

Parce que WordPress est le système de gestion de contenu (CMS) le plus utilisé actuellement. Environ 40% des sites web du monde. Notamment parce que les utilisateurs ont accès à une vaste bibliothèque de plug-ins et de thèmes. En plus d’être facile à utiliser, la plateforme permet la création de presque tous les types de sites web imaginables.

Cependant, les sites Web WordPress sont victimes de leur succès et souvent la cible de cyberattaques. WordPress a beau être régulièrement analysé par les ingénieurs, le risque zéro n’existe pas. Une simple erreur de votre part peut même être fatale. 

Heureusement, même si vous manquez d’expertise technique, vous pouvez prendre un certain nombre de mesures pour améliorer la sécurité de votre site Web.

Choisir un hébergement web sécurisé. 

La sécurisation de votre site WordPress commence par le choix du serveur web. Ne choisissez pas un hébergeur uniquement en fonction de son faible coût. Dépenser moins d’argent peut vous coûter plus cher à long terme. 

Choisissez un hébergeur fiable et digne de confiance. Afin de vous éviter le jargon technique et incompréhensible des hébergements web, voici la liste des hébergeurs que je recommande. 

Installer le protocole Secure Sockets Layer (SSL).

Il s’agit de la première règle fondamentale. Votre site doit présenter le fameux HTTPS dans son URL. En plus de renforcer la sécurité, c’est un critère de référencement pour Google. sans oublier que si vous acceptez les paiements en ligne, vous risquez de faire fuir vos clients sans le petit cadenas. Ainsi le protocole Secure Sockets Layer (SSL) est une méthode permettant d’établir une communication cryptée entre des ordinateurs ou d’autres appareils connectés à Internet. En outre, il convertit l’URL de votre site Web en HTTPS, ce qui indique qu’il est sûr.

Lorsque votre site Web ne dispose pas d’un certificat SSL, toutes les données qui y sont envoyées sont affichées en texte clair. C’est comme si vous portiez un t-shirt avec vos codes bancaires en plein milieu de la foule. En bref, les pirates peuvent les intercepter rapidement et sans aucun effort de leur part.

Mettre en place la double authentification.

La double authentification consiste à suivre une procédure qui se compose de deux étapes. En plus de fournir votre identifiant et votre mot de passe, vous devez également vous authentifier à l’aide d’une application ou d’un appareil différent que ce soit par e-mail ou via un code envoyé par SMS. 

Je recommande fortement l’installation du plug-in : Google Authenticator pour la mise en place de l’authentification double.

L’extension se configure en quelques minutes. Scannez le QRcode avec votre smartphone, entrez le code fourni par l’application. Puis dans l’onglet “Comptes” de WordPress accédez à votre profil et vérifier bien les réglages suivants :

Et voilà le tour est joué ! Facile non ? 

Utiliser un mot de passe fort. 

Les mots de passe faible sont la première cible de pirates car ils sont très faciles à craquer. 

En outre, veillez à choisir un mot de passe fort en utilisant un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. De préférence en 8 et 12 caractères au minimum. N’oubliez pas de changer régulièrement votre mot de passe de connexion. 

Et bien entendu, n’enregistrez jamais votre mot de passe dans votre navigateur. 

Effectuer des opérations de maintenance régulièrement. 

WordPress possède l’une des meilleures communautés toujours à l’affût de toute nouvelle vulnérabilité ou faille de sécurité susceptible de compromettre la plateforme. De nouvelles mises à jour sont régulièrement disponibles aussi bien pour les thèmes que les extensions et WordPress lui-même. 

Vous pouvez trouver les mises à jour les plus récentes de ces correctifs de sécurité et de ces corrections de bugs en naviguant vers Tableau de bord Dashboard > Mises à jour dans le menu d’administration WordPress.

Je vous recommande fortement d’effectuer ces vérifications au moins toutes les semaines. En plus de WordPress, vous devrez également mettre à jour tous vos plug-ins et thèmes. 

Si une nouvelle mise à jour est disponible ce n’est pas pour faire joli. La moindre vulnérabilité peut être exploitée et ce, très rapidement. Un site non à jour peut être la cible d’un pirate en moins d’une semaine.  

Pas le temps ? Trop technique ? Pourquoi ne pas déléguer la maintenance de votre site ?

Éviter d’installer une extension de sécurité.

La plupart des articles sur le sujet et professionnels ayant peu de connaissances en la matière vous recommandent inévitablement l’installation d’extension de sécurité tels que Wordfence. 

En réalité vous n’avez pas besoin de ce type d’extension si vous sécurisez votre site directement via votre hébergement web et quelques réglages sur WordPress. Surtout si vous suivez mes recommandations dans cet article.

Pire encore une extension de sécurité peut à tout moment présenter une faille de sécurité constituant ainsi une porte d’entrée aux pirates. 

Lancez votre site de thérapie en seulement 7 jours

Obtenez facilement votre site professionnel et 100% personnalisable sans coder.

Sélectionnez, personnalisez, lancez : augmentez votre visibilité et attirez plus de clients en ligne en 1 semaine !

Je veux créer mon site !

Limiter le nombre d’extensions WordPress installées.  

30 ou 40 extensions c’est déjà beaucoup trop. En effet vous multipliez les potentielles portes d’entrée aux hackers. 

Est-il vraiment nécessaire d’installer une extension juste pour changer la couleur d’un bouton ? Bien sûr que non ! La plupart des extensions peuvent être remplacées facilement par un peu de code HTML ou CSS. Afin de sécuriser au mieux votre site WordPress, limitez ainsi le nombre d’extensions au strict minimum nécessaire au fonctionnement de votre site. 

• Comme Woocommerce si vous vendez des produits/ services en ligne. 
• Les extensions de : 
• paiement en ligne. 
• Réservation en ligne 
• Module de formation 
• Extension de mise en cache, etc. 

Évitez les extensions qui modifient simplement des couleurs, structures, et autres éléments de design. Bannissez également les extensions :

• Non compatibles avec votre version de WordPress
• Sans avis 
• Mal notées 
• Peu populaires ( avec un très faible taux d’installation) 
• D’origine inconnue, etc. 

Les extensions de statistiques. 

Qui clairement ne servent strictement à rien si vous utilisez Google Analytics, Matomo, ou tout autre outil d’analyse. Ces statistiques sont accessibles directement via Google Analytics ou votre outil de statistiques. Il est inutile de vouloir tout centraliser sur votre site, même si cela vous semble plus pratique. D’autant plus que vous ralentissez considérablement votre site avec une tonne de requêtes PHP inutiles. 

Les extensions d’accélération de WordPress. 

Comme Jetpack, Wp-minify et autres extensions. Ils ralentissent votre site plutôt que de le booster comme promis. Mieux encore, la minification et la compression des fichiers peuvent s’effectuer directement sur votre hébergement web s’il le propose. En codant quelques lignes dans votre thème ou bien en utilisant des outils comme Cloudflare, celui-ci, je vous le recommande vivement d’ailleurs.

Les plug-ins de partage sur les réseaux sociaux. 

Que peu de personnes utilisent finalement. Si, je vous assure, les partages de vos articles représentent moins de 2% de vos visites mensuelles. La plupart de ces extensions font même planter régulièrement votre site. Hormis Monarch d’Elegant themes pour ceux qui utilisent Divi, qui est une des rares extensions à ne pas planter, ni trop ralentir les sites.  

Tout plug-in de redirection du flux RSS de votre blog.

Que ce soit pour votre newsletter ou n’importe quoi d’autre. La plupart des solutions de newsletter et même les réseaux sociaux sont en mesure de récupérer eux-mêmes ce flux RSS.

Les extensions de fil d’Ariane ou breadcrumbs. 

Qui servent à afficher le fil d’Ariane sur votre site. On peut faire la même chose directement en PHP sans plug-in. 

Tout plug-in de traduction automatique. 

Vous éviterez ainsi de fusiller votre visibilité sur Google. Un site multilingue doit être optimisé pour le seo et traduit manuellement dans chacune des langues choisies. 

Les extensions de nuage de mots-clés.

Premièrement c’est complètement ringard et deuxièmement aucun de vos visiteurs ne l’utilise.

Éliminer tous les plug-ins et thèmes dysfonctionnels ou inutilisés.

En effet, durant la création de votre site Web WordPress, vous avez peut-être testé un certain nombre de thèmes et de plug-ins différents. Et la plupart des gens laissent de manière excessive les plug-ins et thèmes inutilisés sur leurs sites. Cette mauvaise habitude représente une menace potentielle pour la sécurité de votre site WordPress. Cette dernière étant alors moins robuste en proportion du nombre de thèmes et de plug-ins que vous utilisez.

La vulnérabilité de votre site Web au piratage augmente par ailleurs à chaque fois que vous y ajoutez un nouveau plug-in ou un nouveau thème. Par conséquent, vous ne devez maintenir que ceux qui sont vraiment importants. 

En outre, plutôt que de les désactiver en pensant sécuriser votre site WordPress, vous devriez supprimer de votre système ceux que vous n’utilisez plus. Et comme vous ne pouvez utiliser qu’un seul thème à la fois, il est inutile de conserver des thèmes inutilisés. 

Apprenez à attirer des clients durablement grâce au marketing

Thérapeutes et professionnels du bien-être / mieux-être

Maîtrisez tous les fondamentaux pour remplir votre agenda et enfin vivre sereinement de votre passion.

Je découvre le programme complet

Protéger la page de connexion WordPress et la zone d’administration de l’hébergement avec un mot de passe.

La plupart des hackers vont d’abord tenter de pénétrer votre site en lançant des attaques DDoS afin de saturer votre serveur puis d’accéder à vos fichiers. Vous pourrez empêcher ce genre de requêtes en configurant un mot de passe CPanel. 

La plupart des hébergements web vous proposeront d’office la configuration du mot de passe dès la souscription à votre abonnement. Si ce n’est pas le cas, il est urgent de créer un mot de passe pour votre CPanel. 

Modifier le nom d’administrateur WordPress. 

La grande majorité des propriétaires de sites Web ne se donnent pas la peine de modifier le nom d’utilisateur  » admin  » fourni par défaut par WordPress. Lorsque les pirates tentent de s’introduire sur votre site Web, ils utilisent souvent ce nom d’utilisateur comme premier point d’entrée. Pour cette raison, il est essentiel de modifier le nom d’utilisateur associé à votre compte administrateur.

La meilleure méthode, quoi qu’un peu technique si vous n’avez pas l’habitude, consiste à effectuer le changement de nom directement dans PhpMyAdmin sur votre serveur. 

Connectez-vous sur votre hébergement web, puis au CPanel. Une fois dans votre CPanel recherchez l’onglet “PhpMyAdmin”. Enfin, sélectionnez “Base de données” et cliquez sur la base de données de votre site WordPress. 

Recherchez ensuite la table wp_users et parcourez le dossier à la recherche de l’utilisateur Admin. Enfin cliquez sur “Éditer” ou “Modifier”. Trouvez la ligne user_id et remplacez admin pour le nom de votre choix. N’oubliez pas d’enregistrer vos modifications avant de vous déconnecter. 

Modifier le préfixe de la base de données WordPress.

Note : À effectuer seulement à l’installation de votre site. Ne touchez à rien si votre site est déjà en ligne et bien référencé. 

Chaque table de votre base de données aura le préfixe wp_ ajouté par défaut. Si votre site Web utilise ce préfixe, il est beaucoup plus simple pour les pirates d’essayer de deviner le nom de votre table. Pour cette raison, il est fortement conseillé d’effectuer ce changement.

Cependant, gardez à l’esprit que vous ne devez pas le faire si vous n’avez pas les capacités de codage appropriées. Une simple erreur pourrait rendre votre site Web inutilisable. Au besoin, faites appel à un professionnel pour sécuriser votre site WordPress.

Désactiver le XML-RPC.

Parce qu’il permet de relier votre site Web à des extensions et des applications mobiles. XML-RPC est d’ailleurs activé par défaut dans WordPress. L’ennui c’est qu’il permet également d’effectuer des attaques par brute force ou DDoS. En saturant votre site, il est facile d’y entrer. Il s’agit d’une faille régulièrement utilisée par les cybercriminels.

Vous pouvez empêcher que cela ne se produise en désactivant la fonctionnalité XML-RPC. 

Désactiver la modification PHP du thème et des extensions. 

Grâce à l’interface d’administration de WordPress, les administrateurs ont la permission par défaut de modifier les fichiers des plug-ins et des thèmes. Néanmoins elle peut devenir nuisible dans le cas où un hacker réussirait à accéder à votre site.

En ajoutant quelques lignes de code à votre fichier wp-config, vous pouvez limiter, voire désactiver complètement la modification du thème et des extensions. 

Désactiver l’accès public au fichier wp-config.

Le paramètre par défaut rend votre fichier wp-config accessible à toute personne visitant votre site. C’est assez problématique car ce fichier stocke toutes vos informations sensibles. Telles que votre mot de passe, votre nom d’utilisateur et le nom de votre base de données. Il est donc logique de restreindre l’accès au fichier wp-config de votre site WordPress.

Désactiver l’accès au fichier .htaccess.

Votre fichier .htaccess ne devrait jamais être accessible à d’autres personnes hormis l’administrateur du site. Théoriquement votre hébergeur bloque l’accès public d’office. Néanmoins dans de très rare cas, il se peut que votre fichier .htaccess soit malheureusement public. Pour vérifier cela et sécuriser votre site WordPress, saisissez https://your-website-url.com/.htaccess dans la barre d’adresse de votre navigateur web. S’il est public vous pouvez protéger vos fichiers en restreignant son accès à l’administrateur uniquement.

Il est également possible de renforcer la sécurité de votre site WordPress en configurant certains points dans le htaccess. Néanmoins je vous déconseille d’y toucher si vous n’avez pas de connaissances techniques. Car la moindre erreur, même une petite faute de frappe peut rendre votre site complètement inopérationnel.  

Dans ce cas, faites appel à un professionnel. 

Désactiver l’affichage des répertoires

La grande majorité des utilisateurs de WordPress ignorent que certains dossiers de WordPress peuvent s’afficher dans le navigateur. Ce qui signifie que n’importe qui peut y accéder quand il le souhaite. Ce qui signifie que votre site présente un sérieux problème de sécurité. De plus, cela implique que n’importe quel pirate peut obtenir des détails importants sur votre installation et les utilisés à des fins malicieuses.

Ne pas laisser le HTML non filtré s’afficher.

Il est également possible pour les administrateurs de télécharger du code JavaScript et des balises HTML dans les commentaires, les widgets, les articles et les pages en utilisant WordPress. Cependant, si leurs comptes sont piratés, cela représente une formidable opportunité pour les hackers d’ajouter des codes malicieux en tout genre. Il est ainsi nécessaire de filtrer le code HTML publié afin de sécuriser votre site WordPress.

Conserver une copie de sauvegarde de votre site Web. 

Les sauvegardes ne concernent pas directement la sécurité de votre site WordPress pourtant elles sont indispensables. Car un contenu de qualité est l’atout le plus important que vous ayez en tant que professionnel. En cas d’attaque de votre site Web, tout votre matériel, y compris vos pages, articles et médias, peuvent être supprimés à tout moment. Il serait regrettable que vous n’ayez aucune sauvegarde. En effet, en tant que propriétaire de votre site vous en avez la responsabilité. S’il arrive quelque chose, c’est malheureusement pour votre poire, autant prévenir que guérir, ça vous coûtera toujours moins cher. 

Ainsi, commencez par vérifier sur votre hébergement web que les sauvegardes automatiques sont activées. Cette option est généralement payante mais elle en vaut largement la peine. 

Bien évidemment cela ne suffit pas. Vous devez absolument conserver une copie sur votre ordinateur, une clé USB ou autre support fiable. Pourquoi pas dans le cloud, mais surtout pas chez votre hébergeur web directement rappeler vous l’incident chez OVH, certains ont perdu à jamais leur site et leurs sauvegardes dans l’incendie. 

À ce titre, continuez à effectuer des sauvegardes à intervalles régulières, par exemple une fois par semaine. Si un problème survient sur votre site Web et que vous avez mis en place un système de sauvegarde fiable, vous pourrez rapidement le remplacer sur le serveur hôte. 

Privilégiez les sauvegardes manuelles bien entendu. Évitez les plug-ins même s’ils font gagner du temps, ils ralentissent votre site internet et peuvent présenter des failles de sécurité. 

Pour cela, utilisez le CPanel fourni avec votre compte d’hébergement pour créer des sauvegardes de la base de données. Ensuite, téléchargez le fichier qui contient votre sauvegarde SQL. Grâce à ce fichier de sauvegarde, vous serez en mesure de restaurer rapidement l’intégralité de votre base de données en cas de problème. 

De même pour sauvegarder le contenu des fichiers présents sur votre site internet. Utilisez le protocole FTP pour vous connecter au serveur d’hébergement qui contient les fichiers de celui-ci et copiez-les sur votre ordinateur.

Sécuriser votre ordinateur. 

Mine de rien c’est grâce à votre ordinateur que vous créez et modifiez votre site WordPress. Ce qui veut dire qu’il  est possible que votre site Web soit infecté par un virus si vous téléchargez des fichiers de votre ordinateur qui sont eux-mêmes infectés par un virus, puis que vous importez ces fichiers sur votre site WordPress.

Voici quelques rappels simples : 

• Évitez de vous connecter à un réseau WiFi public. 
• Utilisez un antivirus de qualité et à jour. 
• Soyez prudent lorsque vous naviguez sur le web 
• Évitez de télécharger n’importe quoi.   

Vos propres actions constituent la protection la plus fiable pour votre site Web. En suivant mes recommandations vous serez en mesure de sécuriser efficacement votre site WordPress. Du moins si vous mettez en place toutes ces mesures. Assurez-vous également que tout est toujours à jour et fiable. Vous ne devez jamais vous connecter en utilisant un ordinateur public. Si cela s’avère nécessaire, changez rapidement le mot de passe que vous utilisez pour vous connecter.