34070 Montpellier
06 76 96 41 89

Comment créer un site WordPress sécurisé ?

Votre site est une cible des hackers et autres spammers et 70% des sites WordPress seraient vulnérables.

Je ne vous apprendrai rien en vous rappelant que WordPress est le CMS le plus populaire au monde. Aujourd’hui plus de 17 millions de sites utilisent WordPress. En créant votre site internet sur WordPress, avez-vous pensé à la sécurité de votre site ?

Comment créer un site wordpress sécurisé 1

Pour la plupart des propriétaires de site web, la sécurité n’est pas la priorité. Et pourtant….Imaginez que vous ayez travaillé dur pendant des mois pour créer votre site. Et enfin vous êtes satisfait du boulot que vous avez fait, maintenant votre site fonctionne et attire de plus en plus de visiteurs.
Que faire si tout cela part en une fraction de seconde ?
C’est souvent après une intrusion que l’on se rend compte à quel point il est important de sécuriser son site et il est souvent trop tard. Un site internet n’est jamais à l’abri d’un piratage, cela arrive beaucoup plus vite qu’on le pense.

Votre site est une cible des hackers et autres spammers. Selon différents rapports, 70% des sites WordPress seraient vulnérables et ce serait plusieurs centaines de milliers de sites qui chaque année se feraient hacker. Et pas uniquement des gros sites.

Comment votre site WordPress peut être piraté ?

Il y a 4 points de vulnérabilité à surveiller même si il y a d’innombrables manières de pirater un site WordPress :

  • 41% des sites WordPress ont été hackés à cause d’une faille de sécurité au niveau de la plateforme d’hébergement.
  • 29% ont été piratés à cause d’un problème de sécurité au niveau du thème WordPress utilisé.
  • 22% ont été piratés à cause d’un problème de sécurité au niveau des plugins utilisés.
  • 8% des sites WordPress ont été piratés à cause d’un mot de passe trop faible.

Pourquoi les hackers et les spammers piratent votre site ?

Dans la plupart des cas, ils le font pour utiliser votre serveur – pour ensuite envoyer des emails spams. Il est rare que ce soit pour voler des données ou supprimer des fichiers présents sur le site.

Certains de ces hacks ajoutent des liens vers des sites Web. Habituellement, ces liens sont ajoutés au pied de page de votre site Web, mais ils pourraient vraiment être n’importe où. La suppression des liens ne garantit pas qu’ils ne reviendront pas. Vous devrez trouver et réparer la faille utilisée.

La bonne nouvelle est que vous pouvez éviter tout cela, tout en appliquant certaines modifications et astuces facile à mettre en place.

Comment renforcer la sécurité de votre site WordPress ?

Les hackers ne s’attaquent pas à tous les sites WordPress. Ils visent seulement les sites WordPress vulnérables, ceux qui sont facile d’accès. Si votre site WordPress est correctement sécurisé, aucun hacker ne s’amusera à passer des jours et jours pour trouver la minuscule faille de sécurité qui lui donnerait accès à votre serveur.

1 – Choisissez un hébergement sûr

41% des piratages de sites WordPress sont dus à une faille de sécurité située au niveau de la plateforme d’hébergement. Pour sécuriser votre site WordPress, vous devez commencer par choisir un hébergement sûr, c’est-à-dire une plateforme d’hébergement de qualité.

Vous devez opter pour un hébergeur qui :

  • Est compatible avec les sites WordPress.
  • Inclut un firewall optimisé pour WordPress.
  • Supporte les dernières versions de PHP et de MySQL.
  • Dispose d’un outil de détection des fichiers intrusifs et d’un scanneur de malware.
  • Dispose d’un personnel formé à la sécurisation des sites WordPress.
  • Propose des sauvegardes quotidiennes automatiques des fichiers pour prévenir toute perte de contenu.
Si vous optez pour un hébergement mutualisé :

Dans ce cas, plusieurs sites sont hébergés sur un même serveur. Les ressources du serveur sont alors partagées, le trafic et l’espace disque limité.
C’est la solution la plus économique, destinée aux sites qui ne génèrent pas de trafic important (sites vitrines de TPE ou PME). Vérifiez que l’hébergeur dispose d’un système d’isolation des comptes. Cela permet d’empêcher qu’un des comptes surcharge le serveur et endommage votre propre site.

Si vous optez pour un hébergement dédié :

Vous louez ou achetez un serveur pour vous seul. Vous pouvez y héberger plusieurs sites Internet, dans la limite de l’espace disque disponible. Le trafic est alors illimité. Ce type d’hébergement est destiné aux sites qui génèrent beaucoup de trafic et demandent beaucoup de ressources (site E-Commerce).

Chez Piment Bleu, on utilise des serveurs dédiés, optimisés pour les sites WordPress et qui répondent à tous les critères de sécurité. Consultez Piment Bleu pour en savoir plus.

2 – Faites les mises à jour WordPress

Il faut toujours garder WordPress à jour, cela signifie l’utilisation de la dernière version de WordPress, mais aussi la dernière version de votre thème et dernière version de plugins que vous utilisez.

Tout simplement par ce que les mises à jour que vous effectuez vous servent à appliquer des corrections à des failles de sécurité trouvée dans les anciennes versions. Autrement dit, plus votre version de WordPress est ancienne, plus vous risquez de vous faire hacker. WordPress publie une grosse mise à jour tous les 6 mois (4.5, 4.6, etc.) et très régulièrement de petites mises à jour (4.5.1, 4.5.2, etc.). Les petites mises à jour ont très souvent pour fonction de régler des bugs ou des failles de la dernière version. Vous devez donc installer les nouvelles versions mais aussi les petites mises à jour.

Quand il y a une nouvelle mise à jour disponible, WordPress vous avertit avec un message qui apparaît sur le tableau de bord : «une nouvelle version WordPress est disponible!». Il vous suffit de cliquer «mettre à jour» pour installer la dernière version. Pas d’excuses pour ne pas la mettre à niveau.

Attention, avant d’effectuer une mise à jour, vous devez effectuer une sauvegarde complète de votre site.

3 – Sécuriser vos plugins et vos thèmes WordPress

Un peu plus de la moitié (51%) des sites WordPress piratés le sont à cause d’une faille de sécurité au niveau des plugins ou du thème. Vous devez donc tout logiquement sécuriser vos plugins et vos thèmes.

Commençons par les plugins. Vous devez être très prudent vis-à-vis des plugins que vous installez et activez sur votre site WordPress. Quelques conseils et remarques à ce sujet :

  • Vous devez installer et activer uniquement les plugins nécessaires, c’est-à-dire ceux qui apportent vraiment une fonctionnalité utile. Faites du tri régulièrement et désactivez (puis supprimez) les plugins dont vous ne vous servez pas.
  • Soyez très méfiant à l’égard des plugins qui n’ont pas été mis à jour depuis plus de deux ans. Il y a des risques qu’ils aient des failles de sécurité qui n’ont pas été réparées. Dans la mesure du possible, n’utilisez que des plugins qui font l’objet de mises à jour régulières.
  • Ne pas télécharger les plug-ins à partir d’une source autre que l’annuaire officiel de WordPress

Passons maintenant aux thèmes. Comme pour les plugins, vous devez choisir un thème bien codé et régulièrement mis à jour. Vous pouvez utiliser un plugin comme Theme-Check pour vérifier la qualité de votre thème. Ne pas télécharger un thème gratuit d’une source inconnue. Si vous optez pour un thème gratuit, utilisez ceux disponibles sur WordPress.org ou bien ceux disponibles sur des boutiques reconnues (comme Themeforest). Il arrive que des plugins ou thèmes payants contiennent aussi des malwares, même si c’est beaucoup plus rare. Donc vérifiez la source de votre thème et de vos plugins, que ceux-ci soient gratuits ou payants.

4 – Renforcer les informations de login (mot de passe et identifiant)

Rappelons les chiffres : 8% des sites WordPress piratés le sont à cause d’un mot de passe trop faible. Vous devez donc :

  • Changer votre mot de passe fréquemment.
  • Créer un mot de passe renforcé. Pour cela, vous pouvez utiliser un générateur de mot de passe comme Strong Password Generator ou Norton Password Generator
  • Utiliser un gestionnaire de mots de passe pour stocker vos mots de passe (et ne pas les oublier !). Au niveau des outils, vous avez le choix : Dashlane, Passpack, LastPass.
  • Obliger tous les utilisateurs de votre site WordPress à utiliser des mots de passe renforcés.

Il est plus difficile pour un pirate de pénétrer dans votre site lorsqu’il ne connaît pas le nom d’utilisateur.
C’est pourquoi vous devez créer un nouvel utilisateur et supprimer l’utilisateur par défaut «admin». Ceci est l’une des choses que je fais dès que je lance un nouveau site sur WordPress.
Comme ça les hackers devront à la fois trouver votre identifiant et votre mot de passe pour pénétrer dans votre admin. Ce qui complique beaucoup les choses.

5 – Limiter les tentatives de login en changeant la page de connexion

Les hackers, pour forcer un mot de passe, utilisent la méthode dite de « force brute », en utilisant un script qui déroule toutes les combinaisons possibles jusqu’à la bonne. Un des meilleurs moyens de rendre cette technique inopérante consiste à limiter le nombre de tentatives possibles par adresse IP. Il existe plusieurs plugins qui permettent de le faire, comme Login LockDown ou Login Security Solution.

Les hackers savent que par défaut, WordPress utilise l’adresse « www.mon-site.fr/wp-admin/ » ou bien « www.mon-site.fr/wp-login/ ». Pour leur compliquer la tâche, nous vous conseillons de changer l’adresse de votre page d’identification. Si vous oubliez la nouvelle adresse de votre page vous pourrez la retrouver en vous connectant au compte FTP de vite site

6 – Supprimer la mention de la version WordPress que vous utilisez

Par défaut, WordPress insère une balise meta dans le code de votre site qui indique la version de WordPress que vous utilisez. Cette information est très utile pour les hackers, en particulier si vous utilisez une version ancienne de WordPress.

Il y a d’autres obligations pour avoir un site WordPress sécurisé

La sécurité de votre site internet est d’une grande importance et vous ne pouvez prendre aucuns risques. N’hésitez pas à faire appel à notre agence Piment Bleu pour sécuriser votre site internet WordPress.

J’espère que ces conseils vous auront été utiles. Avez-vous d’autres conseils à partager ? Faites-nous savoir comment vous protégé efficacement votre site WordPress.