Sécuriser son site WordPress en 5 etapes
Publié par Valentin Grenier, Développeur WordPress
- Pourquoi sécuriser son site WordPress ?
- 5 conseils pour sécuriser son site WordPress
- Utilisez des mots de passe forts et uniques
- Installez un plugin de sécurité
- Changez l’URL de connexion au back office
- Effectuez vos mises à jour régulièrement
- Changez le préfixe de votre base de données
- Bonus : Sécuriser son site WordPress en limitant l’accès à l’API REST
- Pour sécuriser son site WordPress, la meilleure protection sur le web, c’est vous !
Sécuriser son site WordPress est essentiel pour est un sujet crucial pour tout administrateur d'un site WordPress. Propulsant plus de 43% des sites web dans le monde, WordPress est une cible privilégiée par les hackers qui ne savent que trop bien que la plupart des sites WordPress présentent des failles de sécurité souvent à cause de mises à jour non effectuées. Pourtant, une fois un site mis à jour, sécuriser son site WordPress est à la portée de tout le monde. Voici cinq étapes à suivre pour renforcer la sécurité de votre site WordPress et éviter les vulnérabilités courantes.
Pourquoi sécuriser son site WordPress ?
Si vous vous demandez "Pourquoi sécuriser mon site WordPress ?", imaginez que vous laissiez la porte de votre maison grande ouverte, offrant ainsi un accès libre à tout le monde. Bien sûr, vous ne feriez jamais cela, et c’est exactement la même logique pour votre site WordPress.
Sécuriser son site WordPress offre plusieurs avantages :
- Vous gagnez la confiance de vos utilisateurs. Qui ne serait pas inquiet de tomber sur un site compromis avec des liens sur votre site vers des sites spam ? Vos visiteurs doivent pouvoir naviguer en toute sécurité et en confiance sur votre site.
- Vous vous protégez contre la perte de données, que cela concerne les données de votre site ou de vos utilisateurs. En cas de fuite de données, une déclaration auprès de la CNIL est obligatoire, ce qui ajoute une couche supplémentaire de responsabilité et de stress.
- Vous favorisez votre SEO auprès de Google, qui prend en compte la sécurité de votre site dans son algorithme de classement des sites. Un site compromis peut être pénalisé dans les résultats de recherche, ce qui peut réduire votre visibilité en ligne.
En résumé, sécuriser son site WordPress, ce n'est pas seulement une question de protection contre les menaces en ligne. C'est aussi une mesure cruciale pour garantir la confiance des utilisateur et maintenir une bonne position dans les résultats de recherche. Une sécurité robuste est la clé pour protéger votre réputation et garantir une expérience utilisateur positive.
5 conseils pour sécuriser son site WordPress
Utilisez des mots de passe forts et uniques
La première mesure de sécurité pour sécuriser son site WordPress est d’opter pour un mot de passe qui ne sera pas facile à deviner par n’importe qui. Il est donc important de rappeler que les mots de passe du type “admin”, “123456”, “motdepasse” ou un mot de passe composé uniquement de votre prénom sont à bannir.
Selon la NIST (National Institute of Standards and Technology), un bon mot de passe respecte ces critères :
- au moins 8 caractères, au mieux 12 caractères ;
- n’est pas une suite séquentielle (ex : “1234”, “abcd”, …) ;
- est composé de lettres, de nombres, de symboles et un mélange de majuscules et de minuscules.
Je vous recommande également d’utiliser un gestionnaire de mot de passe, comme Bitwarden, qui se chargera de stocker tous vos mots de passe de manière sécurisé. Il vous suffira de n’avoir qu’un seul mot de passe pour accéder à l’ensemble de vos mots de passe. Pas d’inquiétude, tout est chiffré et sécurisé grâce à des méthodes d’authentification fortes.
Installez un plugin de sécurité
Pour sécuriser son site WordPress, il est également recommandé d’installer une extension de sécurité. Un plugin de sécurité permet d’ajouer une couche supplémentaire de protection contre les menaces courantes et les attaques potentielles.
Vous avez le choix entre plusieurs plugins de sécurité, mais deux plugins sortent du lot :
- Wordfence : Ce plugin propose une protection complète avec un pare-feu intégré, une analyse de malwares, et des alertes en temps-réel pour les activités suspectes. Wordfence analyse aussi les fichiers de votre site et compare les signatures de malwares avec une base de données en constante mise à jour.
- Solid Security (anciennement iThemes Security) : Solid Security offre une variété de fonctionnalités pour durcir la sécurité de votre site, telles que la protection contre les attaques de brute force, la surveillance des changements de fichiers, et l'activation de l'authentification à deux facteurs. Il propose également des outils pour renforcer la sécurité des connexions et des identifiants.
Si vous configurez vous-même un plugin de sécurité, n’hésitez pas à vous référez à des tutoriels sur Youtube. Pour configurer Solid Security, je vous recommande la vidéo très éducative de WP Performance. Attention, chaque site WordPress dispose de ses propres standard de sécurité, n’activez pas des options sans en connaître les effets de bord.
Changez l’URL de connexion au back office
Sécuriser son site WordPress nécessite également de changer l’URL de connexion au back office. Par défaut, n’importe qui peut se rendre sur la page de connexion du back office d’un site WordPress en ajoutant “/wp-admin” à l’adresse d’un site.
Le plugin Solid Security peut vous permettre de modifier ce lien pour le remplacer par un lien que seul vous connaitrez. Pour ce faire, il suffit de se rendre dans les paramètres de l’extension, dans “Avancé” puis dans “Déplacer la page de connexion”.
Ainsi, vous ajoutez une nouvelle couche de sécurité à votre site WordPress, ce qui permettra de ralentir les hackers dans le piratage de votre site, voire même de complètement les décourager.
Effectuez vos mises à jour régulièrement
Pour assurer la sécurité de votre site WordPress, il est crucial de maintenir vos extensions à jour. La majorité des mises à jour de plugins incluent des correctifs importants pour des vulnérabilités de sécurité.
Par exemple, une nouvelle fonctionnalité ajoutée à un plugin peut parfois introduire une faille de sécurité qui pourrait permettre à un individu malintentionné de rentrer dans votre site et d’en prendre le contrôle.
En gardant votre site à jour, vous minimisez le risque de failles de sécurité et protégez votre site contre les menaces potentielles. Veillez donc à vérifier régulièrement les mises à jour disponibles pour vos plugins et thèmes, et à les appliquer dès que possible pour maintenir un niveau de sécurité optimal.
Changez le préfixe de votre base de données
Ce conseil se rapproche de la modification de l’URL de connexion. Par défaut, chaque table de la base de données de votre site est préfixée par “wp_”, ce qui en fait une cible facile pour un hacker car il sait déjà quelles tables récupérer pour tenter de prendre le contrôle de votre site.
Pour faire face à cela, vous pouvez modifier ce préfixe et le remplacer par celui de votre choix. Évitez les préfixe trop simples à deviner, et optez pour un préfixe entre 3 et 5 caractères. Bien entendu, ne préfixez pas les tables de la base de données avec le nom de votre site ou le début de son nom.
Vous pouvez aussi utiliser le plugin Solid Security pour modifier le préfixe de la base de données. Pour ce faire, rendez-vous dans “Outils” puis dans le bloc “Modifier le préfixe des tables de base de données” et cliquez sur “Exécuter”.
Bonus : Sécuriser son site WordPress en limitant l’accès à l’API REST
Pour renforcer encore davantage la sécurité de votre site WordPress, pensez à limiter l’accès à l’API REST. Par défaut, l’API REST permet à quiconque d’accéder à la liste des utilisateurs inscrits en se rendant sur l’endpoint “/wp-json/wp/v2/users”. Un hacker pourrait ainsi récupérer les noms d’utilisateurs et les combiner avec une liste de mots de passe courants pour tenter de se connecter à l’interface d’administration de votre site.
À nouveau, Solid Security vous permet de restreindre l’accès à l’API aux utilisateurs connectés uniquement. Pour activer cette restriction, rendez-vous dans les paramètres de l’extension, dans “Avancé” puis dans “Ajustements WordPress” avant de cliquer sur la checkbox “Accès restreint” dans l’onglet “Accès API”.
Pour sécuriser son site WordPress, la meilleure protection sur le web, c’est vous !
Même s’il existe tout un panel de possibilités pour sécuriser son site WordPress, gardez en tête que tout commence par vos propres actions et habitudes. En adoptant des pratiques de sécurité rigoureuses, comme l’utilisation de mots de passe forts, vous jouez un rôle crucial dans la protection de votre site. Malheureusement, le facteur humain reste la première faille de sécurité sur le web.
Évidemment, ces cinq conseils ne sont pas les seules mesures de sécurité qui existent. D’autres mesures comme le déplacement du fichier wp-config.php, l’authentification par double facteur (2FA) ou bien la protection contre les attaques par brute force sont tout autant recommandées.
Bien qu’il existe des outils fiables pour assurer la sécurité de votre site WordPress, la meilleure protection, c’est vous !