WordPress est l’un des systèmes de gestion de contenu les plus populaires sur Internet.

Malheureusement, en raison de sa popularité, il est également la cible de nombreux pirates.

C’est ce que confirme Sucuri, une entreprise spécialisée en sécurité web, dans son rapport qui montre que 90 % des sites web piratés utilisent un CMS tournant sous WordPress.

Si vous possédez un site web sur WordPress, je suppose que cela vous intéresse de savoir comment le protéger des attaques de piratage.

Si c’est le cas, lisez attentivement les conseils de Lauran Frynich, expert en sécurité sur Le Bon Antivirus. Puis essayez de les mettre en pratique le plus tôt possible.

1. Choisir un bon hébergeur web

Choisir un bon hébergeur web

Selon une autre étude réalisée par WP White Security, 41 % des piratages de sites sont dus à une vulnérabilité au niveau de l’hébergeur web.

Voici pourquoi il est très important de choisir un fournisseur professionnel sur lequel le site Internet de votre entreprise est hébergé.

En effet, vous ne pourrez jamais sécuriser WordPress si votre hébergeur a des lacunes sur ce domaine.

La stratégie de sécurité des serveurs mise en place par la société d’hébergement web est la clé pour maintenir un environnement WordPress parfaitement sécurisé.

L’importance de la sécurité chez votre hébergeur

Plusieurs couches de sécurité matérielles et logicielles sont nécessaires pour garantir que l’infrastructure informatique soit robuste. Il faut que votre site WordPress soit capable de se défendre contre les menaces sophistiquées, à la fois physiques et virtuelles.

Pour cette raison, les serveurs hébergeant WordPress doivent être mis à jour régulièrement avec les systèmes d’exploitation et logiciels les plus récents.

Auparavant, il est nécessaire de les tester et analyser en profondeur pour rechercher les éventuelles vulnérabilités et les logiciels malveillants.

En outre, le réseau de votre hébergeur doit être équipé de pare-feu bien configuré afin de bien protéger ses serveurs, même pendant les phases d’installation de WordPress et de construction du site web.

Enfin, tout logiciel installé sur la machine et destiné à protéger le contenu WordPress doit être compatible avec les derniers systèmes de gestion de base de données afin de maintenir des performances optimales.

Le serveur doit également être configuré pour utiliser des protocoles de chiffrement de réseau et de transfert de fichiers sécurisés (tels que SFTP au lieu de FTP) afin de protéger les contenus sensibles des intrus malveillants.

Ce que vous devez vérifier auprès de votre hébergeur

La sécurité de votre site dépend en grande partie du fournisseur d’hébergement.

Bien que je ne puisse pas vous dire quel est le meilleur hébergeur web en matière de sécurité, voici la liste des principaux points à vérifier :

  • Le logiciel de sécurité installé sur le serveur web,
  • La disponibilité et le support SSL,
  • La sauvegarde et restauration,
  • L’analyse des programmes malveillants,
  • La protection par le pare-feu…

Mon conseil : rechercher toujours sur Internet les avis des clients avant de choisir votre hébergeur web.

2. Installer toujours les mises à jour pour sécuriser WordPress

Installer les mises à jour pour sécuriser WordPress

WordPress publie de temps en temps des nouvelles versions.

Certes ces versions de WordPress apportent des nouvelles fonctionnalités et améliorations. Mais elles corrigent également les failles de sécurité identifiées par les développeurs de WordPress.

En exécutant une version à jour de WordPress, vous êtes à l’abri des pirates informatiques qui cherchent constamment des vulnérabilités et des failles de sécurité.

Pour mettre à jour WordPress, accédez à la rubrique “mises à jour” de votre console d’administration.

En haut de la page, une notification vous prévient de la disponibilité d’une nouvelle version.

Cliquez sur Mettre à jour, puis sur le bouton Mettre à jour maintenant. Cela ne prend que quelques secondes.

La même pratique s’applique à vos extensions et thèmes. Assurez-vous donc de les mettre tous à jour avec leurs dernières versions.

Pour vérifier les mises à jour disponibles pour vos thèmes et extension, allez sur Accueil puis sur Mise à jour.

3. Ne pas utiliser l’identifiant “Admin”

À ce jour, il y a encore beaucoup de propriétaires de site web qui utilisent admin comme nom d’utilisateur.

Cependant, c’est le nom d’utilisateur que les pirates utilisent en premier lorsqu’ils tentent de s’introduire dans un site web sous WordPress.

Ils savent que lorsque vous installez WordPress, l’administrateur, par défaut, a pour nom d’utilisateur “admin”.

Si vous utilisez toujours admin comme nom d’utilisateur, il n’est pas trop tard pour le modifier.

Connectez-vous simplement à votre tableau de bord WordPress et pour créer un nouvel utilisateur, accédez à :

Utilisateurs > Ajouter

Ne pas utiliser l’identifiant “Admin” pour sécuriser WordPress

Choisissez un nouveau nom d’utilisateur et remplissez les champs, définissez son rôle comme Administrateur et cliquez sur Afficher le mot de passe et le copier.

Ne pas utiliser l’identifiant “Admin” pour sécuriser WordPress

Après cela, déconnectez-vous de votre tableau de bord et connectez-vous avec votre nouvel utilisateur.

Revenez à Utilisateurs > Tous les utilisateurs et supprimez votre ancien compte administrateur.

Ne pas utiliser l’identifiant “Admin” pour sécuriser WordPress

4. Utiliser un mot de passe de connexion fort

L’utilisation d’un mot de passe fort est une obligation pour renforcer la sécurité d’un site WordPress.
Il s’agit d’une pratique très basique, mais elle est trop souvent négligée. Pourtant elle protège l’accès à votre site web efficacement.

Idéalement, les mots de passe doivent être difficiles à deviner et doivent contenir des alphabets en minuscules et en majuscules, des signes de ponctuation et des chiffres.

Les experts suggèrent également d’utiliser un mot de passe différent par site web, tels que vos comptes de médias sociaux vos messageries, votre accès à WordPress…

Pour modifier votre mot de passe d’administrateur de votre site WordPress, depuis la colonne de gauche de votre console d’administration, rendez-vous sur :

Utilisateurs > tous les utilisateurs

Après vous cliquez sur Modifier sur l’utilisateur en question.

Puis, dans la section Gestion de compte, cliquez sur le bouton Générer un mot de passe, et saisissez un mot de passe fort, puis cliquez sur Mettre à jour le profil.

Utiliser un mot de passe de connexion fort

5. Configurer l’authentification à deux facteurs

Si vous utilisez Gmail ou Facebook, il est probable qu’une fois avoir saisi votre mot de passe, vous devez fournir un code reçu sur votre téléphone mobile pour accéder à votre compte de messagerie Gmail ou Facebook.

C’est cela l’authentification à deux facteurs (ou A2F pour les experts). C’est une technique avancée pour renforcer la sécurité quelque soit la plateforme sur Internet.

Comme son nom l’indique, elle implique un processus en 2 étapes dans lequel vous avez besoin :

  • Non seulement de votre mot de passe pour vous connecter,
  • Mais aussi d’un second code que vous recevez par SMS ou via un appel téléphonique ou un mot de passe à usage unique (TOTP).

Dans la plupart des cas, c’est 100 % efficace pour empêcher les attaques par force brute sur votre site WordPress.

Pourquoi ?

Parce qu’il est presque impossible que l’attaquant connaisse à la fois votre mot de passe et ait accès à votre téléphone portable. Là encore, c’est une étape supplémentaire pour sécuriser WordPress.

Pour mettre en place l’authentification à deux facteurs sur votre site WordPress, voici les principales possibilités :

6. Changer l’URL de la page de connexion à la console d’administration

Changer l’URL de la page de connexion à la console d’administration

Pour se connecter au panneau d’administration du site web, par défaut, tous les sites web WordPress ont des adresses URL qui ressemblent à :

  • www.votresite.com/wp-admin,
  • www.votresite.fr/wp-login…

Comme les mêmes raisons que pour le nom d’utilisateur “admin”, je vous conseille aussi de modifier l’URL de la page d’administration du site web de votre entreprise.

En effet, tous les pirates savent que l’URL par défaut se termine par “wp-admin” ou “wp-login”. En changeant cela, vous rendez la tâche plus difficile aux hackers puisqu’ils doivent connaître cette adresse URL. Par conséquent, vous gagnez facilement des points dans vos actions pour sécuriser WordPress.

La façon la plus simple consiste à utiliser l’extension iThemes Security. De cette manière, vous personnalisez l’adresse URL de votre page de connexion et immédiatement vous la rendez plus difficile à deviner.

Note : sur #audreytips, nous utilisons l’extension gratuite “WPS Hide Login” qui se configure en quelques minutes.

7. Limiter les tentatives de connexion

Limiter les tentatives de connexion

Par défaut, WordPress ne prend pas en compte le nombre de tentatives quand un visiteur essaie de pénétrer sur votre site avec plusieurs noms d’utilisateur et mots de passe lors de la connexion.

Cela peut vraiment causer des problèmes.

En effet, les pirates utilisent des techniques avancées qui leur permettent de deviner le mot de passe en testant des milliers, voire des millions de combinaisons de lettres et de chiffres.

Pour éviter ce type d’attaque et ajouter une couche de sécurité supplémentaire à votre site web WordPress, limitez le nombre de tentatives de connexion en utilisant une extension WordPress comme Login LockDown.

Cet outil intelligent bloque l’IP de tout pirate informatique qui tente ce type d’attaque sur votre site WordPress.

L’extension s’assure de limiter le nombre de tentatives de connexion incorrectes, un peu comme vous n’avez le droit qu’à 3 tentatives lors de la saisie de votre code PIN pour payer avec votre carte bancaire.

8. Bloquer les requêtes malveillantes

Parmi les menaces courantes auxquelles votre site sous WordPress peut être confronté, nous trouvons les attaques DDoS, les spam, les bots…

Pour faire face à ces menaces, il existe de nombreux plugins, dont Block Bad Queries qui fait partie des meilleurs.

BBQ est un plugin de sécurité WordPress pratique avec un bon nombre de fonctionnalités qui améliorent la protection de votre site.

Cette extension, qui sert à protéger votre site contre les requêtes URL malveillantes, est super-facile à utiliser et pourtant elles est très puissante et ne dégrade pas les performances de le site Web de votre entreprise.

BBQ vérifie tout le trafic entrant et bloque silencieusement les mauvaises requêtes contenant des éléments désagréables. C’est une étape supplémentaire pour sécuriser WordPress.

9. Commencez par protéger votre ordinateur

Commencez par protéger votre ordinateur

Protéger votre ordinateur contre les virus et les logiciels malveillants est la première étape pour éviter les risques de piratage de votre site WordPress.

Si un pirate arrive à infecter l’ordinateur sur lequel vous accédez à votre console d’administration WordPress, il peut facilement ensuite pirater votre site web.

En fait, avec un simple keylogger (enregistreur de frappe) installé sur votre PC, tout ce que vous tapez sur le clavier soit intercepté et transmis à des personnes mal intentionnées. Évidemment, c’est aussi le cas pour vos informations de connexion à votre site WordPress.

Il est donc important de suivre les consignes de sécurité de base pour éviter les virus et logiciels malveillants :

  • Installez un bon logiciel antivirus et anti-malware et les garder à jour,
  • Activer et configurer correctement le pare-feu de Windows,
  • Ne vous connectez pas à votre site WordPress via un réseau wifi public ou une connexion non sécurisée sauf si vous utilisez un VPN,
  • Lorsque vous accédez à votre serveur, utilisez le protocole FTPS (File Transfer Protocol Secure) au lieu d’un FTP non sécurisé. Ceci empêche la surveillance de votre connexion,

10. Passer votre site internet sous HTTPS

Passer votre site internet sous HTTPS

Si votre site utilise le protocole HTTP, toutes les informations sont transmises sur le réseau sans cryptage. Cela est le cas pour les informations d’identification, les commentaires, les numéros de carte bancaire… Et ceci depuis votre ordinateur ou ceux de vos visiteurs.

Dans ce cas, un pirate présent sur le même réseau que le vôtre peut facilement intercepter ces informations. C’est une situation classique si vous êtes sur un réseau wifi public par exemple, sauf vous utilisez un VPN.

En particulier sans précaution, il peut récupérer votre identifiant et mot de passe.

Pour pallier ce problème, je vous conseille fortement d’installer un certificat SSL. Ainsi, vous passez du protocole HTTP à HTTPS, le protocole le plus sécurisé qui crypte les données envoyées entre les visiteurs et le serveur hébergeant votre site web.

Il y a une fausse idée consistant à penser que si vous n’acceptez pas les cartes de crédit, vous n’avez pas besoin de SSL.

En plus de la sécurité obtenue, le passage à HTTPS offre de nombreux avantages, à savoir la confiance et la crédibilité de vos visiteurs ainsi que l’amélioration de référencement de votre site web. En effet, Google privilégie les sites sécurisés.

Pour installer un certificat SSL, vous pouvez faire appel à votre hébergeur web. En effet, de nombreux hébergeurs offrent ce service. Si ce n’est pas le cas, choisissez un fournisseur de SSL réputé comme Comodo ou Symantec.

La migration sous HTTPS d’un site sous WordPress nécessite souvent l’intervention d’un développeur pour bien paramétrer les redirections entre les adresses URL en http et les nouvelles en https. Pour comprendre les enjeux, je vous renvoie vers le Guide complet publié sur WebRankInfo.

11. Mettre en place un système de sauvegarde automatisé

Mettre en place un système de sauvegarde automatisé

En appliquant ces conseils de sécurité, vous minimisez le risque de piratage.

Malheureusement, il est impossible d’être protégé à 100 %.

La raison est simple.

Les pirates cherchent constamment des nouvelles techniques et failles de sécurité pour pirater des sites web.

En cas d’attaque réussie, toutes ces techniques de sécurité ne permettent pas de restaurer votre site.

C’est pourquoi les sauvegardes régulières sont la solution ultime pour récupérer votre site web rapidement et facilement en cas d’attaque et de piratage ou de tout autre problème sur votre serveur.

Pour faire une sauvegarde complète d’un site web sous WordPress, il y a 3 solutions :

Avec ces 2 dernières solutions, vous pouvez :

  • Non seulement réaliser une sauvegarde sur demande,
  • Mais également de planifier les sauvegardes quotidiennement.

Ainsi, la sauvegarde est bien faite en temps et en heure, sans parler en plus du gain de temps.

Note : préférez une sauvegarde externalisée. Cela veut dire que la copie de sauvegarde n’est pas stockée sur votre serveur. On ne sait jamais si ce dernier prenait feu… Autant prévenir que guérir.

Audrey : merci Lauran pour ce panorama très complet sur les façons les plus efficaces de sécuriser WordPress. Je rajoute aussi de partager l’accès à votre console d’administration au sein de votre équipe avec soin.

Conclusion sur comment sécuriser WordPress en 2020

J’espère que ces 10 conseils vous aident à mieux protéger votre site WordPress.

Chaque conseil est un pas de plus vers un site web plus sécurisé.

Alors ne soyez pas paresseux.

La plupart de ces astuces se mettent en place en quelques minutes et très facilement vous sécurisez votre activité.

En plus, la plupart de ces actions sont gratuites et donc sans incidence sur votre budget.

Mettez en pratique toutes ces recommandations, et veuillez suivre l’actualité qui concerne la sécurité informatique sur des sites web spécialisés.

N’oubliez jamais que l’objectif de votre site web comme de toutes vos actions en Marketing Digital est d’attirer de nouveaux clients. Sécuriser votre site Internet, c’est donc aussi sécuriser votre activité.

Enfin, pour partager l’accès à votre console d’administration avec votre équipe, voici de quoi bien comprendre les différents rôles utilisateur proposés par le CMS WordPress. Distribuer les accès avec précaution est aussi une action pour sécuriser WordPress.

Pour résumer en 3 questions

Pourquoi est-ce important de sécuriser votre site sous WordPress ?

Se faire pirater votre site Internet sous WordPress (ou autre CMS) entraîne des pertes de chiffre d’affaires et nuit à la réputation de votre entreprise. Les pirates peuvent voler des informations utilisateur, des mots de passe, installer des logiciels malveillants, et même distribuer des logiciels malveillants à vos utilisateurs.

WordPress est-il sécurisé ?

Les pirates informatiques n'arrivent pas à leur fin en exploitant des vulnérabilités de la dernière version de WordPress. La plupart du temps, un site est piraté à cause de problèmes facilement évitables, comme la non-mise à jour de WordPress, d’extensions... ou l'utilisation de mots de passe non sécurisés.

Comment sécuriser WordPress ?

Choisissez un bon hébergeur, utilisez un thème et des extensions populaires, installez un plugin de sécurité WordPress, définissez un mot de passe fort, modifiez votre URL de connexion WordPress, limitez les tentatives de connexion...

Quelles mesures prenez-vous pour protéger votre site ? Avez-vous été déjà victime d’attaque ?