5 actions pour sécuriser votre site WordPress

Votre site Web d’entreprise réagit comme tout objet. Au lancement, tout fonctionne correctement puis, avec le temps, vous pouvez rencontrer des soucis…

Alors comme dit Laurent :

Autant prévenir que guérir ! Disposer d’un site Web 100 % opérationnel garantit que vos visiteurs (ou les robots de Google) ne vont pas aller chercher leur bonheur ailleurs. Et l’inverse réduit votre capacité à conquérir de nouveaux clients avec Internet.

Je rajoute que le RGPD 2018 impose aussi de sécuriser et protéger toutes les données personnelles que vous demandez à vos visiteurs. Vous risquez donc en plus une amende en cas de vol de données, alors autant être en règle dans votre activité professionnelle !

De nombreuses sociétés comme Uber ou même Apple font l’objet de piratage. Aucune entreprise n’est vraiment à l’abri, mais je vais vous donner quelques actions pour sécuriser au mieux le site Web de votre entreprise.

Evidemment, je vais me concentrer sur WordPress qui est le système de gestion de contenu (CMS) que je connais le mieux.

En effet, les sites Web sous WordPress constituent l’essentiel de notre clientèle. Ce n’est pas étonnant puisque WordPress domine les CMS avec 44 % de parts de marché (source Le Blog du Modérateur).

Cela étant dit, les règles présentées ci-dessous sont aussi applicables si vous utilisez un autre CMS comme Drupal, Joomla…

1. Choisir un hébergeur sécurisé

La sécurité est un critère de choix important pour choisir votre hébergement Web.

Pourquoi ?

Parce que votre site Web et vos données sont hébergées chez ce fournisseur.

En permanence, les pirates font preuve d’imagination pour lancer leurs attaques :

• DDOS (ou attaque par déni de service distribuée) conçues pour perturber l’état de votre site Web, voire le mettre hors d’usage,
• Rançongiciels qui prennent vos données en otage et exigent une rançon pour les libérer…

Malheureusement, il n’y a pas une seule fonctionnalité qui sécurise une plate-forme d’hébergement. Bien au contraire, plusieurs “barrages” contribuent à la sécurité globale d’un hébergement Web.

Les outils de sécurité chez un hébergeur les plus courants sont :

• Un pare-feu ou firewall,
• Une protection contre les attaques DDos,
• Un antivirus,
• Des filtres anti-spam,
• Un certificat de sécurité SSL…

Alors, pour sécuriser au mieux votre site Web autant choisir un hébergeur qui dispose de toutes ces fonctionnalités.

De cette manière, toutes les barrières sont en place avant que les pirates atteignent votre serveur.

Chez #audreytips, nous avons retenu o2switch.

Basée à Clermont-Ferrand, o2switch met en place des outils de protection de façon à ce que les pirates soient bloqués avant d’arriver sur votre site Web … Pour les curieux, tout est détaillé dans leur page Infrastructure et réseau de façon très transparente.

Mon conseil : vérifiez que votre hébergeur dispose bien de tous les moyens pour se protéger contre les attaques.

2. Installer les dernières versions de WordPress et de vos extensions

Comme vous le savez, WordPress est une excellente option pour publier votre site d’entreprise.

En effet, cet outil propose des milliers d’extensions, le plus souvent gratuites, pour adapter votre site Web à vos besoins en matière de communication sur Internet.

Mais WordPress et toutes ces extensions sont avant tout des logiciels. Et comme tout logiciel, ils font l’objet régulièrement de mises à jour.

Une version à jour dispose de fonctionnalités nouvelles avec une meilleure performance. Mais certaines mises à jour comportent également des correctifs à des failles de sécurité.

C’est pourquoi mon deuxième conseil de sécurité est tout simplement de mettre à jour tous ces logiciels dès qu’une nouvelle version est disponible.

Mon conseil : mettez à jour rapidement et régulièrement tous ces logiciels pour renforcer la sécurité et les performances de votre site Web.

Comment installer les dernières mises à jour

Elle est bien loin l’époque où il fallait mettre à jour une nouvelle version du logiciel avec une disquette ou un CD. Aujourd’hui, tout se passe directement en ligne.

Pour cela, WordPress dispose en standard d’un système d’alerte signalant les mises à jour disponibles. Ce système affiche des notifications lorsque des mises à jour sont disponibles pour vos extensions WordPress, votre thème et le logiciel de base WordPress.

Il suffit de vous rendre dans votre console d’administration, puis dans la colonne de gauche, cliquez sur Tableau de bord > Mises à jour.

Mettre à jour une extension

Depuis votre console d’administration WordPress :

• Allez dans la rubrique “extensions”,
• Puis cliquez sur “Mettre à jour maintenant” pour chacune des extensions qui ont besoin d’être mises à jour.

Mon conseil : Avant de mettre à jour une extension, je vous conseille de cliquer sur le lien “Afficher les détails de la version” pour connaître les modifications apportées par l’auteur du plugin.

Si le descriptif de la mise à jour met en avant des correctifs de sécurité, installez-la immédiatement. Si non, attendez quelques jours avant de mettre à jour l’extension, le temps que les erreurs éventuelles apportées par cette version soient signalées et corrigées.

Mettre à jour WordPress dans les règles de l’art

Pour connaître la version de WordPress utilisée sur votre site Web, consultez votre tableau de bord dans votre administration WordPress.

Note : à la date où j’écris cet article, la dernière version de WordPress est la 5.8.1.

En général, les mises à jour dites mineures de WordPress s’installent automatiquement. Il y a peu de chance qu’elles perturbent le fonctionnement du site Web de votre entreprise.

Mais ce n’est pas forcément le cas pour les versions majeures de WordPress.

Dans ce cas, beaucoup de choses peuvent mal se passer lors d’une mise à jour.

Donc autant appliquer une petite procédure avant d’appuyer sur ce bouton « mettre à jour maintenant ».

• Faire une sauvegarde complète de votre site Web (voir ci-dessous),
• Copier votre site Web sur un serveur dédié au développement. Il peut être hébergé sur le même serveur mais avec une URL du type beta.yoursite.com,
• Commencer par mettre à jour votre site sur le serveur de développement afin de tester et résoudre les éventuels problèmes.
• Une fois que cette version sur le serveur de développement est validée, déployez-la sur l’URL publique.

De cette manière et en testant soigneusement, vous ne rencontrez aucun problème.

Autrement, vous prenez des raccourcis mais à vos risques et périls.

Autres conseils

• Commencez par mettre à jour toutes vos extensions avant d’installer une nouvelle version de votre CMS,
• Vérifiez que la nouvelle version de WordPress est compatible avec la version de PHP installée sur votre serveur. En effet, WordPress a besoin de PHP pour fonctionner,
• Et si besoin, assurez-vous que votre thème WordPress est bien compatible avec la nouvelle version de PHP exigée par la mise à jour de WordPress.

3. Migrer votre site sous https pour le sécuriser

Chaque jour, nous partageons nos informations personnelles sur différents sites Web, que ce soit pour faire un achat ou simplement pour se connecter.

Afin de protéger le transfert de données, une connexion sécurisée doit être créée. C’est là que le protocole HTTPS entre en jeu.

HTTPS est une méthode de chiffrement qui sécurise la connexion entre le navigateur des utilisateurs et votre serveur. Les pirates ont donc plus de mal à espionner la connexion.

Vu les contraintes imposées par le RGPD depuis mai 2018, il vaut mieux éviter les fuites de données.

En plus, Google a également annoncé qu’il utilise HTTPS et SSL comme critère de classement dans leurs résultats de recherche. Cela signifie que l’utilisation de HTTPS et de SSL contribue à améliorer le référencement naturel de votre site Web.

Les prérequis pour migrer votre site Web sous HTTPS ne sont pas très élevés. Tout ce que vous devez faire est de vous procurer un certificat SSL. Il est même en général donné gratuitement par votre hébergeur.

Ensuite pour mettre en place ce certificat et gagner du temps sur les aspects techniques, adressez-vous à votre développeur pour être sûr que la migration se déroule correctement.

Pour en savoir plus, relisez mon article : migrer sous HTTPS, un impératif pour la sécurité de votre site.

4. Sécuriser l’accès à l’administration du site Web de votre entreprise

Pourquoi ?

Parce que la page de connexion à l’administration de votre site Web est la cible privilégiée des hackers.

Vous devez porter la plus grande attention à rendre la vie difficile aux hackers.

Et voici 3 actions simples à mettre en place sur votre page de connexion WordPress :

• Choisir un mot de passe robuste,
• Changer l’identifiant de connexion,
• Modifier l’URL de connexion.

Choisir un mot de passe robuste

Pour sécuriser votre connexion, assurez-vous de choisir un mot de passe robuste et unique pour toutes vos plateformes.

Ce serait bête qu’une personne mal attentionnée puisse accéder non seulement à votre site sous WordPress et aussi à votre liste d’abonnés sous MailChimp, à vos prospects dans HubSpot…

Au final, vous allez avoir du mal à retenir tous ces mots de passe. Comme il est aussi déconseillé de les noter sur un papier ou sur mon mobile, voici comment procéder :

• Choisissez d’abord un mot de passe “principal”, facile à retenir.
• Puis créez une règle pour “adapter” ce mot de passe, à chacun des outils que vous utilisez.

Concrètement, choisissez votre mot de passe “principal” avec :

• Une séquence de caractères issue du titre de votre film préféré (Kill Bill),
• Ajouter des informations personnelles qu’un hacker ne peut pas deviner, comme le jour de naissance de votre aîné (25),
• Ajouter un caractère spécial (£).

Ce qui donne par exemple : Kill2£5Bill

Pour avoir ensuite un mot de passe différent pour chacun de vos outils, ajoutez tout simplement des caractères présents dans le nom de l’outil sur lequel vous cherchez à vous connecter.

Par exemple, prenez la deuxième lettre de l’outil et insérez-la en majuscule en 3ème position dans votre mot de passe principal. Ce qui donne dans mon exemple et pour WordPress : KiOll2£5Bill

Ce n’est pas clair ? Relisez mes 3 conseils pour choisir vos mots de passe !

Que faire si vous partagez l’accès de votre site WordPress au sein de votre équipe ?

Mais vous partagez surement les droits d’accès à la console d’administration de votre site Web au sein de votre équipe.

En effet, le Marketing de Contenu, le référencement naturel (SEO) et toutes les autres actions de Marketing Digital reposent sur la capacité de votre équipe à mettre facilement à jour votre site Web.

Alors assurez-vous que tous les utilisateurs avec qui vous partagez vos accès soient conscients de l’importance d’avoir des mots de passe « robustes ».

Exigez aussi de vos utilisateurs de changer régulièrement leur mot de passe.

Pour changer votre mot de passe ou celui d’un de vos utilisateurs, connectez-vous à votre console d’administration WordPress :

• Dans la colonne de gauche, cliquez sur “Utilisateurs” pour afficher la liste de vos utilisateurs,
• Positionnez votre souris sur un utilisateur et cliquez sur le lien “modifier” pour faire apparaître la fiche de cet utilisateur,
• Faites défiler vers le bas pour voir le bouton “Générer un mot de passe”, cliquez dessus puis une fois la génération ou la saisie effectuée, pensez bien à “Mettre à jour le profil” avec le bouton en bas de la page.

Astuce : utilisez un générateur de mot de passe comme LastPass ou Dashlane. Ils vont générer des mots de passe robustes mais aussi les stocker dans votre navigateur, ce qui vous évite de devoir vous en souvenir.

Changer l’identifiant de connexion “admin” par défaut de WordPress

Lors de l’installation, WordPress ajoute un premier administrateur au doux nom de “admin”.

Evidemment, les hackers le savent. Donc, si vous conservez un utilisateur avec un identifiant “admin”, il ne leur reste plus qu’à trouver votre mot de passe.

Supprimez sur le champ cet utilisateur “admin”, en suivant les instructions ci-dessous.

Créer un nouvel utilisateur avec un rôle administrateur

• Connectez-vous à votre administration de WordPress,
• Allez sur l’onglet “Utilisateurs” puis cliquez sur « Ajouter »,
• Renseignez les informations de cet utilisateur,
• Cliquez sur « Ajouter Utilisateur ».

Remarques :

• WordPress va exiger une adresse mail différente de celle de l’utilisateur “admin”,
• Sélectionnez bien « Administrateur » comme rôle de ce nouvel utilisateur,
• Choisissez un nom d’utilisateur difficile à deviner. Par exemple, je n’utilise ni « audrey », ni “toto”,
• Choisissez un mot de passe robuste tel que décrit précédemment.

Ensuite, déconnectez-vous de WordPress.

Supprimer l’administrateur “Admin”

• Connectez-vous de nouveau avec les identifiants de l’administrateur que vous venez de créer,
• Cliquez sur « Utilisateurs » dans le menu à gauche,
• Positionnez votre souris sur « admin ». Les liens d’action « Modifier » et « Supprimer » s’affichent. Cliquez sur « Supprimer ».
• Pour ne pas effacer tout le contenu affecté à “admin”, dans l’écran suivant, sélectionnez l’option « Attribuer tout le contenu à » et choisissez un nom dans la liste,
• Cliquez sur le bouton « Confirmer la suppression ».

C’est fait !

Enchaînons avec l’URL de connexion.

Modifier l’URL de connexion à l’administration de WordPress

Un défaut de sécurité de WordPress est le lien de connexion, qui est par défaut :

www.votresite.com/wp-admin

En laissant ce lien par défaut, vous simplifiez le travail des hackers.

Modifier ce lien de votre page de connexion WordPress crée immédiatement une barrière supplémentaire pour sécuriser votre site.

Alors pour changer votre URL de connexion, je vous conseille l’extension gratuite WPS Hide Login.

Après avoir installé et activé WPS Hide Login :

• Allez sous “Réglages” dans la colonne de gauche de votre console d’administration,
• Cliquez sur “Général”
• En bas de la page, vous trouvez le champ « URL de connexion » dans lequel vous allez saisir un terme créatif facile à vous rappeler et difficile à deviner.

Pour plus de détails, reportez-vous à notre article “Sécuriser WordPress avec une autre URL de connexion !”.

Evidemment, partagez cette URL avec les autres membres de votre équipe.

Limiter le nombre de tentatives de connexion à votre administration

Si ensuite, par malheur un pirate devine l’URL de votre page de connexion, il va essayer de se connecter en faisant tourner en boucle des combinaisons d’identifiants et de mots de passe.

Les experts en sécurité parlent d’attaques par force brute.

Alors pour encore mieux sécuriser votre site Web, installez une extension qui bloque l’accès après quelques tentatives infructueuses.

Un peu comme pour votre carte bleue qui se bloque après quelques saisies erronées de votre code PIN.

Là encore, pas besoin de faire appel à un développeur, il existe une extension WordPress gratuite : Limit Login Attempts Reloaded.

Comme son nom l’indique en anglais, elle limite les tentatives de connexion. Mais ne vous inquiétez pas, cette extension est disponible aussi en français.

Après avoir installé et activé Limit Login Attempts Reloaded, vous retrouvez ses paramètres sous “Réglages”.

• Cochez l’option pour rendre l’extension compatible avec le RGPD,

Par défaut :

• Au bout de 4 tentatives de connexion, l’utilisateur ne peut plus se connecter pendant 20 minutes,
• Et au bout de 4 blocages de 20 minutes, il est bloqué pendant 24h.

A vous de paramétrer ces valeurs si elles ne vous conviennent pas.

En-dessous, vous pouvez aussi filtrer selon l’adresse IP et/ou le nom d’utilisateur pour lesquelles l’extension n’est pas activée ou au contraire bloquée par défaut.

En effet, un moyen facile d’empêcher des personnes de pénétrer dans votre administration WordPress ou votre serveur d’hébergement consiste à bloquer toutes les adresses IP, à l’exception de celles utilisées par votre équipe.

Personne n’est infaillible.

C’est pourquoi ces ajustements d’accès supplémentaires s’ajoutent réellement pour augmenter la sécurité globale de votre site Web.

Il existe des conseils plus techniques comme masquer la balise HTML indiquant la version de votre WordPress. Pour cela, je vous renvoie vers l’article sur la sécurisation de WordPress chez wpchannel.

Mais, ce n’est pas fini.

5. Sauvegarder régulièrement tout votre site Web

Beaucoup d’entrepreneurs imaginent que leur hébergeur fait des sauvegardes de leurs fichiers.

C’est peut être le cas, mais en êtes-vous sûr ?

En plus, la sauvegarde proposée par les hébergeurs est en général enregistrée sur votre serveur. Si bien que si votre serveur “crash”, vous perdez tout.

Voici 2 cas concrets :

• Un virus s’est installé sur votre serveur et impossible de l’éliminer,
• Votre site web est hébergé sur un serveur mutualisé. Et un site Web qui partage votre serveur est piraté. Cette attaque peut avoir des conséquences néfastes sur tout le serveur.

De toute façon, avoir une politique de redondance en matière de sécurité est toujours efficace.

Mon conseil : Installez l’extension WordPress “UpdraftPlus”. Puis, configurez-la de façon à faire une sauvegarde quotidienne et sur un service externe comme Google Drive par exemple.

Passez en revue vos sauvegardes périodiquement pour être sûr qu’elles se déroulent correctement. Rien n’est plus terrible que de réaliser que vos sauvegardes ne sont pas bien configurées le jour où vous en avez réellement besoin.

La redondance facilite la continuité du site Web. Et la continuité signifie la disponibilité, ce qui signifie plus de chances de conquérir de nouveaux clients.

FAQ – 3 questions sur la sécurisation d’un site sous WordPress

Un site sous WordPress est-il facilement piratable ?

En fait, WordPress est tout aussi sécurisé que n'importe quelle autre plate-forme tant que vous prenez les mesures de sécurité appropriées. En plus, ces mesures ne sont pas compliquées. Par co,ntre, ce sont des tâches très routinières. Et si vous n'y faites pas attention, alors, votre site web sous WordPress devient plus sensible aux attaques.

WordPress peut-il être facilement sécurisé ?

WordPress est sécurisé, dès que vous prenez au sérieux la sécurité de votre site Internet. Pour cela, suivez les meilleures pratiques comme utiliser un Thème et des extensions populaires et régulièrement mis à jour, le suivi d'une procédure de connexion pour votre équipe, l'utilisation de plugins de sécurité et la mise à jour régulière de tous ces composants logiciels.

Comment concrètement sécuriser WordPress ?

Voici quelques conseils pour sécuriser votre site sous WordPress. Choisissez une bonne société d'hébergement, utilisez un thème professionnel, installez un plugin de sécurité, utilisez un mot de passe fort, installez un certificat SSL, modifiez votre URL de connexion, limitez les tentatives de connexion...

Conclusion sur les 5 “assurances” pour sécuriser le site Web de votre entreprise

Voilà les 5 “assurances” pour éviter toute catastrophe :

• Choisir un hébergeur sécurisé,
• Installer les dernières versions de WordPress et de vos extensions,
• Migrer votre site Web sous HTTPS,
• Sécuriser l’accès à l’administration du site Web de votre entreprise,
• Sauvegarder régulièrement votre site Web…

Ces 5 actions pour sécuriser vos données et votre activité sur Internet sont mises en place en quelques heures. Ensuite, vous pouvez dormir sereinement.

Evidemment en matière de sécurité, aucune approche est infaillible. Mais avec toutes ces 5 actions de sécurisation, les pirates vont préférer se diriger vers des sites plus simples à attaquer.

Maintenant que votre site Web est sécurisé, prenez le temps régulièrement de passer en revue les conseils émis par la Google Search Console.

Non seulement votre Search Console vous prévient d’éventuels risques de sécurité, mais elle donne aussi une radiographie complète de votre site Web, tel que Google le voit.

Votre site Web est la clé de voûte votre communication auprès de vos clients et prospects.

Prenez en soin comme la prunelle de vos yeux. Le succès de votre Marketing Digital en dépend !

Avez-vous mis en place ces barrières pour sécuriser votre site Web ? En connaissez-vous d’autres ?