D’après le Search Engine Journal (noiise), en 2022, WordPress est utilisé par 42,9% des sites web dans le monde soit 10 fois plus que son concurrent le plus direct Shopify (64,1% des parts de marché CMS).
C’est ce qui en fait la cible majeure des cyber-attaques, chaque année, des centaines de milliers de victimes.
Heureusement, il y a beaucoup de paramètres sur lesquels intervenir pour vous prémunir des attaques à l’encontre de votre site vitrine, de votre site e-commerce ou de votre blog. De quoi vous réconilier avec la sécurité sur WordPress.
Cela peut paraître obscur et fastidieux, mais la dernière chose dont vous avez envie, est d’arriver au bureau un lundi matin et de découvrir une fuite de l’ensemble de vos données avec rançon à la clé… Mais pas de panique !
Cet article est fait pour vous guider sur les 10 étapes à réaliser pour sécuriser votre site WordPress 🔐
Les 10 étapes clés pour sécuriser son site internet
Parce qu’environ 100 000 sites internet sont piratés chaque jour, un petit bilan sécurité de votre espace WordPress s’impose. Vous trouverez ici des points essentiels et des astuces pour sécuriser votre site WordPress :
1. Choisir un hébergeur fiable
2. Installer un certificat SSL
3. Choisir des ID / MDP solides
4. Protéger son url de connexion admin
5. Protéger la connexion à l’espace admin
6. Utiliser les dernières versions (màj)
7. Cacher sa version de WordPress
8. Durcir l’accès au fichier « wp-config.php »
9. Renforcer la sécurité de sa base de données
10. Sauvegarder régulièrement
1. Choisir un hébergeur fiable
Il existe une multitude d’hébergeurs disponibles sur le web pour toutes les bourses. Cependant, certains sont à éviter ou d’autres correspondent à des besoins très spécifiques. Mais alors comment choisir un hébergeur fiable ?
Voici quelques critères pour vous guider :
Depuis combien de temps existe-t-il ?
Il ne s’agit pas du critère le plus important, mais un hébergeur qui n’exerce que depuis quelques années a naturellement moins de crédibilité qu’un hébergeur historique (expérience, infrastructures, gestion…).
Attention tout de même, certains hébergeurs sont sur le marché depuis de nombreuses années et sont pourtant, à mon sens, à éviter ⚠️
Offre-t’il une sécurité SSL gratuite ?
L’hébergeur se soucie-t-il de vos besoins ? Un bon hébergeur web ne se contente pas de vous fournir ce service principal mais bien évidemment de vous fournir des services annexes complémentaires. Dans ces services, nous pouvons retrouver une messagerie (mail) mais aussi des outils d’aide à la création et à l’administration de sites web comme l’installation d’un certificat SSL gratuite.
Quelle est sa réputation ?
La plus grosse question est : ont-ils déjà eu une ou plusieurs fuites de données/failles de sécurités connues ? Cela peut déjà donner une idée de la fiabilité de l’hébergeur. La seconde question est : comment ont-ils réagi ? (communication, réactivité voire indemnisation).
Renseignez-vous sur les forums et les blogs.
Le S.A.V est-il réactif et performant ?
Selon moi, il s’agit du second critère le plus important. Des problèmes ou des bugs, ça peut arriver, même aux meilleurs. Je mesure ici la capacité des hébergeurs à répondre rapidement aux questions de leurs clients, mais aussi leur efficacité dans la résolution des problèmes rencontrés.
Là aussi, renseignez-vous, sur des forums ou des blogs, pour vous faire une idée.
Pour avoir testé de nombreux hébergeurs (français), tous ne se valent pas sur ce sujet. Et surtout pas OVH ! Vous savez, le leader français de l’hébergement.
Je ne comprends vraiment pas pourquoi. En plus des prix excessifs, le service n’est vraiment pas à la hauteur. Vous avez un problème ? Débrouillez-vous ou soyez (très) patient.
En revanche, je recommande o2switch les yeux fermés ! (l’article n’est pas sponso, mais si o2switch veulent me donner un code promo, c’est avec plaisir 👋).
Un prix très raisonnable pour un service de qualité, des outils performants et surtout un S.A.V réactif, à l’écoute et efficace. Ils proposent aussi des affiliations avec de nombreux outils très utiles dont certains que j’évoquerais ici.
2. Installer un certificat SSL
Il est aujourd’hui impératif d’installer un certificat SSL (Secure Sockets Layer) sur son site internet : sécurité, SEO, crédibilité et performance. Il s’agit d’un mécanisme qui permet aux internautes de se connecter de manière sécurisée avec un site web.
3. Choisir des ID / MDP solides
2023 arrive à grands pas, essayons de bannir les identifiants tels “Thomas”, “Thomas76” ou le bon vieux “Admin”. Idem pour les mots de passe, le nom de votre chien n’est pas sécurisé ❌
Il faut privilégier des suites de caractères numériques, alphabétiques et spéciaux dans un ordre illogique de préférence. C’est relou, mais moins qu’une rançon pour récupérer ses accès 💰
ID : hV6O@z
MDP : uEMAybMbQ%w1yd056#
4. Protéger son URL de connexion (admin)
Par défaut, l’accès administrateur de WordPress se fait par cette page : https://www.mon-site.fr/wp-admin/.
Si c’est votre cas, vous faites partie des centaines de milliers de sites WordPress vulnérables aux attaques de masse qui ciblent l’ensemble des espaces admin accessibles par ce lien 🎯
De nombreux plugins, tels que SecuPress Pro, WPS Hide Login ou Cerber pour ne citer qu’eux, vous permettent de facilement modifier l’url d’accès à votre espace admin 🛡️
Bonus : avec o2switch vous pouvez profiter de 20% de réduction sur l’abonnement annuel de SecuPress Pro.
5. Protéger la connexion à l’espace admin
Captcha
Tout le monde connaît ce système qui permet d’exclure les tentatives de connexion par des robots. Cela permet de se prémunir des attaques de masse par une simple réponse à une addition ou autre.
Double authentification
La double authentification est une excellente pratique pour se protéger. La majorité des attaques ne sont pas ciblées (attaques de masse) et la mise en place de cette authentification est une seconde sécurité en cas de faiblesse du mot de passe 🙅🏻♂️
Limiter le nombre de connexion
Il est aussi conseillé de limiter le nombre de tentatives de connexion pour une durée définie, ralentissant considérablement le travail des logiciels malveillants 🤖
Je conseille le plugin SecuPress Pro qui offre l’ensemble des fonctionnalités cités ici.
J’ai aussi découvert Limit Login Attemps Reloaded grâce à LudwigYou 🦾
6. Utiliser les dernières versions (MAJ)
En 2017, selon Sucuri, 39% des sites WordPress piratés étaient des versions obsolètes (61% en 2016). C’est énorme !
Les mises à jour PHP, WordPress, WooCommerce ou encore de vos plugin apportent régulièrement des corrections aux failles de sécurité 💊
Être à jour est donc essentiel, mais attention aux failles “0-Day” (zero-day) qui peuvent aussi être exploitées.
Une faille zero-day est une faille de sécurité dont l’éditeur du logiciel ou le fournisseur de service n’a pas encore connaissance, ou qui n’a pas encore reçu de correctif (généralement à la suite d’une refonte système, d’une mise à jour…).
Je conseille d’attendre au moins une semaine pour effectuer vos mises à jour et pouvoir vous renseigner sur les potentiels risques de cette dernière.
7. Cacher sa version de WordPress
Moins les internautes en savent sur votre installation WordPress, mieux c’est. Chaque version possède son lot de failles déjà bien connues des personnes malintentionnées 🥷🏻
Laisser sa version WordPress en clair (en-tête du code source d’un site) vous rend très vulnérable, surtout si elle est obsolète. Il suffit d’ajouter à son fichier “functions.php” le code suivant :
function wp_version_remove_version(){ return ''; } add_filter('the_generator','wp_version_remove_version');
8. Durcir l’accès au fichier “wp-config.php”
Votre fichier « wp-config.php » est le cœur de votre installation WordPress, ce qui en fait le fichier LE PLUS important en termes de sécurité.
Pour se protéger d’éventuelles attaques, il est recommandé de le déplacer dans un répertoire non-accessible. Pour ce faire, vous devez déplacer le contenu de votre fichier wp-config.php puis utiliser cette commande directement dans le fichier d’origine :
include('/home/yourname/wp-config.php');
⚠️ Ces manipulations sont à faire avec précaution pour ne pas casser une installation existante, se renseigner au préalable ⚠️
Il est aussi conseillé de changer ses clés de salage régulièrement. Il est possible de le faire manuellement, mais j’ai choisi l’option facile avec le plugin “SlatShaker” disponible juste ici.
L’intérêt est double puisque le changement de ces clés déconnecte tous les utilisateurs et les oblige à se reconnecter chaque jour (vous compris) 🔒
9. Renforcer la sécurité de sa base de données
Par défaut, à l’installation de WordPress, la base de données est renommée de la sorte : “wp_monsite”.
La première bonne pratique est de modifier le nom de sa base de données par quelque chose qui n’a rien à voir avec votre site et la rendra donc plus difficile à trouver : “wp_unmotaléatoire”.
Dans un second temps, il est possible de changer le préfixe de table (“wp_”) pour rendre votre base davantage sécurisée.
⚠️ Ces manipulations sont à faire avec précaution pour ne pas casser une installation existante, se renseigner au préalable ⚠️
10. Sauvegarder régulièrement
En cas d’attaque, mais aussi en cas d’un quelconque problème technique, disposer d’une version saine et récente de son site est un confort non négligeable ✅
Les bons hébergeurs comme o2switch (oui encore eux) effectuent des sauvegardes pour vous, mais vous pouvez aussi utiliser un plugin “UpdraftPlus”.
Ce n’est pas le seul plugin, mais c’est celui que j’ai pu utiliser plusieurs fois déjà et j’apprécie la possibilité de pouvoir stocker ses sauvegardes sur un cloud tel que Google Drive, Dropbox ou autre. En cas de problème avec votre machine (mac ou pc), les sauvegardes de votre site sont intactes !
Conclusion
Bien entendu, ces 10 étapes pour sécuriser votre site WordPress ne sont pas toutes indispensables. Mais elles ne sont pas non plus exhaustives !
Pour plus de détails techniques, je vous invite à consulter l’article de Ludwig You ou à le contacter directement 👍
Tout dépend du niveau de sécurité que vous voulez appliquer à votre site, mais aussi des enjeux que cela représente.
Estimez-vous traiter des données sensibles ? (personnelles, moyens de paiement…). Réalisez-vous des transactions ? Êtes-vous nationalement connus ?
Enfin… Êtes-vous une cible de 1er choix pour les « pirates » ?
Pour résumer, je conseille au minimum de choisir un hébergeur fiable et d’installer un plugin de sécurité complet (et généralement payant). Ces plugins permettent de facilement vous prémunir des plus grandes menaces présentes actuellement (SecuPress Pro, WPS Hide Login ou Cerber).