En effet, cette plateforme de publication est aujourd’hui utilisée par plus de 27,5% des 10 millions de sites les plus importants. D’autres plates-formes telles que Joomla et Drupal sont tout simplement pâles en comparaison. Ce qui rend WordPress si largement pris en charge, c’est sa facilité d’utilisation, qui permet de créer un site entièrement fonctionnel en peu de temps.

Mais le fait que WordPress soit si répandu en fait également une cible pour les pirates.

Toute vulnérabilité de sécurité pourrait rendre votre site vulnérable aux attaques malveillantes et même compromettre les données des utilisateurs au cours du processus. Ce type d’attaque peut être absolument dévastateur pour toute entreprise.

Un site compromis réduit non seulement la confiance avec vos visiteurs, mais peut également mettre vos pages sur la liste noire de Google. En fait, une étape que Google prend déjà vers un Web plus sécurisé affiche un avertissement pour les utilisateurs de Chrome s’ils tentent de visiter un site potentiellement dangereux ou trompeur (par exemple, hameçonnage ou logiciel malveillant).

Toute personne visitant votre site (s’il a été attaqué) pourrait être confrontée à ce qui suit :

L’importance de la sécurité du site Web ne peut pas être assez soulignée.

Il suffit d’une seule attaque pour arrêter complètement les ventes et potentiellement mettre votre site sur la liste noire de Google. La suppression de votre site est certainement possible, mais vous devrez demander un examen manuel qui peut prendre plusieurs jours, voire des semaines, en fonction du problème. Une bien meilleure solution consiste alors à prendre des mesures pour protéger votre site.

Nous examinons ici en détail comment vous pouvez protéger et sécuriser votre site WordPress.

Gardez WordPress à jour

Les mises à jour pour WordPress sont essentielles.

Une évaluation de plus de 11 000 sites infectés a révélé que 75 % étaient sur WordPress. Plus surprenant cependant est le fait que plus de 50% de ces sites Web étaient obsolètes. La mise à jour vers la dernière version vous donne non seulement accès à de nouvelles fonctionnalités, mais corrige également les failles de sécurité connues que les attaquants pourraient exploiter.

En fait, ces vulnérabilités de sécurité deviennent connues lorsque de nouvelles mises à jour sont disponibles. Voici un exemple de journal de sécurité pour une version mise à jour de WordPress :

Ces informations sont librement disponibles à mesure que de nouvelles mises à jour sont publiées. Mais si vous ne mettez pas immédiatement à jour, vous laissez votre site ouvert aux attaques. Mettez toujours à jour vers la dernière version pour protéger votre site contre les vulnérabilités nouvellement découvertes. Si des mises à jour sont disponibles, vous verrez une notification en haut de votre tableau de bord :

Les nouvelles versions de WordPress vous permettent de mettre à jour facilement en un clic. Gardez à l’esprit que votre site sera mis en mode maintenance pendant une courte période jusqu’à ce que la mise à jour soit terminée. La mise à jour ne prend que quelques minutes, mais une fois terminée, vous n’aurez rien d’autre à faire.

Vous n’avez pas envie de mettre à jour manuellement votre site à chaque fois ?

Les notifications peuvent être assez ennuyeuses. Mais la mise à jour de votre WordPress est l’un des moyens les plus simples de sécuriser votre site. Si vous ne voulez pas vous soucier de savoir si votre site dispose de la dernière version, vous pouvez configurer des mises à jour automatiques avec quelques ajustements simples.

Ouvrez le fichier wp-config.php et ajoutez-y la ligne suivante :

define('WP_AUTO_UPDATE_CORE', true);

Vous pouvez également activer les mises à jour automatiques du plug-in en ajoutant la ligne suivante au même fichier :

add_filter( 'auto_update_plugin', '__return_true' );

Et ajoutez cette ligne pour activer les mises à jour des thèmes :

add_filter( 'auto_update_theme', '__return_true' );

L’ajout de ces lignes garantira que votre site est tenu à jour sans nécessiter aucune autre action. Si vous êtes quelqu’un qui ne peut tout simplement pas être dérangé par les mises à jour ou les notifications, vous voudrez certainement configurer des mises à jour automatiques pour vous assurer que votre site est toujours à jour.

Protégez la zone d’administration

Quelle que soit la sécurité de quelque chose, n’importe qui peut facilement y accéder s’il dispose des bons outils ou si les propriétaires sont négligents. Avec WordPress, la zone d’administration est une cible de choix pour les pirates.

Suivez ces étapes pour sécuriser cette page :

Utilisez un mot de passe fort

Si vous utilisez un mot de passe faible (par exemple "12345", "mot de passe", etc.), vous exposez votre site à un plus grand risque car les attaquants peuvent utiliser des scripts automatisés pour entrer par force brutale. Cela signifie qu’il faut essayer à plusieurs reprises un mot de passe jusqu’à ce qu’il fonctionne enfin. Mais l’utilisation d’un mot de passe fort qui contient une combinaison de chiffres et de symboles rend presque impossible le piratage des programmes, même les plus sophistiqués.

Utilisez un outil tel que Strong Password Generator pour créer un mot de passe fort et sécurisé pour votre site WordPress :

Brute forcer un mot de passe comme celui-ci prendrait des années, voire des décennies, à un programme informatique pour se fissurer. L’inconvénient est qu’un mot de passe fort est difficile à retenir. Mais le compromis en vaut vraiment la peine s’il s’agit d’empêcher les attaquants d’accéder à votre site. Heureusement, il existe un certain nombre de gestionnaires de mots de passe que vous pouvez utiliser pour stocker votre mot de passe.

Modifier votre nom d’utilisateur

Lorsque vous installez WordPress pour la première fois, il vous sera demandé d’entrer un nom d’utilisateur.

Les pirates ne pourront accéder à votre tableau de bord que s’ils disposent à la fois de votre nom d’utilisateur et de votre mot de passe. Vous pouvez facilement bloquer les tentatives de force brute en utilisant simplement un nom d’utilisateur plus unique. N’utilisez donc pas «admin» lorsque vous choisissez un nom d’utilisateur.

Limiter les tentatives de connexion

Comme mentionné précédemment, les attaquants peuvent utiliser des programmes pour pénétrer de force dans votre site. Cependant, il existe des plugins disponibles tels que Login LockDown qui vous permettent de limiter les tentatives de connexion à partir d’une adresse IP spécifique. Si plusieurs tentatives échouent, cet utilisateur est verrouillé.

Renommer votre page de connexion

Enfin, une autre façon de protéger la zone d’administration consiste à déplacer complètement la page de connexion. Le tableau de bord est généralement accessible depuis www.yoursite.com/wp-admin. Un problème flagrant cependant est que les pirates savent que le simple fait d’ajouter " /wp-admin" à un site WordPress leur donnera accès à la page d’administration.

Protect WP-Admin résout ce problème en permettant aux webmasters de personnaliser l’URL du panneau d’administration :

La protection de la zone d’administration en suivant ces étapes peut considérablement réduire et bloquer les attaques automatisées sur votre site.

Activer l’authentification à deux facteurs

L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire en rendant encore plus difficile l’accès à votre compte pour les attaquants. La connexion nécessite non seulement un nom d’utilisateur et un mot de passe, mais également un code d’autorisation supplémentaire qui est généralement envoyé par SMS à un appareil mobile.

Même si un attaquant devine d’une manière ou d’une autre votre nom d’utilisateur et votre mot de passe, il ne pourra pas se connecter à votre compte sans le code d’autorisation. Téléchargez et installez le plug-in Google Authenticator pour configurer facilement l’authentification à deux facteurs sur votre site :

En plus de pouvoir utiliser l’application Google Authenticator pour la vérification, le plug-in offre également des options supplémentaires pour l’authentification à deux facteurs, telles que la vérification des e-mails et des appels téléphoniques. L’authentification à deux facteurs peut également être utilisée si votre site compte plusieurs utilisateurs.

Utilisez .htaccess pour limiter l’accès aux fichiers cruciaux

Vous pouvez encore renforcer la sécurité de votre site WordPress avec le fichier .htaccess. Ce fichier est principalement utilisé dans WordPress pour l’optimisation de sites Web, comme la réécriture d’URL afin d’être plus convivial pour les utilisateurs et les moteurs de recherche. Mais il peut également être utilisé pour améliorer la sécurité de votre site.

Le fichier .htaccess se trouve généralement dans le dossier racine et est accessible via un client FTP ou cPanel. Il existe également plusieurs plugins disponibles dont SEO by Yoast qui permet un accès direct depuis le tableau de bord.

Voici plusieurs façons de protéger votre site à l’aide du fichier .htaccess :

Masquer wp-config.php

Le fichier wp-config.php est standard avec chaque installation, mais il contient également des informations sensibles telles que les clés de sécurité et les détails de connexion de la base de données à votre site. Ce sont des détails que vous ne voulez certainement pas entre de mauvaises mains. La meilleure solution est alors de cacher entièrement ce fichier et de le rendre inaccessible.

Cachez le fichier wp-config.php en ajoutant le code suivant au fichier .htaccess :

<files wp-config.php>
order allow,deny
deny from all
</files>

Empêcher la navigation dans les répertoires

En raison de la façon dont WordPress implémente sa structure de fichiers, il est tout à fait possible pour les visiteurs d’accéder aux dossiers et fichiers de votre site en naviguant simplement sur yoursite.com/wp-content/uploads. Vous voudrez donc empêcher la navigation dans les répertoires, car les attaquants pourraient utiliser ces informations à des fins malveillantes.

Ajoutez la ligne suivante à votre fichier .htaccess :

Options All -Indexes

Les fichiers PHP sont extrêmement importants à protéger car les pirates peuvent utiliser ces fichiers pour injecter du code malveillant afin d’infecter un site. Ajoutez le code suivant à votre fichier .htaccess pour empêcher l’accès aux fichiers PHP de votre plugin et de votre thème :

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]

Le simple fait d’ajouter ces modifications à votre fichier .htaccess améliorera la sécurité de votre site WordPress et rendra encore plus difficile l’accès à votre site pour les attaquants. Quoi qu’il en soit, il n’existe pas de site complètement sécurisé, car de nouvelles vulnérabilités sont constamment découvertes et exploitées.

C’est pourquoi vous devez avoir un plan de secours au cas où les choses empireraient.

Sauvegardez régulièrement votre site Maintenez des sauvegardes régulières

Peu importe le nombre de mesures de sécurité que vous prenez, votre site peut toujours être vulnérable.

Même si WordPress existe depuis plus d’une décennie, l’équipe de développement identifie et résout constamment les problèmes de sécurité. Sans oublier que tout nouveau thème ou plugin que vous installez pourrait également avoir des exploits qui n’ont pas encore été corrigés.

C’est pourquoi c’est une bonne idée de sauvegarder régulièrement votre site. De cette façon, vous pouvez restaurer rapidement votre site et minimiser les pertes si votre site est supprimé suite à une attaque.

Vous voudrez vous assurer que votre site est sauvegardé selon un calendrier régulier et également enregistré dans le cloud. Si votre ordinateur est compromis, vous pourrez accéder à cette sauvegarde et à cette restauration à partir d’un autre appareil. Nous vous recommandons d’utiliser une solution automatisée telle que BackupBuddy.

La plupart des solutions de sauvegarde nécessitent un abonnement payant. Mais si vous comptez sur votre site Web pour votre entreprise, payer en vaut la peine pour votre tranquillité d’esprit. Dans le cas où votre site serait supprimé en raison d’une attaque, vous pouvez travailler avec votre fournisseur d’hébergement et restaurer facilement votre site à une version précédente avec une sauvegarde.

Conclusion

Bien que WordPress lui-même soit relativement sécurisé, l’ajout de thèmes, de plugins et de code personnalisé augmente la probabilité d’une vulnérabilité de sécurité que les pirates peuvent (et font) exploiter. À moins que vous ne preniez certaines mesures de sécurité dès maintenant, votre site pourrait être une cible potentielle.

Il est important de noter qu’aucun système n’est totalement sécurisé. Mais vous pouvez prendre certaines précautions qui réduiront considérablement les risques d’être affecté par une attaque malveillante.

Suivez les étapes décrites ici pour renforcer la sécurité de votre site WordPress.