ès la création de votre site WordPress, et quelle que soit son envergure, celui-ci devient une cible pour les pirates informatiques. Si votre site n’est pas bien protégé, les données qu’il contient pourraient être copiées, modifiées ou supprimées. Or, d’après la loi européenne sur la protection des données (RGPD), en vigueur depuis 2018, les propriétaires d’un site Web doivent être particulièrement vigilants.
Heureusement, il existe de nombreuses façons de sécuriser votre site WordPress. Dans cet article, nous vous présentons nos 11 astuces favorites. Rassurez-vous : de nombreuses extensions vous aideront dans votre démarche (par exemple, WP Cerber). Nul besoin de compétences approfondies en informatique pour appliquer la plupart de ces astuces.
Astuce n°1 : choisissez un hébergeur sécurisé
Toutes les données de votre site web sont supportées par votre hébergeur. Il est donc primordial de porter votre choix sur un hébergeur respectant au maximum les critères de sécurité, comme o2switch. Assurez-vous que votre hébergeur soit notamment équipé :
- d’un pare-feu ;
- d’un antivirus ;
- de filtres anti-spam ;
- d’une protection contre les attaques DDos ;
- d’un certificat de sécurité SSL.
Astuce n°2 : ne négligez pas les mises à jour
Les mises à jour relatives à votre site WordPress permettent d’installer de nouvelles fonctionnalités, d’améliorer sa performance ou de corriger certaines failles de sécurité. Si les mises à jour mineures se font souvent automatiquement, certaines versions majeures peuvent demander une démarche manuelle de votre part.
Ces mises à jour s’appliquent :
- à votre version de WordPress, dont le numéro est affiché sur votre tableau de bord ;
- à toutes les extensions installées sur votre site WordPress ;
- à votre thème.
Astuces n°3 : utilisez un mot de passe fort
L’administration de votre site web est la porte d’entrée privilégiée des hackeurs. Cela commence, bien entendu, par le choix d’un mot de passe fort (combinant majuscules et minuscules, chiffres et caractères spéciaux), à renouveler tous les 3 à 6 mois.
Astuces n°4 : changez l’URL de connexion à l’administration
Par défaut, WordPress crée une URL de type www.nomdevotresite.com/wp-admin. Vous pouvez la modifier grâce à une extension telle que WPS Hide Login.
Astuces n°5 : instaurez une limite du nombre de tentatives de connexion
Les pirates informatiques chercheront à accéder à votre administration en testant des combinaisons successives. Afin de diminuer leurs chances de succès, utilisez une extension spéciale, par exemple Login LockDown ou Limit Login Attempts Reloaded.
Astuces n°6 : mettez en place une identification à deux étapes
Décidément, vous menez la vie dure aux pirates ! Voilà que le mot de passe ne suffit plus. La connexion doit être confirmée par un code validation envoyé par SMS, ou via une application. Encore une fois, vous pouvez mettre en place ce système avec une extension telle que Duo Two-Factor Authentication.
Astuces n°7 : supprimez l’accès « admin »
C’est l’identifiant de connexion par défaut attribué par WordPress. Il est fortement recommandé de le changer d’emblée. Créez un autre utilisateur avec le rôle « administrateur », puis supprimez l’utilisateur « admin » (n’oubliez de remplir le champ « Attribuer tout le contenu à », au risque de perdre des données).
S’il est important de renforcer la sécurité de votre interface administrateur, une surcharge de dispositifs de sécurité pourrait vous ralentir dans votre travail : recherchez le bon équilibre.
Astuce n°8 : HTTPS au lieu d’HTTP
La méthode de chiffrement HTTPS permet de sécuriser la connexion entre votre serveur et le navigateur des utilisateurs de votre site. Il vous faut pour cela obtenir un certificat SSL auprès de votre hébergeur : c’est généralement gratuit.
En revanche, il est conseillé de confier la migration vers HTTPS à un développeur.
Astuce n°9 : supprimez les thèmes et extensions inutiles
Faites du tri ! Plus un site est chargé, plus il risque de présenter des failles de sécurité.
Sur WordPress, vous ne pouvez utiliser qu’un seul thème à la fois : supprimez les autres. Il en va de même avec les extensions. Même si elles sont désactivées ou correctement mises à jour, un pirate pourrait trouver le moyen d’en tirer parti.
Astuce n°10 : faites des sauvegardes régulières de votre site
Malgré toutes vos précautions, vous n’êtes jamais totalement à l’abri d’un piratage (ni d’un bug technique). C’est à ce moment-là qu’un processus régulier de sauvegarde peut réellement vous sauver la mise.
Programmez des sauvegardes régulières (pourquoi pas quotidiennes ?) de votre base de données et du contenu de votre site, grâce à une extension comme UpdraftPlus ou BackUpWordPress.
Astuce n°11 : vérifiez la sécurité de votre site
Vous avez mis en place les 10 astuces précédentes ? Ce serait dommage de vous arrêter en si bon chemin… Pour dormir sur vos deux oreilles, faites un dernier effort en vérifiant la sécurité de votre site WordPress grâce à SSL Server Test ou Securi SiteCheck.
Alors, vous sentez-vous de taille à repousser les pirates ?