Les 4 pratiques essentielles pour sécuriser votre site WordPress en 2019

sécuriser wordpress, Les 4 pratiques essentielles pour sécuriser votre site WordPress en 2019

Depuis plusieurs années, WordPress sert à concevoir des millions de sites Web. Une multitude d’entre eux collectent, même stockent, des informations privées et personnelles de façons sécurisées. Il s’agit souvent des données de paiement des clients e-commerce. Il faut donc à tout prix sécuriser votre site WordPress.

WordPress est un nom reconnu par beaucoup d’utilisateurs, donc on a tendance à penser que ce CMS est forcément invulnérable au piratage.

En réalité, c’est assez fréquemment contredit, mais rassurez-vous tout cela est normal.

En réalité les logiciels ont toujours des failles, WordPress, ne fait pas exception à la règle. Généralement lorsqu’un site WP se fait pirater ce n’est pas la faute du CMS WordPress… Mais du webmaster gérant le site. En effet, les clients ne suivent que peu souvent les recommandations afin de sécuriser leur site wordpress.

CYBERCRIMINALITÉ

Depuis le début de 2019, les spécialistes s’attendent à davantage de pénétrations sur les sites WP, car passablement de gens n’ont pas fait l’update sur WP 5.0 depuis décembre 2018.

De plus, en tant qu’agence de création de site wordpress en Suisse, il est courant lors du premier contact avec les entreprises, ce n’est pas parce que vous êtes une petite PME romande, française ou Belge que vous serez forcément épargné !

En effet, pour ce genre d’hacking les pirates visent large et automatisent les attaques avec des robots, appelé Bots. Donc une bonne question serait : Que dois-je faire pour éviter le piratage de mon site web et comment sécuriser un site wordpress ?

sécuriser wordpress, Les 4 pratiques essentielles pour sécuriser votre site WordPress en 2019

Nos quatre conseils de sécurité WordPress protégeront votre site en 2019

1. PROTÉGEZ VOTRE PAGE ADMINISTRATEUR

Votre page admin est la première chose à faire pour vous protéger contre les cyberattaques. Alors vous devez mieux la rendre inaccessible. Voici 4 choses impérative pour éviter de mauvaises surprises :

  • Le gens ayant un site WP savent par où accéder à la page admin. C’est tout simple, il suffit de taper /wp-login.php ou /wp-admin. N’importe quel hacking bot ajoutera ce lien à la fin de votre url et vous serez vulnérable. Donc pour commencer à protéger votre site WordPress, il est nécessaire de modifier le lien de votre page administrateur. Il existe des plugins disponibles pour sécuriser son site wordpress.
  • Nous vous invitons aussi à utiliser système de verrouillage de site Web, cela s’appelle un « anti-brute force » qui bloquera votre site après plusieurs tentatives de fausses combinaisons utilisateur/mot de passe. Cela protège contre les attaques forcées. Au moment où des tentatives d’accéder à votre WP avec un mot de passe incorrect à plusieurs reprises, la page admin se bloque et vous recevrez un email ou sms vous indiquant qu’une adresse IP tente d’y accéder sans autorisation. Il y a plusieurs plugins spécifique que vous pourrez tester pour sécuriser votre site wordpress.
  • Sur la page admin, une authentification à deux-facteurs est une autre mesure de sécurité complémentaire. En tant que gestionnaire du site WP, vous devez décider quels paramètres utiliser. Il peut s’agir d’un mot de passe normal avec code secret, de caractères ou alors utilisez encore un système qui envoie le fameux code secret sur votre téléphone. Cette dernière option vous garantira que seule la personne ayant le téléphone, normalement vous, pourra accéder au site.
  • Vous devriez mettre à jour vos mots de passe régulièrement. Utilisez un mélange de majuscules, de minuscules, de chiffres et des caractères spéciaux. En brute force un mot de passe assez long (10) sera quasiment impossible à pirater.
sécuriser wordpress, Les 4 pratiques essentielles pour sécuriser votre site WordPress en 2019

2. UTILISEZ UN HÉBERGEMENT SÉCURISÉ POUR WORDPRESS

Pour sécuriser un site sous wordpress nécessite plus que le blocage de ce dernier. Un site WP serait à protéger au niveau du serveur web. Ceci est une des responsabilités de votre hébergeur. Il est fondamental de faire vos recherches et de trouver un hébergeur en qui vous pouvez avoir toute confiance et présent depuis de longues années comme infomaniak ou siteground.

Au préalable, votre serveur devrait disposer d’un pare-feu au niveau du serveur, ainsi que de systèmes permettant de détecter les intrusions. Cela protégera vos site web, même pendant l’installation de WordPress et dès le développement de votre site. Une autre solution efficace est cloudflare en version gratuite qui agit directement du traffic.

En utilisant un hébergement cloud, l’hébergeur devrait être en mesure d’assurer que le logiciel installé sur ses serveurs protège votre site WordPress tout en étant compatible avec les dernières mises à jour de WordPress.

3. UTILISEZ WP AVEC LES DERNIÈRES MISES A JOUR

Lorsqu’on désire qu’un site WP soit correctement sécurisé, il faut en assurer la maintenance donc mettre à jour les versions de wordpress.

Tout comme vous changer votre huile de moteur ou faites la tonte de votre pelouse, vous devez effectuer la maintenance de votre site WordPress. De la base noyau WordPress, en passant par vos plugins et vos thèmes tous doivent faire l’objet de mises à jour régulières.

Un rapport venant de la firme WP White Security a révélé que

« près de 50 % des failles de WP viennet de plugins ou alors des thèmes non mis à jour ou non corrigés. Les vulnérabilités se répandent vites dans le monde de l’opensource et les personnes qui cherchent à exploiter ces failles savent par où commencer ».

source: https://www.wpwhitesecurity.com/statistics-highlight-main-source-wordpress-vulnerabilities/

D’après Malcare Security, ce nombre serait encore beaucoup plus élevé, aux environs de 80 %. Raison pour laquelle WordPress doit être mis à jour très souvent. Chaque nouvelle version corrige les bugs et les failles de sécurité. WordPress identifie ses vulnérabilités et lors de chaque mise à jour, ils mentent en place des mesures de protection contre ces dernières. Sans mises à jour, votre site sera fragile face aux attaques.

Aussi, que vous aimiez ou pas les dernières trouvailles de WordPress (oui vous, chers éditeurs de Gutenberg), faire les updates n’est plus optionnel, mais nécessaire pour sécuriser votre site WordPress.

sécuriser wordpress, Les 4 pratiques essentielles pour sécuriser votre site WordPress en 2019

4. NE PAS HÉBERGER PLUSIEURS SITES WP SUR LE MÊME SERVEUR
Imaginez que vous ayez 4 sites hébergés sur votre compte serveur. 3 de ces sites Web ont beaucoup de visiteurs, donc ils bénéficient régulièrement de mises à jour, mais il ne faut pas oublier d’actualiser le dernier pour sécuriser wordpress.

Un bot pirate peut trouver les problèmes du sites pas à jour et accéder au backend de votre serveur d’hébergement. Après, il aura la possibilité de télécharger un script permettant de prendre la main sur votre hébergement et pirater les données des fichiers qui s’y trouvent.

Ne vous inquiétez pas trop sur le fait d’avoir un hébergement partagé, il faut souligner que les bons hébergeurs Web ont de très petits regroupements de serveurs. On pense alors qu’il y a peu de sites hébergés sur chaque serveur.

Donc, quand l’un d’entre eux est attaqué, le hacking n’aura touché qu’un petit nombre de sites web… Ce qui réduit d’autant le risque que votre site WP fasse partie du lot.

Et pour terminer…

Encore quelques autres conseils que vous pouvez appliquer en 2019, pour sécuriser WordPress :

  • Utilisez des thèmes WP de qualité, c’est-à-dire mise à jour par leurs créateurs. Faites vos vérifications avant de choisir un thème WordPress gratuit.
  • Il ne faudrait pas prendre administrateur comme nom d’utilisateur. Malheureusement, beaucoup de webmaster de WordPress utilisent admin comme nom d’utilisateur. Il est donc facile de déchiffrer l’identifiant sur leur site Web sou WordPress.
  • Désactivez l’édition et la modification de fichiers via le dashboard de bord WordPress.