Comment sécuriser votre site WordPress ?

Étant le CMS le plus populaire et le plus utilisé, WordPress est aussi la cible préférée des actions de piratage, pour la plupart réussie. Cependant, nombreuses d’entre elles peuvent être évitées en choisissant le bon hébergement web et en mettant en œuvre les actions qui suivent.

Cette liste n’est pas exhaustive, mais représente le minimum de règles à adopter si vous souhaitez garder une installation WordPress saine et sécurisée.

1. Commencer par la protection de votre ordinateur

Sécuriser et protéger l’ordinateur que vous utilisez pour gérer votre site WordPress est indispensable, si vous êtes soucieux de la sécurité de votre site web. En effet, si votre ordinateur est infecté par des malwares et logiciels malveillants, un pirate pourrait facilement passer par ces failles pour pirater votre site WordPress.

Par conséquent, commencez par protéger votre ordinateur avec un antivirus et anti-malwares efficace et performant, idéalement payant. D’autre part, n’utilisez pas les Wifi public pour gérer votre site mais optez plutôt pour des connexions sécurisées.

2. Toujours vérifier les mises à jour

Chaque nouvelle version de WordPress n’apporte pas juste de nouvelles fonctionnalités mais elle viendra aussi corriger certaines failles détectées par les développeurs WordPress dans la version précédente. C’est pourquoi, utiliser une version obsolète représentera un risque de piratage de votre site web.

De ce fait, pour éviter cette situation désastreuse, il est nécessaire de toujours garder WordPress à jour, prenez l’habitude de revenir chaque semaine à votre dashboard WordPress et effectuer les mises à jour disponibles, du cœur de WordPress et les plugins et thèmes installés. Heureusement, les notifications de mises à jour s’affichent sur le tableau de bord de WordPress et s’effectuent en quelques clics.

3. Activer HTTPS avec un certificat SSL

Choisir d’installer un certificat SSL et passer vers HTTPS évitera que les informations sensibles destinées à votre site ne soient facilement interceptées par les pirates. Le protocole HTTPS aidera à sécuriser les communications entre les visiteurs du site et le serveur hébergeant votre site web.

Afin d’installer le certificat SSL sur votre site WordPress, il est recommandé de contacter d’abord votre hébergeur web.

Une fois SSL activé sur votre hébergement, le plugin Really Simple SSL vous aide à implémenter cette fonctionnalité en toute simplicité.

4. Sécuriser l’accès et la connexion au panneau d’administration

Sécuriser le panneau d’administration de votre WordPress par :

• Utilisation d’un mot de passe robuste : Choisissez un mot de passe difficile à deviner, composé de différents types de caractères et assez long. Vous pouvez utiliser ce générateur de mot de passe.
• Utilisation d’un login robuste : Ne choisissez jamais « admin » ou un identifiant simple, utilisez toujours une chaîne aléatoire pour composer votre identifiant de connexion, exemple « adm678gig ».
• Changer l’url d’accès par défaut : Conscients que beaucoup d’utilisateurs oublient de les changer, les pirates en profitent pour réussir les attaques. Utilisez par exemple l’extension Change wp-admin login.

5. Sauvegarder régulièrement votre site web

Sauvegarder votre site régulièrement, vous permettra de revenir rapidement à un contenu sain si vous avez effectuez une mauvaise manipulation ou si votre site web a subi un piratage, par exemple.

WordPress vient avec une fonctionnalité pour réaliser cette tâche depuis la rubrique Outils. Vous pouvez aussi installer et utiliser des plugins adaptés pour ce faire.

Certains hébergeurs web proposent des sauvegardes régulières des comptes d’hébergement de leurs clients. Choisir un tel hébergeur procure plus de sécurité et allège votre tâche.

6. Ne pas utiliser des plugins ou thèmes piratées

L’utilisation de thèmes et plugins piratés constitue la cause principale d’actions d’hacking sur WordPress. Ces derniers sont généralement achetés par des pirates, remplis de malwares et fournis gratuitement sur des sites de partage, ils y incluent du code malveillant qu’ils utiliseront à votre insu et à n’importe quel moment qu’ils le souhaitent. Si vous souhaitez utiliser un thème ou plugin payant, il faut tout simplement en payer l’éditeur.

Veillez toujours à installer des plugins à partir de sources fiables, dont la plus sûre, est le Plugin Directory de WordPress.

De plus, pensez à prendre des avis sur les forums de WordPress avant d’utiliser une extension.

7. Utiliser les clés secrètes dans wp-config.php

Beaucoup les oublient, mais vous avez la possibilité d’inclure des clés secrètes dans le fichier wp-config.php, comme suit :

define('AUTH_KEY', '{zSq`#=nO*rEII#;3.Z{3Bm_x7; A`>m_B%9');
define('SECURE_AUTH_KEY', '#,1-PL;:MMGqbsm7~P3>_W?g![L1nc?kC');
define('LOGGED_IN_KEY', 'NbwnZfZ_4?i%#h867mtKeOm;Tki+2g}NLi+T9');

Vous pouvez générer des clés aléatoires à l’aide de ce lien.

8. Protéger votre fichier wp-config.php

Modifiez votre fichier .htaccess situé à la racine de votre site web en y ajoutant les lignes ci-dessous. Ces commandes empêcheront un hacker de récupérer votre identifiant et mot de passe MySQL en cas de problèmes avec PHP.

<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>

Vous pouvez renforcer la sécurité de ce fichier en le mettant sous CHMOD 400 (Lecture pour le propriétaire), ceci interdira sa lecture par le public en cas de problème PHP.

9. Modifier le préfixe des tables WP

Le préfixe wp_ est proposé au début de l’installation WordPress, il est préférable de le modifier en n’importe quel autre préfixe.

10. Utiliser un Plugin de sécurité

Il existe plusieurs plugins de sécurité, gratuits et payants, qui vous évitent de toucher au code ou d’implémenter chacune de règles cités ci-haut séparément, nous vous en citons quelques exemples :

• All In One WP Security & Firewall.
• Wordfence Security – Firewall & Malware Scan.
• Sucuri Security.

11. Tout commence par la qualité de l’hébergement

Tous les hébergeurs web n’offrent pas le même niveau de service. Beaucoup se soucient plus du gain rapide de l’argent aux dépends de la sécurité de leurs serveurs. Ainsi, vous pourrez implémenter toutes les mesures de sécurité précitées et demeurer vulnérable face aux piratages.

Prenez soin donc de rechercher un hébergeur WordPress qui prend la sécurité au sérieux. Un tel hébergeur fournira entre autres, les dernières versions PHP et MySQL, une protection avec des solutions comme Imunify360, un auto-installeur de WordPress implémentant des règles de sécurité par défaut, ainsi qu’une protection contre les logiciels malveillants et des outils de sauvegardes.