Florian PIOLI – Graphiste / Web Designer

10 Points essentiels pour sécuriser votre site WordPress

Chaque jour, de très nombreux sites Internet WordPress sont victimes de piratage en tous genres. Cela peut-être très problématique quand son site Internet n’a pas été un minimum sécurisé. C’est pourquoi vous présente aujourd’hui 10 Points essentiels pour sécuriser votre site wordpress !

•1 Tenir à jour toutes les extensions et thèmes de votre site WordPress.

Premier conseil que je peux vous donner, que beaucoup donnent et donneront, c’est de bien faire toutes les mises à jour nécessaires au bon fonctionnement de votre site Internet. Faire les mises à jour de votre thème, de vos extensions et surtout de la dernière version de wordpress et primordiale pour prévenir des éventuelles failles de sécurité dans lesquelles les pirates pourraient s’engouffrer.

Les mises à jour viennent notamment corriger ces potentielles failles de sécurité, c’est pourquoi il est important d’être le plus souvent possibles à jour sur ces 3 points.

•2 Ne pas avoir d’identifiant de connexion « admin », et associé un mot de passe de login fort.

Cela peut sembler être un conseil banal, et pourtant d’une importance capitale. Avoir un mot de passe de login wordpress avec une suite d’une dizaine de caractères, de chiffres, de capitale et de caractère spéciaux réduira le potentiel de piratage aux brute forces (La tentative répétée de plusieurs mots de passe en très peu de temps.).

Également, dans les anciennes versions de WordPress, à l’installation, le CMS ne nous laissait pas le choix d’avoir comme identifiant de login le mot « admin ». Si vous possédez encore cette Id de login, il serait bien venue de le changer pour un identifiant différent, car beaucoup de bot lancé par des pirates tentent de se connecter avec l’Id « Admin » en premier lieu, et si c’est votre cas, alors le login de votre back office est bien plus vulnérable.

•3 Modifier l’URL de votre page de connexion.

Par défaut, votre URL de connexion au back-office de WordPress est le suivant : www.votresite.fr/wp-admin/

Vous vous en doutez, si c’est par défaut, beaucoup de site wordpress dans le monde ont cette URL de connexion. Il est alors plus facile de pirater votre accès de connexion si ce dernier est le même qu’énormément de sites. C’est pourquoi il est bien de changer cette URL de connexion.

L’extension WPS Hide login vous permettra de changer simplement cette URL d’accès à votre page de connexion.

•4 Limiter le nombre de tentatives de connexion à votre back office WordPress.

Toujours dans l’optique de limiter les piratages par force brute, limiter les tentatives de connexion à votre back office peut être une bonne idée pour réduire le risque.

Pour cela, une extension de sécurité dédiée à cet aspect existe : il s’agit de limit login Attempts Reloaded.

Elle vous permettra de configurer le nombre de tentatives possible que vous souhaitez, la durée de blocage si le nombre de tentatives est atteint etc.

•5 Bloquer les requêtes URL malicieuses.

Vous le savez peut-être, WordPress utilise le langage de programmation PHP pour communiquer de manière dynamique avec le serveur qui héberge votre site Internet. Et, pour l’expliquer simplement, PHP prévoit deux méthodes de transfert de données entre plusieurs pages : la méthode GET et la méthode POST.

C’est la méthode GET qui va être utilisée pour glisser dans l’URL de votre site, après votre nom de domaine, des informations malicieuses qui vont donner des accès à vos contenus au pirate qui tente de vous hacker.

Il est possible de bloquer un certain nombre de ces requêtes malicieuses grâce au plugin Block Bad Queries.

•6 Utiliser une extension de sécurité globale (SecuPress).

Un des meilleurs conseils que nous puissions vous donner est d’utiliser une extension de sécurité globale qui vous permettra de sécuriser au mieux votre site wordpress, en plus des précédents et suivants conseils que je vous donne dans cet article.

Je vous recommande l’extension SecuPress, une extension de sécurité créée par une société française, qui vous permettra de faire une scan complet de l’état sécurité de votre site web, et de prévenir des risques. C’est une extension freemium, elle offre quand même pas mal de contenu pour sécuriser votre site, mais sera à l’apogée de sa performance si vous souscrivez à un abonnement payant.

•7 Faire des sauvegardes de vos fichiers et de votre base de données.

Comme dans beaucoup de choses concernant le web, quand il y a un risque de sécurité, il est préférable d’effectuer des sauvegardes régulières afin de pouvoir les restaurer si nous avons été victimes d’un piratage.

C’est la même chose ici avec votre site WordPress. Si le pire est alors arrivé, vous vous êtes fait pirater, et qu’il n’y a rien à faire pour trouver l’origine du hack, alors avoir une sauvegarde de sa base de données et de ses fichiers vous sauvera dans la grande majorité des cas.

Pour faire ça, rien de plus simple, rendez-vous dans le cPanel de votre hébergeur web, exportez votre base de données au format .SQL.

Et pour vos fichiers, il suffira de faire une copie via votre client FTP (FileZilla, CyberDuck ou même via l’interface proposée par votre hébergeur).

•8 Configurer un certificat SSL sur votre nom de domaine (HTTP vers HTTPS).

Vous avez surement remarqué que certains sites Internet affiche dans la barre d’URL un petit cadenas vert avant le nom de domaine et un protocole HTTPS à la différence d’une HTTP.

La différence réside dans l’attribution et la configuration d’un certificat SSL qui va permettre de faire passer les données contenues sur les sites et celles qui transitent, comme vos données clients ou leurs données personnelles et bancaires, en crypter.

C’est-à-dire qu’un pirate aura bien plus de mal à intercepter les données de votre site via un réseau wifi public. Vos données seront chiffrées, et donc non lisibles et non intelligibles par un être humain.

Pour configurer un certificat SSL, nous vous recommandons de suivre le tutoriel de wpchannel.com

•9 Modifier les préfixes de tables de base de données.

Dans la même optique d’options par défaut de wordpress, les préfixes des tables de votre base de données sont configuré avec wp_. Il est alors plus facile pour les pirates de trouver le préfixe de vos bases de données et donc de s’y introduire si elles ont le même préfixe que beaucoup de site WordPress.

Il est conseillé alors de changer vos préfixes pour des suites de lettres et chiffres, environ 4/5, qui seront beaucoup plus difficiles à trouver pour les hackers.

•10 Mettre en place un système de double authentification.

C’est surement la mise en place la plus sûre à effectuer. La double authentification alourdira un peu la connexion à votre back-office de wordpress mais cela la rendre immédiatement plus sécurisée.

Il s’agit de recevoir et d’utiliser un numéro d’authentification à usage unique après chaque requête de connexion effectuée sur la page de connexion à votre site Internet. Cela permettra qu’il y ait votre mot de passe qui sécurise votre connexion ainsi qu’un code à usage unique qui vous ait envoyé à vous-même uniquement.

Si un pirate tentait d’obtenir ce code d’authentification à usage unique, il ne serait déjà plus valable dès lors qu’il vous aura servit pour accéder à votre tableau de bord WordPress.

Si cet article vous a été utile, n’oubliez pas de le partager sur vos réseaux sociaux, de le commenter si vous avez des questions ! Également, pour ne pas passer à coté du prochain article, abonnez-vous à la newsletter !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *