La sécurité de son site WordPress est absolument nécessaire dès que vous commencez à avoir du trafic.
Même si on ne s’en rend pas compte, notre site est constamment attaqué.
Que ce soit par des machines qui tentent de trouver le mot de passe pour se connecter au Tableau de bord, ou par des malwares qui utilisent des failles dans les extensions.
La sécurité de notre site est assez simple à mettre en place et va nous éviter de voir notre site tomber du jour au lendemain à cause d’une attaque.
WordPress est le premier CMS en termes d’attaques et d’infections.
C’est normal puis qu’il représente plus de 30% des CMS utilisés par l’ensemble des sites internet.
Sécuriser son site WordPress c’est prendre des mesures faciles pour limiter les risques de hacking et d’infection.
Car le risque zéro n’existe pas.
Pour comprendre comment mettre en place la sécurité de son site, on va voir déjà ce qui peut rendre WordPress vulnérable.
Ensuite on va installer un ensemble de pluggins dédiés à la sécurité de notre site.
Comment sécuriser son site WordPress :
Voici les différentes étapes simples que nous allons suivre dans ce guide sur la sécurité de notre site :
Allons-y.
Qu’est ce qui rend WordPress vulnérable ?
Il existe de nombreuses vulnérabilités mais voici les principales pour que vous puissiez vous faire une idée :
Les version obsolète de WordPress
Une version obsolète de WordPress est une version qui n’a pas été mise à jour.
Un malware peut exploiter la faille et ainsi détourner tout le trafic entrant.
Les tentatives de connexion de force brute
C’est lorsqu’une personne fait tourner un script automatique pour tenter de déterminer votre identifiant et votre mot de passe WordPress et se connecter à votre tableau de bord.
Je vous laisse imaginer les ravages une fois connecté à votre tableau de bord.
Les back doors
Les backdoors sont une des méthodes privilégiées pour infecter un site internet.
Ce sont des exploitations de vulnérabilité dans le code de WordPress ou des extensions qui permettent à une personne de se connecter à notre site.
Ils injectent des fichiers dans le système jusque dans la base de données de notre site.
Voyons donc maintenant comment sécuriser notre site WordPress face à ce types de risques.
Maintenir WordPress à jour
La première étape et la plus simple pour sécuriser son site est de maintenir WordPress à jour.
En vieillissant, les extensions ou les thèmes créent des vulnérabilités lorsqu’ils ne sont pas maintenus à jour.
Donc la première chose simple maintenez tous les éléments qui composent votre site à jour.
Mettre à jour WordPress et les extensions
C’est la chose la plus simple et la plus évidentes, mais peu d’utilisateurs de WordPress le font systématiquement.
Les versions obsolètes de WordPress ou des Extensions sont les causes numéro un d’attaques réussies sur votre site.
Donc à chaque connexion à votre tableau de bord, mettez à jours WordPress et vos extensions.
Activez les mises à jour automatiques dans Extensions > extensions installées > sous une extension > Activer les mises à jour automatiques.
Pour vérifier les mises à jour, soit elles sont indiquées dans la barre supérieure du tableau de bord.
Par exemple 6 mises à jours disponibles sur le screenshot ci-dessous :
Soit il suffit de se rendre dans Tableau de bord > Mise à jour.
Pour WordPress assurez-vous d’avoir le message vous confirmant que vous avez la dernière version de WordPress.
Et pour les extensions mettez-le systématiquement à jours en cliquant sur le bouton Mettre à jour les extensions :
Supprimer les extensions obsolètes et les remplacer
WordPress étant une plateforme OpenSource, cela signifie que les extensions et les thèmes sont développés par des personnes ou des entreprises de manière indépendante.
Il n’est pas rare qu’un thème ou qu’une extension soit abandonné par son créateur.
Il n’y a alors plus de mise à jour sur cette extension qui devient obsolète et vulnérable aux attaques.
Rappelez-vous, les extensions sont la faille numéro un dans votre site internet.
Pour sécuriser son site WordPress il faut surtout être vigilant sur les extensions.
Pour voir si une extension est obsolète il suffit d’aller dans Tableau de bord > Extensions installées.
Sur une extension cliquer sur Afficher les détails.
Et par exemple ici pour SJ Elementor Addon, l’application n’est pas testée avec ma version actuelle de WordPress.
De plus la dernière mis à jour date d’il y a 3 ans.
Donc même si cette extension est utile je la supprime immédiatement.
Et j’essaye d’en trouver une autre à jour pour la remplacer.
Supprimer les thèmes non utilisés
Comme pour les extensions, les thèmes non-utilisés prennent de la place mais également offrent des vulnérabilité supplémentaire à notre site.
Ces thèmes non utilisés sont en général jamais mis à jour par l’utilisateur, car l’intérêt de mettre à jour quelque chose que l’on n’utilise pas est un concept assez flou.
Pourtant même s’ils ne sont pas actifs ils peuvent être utilisés contre nous.
Pour les supprimer on va dans Tableau de bord > Apparence > Thème > Détail du thème.
Et Supprimer.
Voila pour la base de la sécurité.
Règle d’or : ne gardez rien d’obsolète sur votre site.
Ce sont des portes ouvertes pour les attaques donc la première chose pour sécuriser son site est de maintenir WordPress à jour, ses extensions à jour et de supprimer tout ce qui est inutilisé ou obsolète.
Passons maintenant à l’installation d’un firewall et antimalware.
Installer Wordfence : une extension WordPress firewall et anti-malwares
Wordfence est une des meilleures extensions pour sécuriser son site internet WordPress.
Il va nous offrir une solution complète pour la sécurité de notre site :
- Un firewall (ou pare-feu)
- Un scanner de malwares
- Double identification pour la connexion au tableau de bord (double opt-in)
On va tout de suite l’installer et le paramétrer pour qu’il sécurise notre site WordPress.
Ajouter l’extension de sécurité Wordfence
Pour l’installer on va dans Tableau de bord > Extensions > Ajouter > on cherche Wordfence Security > Installer > Activer.
Apres activation on va avoir un nouvel onglet Wordfence, dans le menu de notre tableau de bord.
Il nous propose automatiquement de faire l’installation de Wordfence :
Donc on entre un email valide, on récupère la clé API et on termine l’installation de Wordfence.
Faire un scan de sécurité de son site WordPress
Une fois l’installation effectuée, on va peut commencer par faire un scan de son site WordPress.
Donc dans Wordfence > Scan > Start New Scan.
Puis on va activer le Firewall.
Activer le Firewall de Wordfence pour protéger son site
Il est recommandé de faire une sauvegarde de votre site avant l’activation du Firewall.
Pour activer le Firewall WordPress de Wordfence, on va dans Wordfence > Firewall
On clique sur le bouton Manage Firewall.
Puis le bouton Optimize the Wordfence Firewall.
Ensuite il nous demande de télécharger notre fichier ht.access avant de continuer.
Ce n’est pas utile pour nous si nous avons bien effectué une sauvegarde de notre site avant l’activation du Firewall de WordFence.
Puis on clique sur Continue et on a le message de succès une fois l’installation effectuée :
Activer la l’authentification à deux facteurs (double opt-in) à son tableau de bord WordPress
Une manière quasi imparable pour empêcher les attaques de force brute et la découverte de vos mots de passe est l’authentification à deux facteurs.
C’est quelque chose de plus en plus courant notamment avec les banques ou on utilise, en plus de ses identifiant, un code venant d’un token ou de notre application.
Deux facteurs parce que souvent on va utiliser son ordinateur pour se connecter et son téléphone pour recevoir le code.
Cela réduit quasiment à zéro les chances de connexion frauduleuses en utilisant vos identifiants.
Pour activer l’authentification à deux facteurs à son compte WordPress, on peut utiliser Wordfence qui convient parfaitement.
Sous Wordfence > Login Security > Two Factor Authentification.
Il suffit alors de suivre les étapes.
Avant tout, on télécharge les supercodes qui vont nous servir à nous connecter au cas où on perde notre smartphone par exemple et que l’on ne puisse plus activer le double opt-in.
On pourra alors utiliser ces supercodes.
Télécharger sur son téléphone une application d’authentification
Une application d’authentification va nous permettre d’obtenir notre second code pour nous connecter au site.
On peut utiliser Microsoft Authentificator qui est très bien noté et disponible sur IOS et Android.
Scan le QR Code
Une fois l’application installé il suffit juste de prendre en photo le QR code.
L’application nous donne un code, que l’on entre dans Wordfence, ce qui active l’authentification à deux facteurs sur notre site WordPress.
Se connecter avec l’authentification à deux facteurs WordPress.
Si maintenant je me déconnecte de mon compte WordPress, pour ensuite me reconnecter :
Première étape, j’entre mes identifiants WordPress :
Seconde étape, on me demande un code de validation :
Je lance l’application Microsoft Authentificator qui me donne un code.
Et je le rentre à cette étape pour me connecter :
Si j’ai perdu mon téléphone par exemple, il suffit d’utiliser les 5 super codes donnés par Wordfence qu’on pourra regénérer en allant dans Wordfence > Login security et sous Recovery code > Generate new codes.
Les autres mesures de sécurité de son site WordPress à mettre en place
On a fait le principal. Maintenir un site à jour et installé un anti malware et un firewall.
On va voir ici plusieurs autres mesures pour bien sécuriser son site WordPress.
Limiter les tentatives de connexion au tableau de bord WordPress avec Login Lockdown
Limiter les tentatives de connexion au tableau de bord WordPress va rapidement bloquer tous les IP qui tentent de se connecter plusieurs fois en cherchant le mot de passe.
On peut utiliser l’extension WordPress Login Lockdown
Cette extension vas simplement limiter à 3 le nombre de tentative de connexion.
En cas d’échec il faudra attendre 5 minutes avant de pouvoir réessayer.
Pour l’installer il suffit d’aller dans Extensions > Ajouter > Login Lockdown > Installer > Activer.
Ensuite on retrouvera les réglages de l’extension dans Tableau de bord > Réglages > Login Lockdown.
Et ici on pourra déterminer le nombre de tentatives maximum ou encore le temps d’attente avant une nouvelle tentative.
Changer l’adresse de connexion au Tableau de bord wp-admin
Par défaut l’adresse de connexion à notre tableau de bord est domaine.com/wp-admin
Rien qu’en changeant cet url /wp-admin par quelque chose d’autre on va pouvoir limiter drastiquement les tentatives de connexions malveillantes.
Pour imager ça, c’est plus dur de crocheter une serrure quand on ne parvient même pas à trouver la porte.
Pour changer l’adresse de connexion à notre tableau de bord WordPress, on va utiliser l’extension WPS Hide Login.
Une fois installé et activé, on se rend dans Réglages > WPS Hide Login
Et ici on va pouvoir changer le /wp-admin en autre chose.
Mettre à jour PHP sur son site WordPress
PHP est le langage qui va produire vos pages web à partir de votre serveur.
C’est donc quelque chose de très important.
Il y a plusieurs versions de PHP qui est mis à jour régulièrement avec des correctifs de sécurités associés.
Si on ne met pas à jour la version PHP utilisé par son site, on se retrouve donc avec des failles de sécurité grandissantes.
La mise à jour se fait toujours au niveau de votre hébergeur.
Connectez-vous sur l’espace client de votre hébergeur et vous devriez avoir la version PHP associé au domaine.
Vous pourrez alors sélectionner la version PHP à utiliser comme c’est le cas pour OVH ici par exemple :
Passer son site en HTTPS avec Really Simple SSL
Le HTTPS est la norme sécurité pour vos pages web.
Le navigateur de vos visiteurs va pouvoir vérifier la fiabilité de votre site via un certificat SSL qui est émis par votre hébergeur généralement.
Google indique comme non sécurisé de nombreux sites qui échangent des données privées et qui n’ont pas le certificat, ou dont le certificat est expiré.
Comment obtenir un certificat SSL ?
Le certificat SSL, pour activer le https sur vos pages, est généralement gratuit avec votre hébergement.
Connectez-vous à l’espace client de votre hébergeur et commandez ou activez le certificat SSL.
Exemple ci-dessous dans le panneau de bord d’OVH :
Une fois votre certificat obtenu il ne vous reste plus qu’à l’activer sur votre site WordPress.
Activer le https sur WordPress avec Really Simple SSL
Really Simple SSL va nous permettre de passer notre site internet en https.
Comme son nom le suggère, extension est extrêmement simple d’utilisation.
Il suffit de l’installer pour qu’elle fonctionne.
Faites des sauvegardes régulières de votre site
Enfin sauvegardez votre site WordPress.
Vous n’êtes pas a l’abris d’une attaque et effectuer une sauvegarde régulière de son site (à chaque publication par exemple) et garder des sauvegardes automatiques va réellement vous éviter de perdre des années de travail en cas de piratage.
Pour voir comment sauvegarder votre site WordPress, consultez ce guide complet.
Sécuriser son site WordPress : Conclusion
Tous ces plugins vont vraiment améliorer la sécurité de notre site WordPress.
Ils sont rapides à mettre en place et offrent réellement une protection accrue contre les attaques.
Il ne vous reste plus qu’à mettre en place ces extensions, les paramétrer et ainsi sécuriser votre site WordPress.
Si ce guide vous a été utile, alors partagez-le ou faites-le moi savoir en laissant un commentaire.
Encore une fois merci de suivre Avalanche Mate, des guides sont publiés régulièrement.
Donc abonnez vous pour les recevoir dans votre boîte mail.
Thomas
