Avalanche Mate

Les Meilleures Extensions WordPress > Sécuriser son site WordPress

Même si on ne s’en rend pas compte tout de suite, notre site est constamment attaqué. 

Que ce soit par des machines qui tentent de trouver le mot de passe pour se connecter au Tableau de bord, ou par des malwares qui utilisent des failles dans les extensions. 

La sécurité de notre site est assez simple à mettre en place et va nous éviter de voir notre site tomber du jour au lendemain à cause d’une attaque. 

WordPress est le premier CMS en termes d’attaques et d’infections.

C’est normal puis qu’il représente plus de 30% des CMS utilisés par l’ensemble des sites internet.

Quand vous activez une extension pour sécuriser son site WordPress, comme Wordfence, vous recevez des notifications à chaque tentative d’attaque de votre site.

Vous verrez à quel point elles sont régulières et variées.

Ce qui fait la force de WordPress c’est justement sa communauté qui compte une équipe dédiée à la sécurité de WordPress.

Sécuriser son site WordPress c’est prendre des mesures faciles pour limiter les risques de hacking et d’infection.
Car le risque zéro n’existe pas.

Pour comprendre comment mettre en place la sécurité de son site, on va voir déjà ce qui peut rendre WordPress vulnérable.

Ensuite on va installer un ensemble de pluggins dédiés à la sécurité de notre site. 

Comment sécuriser son site WordPress :

Voici les différentes étapes simples que nous allons suivre dans ce guide sur la sécurité de notre site : 

Sécuriser son site internet avec WordPress :

  1. Comprendre ce qui rend vulnérable un site WordPress
  2. Maintenir notre site WordPress à jour
  3. Installer un Firewall et un Anti-malwares
  4. Des mesures simples pour sécuriser son site WordPress

Allons-y.

ETAPE 01 :

Qu’est ce qui rend WordPress vulnérable ?

Il existe de nombreuses vulnérabilités mais voici les principales pour que vous puissiez vous faire une idée :

Les version obsolète de WordPress

Une version obsolète de WordPress est une version qui n’a pas été mise à jour.

Un malware peut exploiter la faille et ainsi détourner tout le trafic entrant.

Les tentatives de connexion de force brute

C’est lorsqu’une personne fait tourner un script automatique pour tenter de déterminer votre identifiant et votre mot de passe WordPress et se connecter à votre tableau de bord.

Je vous laisse imaginer les ravages une fois connecté !

Les back doors

Les backdoors sont une des méthodes privilégiées pour infecter un site internet.

Ce sont des exploitations de vulnérabilité dans le code de WordPress ou des extensions qui permettent à une personne de se connecter à notre site.

Ils injectent des fichiers dans le système jusque dans la base de données de notre site.

 

Voyons donc maintenant comment sécuriser notre site WordPress face à ce types de risques.

ETAPE 02 :

Maintenir WordPress à jour

La première étape et la plus simple pour sécuriser son site est de maintenir WordPress à jour. 

en vieillissant, les extensions ou les thèmes créent des vulnérabilités lorsqu’ils ne sont pas maintenus à jour. 

Donc la première chose simple maintenez tous les éléments qui composent votre site à jour :

Mettre à jour WordPress et les extensions

C’est la chose la plus simple et la plus évidentes, mais peu d’utilisateurs de WordPress le font systématiquement.

Les versions obsolètes de WordPress ou des Extensions sont les causes numéro un d’attaques réussies sur votre site.

Donc à chaque connexion à votre tableau de bord, mettez à jours WordPress et vos extensions.

Pour vérifier les mises à jour, soit elles sont indiquées dans ta barre supérieure du tableau de bord : ici 6 sur le screenshot ci-dessous : 

mettre à jour wordpress sécuriser

Soit il suffit de se rendre dans Tableau de bord > Mis à jour.

Pour WordPress assurez-vous d’avoir le message vous confirmant que vous avez la dernière version de WordPress.

sécuriser site wordpress Mise à jour

Et pour les extensions mettez-le systématiquement à jours en cliquant sur le bouton Mettre à jour les extensions :

sécuriser site wordpress mise à jour extensions

Supprimer les extensions obsolètes et les remplacer

WordPress étant une plateforme OpenSource, cela signifique que les extensions et les thèmes sont développés par des personnes ou des entreprises de manière indépendante.

Il n’est pas rare qu’un thème ou qu’une extension soit abandonné par son créateur.

Il n’y a alors plus de mise à jour sur cette extension qui devient obsolète et vulnérable aux attaques.

Rappelez-vous, les extensions sont la faille numéro un dans votre site internet. 

Pour sécuriser son site WordPress il faut surtout être vigilant donc sur les extensions. 

 

Pour voir si une extension est obsolète il suffit d’aller dans Tableau de bord > Extensions installées :

Sur une extension cliquer sur Afficher les détails :

mettre a jour extension sécurité site WordPress

Et par exemple ici pour SJ Elementor Addon, j’ai un avertissement comme quoi l’application n’est pas disponible avec ma version actuelle de WordPress.

De plus la dernière mis à jour date d’il y a 3 ans.

extension obsolete sécuriser site wordpress

Donc même si cette extension est utile je la supprime immédiatement.

Et j’essaye de trouver une alternative.

Supprimer les thèmes non utilisés

Comme pour les extensions, les thèmes non-utilisés prennent de la place mais également offre de la vulnérabilité supplémentaire à notre site.

Ces thèmes non utilisés sont en général jamais mis à jour car l’intérêt de mettre à jour quelque chose que l’on n’utilise pas est un concept assez flou.

Pourtant même s’ils ne sont pas actifs ils peuvent être utilisés contre nous.

Pour les supprimer on va dans Tableau de bord > Apparence > Thème

Puis détails du thème

supprimer theme sécurité site

Et Supprimer

Voila pour la base. 

Ne gardez rien d’obsolète sur votre site. 

Ce sont des portes ouvertes pour les attaques donc la première chose pour sécuriser son site est de maintenir WordPress à jour, ses extensions à jour et de supprimer tout ce qui est inutilisé ou obsolète. 

Passons maintenant à l’installation d’un firewall et antimalware. 

ETAPE 03 :

Installer Wordfence : une extension WordPress firewall et anti-malwares

Wordfence est une des meilleures extensions pour sécuriser notre site internet.

Il va nous offrir une solution complète pour la sécurité de notre site :

  • Un firewall (ou pare-feu)
  • Un scanner de malwares
  • Double identification pour la connexion au tableau de bord (double opt-in)

 

On va tout de suite l’installer et le paramétrer pour qu’il sécurise notre site WordPress.

Ajouter l'extension de sécurité Wordfence

Pour l’installer on va dans Tableau de bord > Extensions > Ajouter > on cherche Wordfence Security > Installer > Activer :

wordfence sécurité site WordPress

Apres activation on va avoir un nouvel onglet dans le menu de notre tableau de bord.

Il nous propose automatiquement de faire l’installation de Wordfence :

wordfence sécurité site WordPress

Donc on entre un email valide, on récupère la clé API et on termine l’installation de Wordfence.

Faire un scan de sécurité de son site WordPress

Une fois l’installation effectuée, on va peut commencer par faire un scan.

Donc dans Wordfence > Scan > Start New Scan

wordfence sécurité site WordPress

Puis on va activer le Firewall.

Activer le Firewall de Wordfence pour protéger son site

Il est recommandé de faire une sauvegarde de votre site avant l’activation du Firewall

Pour activer le Firewall WordPress de Wordfence, on va dans Wordfence > Firewall

On clique sur le bouton Manage Firewall :

wordfence firewall wordpress

Puis le bouton Optimize the Wordfence Firewall :

wordfence firewall wordpress

Ensuite il nous demande de télécharger notre fichier ht.access avant de continuer.

Ce n’est pas utile pour nous si nous avons bien effectué une sauvegarde de notre site avant l’activation du Firewall de WordFence.

Puis on clique sur Continue et on a le message de succès une fois l’installation effectuée :

wordfence firewall wordpress

Activer la l'authentification à deux facteurs (double opt-in) à son tableau de bord WordPress

Une manière quasi imparable pour empêcher les attaques de force brute et la découverte de vos mots de passe est l’authentification à deux facteurs.

C’est quelque chose de plus en plus courant notamment avec les banques ou on utilise, en plus de ses identifiant, un code venant d’un token ou de notre application.

Par exemple si Google ne reconnaît pas l’appareil sur lequel vous vous connectez, il demande une authentification à deux facteurs.

Deux facteurs parce que souvent on va utiliser son ordinateur pour se connecter et son téléphone pour recevoir le code.

Cela réduit quasiment à zéro les chances de se faire voler ses identifiants.

Quand bien même vous les donneriez à quelqu’un, sans le second facteur (token, code sur le téléphone), il ne pourrait pas accéder à votre compte.

 

Pour activer l’authentification à deux facteurs à son compte WordPress, on peut utiliser Wordfence qui convient parfaitement.

Sous Wordfence > Login Security > Two Factor Authentification.

authentification a deux facteurs wordpress

Il suffit alors de suivre les étapes :

Installer une application d’authentification.

Avant tout, on télécharge les supercodes qui vont nous servir à nous connecter au cas où on perde notre smartphone par exemple et qu’on ne peut plus activer le double opt-in.

On pourra alors utiliser ces supercodes.

Télécharger sur son téléphone une application d’authentification

Une application d’authentification va nous permettre d’obtenir notre second code pour nous connecter au site.

On peut utiliser Microsoft Authentificator qui est très bien noté et disponible sur IOS et Android :

authentificator pour double opt-in sécurité site

Scan le QR Code

Une fois l’application installé il suffit juste de prendre en photo le QR code.

L’application nous donne un code qu’on rentre alors dans Wordfence ce qui active l’authentification à deux facteurs sur notre site WordPress.

Se connecter avec l’authentification à deux facteurs WordPress.

Si maintenant je me déconnecte de mon compte WordPress :

Pour me reconnecter :

Première étape, j’entre mes identifiants WordPress :

authentification a deux facteurs wordpress sécurité

Seconde étape, on me demande un code de validation :

Je lance l’application Microsoft Authentificator qui me donne un code.

Et je le rentre à cette étape pour me connecter :

authentification a deux facteurs wordpress sécurité

Si j’ai perdu mon téléphone par exemple, il suffit d’utiliser les 5 super codes donnés par Wordfence qu’on pourra regénérer en allant dans Wordfence > Login security et sous Recovery code > Generate new codes.

ETAPE 04 :

Les autres mesures de sécurité de son site WordPress à mettre en place

On a fait le principal. Maintenir un site à jour et installé un anti malware et un firewall. 

On va voir ici plusieurs mesures a mettre en place pour bien sécuriser son site WordPress. 

Limiter les tentatives de connexion au tableau de bord WordPress avec Login Lockdown

Limiter les tentatives de connexion au tableau de bord WordPress va rapidement bloquer tous les IP qui tentent de se connecter plusieurs fois en cherchant le mot de passe.

On peut utiliser l’application Login Lockdown

Cette application vas simplement limiter à 3 le nombre de tentative de connexion.

En cas d’échec il faudra attendre 5 minutes avant de pouvoir réessayer.

Pour l’installer il suffit d’aller dans Extensions > Ajouter > Login Lockdown > Installer > Activer.

login lockdown securite connexion tableau de bord

Ensuite on retrouvera les réglages de l’extension dans Tableau de bord > Réglages > Login Lockdown

login lockdown securite connexion tableau de bord

Et ici on pourra déterminer le nombre de tentatives maximum ou encore le temps d’attente avant une nouvelle tentative.

Changer l’adresse de connexion au Tableau de bord wp-admin

Par défaut l’adresse de connexion à notre tableau de bord est :

domaine.com/wp-admin

Rien qu’en changeant cet url wp-admin par quelque chose d’autre on va pouvoir limiter drastiquement les tentatives de connexions malveillantes.

Pour imager ça, c’est plus dur de crocheter une serrure quand on n’arrive pas à trouver la porte.

Pour changer l’adresse de connextion à notre tableau de bord WordPress, on va utiliser l’extension WPS Hide Login

changer url de connexion tableau bord wp hide login securite

Une fois installée et activée, on se rend dans Réglages > WPS Hide Login

Et ici on va pouvoir changer le /wp-admin en autre chose :

changer url de connexion tableau bord wp hide login securite

Mettre à jour PHP sur son site WordPress

PHP est le langage qui va produire vos pages web à partir de votre serveur.

C’est donc quelque chose de très important.

Il y a plusieurs versions de PHP qui est mis à jour régulièrement avec des correctifs de sécurités associés.

Si on ne met pas à jour la version PHP utilisé par son site, on se retrouve donc avec des failles de sécurité grandissantes.

La mise à jour se fait toujours au niveau de votre hébergeur.

Connectez-vous sur l’espace client de votre hébergeur et vous devriez avoir la version PHP associé au domaine.

Vous pourrez alors sélectionner la version PHP à utiliser comme c’est le cas pour OVH ici par exemple :

mettre a jour php sécurité wordpress

Passer son site en HTTPS avec Really Simple SSL

Le HTTPS est la norme sécurité pour vos pages web.

Le navigateur de vos visiteurs va pouvoir vérifier la fiabilité de votre site via un certificat SSL qui est émis par votre hébergeur généralement.

Google indique comme non sécurisé de nombreux sites qui échangent des données privées et qui n’ont pas le certificat, ou dont le certificat est expiré.

Comment obtenir un certificat SSL ?

Le certificat SSL pour activer le https sur vos pages est généralement gratuit avec votre hébergement.

Connectez-vous à l’espace client de votre hébergeur et commandez ou activez le certificat SSL.

Exemple ci-dessous dans le panneau de bord d’OVH :

obtenir certificat ssl wordpress https

Une fois votre certificat obtenu il ne vous reste plus qu’à l’activer sur votre site WordPress

Activer le https sur WordPress avec Really Simple SSL

Enfin Really Simple SSL va nous permettre de passer notre site internet en https.

Comme son nom le suggère, extension est extrêmement simple d’utilisation.

Il suffit de l’installer pour qu’elle fonctionne.

really simple ssl sécurité des pages de son site

Faites des sauvegardes régulières de votre site

Enfin sauvegardez votre site WordPress.

Vous n’êtes pas a l’abris d’une attaque et effectuer une sauvegarde régulière de son site (à chaque publication par exemple) et garder des sauvegardes automatiques va réellement vous éviter de perdre des années de travail en cas de piratage.

Pour voir comment sauvegarder votre site WordPress, consultez cet article.

ETAPE 05 :

Sécuriser son site WordPress : Conclusion

Tous ces plugins vont vraiment améliorer la sécurité de notre site WordPress. 

Ils sont rapides à mettre en place et offrent réellement un protection accrue contre les attaques. 

Il ne vous reste plus qu’à mettre en place ces extensions, les paramétrer et ainsi sécuriser votre ste WordPress.

Si ce guide vous a été utile, alors partagez-le ou faites-le moi savoir en  laissant un commentaire. 

Encore une fois merci de suivre Avalanche Mate, des guides sont publiés régulièrement. 

Donc abonnez vous pour les recevoir dans votre boîte mail.

    A bientôt !

    Thomas

    Partager l'article :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *