10 Bonnes pratiques pour protéger votre site web WordPress

Dernière mise à jour le 23 Jan 2023
Bonne pratiques pour sécuriser WordPress
Le web a considérablement changé au cours de ces dernières années, mais tous les changements ne sont pas positifs. Les pratiques malveillantes comme le piratage et l’utilisation abusive des sites web est en hausse plus que jamais et va continuer à croitre. Etant donné que WordPress est le CMS le plus populaire sur le web, il est donc extrêmement vulnérable aux menaces. Dans un sondage sur la sécurité de WordPress mené par Wordfence, 38,5% des répondants ont avoué avoir subi un piratage à un moment donné sur leurs site WordPress. En étant vigilant et en suivant certaines bonnes pratiques, vous pouvez protéger votre site web contre le piratage sans l’aide d’un professionnel en sécurité. Dans cet article, nous présentons les 10 meilleures pratiques pour sécuriser votre site WordPress.

1) Maintenez votre WordPress à jour

Un rapport de sécurité, publié par Sucuri, révèle que 50% des sites WordPress piratés n’avaient pas été mis à jour. WordPress diffuse régulièrement des mises à jour, certaines mineures, mais la plupart sont importantes pour la sécurité du CMS. Bien que les mises à jour majeures comportent des nouveaux aspects et/ou des nouvelles fonctionnalités, les mises à jour mineures visent aussi à corriger les problèmes et à gérer les failles de sécurité. Par conséquent, il est important d’appliquer ces mises à jour mineures à votre site web. Vous pouvez également activer les mises à jour automatiquement. La mise à jour d’un site web WordPress est la plus simple parmi toutes les plateformes CMS existantes, il n’y a aucune raison de ne pas l’appliquer régulièrement.

2) Utilisez des identifiants de connexion forts

Lorsque vous installez WordPress, un compte d’administrateur est configuré par défaut avec l’identifiant “Admin”. La plupart des utilisateurs de WordPress ne modifient pas cet identifiant ou le compte créé par défaut, ce qui rend le piratage du site facile. Pour s’assurer que les pirates ne peuvent pas facilement deviner votre nom d’utilisateur, n’utilisez pas « Admin » ou tout autre identifiant de base. Créez simplement un nouveau compte d’administrateur avec un nom d’utilisateur personnalisé et supprimez le compte par défaut. Cela rend non seulement votre nom d’utilisateur imprévisible, mais aussi modifie l’identifiant utilisateur par défaut de votre compte.

Le mot de passe devrait également être fort pour que les pirates ne puissent pas le deviner. L’une des pires choses que vous pouvez faire est d’utiliser des mots de passes faciles comme « 123456 » (si si beaucoup l’utilisent encore !! ), « abcdef », « mot de passe » ou le mot de passe administrateur de base. En réalité, le nombre de personnes qui utilisent de tels mots de passe est terrible. Pour créer un mot de passe fort, mélangez les lettres majuscules et minuscules avec des chiffres et des caractères spéciaux qui ne sont pas couramment utilisés. Aussi, plus le mot de passe est long, plus il est difficile à deviner par les pirates.

Vous trouverez dans cet article quelques indications pour choisir un bon mot de passe.

3) Gardez un contrôle sur les tentatives de connexion

Beaucoup de pirates attaquent les sites web par la “brute force”, c’est-à-dire en tentant de se connecter avec le nom et le mot de passe de l’administrateur à plusieurs reprises à la suite, et très rapidement, jusqu’à ce que le login corresponde à l’utilisation du CMS. Vous pouvez sécuriser votre site en limitant le nombre de tentatives de connexion à 2-3 et si une quatrième tentative échoue, le système d’identification est bloqué. Il existe plusieurs plugins qui vous aident à le faire. Ces plugins blacklistent l’adresse IP tentant de se connecter pendant une certaine période de temps (que vous pouvez la préciser) et envoyez également un courrier électronique à l’administrateur à chaque fois que quelqu’un est banni ou tente de se connecter.

4) Choisissez avec prudence vos plugins et vos thèmes

Vous devez être plus prudent lorsque vous activez des plugins sur votre site car plus que la moitié des hacks WordPress sont dus à des failles de sécurité dans les plugins. Optez pour les plugins qui sont mis à jour régulièrement et si vous avez installé un plugin particulier que vous n’utilisez pas, supprimez-le, c’est un risque en moins. Aussi, n’oubliez pas qu’un plugin mal codé peut rendre votre site plus vulnérable aux pirates informatiques. Vos thèmes devraient également être à jour et choisis avec prudence. Évitez d’utiliser des plugins qui ne sont pas mis à jour dans l’année. Utilisez uniquement des plugins que vous devez absolument avoir besoin et téléchargez les plugins les plus populaires pour répondre à un besoin particulier. Les plugins populaires ont tendance à être plus sécurisés car ils sont bien testés et mis à jour régulièrement.

5) Choisissez le bon hébergeur

Un certain pourcentage des hacks WordPress est également dû à des problèmes de sécurité liés aux prestataires d’hébergement qui ne suivent pas les meilleures pratiques de sécurité du serveur. Tout en choisissant votre société d’hébergement de sites web, assurez-vous qu’elle ne néglige pas les problèmes liés à la sécurité. Parmi les autres services proposés par la société d’hébergement, vous devez vous assurer qu’elle prend en charge les dernières versions PHP et MySQL et qu’ils soient optimisés pour l’exécution de WordPress. L’hébergeur devrait également avoir une application Firewall et un système de détection d’intrusions de bas niveau sur ses serveurs.

6) Mise à jour antivirus pour votre ordinateur

Les failles de sécurité ne concernent pas seulement le système de gestion de votre site web, les périphériques que vous utilisez pour y accéder devraient également être propres et sans logiciels malveillants. Si votre ordinateur est infecté par des virus, votre identifiant d’administration, votre mot de passe et d’autres informations cruciales sont à risque.
Il existe même aujourd’hui des virus qui exploitent les logiciels de connexion FTP installé sur votre ordinateur pour se connecter sur tous vos comptes FTP et y placer des fichiers malveillants… Assurez-vous que tous les ordinateurs utilisés pour gérer votre site disposent d’un programme Antivirus récent et à jour.

7) Utiliser l’authentification de connexion en deux étapes

Un processus d’authentification de connexion en deux étapes évite la probabilité que votre site web soit piraté par des attaques de « brute force » . Ce processus demande un code d’authentification à chaque fois que quelqu’un essaie de se connecter à votre site. Ce code est envoyé à votre numéro de téléphone autorisé ou vous pouvez définir ce code secret par défaut. Ce processus peut vous paraître encombrant, mais certainement il protégera votre site web contre les tentatives de piratage dangereuses.

8) Déplacez l’emplacement de votre page de connexion

L’adresse de connexion par défaut de votre compte administrateur WordPress est : www.yourwebsite.com/wp-admin/  ou  www.yourwebsite.com/wp-login.php.

Lorsqu’un attaquant connaît votre adresse de connexion, il peut facilement essayer de décoder votre mot de passe par attaque de force brute. Pour protéger votre page et toute la partie administrateur contre les pirates informatiques, vous pouvez modifier l’emplacement de ce répertoire en installant le bon plugin ou en changeant le code source si vous connaissez le codage PHP.

9) Sauvegarde des données à intervalles réguliers

Peu importe le degré de votre prudence, le risque zéro n’existe pas. Malgré toutes les préventions que vous faites pour sécuriser votre site, il est toujours possible d’être piraté. Par conséquent, vous devez toujours être prêt pour le pire. Sauvegardez fréquemment votre base de données, vos fichiers thème et vos fichiers multimédias. Vous pouvez utiliser des plugins qui sauvegardent automatiquement votre site Web à intervalles réguliers.
Certain hébergeur proposent même ce service en assurant des sauvegardes automatiques pour quelques euros par mois.

10) Utilisez un bon plugin de sécurité

Pour mettre en œuvre certains points mentionnés ci-dessus, si vous n’êtes pas un développeur web, vous devrez utiliser un plugin de sécurité. Donc, au lieu d’ajouter différents plugins pour différents besoins de sécurité, vous devriez choisir un bon plugin qui prendra en charge la plupart des points cités ci-dessus et aussi des mesures de sécurité avancées, comme la personnalisation des préfixes de base de données et la modification .htaccess. Utilisez l’un des plugins de sécurité wordpress populaires tels que Wordfence , iThemes ou Sucuri. L’utilisation de l’un de ces éléments garantira que toutes les préoccupations de sécurité sont prises en charge. Si vous êtes plus sérieux au sujet de la sécurité de votre site web, achetez les versions premium. Le fait de payer un peu d’argent vous garantit un site complètement sécurisé, sans soucis.

Avec l’émergence de l’Intelligence Artificielle, il y a même des outils de protection intelligents qui commencent à être proposés comme WR Protect qui proposent quelque chose d’interessant et de pas cher.

Pour finir

Le rapport de sécurité Sucuri a également révélé que sur 11 000 sites piratés, 75% d’entre eux étaient sur la plate-forme WordPress. Mais cela ne signifie pas que ce CMS présente des lacunes en soi. Cela est principalement dû aux mauvaises configurations, la mauvaise maintenance des sites web ou à l’utilisation de plugins vulnérables. Le fait d’être vigilant et suivre les meilleures pratiques est tout ce que vous avez besoin pour garder votre site sécurisé.

Les points cités ci-dessus sont des bonnes pratiques à respecter, vous pouvez également nous demander de l’aide pour sécuriser votre site.

EXCELLENT Basée sur 18 avis
Stephanie Willman
Stephanie Willman
2022-05-20
Nous travaillons avec Aurone dans le cadre de notre travail depuis 2016 et en sommes ravies. Au début nous avons commencer à solliciter leurs services pour un projet en Tunisie, et la qualité de leur travail a fait que nous sollicitons Aurone même pour des services dans d'autres pays. L'équipe est dynamique, créative, réactive et enthousiaste. Ils ont toujours bien compris nos besoins pour nos diverses et complexes présences web, et font de leur mieux pour y répondre. Plateformes web, ateliers de formation sur les plateformes, vidéos tutoriels, et conception graphique de divers produits ne sont que quelques uns des excellentes services fournies par Aurone. La qualité technique des prestations web sont top et nous recevons toujours de bons conseils que ce soit au niveau technique que graphique. Nous les recommandons fortement.
Raphaël Gianasso
Raphaël Gianasso
2022-03-21
Pour vos projets e-commerce et marketing digital, les collaborateurs d'Aurone font preuve d'écoute, d'expérience, de disponibilité et de réactivité. Une équipe sur laquelle on peut compter et pour laquelle la satisfaction du client est primordiale
Anne Saumade
Anne Saumade
2022-01-05
Équipe à l'écoute et réactive qui essaie de trouver une solution à chaque question ! Je recommande !
Samuel Dechomets
Samuel Dechomets
2021-10-15
J'ai trouvé chez Aurone tout ce que l'on peut attendre d'une bonne agence web : qualité, réactivité, souplesse, pertinence... Bravo et merci
Karim Djebbar
Karim Djebbar
2021-10-05
L'ensemble de notre réseau a travaillé pendant plusieurs années avec l'agence Aurone. Quelques réglages ont été nécessaires au début de notre partenariat à l'époque. La qualité a rapidement été au rendez-vous. Les équipes ont travaillé de façon très professionnelle, et adaptée aux exigences de la clientèle française avec qui nous les avons rapidement mis en relation. Beaucoup d'agilité de la part de son fondateur. Merci pour ces belles années !
chedlia by
chedlia by
2021-10-05
Equipe très réactive et professionnelle qui n'hésite pas à apporter son conseil et support.
Mehdi Gharbi
Mehdi Gharbi
2021-10-03
Excellent service clé en main. Aurone m'a fait un site web parmi les meilleurs sur le marché et continu à travailler sur le référencement, le suivi du site, analyse etc... Excellent service et une réactivité hors norme. Je recommande vivement
Gargouri Sahbi
Gargouri Sahbi
2021-10-02
Une agence qui a toujours mis le client au centre de la relation. Vis-à-vis avenants, toujours à l'écoute et une qualité de prestations toujours en évolution. Nous travaillons avec Aurone depuis 2016 et nous continuerons.
Medical Tunisie
Medical Tunisie
2021-10-01
Excellente agence, très professionnelle. Réactivité et rapidité de traitement de la demande. Bravo.
Max pierre-jean
Max pierre-jean
2021-09-29
Agence très professionnelle et à l'écoute, je recommande sans hésiter, refonte de site, seo etc...rien à redire

    En Tunisie

    27 Avenue Taieb Mhiri
    Immeuble Yasmina, bureau 17
    2080 Ariana, Tunis, Tunisie

    +216 22 774 450

    En France

    Centre d'affaires TODA 2
    Rue du Rhin Napoléon
    67100 Strasbourg, France

    +33 9 80 80 10 18

    En Suisse

    Rue du Port Franc, 2A
    1003 Lausanne
    Suisse

     [email protected]

    En Belgique

    Avenue Mutsaard, 41
    1020 Bruxelles
    Belgique

    +32 2 588 07 54

    Aurone Création de site Internet & e-Commerce

    Réalisé avec à Tunis | Copyright © 2007-2022 Aurone

      Téléchargement du module

      Laissez-nous votre prénom et votre adresse de courriel pour vous envoyer le module par courriel:

      Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.


        Pssssst Attendez...

        Laissez nous votre meilleure adresse email et vous recevrez le premier nos prochaines publications...

        Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.


          Recevoir chaque semaine notre publication en avant première.

          Rejoignez nos 153 845 fidèles lecteurs et restez informés concernant le domaine du développement web, en étant le premier à recevoir notre publication chaque semaine.

          Nous ne spammons jamais et nous ne vendons ou prêtons jamais nos listes de courriels.