Votre site est hébergé sur WordPress ? C’est l’un des outils leaders dans le monde du CMS gratuit. Cette solution performante et évolutive permet une bonne intégration du SEO.
Mais, tout succès a ses revers : WP est aussi devenu l’objet de nombreuses attaques et piratages qui peuvent détruire toutes vos données et « véroler » votre site. Alors, votre site Internet ou votre blog est-il bien protégé ? Comment renforcer la sécurité WordPress ?
5 étapes pour optimiser la sécurité d’un site WordPress
Nous allons voir ici comment en 5 étapes faciles on peut s’offrir un minimum de sécurité avec son site sous WordPress.
Pas de panique, suivez le guide ! et si vous n’êtes pas confortable avec la technique faîtes appel à des experts de WordPress
1. Sécuriser le mot de passe et compte admin
Vous avez conservé l’utilisateur « admin » dans le login ? Mauvaise idée ! En effet, c’est une porte d’entrée facile pour les pirates des sites web et pour tout autre hacker. Il est important de trouver un identifiant original et de renouveler régulièrement le mot de passe. Choisissez un mot de passe complexe avec des majuscules et des symboles et surtout notez-le pour ne pas l’oublier. Il sera tout de même facile de le récupérer (changer) via votre courriel.
A ce stade, vous avez fait votre part du travail. Maintenant il faut vous assurer que tous les utilisateurs fassent de même pour veiller à la sécurité du site.
Vous pouvez encore renforcer la sécurité WP avec une connexion en deux étapes : la première authentification se fait avec le mot de passe et la seconde avec un code envoyé par SMS. Pour cela, il existe différents plugins tels que Clef, Google Authenticator et Duo Two-Factor Authentication. Mais peu de petites entreprises privilégient ce mode de connexion encore un peu lourd à gérer. Il sera tout de même plus simple d’au moins changer l’URL par défaut de l’administration d’un site WordPress. Remplacer /wp-admin/ par une autre URL. Ainsi, https://monsite.com/wp-admin/ deviendra https://monsite.com/secret par exemple.
A lire : L’importance du SSL
Protégez également l’activité du panneau de contrôle, surtout si vous avez beaucoup d’utilisateurs du site. Une fausse manœuvre ou un piratage peut bloquer le site. Vous pouvez utiliser par exemple le plugin gratuit WP Security Audit Log qui enregistre tous mouvements sur votre site (inscription d’un nouvel utilisateur, messages, fichiers…).
2. Gérer les extensions (plugins)
C’est un point très important que nous allons traiter dans ce paragraphe. Il existe un nombre considérable de plugins gratuits ou payants. Mais un plugin de mauvaise qualité ou mal adapté peut ralentir votre site ou pire, infecter votre système. Vous devez bien entendu aussi installer un pare-feu et anti-virus sur votre PC (Malwarebytes, McAfee, Avast,…).
Il est important de faire du ménage dans vos plugins et thèmes : supprimer ou désactiver ceux qui ne vous sont pas utiles.
Nous avons sélectionné quelques plugin très intéressant en terme de sécurité tel que iThèmes Security ou Wordfence. Un peu compliqué de tous les lister, mais nous les testons continuellement pour valider leur efficacité.
-
- Attention aux plugins gratuits
Ne téléchargez des plugins qu’à partir de sources fiables ou issues de WP car certaines plugins gratuits, piratés ou illégaux peuvent contenir des lignes de code malveillantes. Ce serait dommage de faire planter votre site pour économiser quelques euros ! - Les messages d’erreur : une porte d’entrée pour les pirates
Et autre point important : un message d’erreur peut être un « cheval de Troie », c’est-à-dire une personne malveillante qui arrive masquée dans votre ordinateur. Il crée un message d’erreur et si vous cliquez il aura un chemin d’accès tout tracé pour pénétrer sur votre site.
- Attention aux plugins gratuits
3. Sauvegarde et mise-à-jour régulière
C’est une des bases sur internet : la sauvegarde des données. En cas de piratage ou de virus, vous pouvez tout perdre. Pour cela, vous devez effectuer une sauvegarde manuelle ou automatique en utilisant un plugin WordPress tel que UpdraftPlus ou autre. N’oubliez pas d’inclure images, documents, fichiers sources.
Veillez également aux mises à jour de WordPress car elles permettent de diminuer les risques de piratage frauduleux sur votre site.
4. Créer un utilisateur « éditeur » pour les articles
Enregistrer son article avec son compte login utilisateur est à éviter. Il est judicieux de créer un nouvel utilisateur appelé « compte éditeur » en plus de votre compte admin. Cela permet de limiter les connexions via le compte admin. Vous pouvez même attribuer les anciens textes sur le compte éditeur. Et tant qu’à faire, utilisez un nom de compte SEO friendly 😉
Pour cela, vous sélectionnez l’ensemble de vos textes et choisissez la rubrique « modifier action groupé » ensuite « appliquer » puis « éditeur » et enfin « mettre à jour ».
5. Choisir le meilleur hébergeur Web
La qualité de l’hébergement est essentielle dans la sécurité de votre site WP. Il est donc conseillé de choisir un prestataire locale comme WHC.ca et spécialisé dans WordPress avec les plugins, pare-feu, PHP et MySQL à jour. Nous pouvons vous conseiller dans ce choix grâce à notre expérience en technologie de l’information ainsi que nos compétences sur IIS, Apache, et performance des serveurs.
D’ailleurs, il faudra également choisir avec soin le logiciel Analytics qui fournit les statistiques de trafic sur votre site et le placement de votre site sur les moteurs de recherche. Il peut être également une porte d’entrée pour les hackers. Le plus connu étant encore celui de Google.
Pour résumer :
Sécuriser un site WordPress nécessite la mise en place d’une véritable stratégie, ce qui est malheureusement trop souvent négligé. Si vous souhaitez des conseils d’experts en sécurité WordPress et une assistance efficace, contactez notre service technique. Il nous fera plaisir de vous répondre.
© Mars 2018, VerticalSystem, expert en référencement naturel (SEO) et en WordPress
Laisser un commentaire