Pourquoi sécuriser son site ?

Un site sécurisé c’est avant tout un atout. Vos prospects seront rassurés de voir s’afficher votre site en HTTPS plutôt qu’un message indiquant que le site n’est pas protégé et qu’il est dangereux de continuer à naviguer dessus.

De plus, une pratique malheureusement courante est de se faire pirater son site internet. Vous n’avez plus accès à votre site internet et vous recevez une demande de rançon pour récupérer les accès.

Enfin, les algorithmes des moteurs de recherche prennent en compte la sécurité de votre site internet pour le positionner dans les résultats de recherche. Certains éléments comme le certificat SSL sont indispensables.

Mises à jour régulières de votre site WordPress :

Notre conseil numéro 1 pour sécuriser son site WordPress, est de faire des mises à jour régulières du thème graphique et des extensions installées. Effectuez une maintenance complète au moins une fois par mois. Des failles de sécurité sont régulièrement découvertes dans WordPress et réparées par les développeurs.

Attention à ne pas installer trop d’extensions sur votre site web. Plus vous aurez de plugins et plus vous aurez de chance d’avoir une faille. De plus, un trop grand nombre d’extensions ralentis la vitesse d’affichage des pages de votre site.

Bien choisir vos identifiants et mots de passe :

Votre nom d’utilisateur et mot passe ne doivent pas être utilisés sur d’autres sites ou d’autres comptes. Si vous avez le même mot de passe sur votre site, votre adresse email et vos réseaux sociaux, ils se feront tous piratés d’un seul coup.

Comment se souvenir de noms d’utilisateurs et mots de passes différents ? Je vous conseille d’utiliser le logiciel Dashlane pour générer un mot de passe unique et l’enregistrer dans un coffre-fort virtuel. Il s’ajoutera comme extension à votre navigateur afin d’en faciliter l’utilisation.

Lorsque vous créez votre compte pour accéder à votre site WordPress, choisissez un login utilisateur qui ne soit pas votre nom ou le nom de votre entreprise (par exemple « Célina » ou « Insaniam » c’est très facile à deviner).

Sécuriser son site WordPress en installant un certificat SSL :

Il est essentiel d’installer un certificat SSL sur votre site WordPress pour activer le HTTPS, notamment si vous avez un e-commerce, car cela permet de crypter les données sensibles et les utilisateurs se sentiront ainsi plus en confiance. De plus, depuis 2018, si vous ne sécurisez pas votre site internet, Google vous pénalise en mettant à côté de l’URL de votre site une mention « site non sécurisé ».

Vous pouvez installer un certificat SSL avec votre hébergeur. Selon votre prestataire et le certificat SSL choisi, celui-ci peut être gratuit.

Ajouter une extension antivirus sur WordPress :

Plusieurs extensions existent pour sécuriser votre site. Nous vous conseillons particulièrement Wordfence. Comme la plupart des extensions, les options de base sont gratuites, mais il faut payer pour accéder à la version Premium. La version gratuite permet de vérifier si votre site est infecté et sécurise votre site WordPress de manière générale.

Vous recevrez un avertissement si le code source de votre serveur est différent du code auquel l’extension se réfère. De plus, vous avez accès à toutes les IPs bloquées automatiquement, dont celles qui ont tenté de se connecter à votre WordPress. Il est possible de bloquer le nombre de tentatives ainsi que le nombre maximal de requêtes autorisées par minute.

Dans la version Premium, il est possible d’activer l’authentification à 2 facteurs (par téléphone portable), ce qui est non négligeable pour sécuriser votre site WordPress. Il est également possible de bloquer l’accès à des utilisateurs de certains pays. Attention cependant à ne pas rendre votre accès WordPress trop restrictif .

Cacher la version de WordPress installée :

Le numéro de la version WordPress que vous utilisez est une donnée publique. Il est important de le cacher pour sécuriser davantage votre site. Afin que les hackers ne puissent pas en disposer pour détecter les failles potentielles de votre version de WordPress.

Pour le cacher, il faut modifier deux fichiers : « style.css » et « functions.php ».

Nous vous conseillons d’activer le thème enfant (child) pour que la modification ne soit pas supprimée lors d’une mise à jour du thème graphique.

Modifier / supprimer le message d’erreur de connexion :

Le message d’erreur qui apparaît lorsque vous essayez de vous connecter est dangereux, car il donne la confirmation à un potentiel pirate que votre identifiant ou votre mot de passe est incorrect. Il est alors conseillé de supprimer ce message pour sécuriser davantage votre site WordPress.

Changer l’URL de connexion :

Lorsque vous souhaitez vous connecter comme administrateur à votre site, vous avez tout simplement à ajouter « /wp-admin « ou « /wp-login.php » à la fin de votre URL. Pour rendre l’accès plus difficile au tableau de bord, il existe l’extension Protect WP-Admin , qui permet de personnaliser l’URL d’administration et de le sécuriser puisqu’il sera plus compliqué à trouver. L’extension permet également à l’administrateur de restreindre l’accès des utilisateurs invités et enregistrés à « wp-admin« .

Pour modifier ce message, il faut modifier le fichier functions.php de votre thème enfant.

Modifier votre fichier .htaccess :

Pour sécuriser davantage son site WordPress, nous vous conseillons de modifier d’autres fichiers depuis votre FTP.

Premièrement, vous pouvez bloquer l’accès au fichier readme.html, ce qui évitera pour un pirate de trouver la version de WordPress (connue pour être vulnérable). Pour cela, il faut modifier votre fichier .htaccess, car c’est lui qui permet l’interdiction à l’accès de fichiers sensibles.

Ensuite, toujours dans le fichier .htaccess, il est important de bloquer l’accès au fichier wp-config.php, car il contient les principaux paramètres de votre site dont les identifiants de la base de données.

Pour finir, si vous voulez bloquer la connexion de votre site à tout le monde sauf à l’adresse IP des contributeurs avec l‘extension Wordfence en version gratuite. Vous pouvez également contrôler le fichier wp-login.php dans le fichier .htaccess, sachant que ce dernier prend le dessus sur l’extension.

Bloquer l’accès de vos fichiers importants :

Sur un site WordPress, vos médias sont accessibles par défaut. À savoir que les dossiers sensibles comme « /wp-content/themes » ne sont pas accessibles via l’URL car ils contiennent un fichier index.php. Ce fichier est lu par défaut en premier par le navigateur.

Pour sécuriser les dossiers concernés, il est nécessaire de bloquer l’accès aux répertoires de votre installation WordPress en modifiant le fichier .htaccess.

Par ailleurs, vous pouvez également bloquer l’accès aux répertoires en installant un plugin comme Hide My WordPress. Ce dernier permet de masquer les chemins communs de WordPress pour faire barrière aux robots hackers.

Faites des sauvegardes régulières de votre site WordPress :

Un dernier conseil qui n’améliora pas la sécurité de votre site internet, mais qui vous permettra de ne pas perdre vos données. C’est une manière de sécuriser l’avancement de votre travail sur votre site ou bien de revenir en arrière si une action a été effectuée par erreur. Faites régulièrement une sauvegarde de votre WordPress. Vous pouvez utiliser l’extension Updraft Plus. Une sauvegarde de votre base de donnée est peut-être également disponible chez votre hébergeur web. Une dernière solution est de conserver une sauvegarde de votre site internet sur votre ordinateur, un disque dur ou dans un espace de stockage en ligne (Drive, Onedrive, Cloud).

Cette liste d’astuces pour sécuriser son WordPress n’est pas exhaustive et rien ne peut être sécurisé à 100%. Mais ce sont de bonnes pratiques à mettre en place pour éviter les risques de piratage.