Un site WordPress, c’est précieux. Il représente votre activité, abrite vos données et celles de vos clients, et parfois même votre moyen de subsistance.
Trop peu de personnes accorde de l’importance à la TMA WordPress. Bien que ce soit un CMS utilisé partout dans le monde, il y a de nombreuses failles sécuritaires qu’il faut colmater, ou empêcher, afin de se protéger des cyberattaques de son site.
WordPress est l’une des plateformes les plus utilisées pour la création de sites web. Cette popularité est accompagnée d’un nombre incalculable de personnes qui travaillent sur ce CMS partout à travers le monde. Ils permettent de fournir une documentation très garnie sur WordPress, qui est évidemment open source.
Mais il n’existe pas que des gens bien intentionnés, et beaucoup d’entre eux choisissent de découvrir et exploiter les failles de sécurité du CMS avant tout le monde.
WP Trigone vous propose 10 points sur lesquels il faudra veiller pour sécuriser son site WordPress.
Supprimer l’identifiant Admin pour sécuriser la connexion
Par défaut, WordPress génère un identifiant nommé Admin sur lequel vous devrez vous connecter la première fois.
Cet identifiant étant créé par défaut, des personnes mal intentionnées peuvent l’utiliser pour essayer de trouver le mot de passe qui lui est affilié.
Cela leur facilite beaucoup la tâche, puisqu’ils ont déjà un identifiant, qui en plus a le rôle d’administrateur.
Changer l’URL de connexion WordPress
Une très bonne idée, car tous les sites WordPress ont pour page de connexion la même ! A savoir /wp-admin/ ou /admin/ ou /wp-login.php/. Ceci est connu des pirates et il est impératif de mettre ceci en place afin de rajouter une sécurité supplémentaire à votre site WordPress.
Mais si votre hébergeur fait les choses biens, comme chez WP Trigone, les attaques de types « brute force » seront gérées par les serveurs, avant même d’atteindre la page de connexion votre site.
Limiter les tentatives de connexion pour sécuriser l’accès au site WordPress
Vos identifiants peuvent être bruteforcés. Cela veut dire que le pirate va lancer un logiciel qui va utiliser toutes les combinaisons possibles de mots de passe pour trouver le bon.
Pour régler ce problème, WP Trigone préconise deux solutions pour garantir votre sécurité : utiliser un mot de passe très long de 20 caractères différents des majuscules, des minuscules, des chiffres et des caractères spéciaux. Une telle combinaison prendre plusieurs années à tester pour les ordinateurs modernes (WordPress vous donne un mot de passe complexe que vous pouvez aussi régénérer sans limite).
Aussi, sécurisez l’accès au site en limitant les tentatives d’accès. Vous pouvez vous procurer une extension qui va permettre de limiter les tentatives de connexion à 5 par exemple.
Un très bon article qui parle de comment sécuriser ses accès : Meilleure façon d’avoir un mot de passe fort sécurisé et inviolable pour son site Web WordPress
Authentification à 2 facteurs WordPress
Bien évidemment, vous en avez sûrement déjà entendu. L’authentification à deux facteurs est un gage de sécurité très fort. En plus de votre mot de passe et de votre identifiant, un mail ou un message vous sera envoyé avec un code pour vérifier que la connexion est bien sécurisée.
Cette technique est toutefois assez contraignante puisque vous devrez l’utiliser à chaque connexion.
Protéger et sécuriser votre ordinateur
Beaucoup d’attaques sont basées non pas sur les faiblesses de WordPress, mais sur vos faiblesses personnelles.
Ainsi, un pirate qui arrive à avoir accès à votre ordinateur pourra contourner toutes les règles de sécurité mises en place.
Alors faites attention à votre navigation, aux tentatives de phishing et autres virus qui pourraient infecter votre ordinateur, vos fichiers mais aussi votre site WordPress.
Vous pouvez enregistrer vos mots de passe lorsque votre navigateur vous le demande, aucun risque de piratage à ce niveau là.
Les mises à jour WordPress importantes pour votre sécurité
Attention à bien mettre à jour les différents composants de votre site WordPress. Que ce soit la version de WordPress utilisée, le thème que vous avez installé ou les différentes extensions en place, prenez garde.
Chaque composant est une faille de sécurité possible et les mises à jour sont très importantes, puisqu’elles corrigent de nombreux problèmes et de nombreuses failles découvertes par la communauté WordPress.
Vous utilisez également un thème et de nombreux plug-ins qui sont maintenus par des fournisseurs tiers ; et ces développeurs publient des mises à jour régulières qui sont très importantes pour le bon fonctionnement de votre site.
Ces mises à jour sont vitales pour la stabilité et la sécurité du site WordPress et vous devez donc vous assurer que toutes vos extensions, le noyau de WordPress et les thèmes soient mis à jour en permanence.
Dans le même but, veillez à ne pas divulguer la version que vous utilisez de WordPress. Bien que nous vous conseillons d’être constamment à jour, montrer votre version de WordPress, (ou d’une extension comme par exemple WooCommerce) permet des cyberattaques WordPress sur votre site.
Laissez planer le doute, et cela une sécurité de plus pour votre site et boutique WooCommerce.
Sauvegardez votre site WordPress
Les sauvegardes sont très importantes pour votre sécurité. Il faut veiller à faire au moins une sauvegarde hebdomadaire de votre contenu.
Sans cela, en plus de subir une attaque et de mettre en péril votre sécurité, vous pourriez perdre votre site internet et son contenu à tout jamais.
La sauvegarde est l’une des premières lignes de défense contre toutes formes de cyberattaques WordPress pour votre site Internet. Aucun site web n’est sûr à 100% et c’est pourquoi les sauvegardes sont importantes pour restaurer rapidement le site WordPress au cas où quelque chose aurait mal tourné.
Il existe de nombreuses extensions de sauvegarde sur WordPress, gratuits ou payants, qui offrent des options de sauvegarde. Il convient de noter ici que les sauvegardes complètes du site web doivent être régulièrement sauvegardées sur des sites distants.
Votre hébergeur WordPress assure votre sécurité
D’après une étude menée par WP White Security, agence spécialisée dans la sécurité WordPress, 41% des attaques sur les sites internet, notamment WordPress, sont dues à une faiblesse de l’hébergeur web.
Lorsque vous souscrivez, prenez garde à vérifier les caractéristiques de sécurité mises en place : le protocole SSL, la version Php, l’analyse antimalwares et le firewall, la possibilité de passer en HTTPS, etc.
Chez WP Trigone nous appliquons politique de vérification de plus de 15 points de sécurité, aussi bien côté sites que côté serveurs.
Avec ces points, vous savez sécuriser votre site Web, même si le risque 0 n’existe pas. Certains hébergeurs proposent un suivi sécuritaire complet, et il peut être important pour vous de vous renseigner.
Par défaut, nous effectuons une sauvegarde journalière sur 30 jours. En terme de sécurité, c’est déjà très confortable, mais nous pouvons aller jusqu’à des sauvegardes par heures ou en temps réel lorsque nécessaire !
Nous intégrons également une extension de sécurité dans chaque site, nous la pré paramétrons et nous affinons les réglages avec vous selon votre site et vos exigences.
L’objectif principal de WP Trigone, et qui devrait être celui de tout hébergeur, est de faire en sorte que vous n’ayez à ne vous soucier que de votre business.
L’importance de la sécurité pour votre site
Si vous envisagez de créer votre propre site web WordPress, il est important que vous preniez des mesures pour sécuriser le site et fournir le mécanisme nécessaire à la protection des données des utilisateurs. La sécurité est l’un des aspects les plus importants de tout site web et il est essentiel que vous preniez les mesures nécessaires pour vous assurer que votre site WordPress dispose des mesures de sécurité les plus strictes afin que les utilisateurs soient en sécurité.
Chaque année, Google met sur liste noire plus de 10 000 sites web à cause d’utilisation de logiciels malveillants et plus de 50 000 sites web pour tentative de phishing.
Un site web qui n’est pas sécurisé peut potentiellement causer des pertes importantes de plusieurs façons. Si un client est la cible d’un piratage ou d’une attaque par un logiciel malveillant via votre site web, cela compromet non seulement les données du client potentiel, mais aussi les vôtres. Votre réputation est en jeu, ainsi que votre référencement sur Google.
Cela aura à son tour un impact sur l’efficacité et la productivité de votre entreprise. Une attaque sur vos serveurs peut l’endommager ou le rendre inaccessible. Le coût moyen d’une cyberattaque pour une PME en France est de 9 000€.
Pour y parvenir, vous devez donc prêter une attention particulière et suivre certaines des meilleures pratiques de sécurité WordPress.
Permission d’utilisateur et mots de passe forts
L’un des moyens les plus courants de piratage informatique est le vol de mots de passe.
En tant que propriétaire d’un site web, vous devez utiliser des mots de passe uniques et forts pour de nombreuses interfaces :
- Comptes FTP
- Panneau d’administration de WordPress
- Panneau d’administration chez votre hébergeur
- Accès à votre base de données
- e-Mails professionnels
Si vous avez peur de ne pas retenir les mots de passe difficiles, vous pouvez simplement utiliser un gestionnaire de mot de passe pour gérer tous vos identifiants de connexion, voir plus simplement celui de votre navigateur lorsqu’il vous invite à le sauvegarder. C’est bien plus sûr que d’utiliser le même mot de passe partout, chose que nous ne recommandons pas !
Hébergement WordPress
L’hébergement WordPress est l’un des éléments clés associés à la sécurité du site WordPress. Les fournisseurs d’hébergement les plus renommés prennent des précautions et des mesures supplémentaires pour s’assurer que les serveurs soient protégés contre les menaces les plus courantes.
Un hébergement web efficace implique la surveillance des données et des sites web pour assurer leur protection. Ces hébergeurs surveillent constamment le réseau pour identifier les activités suspectes et disposent des outils nécessaires pour prévenir les attaques DDoS à grande échelle.
Ils sont également chargés de maintenir le matériel et les logiciels à jour, ce qui empêche les pirates d’exploiter les vulnérabilités qui pourraient être présentes dans les versions précédentes.
En dehors de cela, il y a de simples ajustements et des choses que vous pouvez faire pour vous assurer que votre site WordPress est correctement sécurisé et à l’abri de différentes formes d’attaques et de tentatives de piratage.
Extensions de sécurité WordPress
Une fois les sauvegardes terminées, vous devez ensuite configurer le système de surveillance et de monitoring qui gardera une trace de tous les événements qui se produisent sur votre site.
Cela inclut entre autres les échecs de connexion, la surveillance de vos données, la recherche de malwares.
Il existe différentes extensions de sécurité WordPress qui font ce travail efficacement. Ces extensions de sécurité sont très efficaces et puissants. Si vous souhaitez vérifier et suivre les différentes tâches qu’ils effectuent, vous pouvez passer par les paramètres et les onglets pour voir les journaux d’audit, la recherche de logiciels malveillants, le suivi des tentatives de connexion, les échecs de connexion, etc.
WP Trigone se charge d’appliquer les standards de sécurité pour protéger votre site internet, et cela va bien au-delà de comment sécuriser son site, car nous faisons en sorte que votre site soit bien protégé.
Faire le choix d’un hébergement de qualité, c’est aussi s’assurer d’une maintenance digne de ce nom et de performances améliorées.