30 Jan Comment sécuriser un site WordPress ?
WordPress est un des logiciels open source les plus utilisés au monde. Par conséquent il est important d’être vigilent et de le protéger le mieux possible. En effet, des attaques massives contre les sites WordPress sont régulièrement menées. Les hackers peuvent alors se connecter à votre administration, procéder à des changements (par exemple : modifier vos offres commerciales ce qui entraine une baisse du chiffre d’affaire), rendre votre site inaccessible (vos clients n’auront plus accès au site et cela se fera ressentir sur vos ventes), intégrer des contenus sans liens avec votre activité (crédibilité professionnelle en baisse), etc. Afin de vous prémunir du risque d’une cyber attaque, Némésis studio vous donne quelques conseils pour sécuriser votre site.
Les solutions essentielles pour sécuriser son site WordPress
Procéder à des mises à jour de façon régulière (sauf contre-indication de votre Webmaster) :
Les mises à jour sont automatiques sur WordPress alors ne négligez pas les notifications qui peuvent vous être proposées dans l’administration de votre site WP. Elles peuvent vous indiquer que des mises à jour de thème ou de plugins sont disponibles. Ces mises à jour sont là pour ajouter de nouvelles fonctionnalités, résoudre des bugs ou des failles de sécurité.
Protéger la page de connexion de votre site WordPress :
- Eviter d’utiliser l’identifiant ADMIN : le nom d’utilisateur « Admin » est l’identifiant attribué par défaut lors de la création d’un site WordPress. Il est toutefois plus prudent de configurer vous-même un nom d’utilisateur.
- Limiter le nombre de tentatives de connexion : pour vous permettre la mise en place de cette limitation, n’hésitez pas à utiliser un plugin WordPress ou à faire appel à votre webmaster.
- Utiliser un mot de passe complexe et le renouveler régulièrement : n’optez pas pour la facilité concernant le choix de votre mot de passe. Il doit être composé de majuscules, minuscules, chiffres et caractères spéciaux. Si l’exercice vous semble délicat, il existe des générateurs de mots de passe de qualité, comme par exemple : strongpasswordgenerator.com. Pour plus de sécurité, n’utilisez jamais le même mot de passe sur des plateformes différentes (1 mot de passe = 1 plateforme).
Sauvegarder régulièrement votre site WordPress :
Il ne s’agit pas à proprement parlé de sécurité mais sauvegarder régulièrement votre site WordPress vous évitera de perdre vos données, notamment en cas de problèmes techniques.
Etre attentif au lors du téléchargement de templates et plugins :
WordPress vous propose un grand nombre de plugins utiles et gratuits. Comme pour tout téléchargement, soyez vigilants car certains plugins et templates peuvent contenir des failles de sécurité et endommager votre site. Pour vous protéger, des plugins spécifiques existent, ils analysent et scannent votre WordPress à la recherche de virus ou autres problèmes de sécurités
Masquer la version de votre WordPress :
Grâce à cette manipulation, vous rendrez l’identification de votre version de WordPress plus difficile et par conséquent votre site sera moins facilement piratable.
Les solutions techniques pour sécuriser son site WordPress :
Contrairement aux recommandations mentionnées précédemment, les solutions suivantes sont plus techniques et peuvent nécessiter l’intervention d’un webmaster. N’hésitez pas à nous contacter pour plus de renseignements.
Protéger les fichiers .htaccess :
Le fichier .htaccess est un fichier de configuration permettant d’indiquer des commandes au serveur. Il sert par exemple à protéger une page par un mot de passe ou bien à créer vos propres pages d’erreur. Pour plus de sécurité vous pouvez sécuriser son accès extérieur (via l’ajout de lignes de codes).
Empêcher l’accès au répertoire de fichiers de WordPress :
En ajoutant un simple « /wp-contant/uploads » à l’URL de votre site, des intrus peuvent avoir accès à votre répertoire de fichiers. Pour éviter cela, l’ajout de plusieurs lignes de code est nécessaire.
Changer le préfixe de la base de données :
Si une chose est intéressante pour les pirates sur votre site WordPress, c’est votre base de données. Afin de compliquer l’attaque des hackers, il vous est possible de modifier le préfixe par défaut « wp_ »
Scanner et nettoyer votre site régulièrement :
Comme pour toute maladie, tout virus informatique ne se détecte pas immédiatement. Afin de sécuriser au maximum votre WordPress, des solutions scannant, nettoyant et sauvegardant régulièrement peuvent être ajoutées à votre site.
Utiliser une connexion SFTP plutôt que FTP :
Afin d’avoir une connexion plus sécurisée qu’une connexion classique en FTP, optez plutôt pour une connexion sécurisée en SFTP (Secure File Transfer Protocol).
Si vous avez besoin de mettre en place un WordPress sécurisé, de conseils ou toutes autres questions, contactez-nous, les experts Némésis studio se tiennent à votre disposition.
L’expertise Némésis studio
Les différentes solutions exposées ci-dessus sont des remarques d’ordre général et doivent être complémentées par d’autres techniques (HTTPS, etc.). Pour les appliquer, des compétences spécifiques peuvent être requises.
Pour vous accompagner, et optimiser ces solutions, nous vous invitons à contacter les experts en sécurité WordPress Némésis studio.