Pourquoi sécuriser mon site WordPress ?
Safety first ! 🔒 Parce que la sécurité est une donnée primordiale dans un projet web, et en particulier lors de la création d’un site sur le CMS WordPress.
Quand on lance un site web, on consacre énormément de temps à la création et à l’organisation de son contenu. Alors plutôt que de voir tout ce travail partir en fumée, pensez à sécuriser votre site web directement ! Car, oui, si votre site n’est pas sécurisé, votre travail peut être expédié à la poubelle par les petits robots de Google… 🤖
Alors, si on doit vous donner un conseil, c’est bien celui-là : préparez-vous au pire en sécurisant bien votre site web ! Vous allez voir dans cet article que les attaques de pirates informatiques sont fréquentes sur le CMS WordPress.
C’est comme pour tout, vous pensez que ça n’arrive qu’aux autres… jusqu’à ce que ça vous arrive ! Et là, on peut vous garantir que vous serez bien contents d’avoir sécurisé votre site web. Parce qu’aucun site web n’est à l’abri d’une cyberattaque : les hackers sont partout et se baladent sur tous types de sites web. D’ailleurs, sur WordPress, les cyberattaques sont le plus souvent lancées en masse par des robots, et ne sont donc pas particulièrement ciblées. Vous n’êtes donc pas à l’abri.
Et si vous ne jouez pas la carte de la sécurité, les conséquences d’un piratage peuvent vite s’enchaîner et s’avérer désastreuses. En effet, votre hébergeur pourrait bloquer votre site, Google pourrait vous infliger une pénalité de classement, vos utilisateurs n’auraient donc plus confiance en votre marque, etc. Et qui voudrait faire face à de telles conséquences ? Personne, on vous l’affirme.
Alors pas de panique. ORAKA est là pour vous guider et vous donner les meilleures astuces et plugins pour sécuriser votre site inernet.
💡 Bon à savoir
Choisissez un mot de passe unique et complexe pour chaque administrateur de votre site web.
L’idéal est d’utiliser un mot de passe d’au moins 10 caractères, sans significations, composé de lettres, symboles et chiffres. Par exemple : 7hMm!j3K
Quels plugins pour augmenter la sécurité de mon site WordPress ?
1- Plugins pour sécuriser son site
🔒 Wordfence Security
Wordfence Security est un plugin freemium. Une partie de son utilisation est donc possible dans sa version gratuite, mais certaines fonctionnalités sont réservées aux utilisateurs de la version premium.
Pour vous donner une idée, le plugin Wordfence Security a été capable de bloquer plus de 3 milliards d’attaques en l’espace d’un mois. 😱 Rien que ça !
Le plugin Wordfence Security va devenir votre allié pour analyser le trafic de votre site web. Ainsi, vous pourrez voir sur le tableau de bord Wordfence Security si le trafic provient d’humains, de robots Google, ou de robots malveillants. De quoi bien protéger votre site !
Ce plugin propose plusieurs fonctionnalités intéressantes, comme le scan de votre serveur. Ici, Wordfence Security va analyser le code source de votre site avec celui du référentiel. Si le plugin détecte une différence entre ces deux, vous serez immédiatement informé.
Il permet également de bloquer automatiquement toutes les adresses IP malveillantes. Vous pourrez même voir quelle IP a été bloquée et pour quelles raisons.
Il en faut encore pour vous convaincre ? Pas de soucis, figurez-vous que le plugin Wordfence Security propose également d’améliorer la rapidité de votre site à l’aide d’un cache. Cette amélioration serait de l’ordre de 30 à 50 fois plus rapide d’après Wordfence !
Pour nous, la version gratuite de Wordfence Security est un must have car elle dispose des fonctionnalités de sécurité de base, qui permettent d’éliminer la plupart des risques.
🔒 SecuPress
Tout comme le précédent, Secupress fait partie des plugins proposant une connexion anti-attaque de force brute (ou brute force) et d’un pare feu permettant de bloquer automatiquement les adresses IP malveillantes. Si vous souhaitez débloquer d’autres fonctionnalités, Secupress propose une version payante. Au programme : authentification à deux facteurs, rapports PDF, alertes et notifications…
🔒 Sucuri
L’extension WordPress Sucuri Security est une alternative à Wordfence et SecuPress. Sucuri va surveiller vos fichiers, élaborer des listes noires, faire des audits de sécurité ainsi que renforcer la sécurité globale de votre site. Petit point bonus, contrairement à ses concurrents, ce plugin donne la possibilité de modifier l’adresse de connexion et d’être averti des extensions et thèmes disposant de failles de sécurité. Tout cela sans utiliser d’autres extensions, et ça, c’est fort !
🔒 IThèmes
On vous conseille également Ithemes, qui vous propose plus de 30 facons de sécuriser votre site web. Ce plugin vous prévient dès qu’il y a des points de vulnérabilité : mots de passes faibles, fichiers endommagés, logiciels obsolètes… Et cela dans le but de contrer les attaques automatisées dont on vous parlait plus haut. Une version premium est disponible et permet d’accéder à de nombreuses fonctionnalités. Au prorgamme sur ce plugin, en version premium : authentification à deux facteurs, mise en place de Google reCaptcha, planification d’analyse…
🔒 Security Scanner
Les plugins et thèmes WordPress sont très utiles, mais attention, ils peuvent parfois s’avérer dangereux s’ils présentent des failles de sécurité.
Et dans le but de trouver ces plugins ou thèmes ayant des failles de sécurité, Security Scanner a été créé. Ce plugin compare les données de vulnérabilité WPScan avec les données de vos plugins et thèmes. Ainsi, il analyse votre site une fois par jour et vous envoie la liste des plugins et thèmes vulnérables par la suite. Un plugin simple qui peut s’avérer très utile, on vous le conseille !
🔒 Disable XML-RPC Pingback
Le protocole XML-RPC permet d’insérer plusieurs demandes dans une même requête. Grâce à cette manipulation, un hacker peut rechercher le mot de passe d’un utilisateur en essayant de nombreuses combinaisons générées par des programmes.
Heureusement une extension permet contrer cette manipulation malveillante : Disable XML-RPC Pingback. Elle va supprimer certaines méthodes utilisées par les hackers, tout en conservant certaines utiles au bon fonctionnement d’autres extensions. Une fois installée et activée, aucune configuration n’est nécessaire pour cette extension. Mieux vaut prévenir que guérir, non ?
🔒 WPS Hide Login
Vous le savez sûrement, par défaut, votre site WordPress est accessible grâce à « /wp-admin » accessible depuis l’URL de votre site. Alors afin d’éviter les tentatives d’authentification frauduleuses sur votre site, vous pouvez modifier cette adresse de connexion grâce à l’extension WPS Hide Login. Il vous suffira simplement de remplacer le « /wp-admin » dans les réglages du plugin.
Une extension très légère et facile à configurer, qui renforcera un peu plus la sécurité de votre site web. Vous avez tout à y gagner en l’installant !
2- Plugins pour sauvegarder et maintenir à jour son site
🔄 Easy Update Manager
Afin que le plugin Security Scanner détecte le moins de failles de sécurité dans vos plugins et thèmes, il est important de maintenir à jour tous les éléments de votre site. Pas de panique, Easy Update Manager se charge de tout, en analysant pour vous les fichiers vulnérables et en sonnant l’alarme si besoin. Vous n’avez qu’à le configurer et c’est parti ! 👌
🔄 UpdraftPlus
Faites des sauvegardes régulièrement ! Cela pourrait vous sauver la vie. Parce qu’en cas d’attaque, il serait dommage de perdre tout le contenu de votre site web.
Et bonne nouvelle, on a l’extension qu’il vous faut pour réaliser ces sauvegardes facilement : le plugin UdraftPlus. Vous n’avez qu’à l’installer, paramétrer la fréquence et le stockage de vos sauvegardes, et le tour est joué ! De plus, vous pouvez choisir de mettre la sauvegarde automatique sur Dropbox, Google drive, ou bien même dans un dossier de votre ordinateur. Ce plugin est très utile, et les possibilités offertes sont extrêmement larges !
Dorénavant, grâce à ce merveilleux plugin, si votre site web devient inutilisable suite à une attaque, vous n’aurez qu’à restaurer celui-ci à partir de votre dernière sauvegarde.
🔄 BackWPup
BackWPup est une extension alternative à Easy Update Manager et UpdraftPlus. Elle est également très téléchargée et utilisée. Elle est plébicité pour sa facilité d’utilisation.
Si vous ne voulez pas passer du temps à configurer vos sauvegardes, c’est la solution qu’il vous faut ! En effet, quelques clics suffiront à sauvegarder vos fichiers FTP et à programmer une sauvegarde automatique.
3- Plugins pour se protéger du spam
🚫 Akismet
Lors de la rédaction d’articles pour le blog de votre site internet, vous vous attendez à recevoir des critiques pertinentes. Mais ce n’est malheureusement pas toujours le cas…
Parfois, ces commentaires n’ont rien à voir avec votre contenu mais restent présents, diminuant la confiance de vos cibles. Alors pour éliminer ces spam, Akismet vous offre une protection efficace qui filtre les commentaires indésirables. Ce plugin est installé par défaut sur votre WordPress, mais nécessite d’être activé et configuré pour fonctionner. Une fois l’extension configurée, elle ne nécessite aucune action et fonctionne de manière autonomme. Vous savez ce qu’il vous reste à faire, en plus elle est 100% gratuite !
🚫 Captcha Code
Afin de lutter contre le spam, vous pouvez également utiliser Captcha code. Ce plugin vous permettra de générer un captcha – vous savez, les petits tests pour vérifier que vous n’êtes pas un robot – lors de l’utilisation du formulaire de contact. Une fois configuré, le captcha apparaitra dans les zones préalablement sélectionnées et affichera un texte déformé que seul un humain sera capable de déchiffrer et retranscrire.
Vous souhaitez en savoir plus sur la création d’un site WordPress sécurisé ?
Notre formation WordPress vous permet de créer et personnaliser vos sites WordPress de manière sécurisé !
Mes connaissances solides en développement web me permettent de construire des sites à la fois ergonomiques et efficaces techniquement.