0532960022 contact@oraka.fr

Pourquoi sécuriser mon site WordPress ?

La sécurité est une donnée primordiale dans un projet web et en particulier lors de la création d’un site WordPress.

Le temps de travail lié à la création du site et de son contenu sont des raisons devant vous pousser à sécuriser votre site web. Il serait vraiment très fâcheux de voir tout votre parti en fumée à cause de simples robots non 🤯🤬 ?

Vous devez donc être préparé au pire parce qu’on va le voir… les attaques de pirates informatiques sont fréquentes sur le CMS WordPress.

⚠️ 90% des CMS piratés sont des sites WordPress ⚠️

Vous pouvez penser que vous n’allez pas être sujet à ce genre d’attaques, que votre petit site web n’intéresse pas les hackers. Mais personne, vous y compris, n’est à l’abri de ce genre d’attaques puisque les attaques WordPress sont le plus souvent lancées en masse par des robots et ne sont donc pas particulièrement ciblées. 

Ajoutons que les conséquences d’un piratage peuvent vite s’enchaîner et s’avérer désastreuses. Votre hébergeur pourrait bloquer votre site, Google pourrait vous infliger une pénalité de classement, vos utilisateurs n’auraient donc plus confiance en votre marque etc. etc.

Mais pas de panique ! Nous allons vous guider et vous donner les meilleures astuces pour sécurisuer votre site WordPress.

💡 Bon à savoir

Principe de base : utilisez un mot de passe unique et complexe (lettres, symboles et chiffres) pour chaque administrateur. L’idéal est d’utiliser un mot de passe d’au moins 10 caractères sans significations. Exemple : 7hMm)j3K

Quels plugins pour augmenter la sécurité de mon site WordPress ?

1- Sécuriser son site

🔒 Wordfence Security

Wordfence Security est un plugin freemium. Une partie de son utilisation est possible dans sa version gratuite, mais certaines fonctionnalités sont réservées aux utilisateurs de la version premium.

Pour vous donner une idée, le plugin Wordfence Security a été capable de bloquer plus de 3 milliards d’attaques en l’espace d’un mois.

Le plugin Wordfence Security va vous permettre d’analyser le trafic de vos sites web. Vous pourrez donc voir sur le tableau de bord Wordfence Security si le trafic provient d’humains, de robots Google, ou de robots malveillants.

Ce plugin propose plusieurs fonctionnalités comme le scan de votre serveur. Wordfence Security va analyser le code source de votre site avec celui du référentiel. Si le plugin détecte une différence entre ces deux, vous serez immédiatement informé (selon vos réglages).

Ce plugin permet également de bloquer automatiquement toutes les IPs malveillantes. Vous pourrez ainsi voir dans l’interface du plugin quelle IP a été bloquée et pour quelles raisons (nombre de requêtes avec le serveur trop important, tentatives d’authentification à votre WordPress trop important).

Wordfence Security propose également d’améliorer la rapidité de votre site à l’aide d’un cache. Cette amélioration serait de l’ordre de 30 à 50 fois plus rapide d’après Wordfence.

La version gratuite de Wordfence Security dispose des fonctionnalités de sécurité de base, ce qui permettra d’éliminer la plupart des risques. C’est un must have !

🔒 SecuPress

De la même façon que Wordfence Security, Secupress fait parti des plugins proposant une connexion anti-brute force, un pare feu et permettant de bloquer automatiquement les adresses IPs malveillantes. Si vous souhaitez débloquer d’autres fonctionnalités, Secupress propose une version payante (authentification à deux facteurs, rapports PDF, alertes et notifications).

🔒 Sucuri

L’extension Sucuri Security est une alternative à Wordfence, SecuPress et autres extensions de sécurité. Sucuri propose la surveillance de fichiers, des listes noires, un audit de sécurité ainsi que le renforcement de la sécurité. Contrairement à Wordfence et SecuPress, il est possible de modifier l’adresse de connexion et d’être averti des extensions et thèmes disposant de failles de sécurité. Tout cela sans utiliser d’autres extensions !

🔒 IThèmes

Ithemes propose plus de 30 facons de sécuriser votre site web. Ce plugin prévient des points de vulnérabilité comme les mots de passes faibles, les fichiers endommagés et les logiciels obsolètes. Cela dans le but de contrer les attaques automatisées. Une version premium est disponible et permet d’accéder à de nombreuses fonctionnalités comme l’authentification à deux facteurs, la mise en place de Google reCaptcha, la planification d’analyse sera également possible avec cette version.

🔒 Security Scanner

Les plugins WordPress sont d’une grande utilité, mais peuvent s’avérer dangereux s’ils présentent des failles de sécurité.

Plugin Security Scanner va donc trouver et de vous informer des plugins ou thèmes ayant des failles de sécurité. Pour ce faire, le plugin va comparer les données de vulnérabilité WPScan et les données de vos plugins et thèmes.

Security Scanner analyse votre site une fois par jour et vous envoie la liste des plugins et thèmes vulnérables. Un plugin simple mais qui peut s’avérer très utile.

🔒 Disable XML-RPC Pingback

XML-RPC permet d’insérer plusieurs demandes dans une même requête. Un hacker peut ainsi rechercher le mot de passe d’un utilisateur en essayant de nombreuses combinaisons pouvant être générées par des programmes.

Pour faire face à cela, l’extension Disable XML-RPC Pingback permet de supprimer certaines méthodes utilisées par les attaquants tout en conservant certaines méthodes utiles au bon fonctionnement de certaines extensions. Une fois installée et activée, aucune configuration n’est nécessaire pour cette extension.

🔒 WPS Hide Login

Par défaut, votre site est accessible grâce au dossier /wp-admin accessible depui l’URL de votre site. Afin d’éviter les tentatives d’authentification frauduleuses sur votre site, vous pouvez modifier cette adresse de connexion grâce à l’extension WPS Hide Login. Il vous suffira simplement de remplacer le /wp-admin dans les réglages du plugin.

Une extension très légère et facile a configurer mais qui renforcera un peu plus la sécurité de votre site web.

2- Sauvegarder et maintenir à jour son site

🔄 Easy Update Manager

Afin que le plugin Security Scanner détecte le moins de failles de sécurité dans vos plugins et thèmes, il est important de maintenir à jour tous les éléments de votre site. Pour cela, Easy Update Manager se charge de tous. Il analyse les fichiers qui sont vulnérables et déclenche une alterte. Vous n’avez qu’à le configurer et c’est parti ! ✅ 

🔄 UpdraftPlus

En cas d’attaque de votre site web, il est important de posséder une sauvegarde. Il serait dommage de perdre tout le contenu de votre site. C’est pourquoi une sauvegarde régulière permettant de restaurer votre site à tout moment est très importante.

Pour réaliser ces sauvegardes facilement, le plugin UdraftPlus est très utile. Vous n’aurez qu’à l’installer, paramétrer la fréquence et le stockage de vos sauvegardes et le tour est joué ! Il est possible de sauvegarder automatiquement votre site sur votre Dropbox, sur Google drive, dans un dossier en local. Les possibilités offertes sont extrêmement larges.

À présent si votre site web devient inutilisable à la suite de l’installation d’un plugin ou d’une attaque, vous n’aurez qu’à restaurer celui-ci à partir de votre dernière sauvegarde.

🔄 BackWPup

BackWPup est une extension alternative à Easy Update Manager et UpdraftPlus. Elle est également très téléchargée et utilisée. Elle est plébicité pour sa facilité d’utilisation.

Si vous ne voulez pas passer du temps à configurer vos sauvegardes, c’est la solution qu’il vous faut ! En effet, quelques clics suffiront à sauvegarder vos fichiers FTP et à programmer une sauvegarde automatique.

3- Se protéger du spam

🚫 Akismet

Lors de la rédaction d’articles pour votre blog, vous vous attendez à recevoir des critiques pertinentes… Mais ce n’est malheureusement pas toujours le cas !

Parfois, les commentaires n’ont rien à voir avec votre contenu et cela peut s’avérer fort désagréable. Pour faire face à ce SPAM, Akismet offre une protection efficace en filtrant les commentaires indésirables. Ce plugin est installé par défaut sur votre WordPress, mais nécessite d’être activé et configuré pour fonctionner.

Une fois l’extension configurée, elle ne nécessite aucune action et fonctionne de manière autonomme. Le petit + : elle est 100% gratuite !

🚫 Captcha Code

Afin de lutter contre le spam, vous pouvez également utiliser Captcha code. Ce plugin vous permettra de générer un captcha lors de l’utilisation du formulaire de contact. Ce plugin affichera un texte déformé que seul un humain sera capable de déchiffrer et retranscrire.

Une fois configuré, le captcha apparaitra dans les zones préalablement sélectionnées.

Vous souhaitez en savoir plus sur la création d’un site WordPress sécurisé ?

Notre formation WordPress vous permet de  créer et personnaliser vos sites WordPress de manière sécurisé !