11 clés pour sécuriser votre site WordPress

14/12/2020

Comment sécuriser un site WordPress

WordPress est l’un des CMS les plus utilisés au monde, et malheureusement sa popularité en a fait la cible privilégiée des pirates. Il faut savoir que la plupart des attaques sont effectuées au hasard par des robots qui vont naviguer de site en site à la recherche de failles à exploiter. Peut importe la taille de votre site ou votre notoriété, malheureusement vous pouvez vous aussi être la cible d’un hacker.

Mais pas de panique, il existe différentes astuces pour protéger au mieux votre site WordPress des attaques les plus courantes. En voici une petite sélection.

Activer HTTPS avec un certificat SSL

Saviez-vous que les visiteurs d’un site web échangent des informations avec lui ? Il peut s’agir de simples données de navigation (adresse IP, localisation, etc.), mais aussi de données personnelles ou même de données bancaires. Protéger ces échanges grâce au protocole HTTPS permet d’éviter à un tiers de les intercepter et sécurise des données de vos utilisateurs.

Pour ce faire, il faut activer un certificat SSL sur votre site, qui sera ensuite symbolisé par un petit cadenas dans la barre de votre navigateur. Renseignez-vous auprès de votre hébergeur ou de votre fournisseur de nom de domaine, car un certificat SSL est bien souvent inclus dans leurs offres.

Effectuer les mises à jour régulièrement

WordPress est un logiciel, et, comme tous les logiciels, il évolue régulièrement : des bugs sont résolus, des failles de sécurité sont corrigées, de nouvelles fonctionnalités sont ajoutées, etc. Il en va de même pour tous les thèmes et les extensions qui viennent compléter WordPress. Il est donc indispensable d’effectuer régulièrement ces mises à jour pour corriger dès que possible ces défauts.

Il est également recommandé de vérifier la version de PHP installée sur le serveur. PHP est le langage de programmation dans lequel est écrit WordPress, et une version obsolète peut augmenter les risques de dysfonctionnements et de failles de sécurité.

Faire des sauvegardes périodiques

En vertu de l’adage « mieux vaut prévenir que guérir », faire des sauvegardes régulières de votre site vous permettra de le restaurer en cas de piratage. La fréquence de sauvegarde dépendra de la fréquence où votre site est mis à jour : une sauvegarde par mois peut suffire pour un site vitrine qui n’est presque jamais modifié, une sauvegarde par semaine pour un site vitrine avec une section blog par exemple, et jusqu’à une sauvegarde par jour pour un site e-commerce.

Il existe différentes extensions qui permettent d’automatiser ces sauvegardes pour vous éviter d’avoir à les faire manuellement, n’hésitez pas à les comparer et à en tester plusieurs !

Utiliser des mots de passe forts et les changer de temps en temps

Les attaques par « force brute » utilisent des scripts automatisés pour tenter de cracker le mot de passe de connexion. Ces robots ont dans leur boîte à outils, entre autres choses, des dictionnaires de mots fréquemment employés pour constituer des mots de passe. S’il vous connaît, le pirate peut compléter ce dictionnaire avec des informations que vous êtes susceptibles de choisir : le nom de votre chien, la ville où vous avez grandit, les dates de naissance de vos enfants, etc.

L’idéal pour compliquer ce type d’attaque est d’utiliser un mot de passe fort, c’est-à-dire contenant au moins 12 caractères et composés aléatoirement de lettres minuscules et majuscules, des chiffres et des caractères spéciaux. Vous pouvez utiliser le générateur intégré à WordPress pour créer les mots de passe de vos comptes utilisateurs, et les stocker dans un gestionnaire de mot de passe sécurisé sur votre ordinateur.

Pour finir, il est également recommandé de changer régulièrement chaque mot de passe, car il peut avoir été compromis sans que vous en soyez encore au courant. Vous pouvez par exemple programmer un rendez-vous dans votre calendrier tous les 6 mois pour vous rappeler de modifier les mots de passe de votre site (mais aussi pourquoi pas de tous vos autres comptes sur les sites que vous utilisez ?)

Masquer la version de WordPress utilisée

Comme nous l’avons vu, chaque version de WordPress possède des failles que les personnes mal intentionnées tentent d’exploiter. Pour leur donner du grain à moudre, pensez à masquer le numéro de version de WordPress que vous utilisez : cela leur demandera un tout petit peu plus d’effort pour hacker votre site !

Customiser l’adresse de connexion à l’administration

Pour compliquer la tâche des pirates et des robots malveillants, il est recommandé de modifier l’adresse de l’administration de WordPress. En effet, WordPress est configuré par défaut pour utiliser l’URL exemple.fr/wp-login.php, ce qui facilite grandement la tâche des hackers, qui n’ont qu’à se rendre à cette adresse pour tenter de forcer la connexion.

L’idéal est de configurer une adresse de connexion avec une suite de caractères aléatoires (exemple : exemple.fr/42vc3grx739y), que vous enregistrer dans les favoris de votre navigateur pour pouvoir la retrouver.

Modifier l’identifiant du compte administrateur

De la même manière, WordPress attribue par défaut au compte administrateur l’identifiant « Admin ». Le conserver, c’est faciliter la tâche du hacker, car s’il connait déjà l’identifiant de connexion, il n’a plus qu’à tenter de cracker le mot de passe. Pour lui compliquer la tâche, le plus simple est de créer un autre compte avec les droits d’administrateur et un identifiant moins évident, puis de supprimer le compte « Admin » d’origine.

Configurer une durée maximale de connexion

La plupart des extensions de sécurité proposent cette option, qui permet de définir une durée limite de session au-delà de laquelle tout utilisateur sera déconnecté de l’administration WordPress. En effet, si vous restez en permanence connecté à l’espace d’administration de votre site, n’importe qui ayant accès à votre ordinateur peut également y accéder, ce qui représente un risque en termes de sécurité.

Limiter le nombre de tentatives de connexion

Là aussi, il s’agit d’une option souvent proposée par les extensions de sécurité. Elle consiste tout simplement à définir un nombre limite de tentatives de connexion, au-delà duquel la connexion au compte est bloquée pendant une durée définie. Cela permet principalement de se protéger des attaques par « force brute » et des pirates qui vont effectuer de multiples tentatives de connexion jusqu’à trouver le bon mot de passe. Vous pouvez par exemple fixer une limite de 3 essais, puis bloquer l’accès au compte pendant 1 heure.

Activer l’authentification à 2 étapes

Si vous avez déjà fait une commande en ligne, vous connaissez probablement déjà cette méthode de vérification qui consiste à confirmer une demande de connexion ou un paiement avec un code reçu sur son téléphone. Cette technique est redoutable pour contrer les attaques par « force brute », car il est presque impossible que quelqu’un d’autre que vous connaisse à la fois votre mot de passe et ait accès à votre téléphone portable.

Bien choisir son hébergeur

Enfin, last but not least, l’hébergeur que vous choisissez peut vraiment avoir un gros impact sur la sécurité de votre site, dans le bon comme dans le mauvais sens. En effet, vous aurez beau mettre en place tous ces conseils sur votre site, si votre hébergeur ne fait pas sa part, cela ne suffira pas. Vous pouvez notamment vérifier ce qu’il propose en termes de pare-feu et d’antivirus, s’il effectue des sauvegardes automatiques des sites, et, dans le cas d’un hébergement mutualisé, s’il prend soin d’isoler les comptes utilisateurs les uns des autres pour ne pas qu’un compte infecté corrompe les autres.

Voilà, vous avez maintenant toutes les clés en main pour sécuriser votre site WordPress. Bien sûr, aucune de ces techniques n’est infaillible, et rien ne garantit que votre site ne sera jamais piraté si vous mettez tous ces conseils en place… Cependant, vous limiterez drastiquement les risques, et c’est le plus important !

Vous avez un projet de site web ?