Sécuriser son site WordPress, ce n’est pas une mince affaire ! Étape souvent négligée, c’est pourtant un passage obligé pour s’assurer, dans le temps :
- Que votre site reste en ligne, fonctionnel
- Qu’il ne présente pas de danger pour vos visiteurs (surtout s’ils achètent des choses directement sur votre site)
- Que votre activité ne soit pas en péril si votre site venait à tomber quelques heures voire quelques jours
WordPress propulsant près de la moitié des sites web dans le monde, c’est un outil bien connu des pirates et des robots, qui connaissent par cœur les failles de ce système. Faisons un tour d’horizon des premiers gestes à adopter.
Les bonnes pratiques simples à connaître
Il n’y a pas d’actions inutiles. Même les gestes les plus simples sont importants à adopter, dès la mise en ligne de votre site. Vous les connaissez peut-être déjà, il s’agit de :
- Supprimer le compte admin
C’est le nom d’utilisateur par défaut pour tous les sites WordPress, et les pirates le savent bien ! Un premier geste simple est donc de supprimer ce compte et de créer un compte administrateur avec un nom personnalisé. - Choisir un mot de passe fort
Le “béaba” de la sécurité en ligne ! Un mot de passe unique à votre site, de minimum 12 caractères, mêlant chiffres, caractères spéciaux, majuscules et minuscules. En évitant les mots du dictionnaire. - Modifier l’adresse de connexion
Là aussi, un point commun à tous les sites WordPress, l’adresse de connexion se terminant par /wp-admin/. Vous pouvez utiliser une extension comme WPS Hide Login pour modifier cela.
Sécuriser votre site WordPress en allant plus loin
Ces gestes, même s’ils sont absolument indispensables, ne suffisent pas à assurer une sécurité maximale de votre site. Il faut aller plus loin en essayant également de :
- Masquer la version de WordPress utilisée
Pour éviter de donner trop d’indices à de potentiels pirates, vous pouvez masquer la version de votre WordPress en ajoutant ce bout de code dans le fichier function.php de votre thème (enfant) : remove_action(« wp_head », « wp_generator »); Supprimez également le fichier readme.html se trouvant à la racine de votre installation WordPress. - Protéger les fichiers et les dossiers
On s’attaque à pilier de votre site, le fichier htaccess. C’est grâce à lui que l’on va pouvoir blinder la sécurité de son site. Ici, il va nous servir à protéger vos fichiers, vos dossiers, et le fichier htaccess en lui-même. Voici le code à ajouter dans le fichier htaccess :
#Protection des fichiers
<Files wp-config.php>
order allow,deny
deny from all
</Files>
#Protection des dossiers
Options All -Indexes
#Protection htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>- Restreindre le nombre d’essais de connexion
Pour éviter à quelqu’un d’essayer de se connecter à votre administration jusqu’à temps qu’il trouve votre mot de passe, vous pouvez bloquer le nombre de tentatives. Un outil comme WPS Limit Login fera parfaitement l’affaire. - Générer les clés de sécurité secrètes
Ce sont des clés créant un cookie d’identification pour protéger votre installation WordPress. Elles sont généralement générées par défaut et se trouvent dans le fichier wp-config.php. Si ce n’est pas le cas, vous pouvez les générer ici : https://api.wordpress.org/secret-key/1.1/salt/. - Changer le préfixe wp_
Par défaut, les tables de votre base de données commencent toutes par wp. Là aussi, c’est un point commun à tous les sites WordPress, qu’il faut absolument éviter. L’idéal est de personnaliser ce préfixe dès le début, mais il n’est jamais trop tard pour faire la modification. - Configurer la double authentification
Comme c’est le cas sur votre compte Gmail par exemple. Pour cela, rapprochez-vous de votre hébergeur qui propose peut-être cette option, ou optez pour une extension comme Two Factor Authentification.
Le plus important : la maintenance de votre site
Vous pouvez cadenasser à votre site à 200%, le risque zéro n’existe malheureusement pas et les piratages/crashs resteront toujours une menace bien présente. Le plus efficace reste de maintenir votre site régulièrement.
Cela implique quoi ? Entre autres :
- De le sauvegarder
- De le mettre à jour
- D’auditer sa performance et sa disponibilité en continu
Trop d’entreprises voient leur activité menacée à cause d’un problème de piratage ou de crash de leur site. Notre agence a déjà accompagné de nombreuses entreprises avec des plans de maintenance sûres (et écologiques !). Si vous envisagez de déléguer la maintenance de votre site, n’hésitez pas à jeter un coup d’œil à nos forfaits de maintenance et à nous contacter pour toute question.