Comme nous avons pu le voir dans la partie précédente, WordPress est le CMS le plus populaire au monde. Mais ce succès fait de lui une cible privilégiée des hackers. Il faut savoir que les autres plateformes de gestion de contenu ne sont pas en reste. Elles sont aussi très souvent visées. Heureusement, il existe des mesures efficaces à prendre pour sécuriser votre site web développé sous WordPress. Tout cela peut faire l’objet d’une maintenance préventive mensuelle.

 

Les 10 règles de sécurité de WordPress

1. Modification de l’adresse de connexion

Lors de l’installation du WordPress sur un serveur, il est recommandé de changer l’adresse de connexion. Car le CMS utilise toujours website.com/wp-admin, ce qui facilite la tâche des pirates. Cette manipulation se fait à travers le fichier .htaccess. Toutefois, des plugins existent pouvant faire le changement automatiquement mais le nombre de plugins augmentent le chargement du site web.

 

2. Masquer la version de WordPress utilisée

WordPress est un logiciel et donc il est régulièrement mis à jour afin de régler des bugs et des failles de sécurité. Afin d’éviter que les hackers puissent les exploiter, il est primordial de supprimer le fichier readme.html et de modifier le fichier function.php. Cela masquera la version WordPress que vous utilisez.

 

3. Supprimer le compte admin avec l’ID 1

Lorsque vous installez WordPress, l’identifiant proposé pour l’utilisateur 1 est admin. Il est donc recommandé de supprimer l’utilisateur en ID 1 et de choisir un identifiant personnalisé difficile à deviner

 

4. Créer des comptes utilisateurs sécurisés

Afin d’accéder au tableau de bord du CMS, il faut un ID et un mot de passe. Il est recommandé de personnaliser les 2. Bien entendu, il est important de créer un mot de passe fort et différent à chaque utilisateur. Il est conseillé d’alterner majuscule, minuscule, chiffre et caractère spécial.

 

5. Installer des plugins sérieux et maintenus

La popularité du CMS pousse de nombreux développeurs partout dans le monde, à créer des extensions. La plupart est irréprochable mais avec le temps, beaucoup d’entre elles ne sont pas maintenues par leurs auteurs. Cela crée des failles de sécurité et des bugs sur votre site web. Il y aura donc des portes ouvertes pour les pirates informatiques. Ne prenez pas le risque.

 

6. Mettre à jour les plugins et les thèmes

Afin de protéger son site WordPress, il est primordial de le mettre à jour. Des failles sont régulièrement annoncées et corrigées dans la foulée. Il faut donc mettre à jour WordPress en vérifiant avant la compatibilité avec le thème et les plugins. La manipulation est à faire aussi pour votre thème de base et les plugins activés ou désactivés. Une extension obsolète présente donc un risque important pour votre site web mais à faire avec précaution pour éviter de casser le site web.

 

7. Installer des plugins de sécurité

Il y a bon nombre de plugins sur la marketplace de WordPress.org et bien entendu, il existe des plugins de sécurité afin d’éviter les problèmes principaux du type : Virus, Scraping, injection de codes malicieux, injection de bannières publicitaires indésirables, attaque par force brute et j’en passe. Il faut donc installer 1 ou 2 plugins d’antivirus et de défense contre les attaques brute force. Il existe iThemes Security et Wordfence en version gratuite ou payante.

 

8. Nettoyer et sauvegarder votre base de données MySQL

Lorsque qu’un site web basé sur un CMS vit, la base de données MySQL grandit et grossit. Par exemple, les brouillons automatiques et les révisions que vous faites sur chaque page et sur chaque article est enregistré et stocké. Chaque plugin installé rajoute des lignes dans votre base. Il est donc important de la nettoyer via PhpMyAdmin ou grâce à des plugins et de la sauvegarder hebdomadairement ou mensuellement selon le degré de votre activité. Le simple fait de nettoyer votre base MySQL, votre site web répondra plus rapidement en chargement.

 

9. Sauvegarder vos fichiers

Faire un backup de vos données est obligatoire. Comme nous l’avons vu, il se peut que votre site ne soit pas à jour au niveau des plugins, du thème ou même de WordPress. Cette précarité, permet à des hackers, robots d’entrer de votre système et d’en supprimer le contenu par exemple. Deuxième case de figure, vous installez un plugin ou vous faites une modification dans le code qui détériore votre site web. Grâce à une sauvegarde régulière (mensuelle ou hebdomadaire) de vos données stockées sur le FTP et de votre base de données MySQL, vous pourrez relancer votre site web rapidement.

 

10. Le certificat SSL pour votre site web

Depuis 2017, Google a conseillé aux webmasters et à tous les responsables de site web de passer au format « HTTPS » grâce à un certificat SSL. Ce protocole permet de crypter les données sensibles échangées sur votre site web. Si vous possédez un site e-commerce Woocommerce ou WP E-commerce, ce petit cadenas vert qui apparaîtra à côté de votre URL, rassurera les futurs clients. Petit bonus, Google a annoncé que les sites en HTTPS seraient favorisés par rapport à des sites internet en HTTP. Un critère de plus pour le SEO. Côté hébergeur, la plupart vous propose un certificat gratuit de type « Let’s Encrypt » pour tout achat d’un nom de domaine + hébergement. C’est le cas chez OVH.