Skip to main content
BlogSécuritéComment sécuriser WordPress : Les bases

Comment sécuriser WordPress : Les bases

Sécuriser WordPress

WordPress équipe plus de 35 % des sites web dans le monde. Pourtant, même avec une équipe de sécurité dédiée et une communauté mondiale dynamique et engagée, les sites web qui fonctionnent avec ce système de gestion de contenu de premier plan sont souvent la cible d'atteintes à la sécurité.

En réalité, WordPress est sûr : seulement 14 % des failles de sécurité de WordPress proviennent du cœur de WordPress, et l'organisation WordPress suit des processus rigoureux pour corriger ces problèmes. Alors, comment les sites web WordPress sont-ils exposés aux pirates informatiques ? Le plus souvent, les failles de sécurité sont dues à une maintenance insuffisante.

Il est important de mettre en œuvre certaines bonnes pratiques de base, souvent négligées, pour votre installation WordPress. Dans cet article, nous allons examiner plusieurs façons de garantir la sécurité de votre site web.

Commencez par votre serveur

Avant toute chose, assurez-vous que le serveur que vous utilisez pour faire fonctionner WordPress est sécurisé. Ce processus, appelé durcissement, permet de réduire le risque d'accès non autorisé à votre serveur par un tiers malveillant.

L'une des principales mesures de sécurité que vous pouvez prendre pour votre serveur consiste à mettre à jour votre logiciel. Les mises à jour vont des correctifs de vulnérabilités critiques aux corrections de bogues mineurs et doivent être appliquées fréquemment et selon un cycle régulier.

L'exploitation de votre propre serveur présente de nombreux avantages. Un contrôle total vous permet de faire ce que vous voulez, mais la responsabilité de s'assurer qu'il est bien entretenu repose sur vos épaules. Si vous hébergez votre site web WordPress sur Linode et que vous ne savez pas par où commencer pour sécuriser votre serveur, ce document explique comment renforcer votre Linode contre les accès non autorisés.

Si ces étapes vous semblent trop onéreuses, envisagez d'utiliser un hébergeur WordPress géré comme Pressidium qui se charge de toutes les mises à jour de sécurité au niveau du serveur (et de nombreuses mises à jour au niveau de WordPress) en votre nom.

Mise à jour de WordPress

Après le durcissement du serveur, le moyen le plus simple de garder votre site Web WordPress sécurisé est peut-être de vous assurer que vous installez toutes les mises à jour WordPress disponibles. Avec un nombre important de contributeurs (environ 70 développeurs ont contribué à près de 5 000 commits au noyau en 2019), il n'est pas surprenant que vous voyiez une mise à jour disponible la plupart des mois. Ces mises à jour se présentent sous deux formes : 

  1. Les mises à jour majeures où de nouvelles fonctionnalités sont introduites. Ces mises à jour sont publiées environ deux fois par an.
  2. Mises à jour mineures qui corrigent les bogues ou les risques de sécurité de la version actuelle. Ces mises à jour peuvent être diffusées toutes les quelques semaines.

Si vous utilisez un fournisseur d'hébergement WordPress géré, ces mises à jour devraient être automatiquement prises en charge pour vous. Si vous utilisez votre propre serveur, vous devrez mettre à jour manuellement votre version de WordPress. Connectez-vous à wp-admin et, si une mise à jour est disponible, vous verrez une notification en haut de la page d'accueil vous invitant à la mettre à jour. Suivez les instructions et WordPress téléchargera et installera la mise à jour.

Bien que la plupart des mises à jour se déroulent sans problème (en particulier les mises à jour mineures), il est conseillé de sauvegarder votre site web avant de lancer le processus de mise à jour. Vous devrez également tester soigneusement votre site après la mise à jour, car certains thèmes et plugins peuvent ne pas être compatibles avec la dernière version de WordPress.

Mettez à jour votre thème et vos plugins

En plus du noyau de WordPress, vous remarquerez que les plugins et votre thème (si vous utilisez un thème tiers provenant d'un fournisseur comme Theme Forest) ont besoin de mises à jour régulières. Les deux raisons les plus courantes pour lesquelles les plugins et les thèmes ne sont pas mis à jour sont les suivantes :

  1. Le propriétaire du site oublie d'effectuer la mise à jour, surtout si cela fait un certain temps qu'il ne s'est pas connecté à wp-admin. 
  2. La mise à jour des plugins et/ou du thème WordPress peut casser le site, ce qui peut être décourageant.

Il est frustrant de constater qu'une mise à jour de plugin qui devrait prendre deux minutes se transforme en un travail plus important parce que votre site ne fonctionne plus. Lorsque vous êtes occupé à gérer un site web ou une entreprise, il n'est pas facile de trouver le temps de résoudre le problème. La tentation est donc grande de restaurer le site à partir d'une sauvegarde, ce qui laissera le(s) plugin(s) et/ou le thème obsolète(s) en service.

La même situation peut se produire avec les mises à jour du noyau de WordPress, lorsque vous installez la dernière version et que vous constatez qu'une partie de votre site ne fonctionne plus. La chose la plus facile, mais potentiellement peu sûre, à faire est de revenir à une version précédente qui fonctionne et de ne plus revenir sur le problème.

C'est exactement sur ce scénario que s'appuient les pirates informatiques. Une grande partie des piratages de WordPress sont réalisés en exploitant des vulnérabilités connues sur des sites web qui utilisent des thèmes, des plugins et des noyaux WordPress obsolètes. Le coût en termes de pertes de ventes ou d' atteinte à la réputation d' un site piraté peut être considérable.

Corriger les vulnérabilités de votre ordinateur

La sécurité de votre serveur et de votre installation WordPress est importante, mais un poste de travail non sécurisé peut compromettre ces efforts. Par exemple, si un enregistreur de frappe malveillant a été installé sur votre ordinateur, un pirate peut recueillir vos informations de connexion à WordPress. Assurez-vous que les ordinateurs que vous utilisez pour accéder à WordPress sont exempts de logiciels malveillants, de logiciels espions et d'autres infections virales en utilisant un logiciel antivirus.

Et, tout comme votre serveur, veillez à maintenir le système d'exploitation et le navigateur à jour en appliquant tous les correctifs disponibles. Si vous naviguez sur des sites non fiables, il est également conseillé d'utiliser des outils tels que NoScript pour empêcher l'exécution de tout contenu web exécutable sur votre machine.

Mots de passe et noms d'utilisateur

Sans authentification à deux facteurs, votre mot de passe est tout ce qui se trouve entre votre site web et quelqu'un qui veut accéder à wp-admin. Il est donc primordial de choisir un mot de passe complexe et unique. 

Si vous avez besoin d'inspiration pour choisir un bon mot de passe, vous pouvez utiliser un outil comme le générateur 1Password. Utilisez toujours un mot de passe différent pour chaque site web. La meilleure façon de conserver des mots de passe forts est d'utiliser un gestionnaire de mots de passe comme celui que propose 1Password.

Il est tout aussi important de ne pas utiliser le nom d'utilisateur par défaut "Admin" que d'avoir un mot de passe fort :

  • Allez dans la section Utilisateurs et créez un nouvel utilisateur avec un nom d'utilisateur unique.
  • Attribuez des droits d'administrateur à cet utilisateur et définissez un mot de passe fort et unique.
  • Déconnectez-vous de WordPress et reconnectez-vous en utilisant le nouveau nom d'utilisateur et le nouveau mot de passe.
  • Retournez dans la section Utilisateurs et supprimez l'utilisateur Admin par défaut.

Authentification à deux facteurs

L'authentification à deux facteurs (2FA) est en train de se généraliser. L'authentification à deux facteurs confirme les identités revendiquées par les utilisateurs en utilisant une combinaison d'éléments qu'ils connaissent, qu'ils possèdent ou qu'ils sont.

WordPress est une plateforme parfaite pour l'utilisation de 2FA, qui peut être facilement activée à l'aide d'un plugin. Les plugins 2FA les plus populaires sont Duo et Two-Factor, bien que d'autres soient disponibles (il suffit de faire une recherche dans le dépôt de plugins WordPress). Avec un système 2FA activé, vous pouvez être sûr que même si votre mot de passe devait être deviné ou obtenu par un tiers, votre site web resterait sécurisé.

Utiliser un plugin de sécurité

Il existe d'autres moyens de renforcer la sécurité de votre site web WordPress, notamment en modifiant les noms des bases de données et en tirant parti des en-têtes de sécurité HTTP. Toutes ces mesures nécessitent, pour la plupart, un niveau de connaissances techniques assez élevé et du temps.

Certains des meilleurs plugins de sécurité WordPress offrent un large éventail de fonctionnalités, notamment la surveillance des listes noires, l'analyse des fichiers, la protection contre la force brute, les pare-feux, etc. Ils permettent de renforcer la sécurité de votre site web rapidement et avec une expérience technique limitée.

Il existe de nombreux plugins disponibles mais, comme pour tous les plugins, il est important d'utiliser des plugins réputés et testés comme Securi Security et Wordfence. N'oubliez pas de faire une sauvegarde de votre site web avant d'installer un nouveau plugin ou d'apporter des modifications importantes aux paramètres du plugin.

Faire une sauvegarde

Les sauvegardes peuvent être un élément tristement négligé de la maintenance de WordPress. Elles jouent pourtant un rôle important dans la sécurité du site web. Disposer d'une sauvegarde de haute qualité vous offre la tranquillité d'esprit ultime : si le pire devait se produire et que votre site était piraté et gravement endommagé, vous pourriez vous en remettre rapidement en restaurant une sauvegarde antérieure. Vous pouvez ensuite appliquer tous les niveaux de sécurité supplémentaires nécessaires pour éviter qu'un tel piratage ne se reproduise.

Il était autrefois difficile de faire de bonnes sauvegardes de WordPress, mais au cours des deux dernières années, le processus a été rendu très facile. Il existe de nombreuses options, notamment des plugins tels que UpdraftPlus et des systèmes de sauvegarde hors site tels que VaultPress ou BlogVault.

Dans mon prochain article, nous parlerons des mesures avancées que vous pouvez prendre pour sécuriser votre site web WordPress.


Commentaires (3)

  1. Author Photo

    Thanks a lot for providing this valuable content.

  2. Author Photo

    Wordpress can be sometimes confusing if you would want it done professionally unlike doing the free website but thanks to this article, I’m learning more

  3. Author Photo

    It’s surprising just how many people don’t update their Wordpress site to the latest version. According to Wordpress only 44% have updated to the now 5.7 core release which means that more than 50% are still using older versions all the way back to 4.4 and lower.

    It’s a big security risk to have an old version of Wordpress as hackers find vulnerabilities as time passes. So makes sense to stay up to date.

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.