Salut Internet, Ça va ?
Aujourd’hui, je vais tenter de répondre à la question que tout le monde se pose “comment sécuriser son site WordPress de la manière la plus facile possible”. J’ai fait une petite vidéo via loom en fin d’articles et je vous détaille tous les points dans cet article.
1) Bien Choisir son Template
Le template est l’élément qui gère l’agencement de vos contenus (la couleur, les héros automatiques sur les articles, la police etc.) Pour résumer, les templates gère le paramétrage visuel de vos contenus. Ils sont indépendants de WordPress et dès lors il y a énormément de choix. La première option qui me parait la plus simple est de passer par la boutique officielle WordPress : Apparence > Thèmes > Ajouter. Ainsi, vous aurez un template validé par WordPress et avec une équipe derrière qui en garantit la sécurité. Certains sont gratuits et vous permettent de faire des sites corrects de A à Z exemple : https://professeurdespagnolnatif.fr/ (fait avec le template OceanWP) Tous ces templates sont généralement gratuits avec des options payantes. Autre possibilité, vous pouvez passer par des marketplace de vente de templates de type ThemeForrest. Là, il faut faire attention à ce que le vendeur ne soient pas à son premier template et qu’il y ait bien une équipe derrière. Il faut vérifier les notes, les années de présence à créer des templates etc. Le risque de mal choisir son template ou de choisir sur une plateforme non officielle est que des personnes mal intentionnées aient mises des backdoors pour pouvoir accéder à votre site et faire ce qu’ils veulent derrière. Dans la plupart des cas, les graphistes/développeurs proposent des templates gratuits pour faire des liens vers leur site et ainsi travailler leur SEO. Aussi, le plus grand risque est que si le template n’est jamais mis à jour, les failles mise en évidence par la communauté restent béantes sur le template.
2) Mettre à jour
Ainsi, nous arrivons sur le point fondamental de la sécurité sur WordPress. Il faut absolument mettre à jour le quatuor des éléments WordPress (plugins, version, template et PHP). En premier, les plugins. Les plugins ce sont des fonctionnalités supplémentaires créées par la communauté. WordPress bénéficie de la plus grande communauté au monde et ainsi de plus ou moins toutes les fonctionnalités possibles et imaginables. Le revers de la médaille est que c’est aussi le CMS le plus attaqué au monde… Ainsi, selon une étude disponible sur le site Kinsta plus de 50% des sites hackés le sont via les plugins.
Pour contrer cela, je vous recommande de limiter au maximum le nombre de plugins que vous souhaitez pour votre site et de toujours mettre à jour les plugins que vous utilisez. Vous avez la possibilité de mettre à jour en automatique vos plugins: Extensions > Activer les Mises à jour automatiques (à droite du plugins). D’une manière générale, dès que vous voyez une petite pastille rouge avec un numéro blanc dedans il s’agit de mettre à jour un plugin, le template ou la version de WordPress. Aussi, directement via l’interface de votre service de hosting, il vous faut mettre à jour la version de PHP utilisée.
Les mises à jours sont fondamentales car dès qu’une équipe de créateurs de plugins, template, wordpress, PHP etc. voient une faille dans leur produit, ils proposent directement une mise à jour pour pallier le problème. Personnellement, j’essaie d’automatiser au maximum les sauvegardes et en plus tous les mois je me mets une alerte pour vérifier que tout va bien et faire éventuellement les mises à jour automatiques ratées.
3) Supprimer les éléments inutiles
Attention à ne pas garder des administrateurs inutiles car s’ils se font hacker, derrière les hackers peuvent se servir de leurs identifiants pour accéder à votre site. Aussi, je viens d’en parler mais il faut utiliser le strict minimum pour vos plugins et surtout les mettre à jour. Si vous garder des plugins que vous n’utilisez pas et que vous ne mettez pas à jour, ce sont des portes d’entrées vers votre site. D’une manière générale, il faut supprimer les éléments inutiles (script maison non utilisé, utilisateurs absents, contenus obsolètes etc.) Toutes les choses qui ne servent à rien et qui peuvent se faire hacker sont à proscrire.
4) Sauvegarder, sauvegarder et aussi sauvegarder
Personnellement, j’utilise le triple combo sauvegarde via l’hébergeur, sauvegarde directement sur le WordPress et sauvegarde sur le Cloud avec une fréquence cumulative d’une fois par mois. La sauvegarde via l’hébergeur est généralement comprise dans les forfaits WordPress, elle est automatique et s’accumule tous les mois. La sauvegarde directement sur le WordPress peut être faite via un plugin type Backuply ou Updraftplus En plus, je sauvegarde dans le cloud tous les mois via un compte gratuit spécifiquement pour le client. Je créé une adresse gmail et on lui envoie sous drive ou dropbox une sauvegarde du site.
5) Utilisez des passwords secure
Une image vaut mieux que 1000 mots, je vous laisse directement avec l’infographie ci-dessous pour vous expliquer pourquoi avoir un mot de passe solide est important.
Ainsi, je vous invite à construire une phrase que vous n’oublierez pas en remplaçant des lettres par des caractères spéciaux, des espaces par des chiffres ou caractères spéciaux, des majuscules aléatoires etc. Par exemple, si je devais me faire un nouveau mot de passe je pourrais partir sur une base suffisante de caractères que je n’oublierai pas : “votrecolinavecousanspatate” qui pourraient devenir “Vôtrecôlin@vecôu100p@t@te”. Cet exemple montre un mot de passe qui nécessite 45 undecillion years pour être deviné. J’ai juste changé 4 choses, une majuscule au début, les a par des @ et o par des ô et le sans par 100. Je vous Invite à tester https://www.security.org/how-secure-is-my-password/ pour être sûr que vous utilisez des mots de passe secure.
Là, on rentre des points moins importants mais qui restent toujours intéressants.
6) changer l’url de connexion
Le deuxième type d’attaque le plus commun sur WordPress est l’attaque en Brute Force. Elle consiste à tester 15.000.000.000 mots de passe sur un site pour tenter de deviner le bon et pouvoir ainsi accéder à l’admin. Ainsi, commencer par changer l’admin via un plugin “change login” cela permet d’éviter que les personnes qui vous veulent du mal trouve facilement votre url de connexion. Pour cela, vous n’avez plus qu’à chercher via l’interface WordPress un plugin de changement de login qui a des bonnes notes et qui est mis à jour.
7) plugin de sécurité
Autre point non fondamental mais toujours bonus, vous pouvez vous mettre un plugin de sécurité qui vous alerte si un plugin n’est pas mis à jour, qui possède un pare-feu, des règles par défaut pour les tentatives de login etc. Le plugin “WordFence” est une bonne solution, en plus il possède l’option 2FA qui vous permet de vous envoyer un code de sécurité sur votre téléphone portable avant chaque connexion, si vous souhaitez vraiment être super secure.
Pour plus de détails, voici ma vidéo qui illustre cet article, n’hésitez pas à vous abonner à ma chaine youtube si vous aimez ce type de contenu. Je vais faire 1 vidéo toutes les semaines.
PS : Un grand merci à Jerôme J (grand gourou de le sécurité informatique) qui m’a aidé et donné son avis dans la rédaction de cet article 😘😘