Sélectionner une page

7 astuces pour sécuriser son site wordpress en 2020

Bien que le logiciel WordPress soit très sécurisé et qu'il soit réguliè­rement audité et mis à jour par des centaines de dévelop­peurs, il y a beaucoup à faire pour sécuriser votre site.

Un article de GuerinDLC

11 février 2020
Malheureusement, même en mettant en place des mesures de sécurité, votre site peut parfois être victime d’un piratage ciblant votre hébergeur, ou un autre site (si vous êtes sur un serveur mutualisé), ceci ne dépend donc pas uniquement de vous.

WordPress étant un des CMS les plus populaires, propulsant plus de 30% des sites, il est normal qu’il soit une cible appréciée des pirates. Peu importe votre type de contenu ou votre nombre de visiteurs mensuels, n’importe qui est exposé au risque de piratage et pour cela, il est important de prendre quelques précau­tions simples afin de renforcer la sécurité de votre site wordpress.

Pourquoi la sécurité d’un site web est impor­tante ?

Un site WordPress piraté peut nuire gravement à la réputation de votre entre­prise. En effet, les pirates peuvent voler les infor­ma­tions d’utilisateurs enregistrés tels que les mots de passe, ou encore installer des logiciels malveillants…
Pire encore, vous pouvez vous retrouver à payer les pirates, juste pour retrouver l’accès à votre site.

L’équipe de Fière Allure vous donne quelques mesures simples à mettre en place pour protéger votre site Web contre les failles de sécurité.

1

Mettre à jour wordpress réguliè­rement

WordPress est un logiciel open source qui est réguliè­rement maintenu et mis à jour.
Généralement, WordPress installe automa­ti­quement les mises à jour mineures. Pour les versions majeures, il suffit de les lancer manuel­lement.

En plus de wordpress, il est très important de garder vos thèmes et plugins à jour, généra­lement développés par des dévelop­peurs tiers qui proposent également des mises à jour fréquentes.
Pour cette raison, lorsque vous installez des thèmes ou plugins, il est important de vérifier les versions compa­tibles, et si la ressource est maintenu à jour ou non.

2

Utiliser un mot de passe complexe

Utiliser un mot de passe simple de type 12345, azerty etc… est certes un mot de passe facile à retenir, mais c’est aussi un mot de passe facile à deviner.
Il est important d’utiliser un mot de passe complexe, ou mieux encore, généré automa­ti­quement avec une variété de chiffres, de combi­naisons de lettres et de carac­tères spéciaux
comme ^ ou $ .
Les mots de passe générés automa­ti­quement par wordpress sont un bon exemple, sinon, il existe des sites permettant de générer des mots de passe complexes tels que :

3

Installer un plugin de sauve­garde

Si votre site est la cible d’une attaque, le plus important est de posséder une sauve­garde de vos fichiers.
Pour cela, nous vous conseillons le plugin Updraftplus qui permet de sauve­garder tous vos fichiers (thème, et bases de données), dans un dossier à la racine de votre site, ou encore sur le cloud, google drive, dropbox et de réins­taller ces sauve­gardes en un clic. Ce qui peut s’avérer très utile en cas de piratage ou même bug lors d’une mise à jour etc…

Estimez votre site !

Il est parfois difficile d’évaluer le coût d’un site web.

Pour vous aider à avoir une idée plus précise de l’investissement que repré­sente votre projet numérique, nous avons mis en place un outil permettant de mieux cerner vos besoins et envies.

4

Installer un plugin de sécurité

En plus des sauve­gardes, il est important de garder un oeil et une trace de ce qu’il se passe sur votre site, virus, tenta­tives de connexions…
Heureusement, Sucuri est une référence en la matière, il est gratuit, mais existe aussi en version payante.

5

Désactiver l’éditeur depuis l’admin

WordPress permet de modifier le code de vos thèmes et plugins depuis le tableau de bord via Apparence > éditeur ou encore Plugins > éditeur.

En cas de piratage, du code peut être injecté dans votre thème / vos plugins sans même que vous puissiez vous en apercevoir.

Une fois votre site en ligne, vous pouvez désac­tiver cela en ajoutant le code suivant à votre fichier wp-config.php :

// Disable the Plugin and Theme Editor
define( 'DISALLOW_FILE_EDIT', true );

Il est aussi possible de désac­tiver cette fonction­nalité en un clic via le plugin Sucuri mentionné plus haut, dans les harde­nings options.

6

Protéger vos fichiers sensibles

Généralement la cible principale des pirates, le fichier wp-config.php est un fichier sensible contenant les infor­ma­tions de connexion à votre site, il est donc important d’en bloquer l’accès.
Avant toutes modifi­ca­tions de ces fichiers, assurez-vous d’avoir des sauve­gardes à jour, en cas d’erreur, ils peuvent rendre votre site inacces­sible.

Il est possible de le faire via deux méthodes :

$

Grâce au plugin Sucuri,dans les harde­nings options

$

En ajoutant le code suivant à la racine, dans votre fichier .htaccess :

<Files *.php>
deny from all
</Files>
Pour cacher simplement les deux fichiers sensibles wp-config.php et .htaccess vous pouvez ajouter le code suivant au fichier wp-config.php :
# 1/Protège le fichier wp-config.php

<Files wp-config.php> order allow,deny
deny from all </Files>
Et de la même manière, ajoutez celui ci au .htaccess :
# 2/Protège le fichier .htaccess

<Files .htaccess> order allow,deny
deny from all </Files>
7

Désactiver l’affichage des réper­toires

La navigation dans les réper­toires peut être utilisée par des pirates, ou encore d’autres personnes afin de consulter vos fichiers, copier des images, connaître la structure de votre réper­toire…. 

http://​www​.monsite​.com/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​ds/

Même si, dans la logique des choses, votre réper­toire ne contient pas de données ou images confi­den­tielles, il est tout de même conseillé de désac­tiver l’indexation et la navigation dans les réper­toires, par l’ajout de ce code à la fin de votre fichier .htaccess :

# 1/Désactive l'affichage du contenu des répertoires
Options - Indexes

Le mot de la fin

Il existe encore beaucoup d’autres mesures à mettre en place pour sécuriser un site wordpress, celles énumérées ci-dessus étant des précau­tions de bases.
Si vous avez appliqué quelques-uns de nos conseils, vous pouvez vérifier via le wordpress security scan, si votre site semble sécurisé.

Nous espérons que cet article vous a aidé ! Si vous avez besoin d’accompagnement concernant la sécurité ou la mainte­nance de votre site wordpress, n’hésitez pas à contacter notre équipe web qui saura répondre à vos besoins.