7 astuces pour sécuriser son site wordpress en 2020
WordPress étant un des CMS les plus populaires, propulsant plus de 30% des sites, il est normal qu’il soit une cible appréciée des pirates. Peu importe votre type de contenu ou votre nombre de visiteurs mensuels, n’importe qui est exposé au risque de piratage et pour cela, il est important de prendre quelques précautions simples afin de renforcer la sécurité de votre site wordpress.
Pourquoi la sécurité d’un site web est importante ?
Un site WordPress piraté peut nuire gravement à la réputation de votre entreprise. En effet, les pirates peuvent voler les informations d’utilisateurs enregistrés tels que les mots de passe, ou encore installer des logiciels malveillants…
Pire encore, vous pouvez vous retrouver à payer les pirates, juste pour retrouver l’accès à votre site.
L’équipe de Fière Allure vous donne quelques mesures simples à mettre en place pour protéger votre site Web contre les failles de sécurité.
Mettre à jour wordpress régulièrement
WordPress est un logiciel open source qui est régulièrement maintenu et mis à jour.
Généralement, WordPress installe automatiquement les mises à jour mineures. Pour les versions majeures, il suffit de les lancer manuellement.
En plus de wordpress, il est très important de garder vos thèmes et plugins à jour, généralement développés par des développeurs tiers qui proposent également des mises à jour fréquentes.
Pour cette raison, lorsque vous installez des thèmes ou plugins, il est important de vérifier les versions compatibles, et si la ressource est maintenu à jour ou non.
Utiliser un mot de passe complexe
Utiliser un mot de passe simple de type 12345, azerty etc… est certes un mot de passe facile à retenir, mais c’est aussi un mot de passe facile à deviner.
Il est important d’utiliser un mot de passe complexe, ou mieux encore, généré automatiquement avec une variété de chiffres, de combinaisons de lettres et de caractères spéciaux
comme ^ ou $ .
Les mots de passe générés automatiquement par wordpress sont un bon exemple, sinon, il existe des sites permettant de générer des mots de passe complexes tels que :
Installer un plugin de sauvegarde
Si votre site est la cible d’une attaque, le plus important est de posséder une sauvegarde de vos fichiers.
Pour cela, nous vous conseillons le plugin Updraftplus qui permet de sauvegarder tous vos fichiers (thème, et bases de données), dans un dossier à la racine de votre site, ou encore sur le cloud, google drive, dropbox et de réinstaller ces sauvegardes en un clic. Ce qui peut s’avérer très utile en cas de piratage ou même bug lors d’une mise à jour etc…
Estimez votre site !
Il est parfois difficile d’évaluer le coût d’un site web.
Pour vous aider à avoir une idée plus précise de l’investissement que représente votre projet numérique, nous avons mis en place un outil permettant de mieux cerner vos besoins et envies.
Installer un plugin de sécurité
En plus des sauvegardes, il est important de garder un oeil et une trace de ce qu’il se passe sur votre site, virus, tentatives de connexions…
Heureusement, Sucuri est une référence en la matière, il est gratuit, mais existe aussi en version payante.
Désactiver l’éditeur depuis l’admin
WordPress permet de modifier le code de vos thèmes et plugins depuis le tableau de bord via Apparence > éditeur ou encore Plugins > éditeur.
En cas de piratage, du code peut être injecté dans votre thème / vos plugins sans même que vous puissiez vous en apercevoir.
Une fois votre site en ligne, vous pouvez désactiver cela en ajoutant le code suivant à votre fichier wp-config.php :
// Disable the Plugin and Theme Editor define( 'DISALLOW_FILE_EDIT', true );
Il est aussi possible de désactiver cette fonctionnalité en un clic via le plugin Sucuri mentionné plus haut, dans les hardenings options.
Protéger vos fichiers sensibles
Généralement la cible principale des pirates, le fichier wp-config.php est un fichier sensible contenant les informations de connexion à votre site, il est donc important d’en bloquer l’accès.
Avant toutes modifications de ces fichiers, assurez-vous d’avoir des sauvegardes à jour, en cas d’erreur, ils peuvent rendre votre site inaccessible.
Il est possible de le faire via deux méthodes :
Grâce au plugin Sucuri,dans les hardenings options
En ajoutant le code suivant à la racine, dans votre fichier .htaccess :
<Files *.php> deny from all </Files>
# 1/Protège le fichier wp-config.php
<Files wp-config.php> order allow,deny
deny from all </Files>
# 2/Protège le fichier .htaccess
<Files .htaccess> order allow,deny
deny from all </Files>
Désactiver l’affichage des répertoires
La navigation dans les répertoires peut être utilisée par des pirates, ou encore d’autres personnes afin de consulter vos fichiers, copier des images, connaître la structure de votre répertoire….
http://www.monsite.com/wp-content/uploads/
Même si, dans la logique des choses, votre répertoire ne contient pas de données ou images confidentielles, il est tout de même conseillé de désactiver l’indexation et la navigation dans les répertoires, par l’ajout de ce code à la fin de votre fichier .htaccess :
# 1/Désactive l'affichage du contenu des répertoires
Options - Indexes
Le mot de la fin
Il existe encore beaucoup d’autres mesures à mettre en place pour sécuriser un site wordpress, celles énumérées ci-dessus étant des précautions de bases.
Si vous avez appliqué quelques-uns de nos conseils, vous pouvez vérifier via le wordpress security scan, si votre site semble sécurisé.
Nous espérons que cet article vous a aidé ! Si vous avez besoin d’accompagnement concernant la sécurité ou la maintenance de votre site wordpress, n’hésitez pas à contacter notre équipe web qui saura répondre à vos besoins.