Selon le site W3Techs (Web Technology Surveys, en anglais), WordPress est utilisé par 37,8% de tous les sites Web, soit une part de marché du système de gestion de contenu de 63,5%, en date du 5 août 2020.
On comprend par ça que WordPress est la plateforme la plus utilisée dans le monde entier (voir l’article Pourquoi créer mon site avec WordPress ?). Ce succès mène à se poser des questions concernant la sécurité de chaque site Web utilisant cette technologie. WordPress est un CMS (Content Management System ou Système de gestion de contenu en français), c’est-à-dire que tous les sites Web qui utilisent WordPress ont la même base de fichiers sources.
Si les fichiers source de WordPress présentent une vulnérabilité, tous les sites Web qui utilisent ce CMS sont potentiellement à risque. WordPress est si répandu que de nombreux pirates informatique le ciblent régulièrement.
D’où la question :
Il existe plusieurs techniques et bonnes pratiques pour sécuriser son site Web WordPress, nous allons en énumérer 7 :
Avec WordPress vous devez mettre à jour votre version de WordPress, les extensions, le thème et la version de PHP.
Mise en garde
Avant de faire des mises à jour faite une sauvegarde de votre site WordPress. C’est-à-dire de tous vos fichiers et de votre base de données. Je vous recommande d’avoir une solution de sauvegarde régulière de votre site Web au cas où vous êtes victime d’une attaque d’un pirate informatique.
Cependant, je vous recommande de laisser un professionnel s’en charger.
L’équipe de programmeurs qui a développé WordPress fait des mises à jour des fichiers sources régulièrement. Le but de ces mises à jour est non seulement d’ajouter de nouvelles fonctionnalités, mais aussi pour corriger les erreurs, bogues et vulnérabilités.
Vu que WordPress est un CMS libre de droit, tout le monde a accès au code source, y compris les pirates informatique. Soyez-en sûr que si un pirate informatique a remarqué une faille dans le code source de WordPress, il n’hésitera pas à l’exploiter. C’est une des raisons pour laquelle je vous conseille de faire les mises à jour régulièrement, n’attendez pas trop longtemps. Vous empêcherez ainsi les pirates informatique de profiter d’une faille.
Tout comme l’équipe de programmeurs de WordPress est conscient de l’importance de la sécurité de sa plateforme, ceux qui programment des thèmes et des extensions le savent tout autant. Un thème ou une extension qui n’est pas mis à jour régulièrement ouvre la voie aux pirates informatiques.
Les mises à jour des thèmes et extensions ne concernent pas seulement l’ajout de nouvelles fonctionnalités, elle servent aussi à régler des problèmes de vulnérabilité.
Il est important de mettre à jour le thème (ou template) ainsi que toutes les extensions installées.
WordPress utilise PHP comme langage de programmation. Les programmeurs de WordPress utilisent les dernières versions PHP pour s’assurer qu’il n’y a pas de vulnérabilité et pour respecter les normes de sécurité du Web. Pour éviter toutes incompatibilités, contactez votre hébergeur Web pour mettre la version de PHP sur leur serveur.
Si vous ne savez pas comment faire une sauvegarde de votre site ou comment le mettre à jour, achetez un forfait maintenance WordPress avec Wenovio ou votre agence Web. Cliquez ici pour nous contacter à ce sujet.
Vous pouvez lire l’article de mon collègue intitulé Pourquoi garder le gestionnaire de contenu de mon site Web à jour ? pour en savoir plus à ce sujet.
Avec WordPress, il existe des milliers d’extensions et de thèmes avec de nombreuses fonctionnalités.
Mise en garde concernant les extensions et thèmes WordPress
Bien que la plupart sont responsables, il y a des auteurs de thèmes et extensions qui ne corrigent pas les failles de sécurité qui servent de porte d’entrée pour les pirates informatique. Il y a aussi les thèmes et extensions abandonnés et laissés sans support.
La première référence est le site officiel de WordPress :
Par exemple, si vous recherchez une extension pour créer une page pour un site en construction, tapez la recherche « construction », vous aurez plusieurs résultats. Prenez le temps de vérifier le nombre d’étoiles, les commentaires, le nombre d’installations actives ainsi que le « Testé avec… ».
Une fois que vous avez choisi votre extension, examinez la section Dernière mise à jour :
Si l’extension a été mise à jour il y a longtemps, c’est-à-dire plus d’un an ou deux, cela est un indice que le développeur de cette extension n’a peut-être pas corrigé les bogues et autres vulnérabilités.
Il existe aussi des plateformes de vente de thèmes et d’extensions fiables tels que ThemeForest et Code Canyon.
Quel que soit la méthode que vous utilisez pour rechercher une extension, les mêmes recommandations s’appliquent. Soit de vérifier :
Avoir une extension de sécurité installée sur votre site Web, c’est comparable à avoir un antivirus qui protège votre ordinateur.
Choisissez toujours une extension qui est capable de vérifier la modification des fichiers sources WordPress. Il vous avertira si un fichier à été modifié.
Si vous optez pour l’extension Sucuri Security, lisez l’article de mon collègue intitulé Sucuri Security : comment configurer l’extension sur un site WordPress ?. Il est très instructif, vous avez même une vidéo explicative!
Wenovio recommande également WordFence Security.
Installez que des extensions qui vont vous servir réellement. Si vous voulez faire des tests d’extensions ou de thèmes, je vous recommande d’installer une version démo de votre site Web sur laquelle vous pourrez faire vos tests. Il est préférable de ne pas faire de tests d’extensions ou de thèmes sur un site Web qui est en ligne et visible par les internaute et Google.
Un certificat de sécurité SSL permet de crypter (de protéger) les informations ou données qui entrent et qui sortent de votre site Web. Sans cette sécurité, quand un de vos client remplis un formulaire de contact par exemple, les communications entre votre site et l’appareil de l’internaute ne sont pas protégées. Un pirate informatique pourrait détourner la communication, s’emparer des données et récupérer les informations de votre clientèle.
Tous les sites Web qui demandent des informations aux visiteurs (formulaire de contact, panier d’achat, création de compte, inscription et autres) devraient avoir un certificat SSL. C’est pour cela que depuis juillet 2018 Google avertis l’internaute si le certificat SSL est absent ou brisé. Vous pouvez lire plus d’informations à ce sujet dans un article écrit par un de mes collègues : Pourquoi je dois avoir un certificat de sécurité SSL sur mon site Web avant juillet 2018 ?.
Comment avoir un certificat SSL ?
Le certificat SSL est installé au niveau de votre hébergement Web. Contactez votre hébergeur Web pour qu’il vous installe ce certificat. Si votre site Web est hébergé par Wenovio, vous avez déjà un certificat inclut avec votre forfait d’hébergement Web.
Je vous recommande également l’article Really Simple SSL : comment configurer l’extension sur un site WordPress ? si vous avez déjà un certificat de sécurité SSL installé et que vous désirez vous assurer de son bon fonctionnement sur un site WordPress.
Si vous avez un ou plusieurs formulaires, que vous acceptez des commentaires, des inscriptions sur votre site Web. Vous aurez besoin de vous protéger contre les Spams ou courriers indésirables.
Je vous invite à lire mon article intitulé Comment configurer le reCAPTCHA version 3 de Google sur un site WordPress ? pour comprendre l’importance d’avoir un système de détection automatisée qui distingue les humains des robots. Vous apprendrez aussi comment configurer cette protection sur votre site WordPress.
Supprimez les utilisateurs qui ne travaillent plus pour vous. Assurez-vous que ceux qui ont le rôle « Administrateur » soient bien ceux qui ont le droit de l’être.
Indice d’un piratage
Un indice qui démontre que vous êtes victime d’un piratage informatique est que vous verrez dans les utilisateurs des comptes que vous ne connaissez pas et qui ont le rôle « Administrateur ».
La sécurité de votre site Web n’est pas à prendre à la légère. Beaucoup de personnes mettent la sécurité informatique en dernier dans leur budget et leurs priorités. Ensuite, il est souvent trop tard quand elles subissent une perte de données ou une attaque de pirate informatique.
J’espère que cet article vous permettra de comprendre l’importance de sécuriser votre site Web et de connaître les moyens pour y parvenir.
Je vous invite à poursuivre votre lecture en lisant les articles de la catégories sécurité de notre blogue :
https://www.wenovio.com/categorie/securite/.
N’hésitez pas à nous contacter!
Pourquoi s’atarder à la sécurité sur WordPress ? Car les failles sont rendues publiques et les pirates les exploitent.
Sucuri Security est une extension gratuite pour les sites Web créés avec WordPress. Elle permet de faire une veille continue de votre site.
Que ce soit pour un projet personnel ou professionnel, il est essentiel de savoir comment configurer et administrer vos boîtes courriel et redirections.
Avant d’effectuer la création de l’interface d’un site Web, vous devez faire une analyse du projet. Voici la liste des étapes à suivre.
[…] Vous pouvez jumeler plusieurs extensions en autant qu’elles ne rentent pas en conflit entre elles ou avec d’autres extensions. Pour savoir plus sur comment sécuriser votre site WordPress lisez l’article de mon collègue Josué : Comment sécuriser mon site WordPress ? […]