fbpx
/ English
sécuriser wordpress

Comment sécuriser mon site WordPress ?

Pourquoi sécuriser mon site WordPress ?

Selon le site W3Techs (Web Technology Surveys, en anglais), WordPress est utilisé par 37,8% de tous les sites Web, soit une part de marché du système de gestion de contenu de 63,5%, en date du 5 août 2020.

On comprend par ça que WordPress est la plateforme la plus utilisée dans le monde entier (voir l’article Pourquoi créer mon site avec WordPress ?). Ce succès mène à se poser des questions concernant la sécurité de chaque site Web utilisant cette technologie. WordPress est un CMS (Content Management System ou Système de gestion de contenu en français), c’est-à-dire que tous les sites Web qui utilisent WordPress ont la même base de fichiers sources.

Si les fichiers source de WordPress présentent une vulnérabilité, tous les sites Web qui utilisent ce CMS sont potentiellement à risque. WordPress est si répandu que de nombreux pirates informatique le ciblent régulièrement.

D’où la question :

Comment sécuriser mon site WordPress ?

Il existe plusieurs techniques et bonnes pratiques pour sécuriser son site Web WordPress, nous allons en énumérer 7 :

  1. Faire les mises à jour de WordPress régulièrement
  2. Choisir les extensions et thèmes avec prudence
  3. Installer une extension de sécurité anti- malware
  4. Désinstaller et supprimer les extensions qui ne sont pas utilisées
  5. Avoir un certificat de sécurité SSL
  6. Configurer le reCAPTCHA version 3 de Google
  7. Utiliser un mot de passe fort et un nom utilisateur autre que « admin »

1 – Faire les mises à jour de WordPress régulièrement

Faire les mises à jour de WordPress régulièrement pour sécuriser un site WordPress

Avec WordPress vous devez mettre à jour votre version de WordPress, les extensions, le thème et la version de PHP.

Mise en garde
Avant de faire des mises à jour faite une sauvegarde de votre site WordPress. C’est-à-dire de tous vos fichiers et de votre base de données. Je vous recommande d’avoir une solution de sauvegarde régulière de votre site Web au cas où vous êtes victime d’une attaque d’un pirate informatique.
Cependant, je vous recommande de laisser un professionnel s’en charger.

Mettre à jour la version de WordPress

L’équipe de programmeurs qui a développé WordPress fait des mises à jour des fichiers sources régulièrement. Le but de ces mises à jour est non seulement d’ajouter de nouvelles fonctionnalités, mais aussi pour corriger les erreurs, bogues et vulnérabilités.

Vu que WordPress est un CMS libre de droit, tout le monde a accès au code source, y compris les pirates informatique. Soyez-en sûr que si un pirate informatique a remarqué une faille dans le code source de WordPress, il n’hésitera pas à l’exploiter. C’est une des raisons pour laquelle je vous conseille de faire les mises à jour régulièrement, n’attendez pas trop longtemps. Vous empêcherez ainsi les pirates informatique de profiter d’une faille.

Mettre à jour votre thème et extensions installés sur WordPress

Tout comme l’équipe de programmeurs de WordPress est conscient de l’importance de la sécurité de sa plateforme, ceux qui programment des thèmes et des extensions le savent tout autant. Un thème ou une extension qui n’est pas mis à jour régulièrement ouvre la voie aux pirates informatiques.

Les mises à jour des thèmes et extensions ne concernent pas seulement l’ajout de nouvelles fonctionnalités, elle servent aussi à régler des problèmes de vulnérabilité.

Il est important de mettre à jour le thème (ou template) ainsi que toutes les extensions installées.

Mettre à jour la version de PHP sur le serveur Web

WordPress utilise PHP comme langage de programmation. Les programmeurs de WordPress utilisent les dernières versions PHP pour s’assurer qu’il n’y a pas de vulnérabilité et pour respecter les normes de sécurité du Web. Pour éviter toutes incompatibilités, contactez votre hébergeur Web pour mettre la version de PHP sur leur serveur.

Demandez de l’aide au besoin

Si vous ne savez pas comment faire une sauvegarde de votre site ou comment le mettre à jour, achetez un forfait maintenance WordPress avec Wenovio ou votre agence Web. Cliquez ici pour nous contacter à ce sujet.

Vous pouvez lire l’article de mon collègue intitulé Pourquoi garder le gestionnaire de contenu de mon site Web à jour ? pour en savoir plus à ce sujet.

2 – Choisir les extensions et thèmes avec prudence

Choisir les extensions et thèmes avec prudence pour sécuriser un site WordPress

Avec WordPress, il existe des milliers d’extensions et de thèmes avec de nombreuses fonctionnalités.

Mise en garde concernant les extensions et thèmes WordPress
Bien que la plupart sont responsables, il y a des auteurs de thèmes et extensions qui ne corrigent pas les failles de sécurité qui servent de porte d’entrée pour les pirates informatique. Il y a aussi les thèmes et extensions abandonnés et laissés sans support.

Où trouvez des extensions qui font du sens ?

La première référence est le site officiel de WordPress :

Sécuriser un site officiel en choisissant des extensions sur le site officiel.
Capture d’écran du site wordpress.org

Par exemple, si vous recherchez une extension pour créer une page pour un site en construction, tapez la recherche « construction », vous aurez plusieurs résultats. Prenez le temps de vérifier le nombre d’étoiles, les commentaires, le nombre d’installations actives ainsi que le « Testé avec… ».

Une fois que vous avez choisi votre extension, examinez la section Dernière mise à jour :

sécuriser wordpress
Capture d’écran du site wordpress.org

Si l’extension a été mise à jour il y a longtemps, c’est-à-dire plus d’un an ou deux, cela est un indice que le développeur de cette extension n’a peut-être pas corrigé les bogues et autres vulnérabilités.

Il existe aussi des plateformes de vente de thèmes et d’extensions fiables tels que ThemeForest et Code Canyon.

Quel que soit la méthode que vous utilisez pour rechercher une extension, les mêmes recommandations s’appliquent. Soit de vérifier :

  • La dernière mise à jour
  • Le nombre d’installations actives
  • Les commentaires
  • Depuis combien d’années l’extension existe
  • Si elle a été testé avec votre version de WordPress

3 – Installer une extension de sécurité anti-malware

Installer une extension de sécurité anti-malware pour sécuriser un site WordPress

Avoir une extension de sécurité installée sur votre site Web, c’est comparable à avoir un antivirus qui protège votre ordinateur.

Quel extension de sécurité choisir ?

Choisissez toujours une extension qui est capable de vérifier la modification des fichiers sources WordPress. Il vous avertira si un fichier à été modifié.

Si vous optez pour l’extension Sucuri Security, lisez l’article de mon collègue intitulé Sucuri Security : comment configurer l’extension sur un site WordPress ?. Il est très instructif, vous avez même une vidéo explicative!

Wenovio recommande également WordFence Security.

4 – Désinstaller et supprimer les extensions qui ne sont pas utilisées

Désinstaller et supprimer les extensions qui ne sont pas utilisées pour sécuriser un site WordPress

Installez que des extensions qui vont vous servir réellement. Si vous voulez faire des tests d’extensions ou de thèmes, je vous recommande d’installer une version démo de votre site Web sur laquelle vous pourrez faire vos tests. Il est préférable de ne pas faire de tests d’extensions ou de thèmes sur un site Web qui est en ligne et visible par les internaute et Google.

5 – Avoir un certificat de sécurité SSL

Avoir un certificat de sécurité SSL pour sécuriser un site WordPress

Un certificat de sécurité SSL permet de crypter (de protéger) les informations ou données qui entrent et qui sortent de votre site Web. Sans cette sécurité, quand un de vos client remplis un formulaire de contact par exemple, les communications entre votre site et l’appareil de l’internaute ne sont pas protégées. Un pirate informatique pourrait détourner la communication, s’emparer des données et récupérer les informations de votre clientèle.

Tous les sites Web qui demandent des informations aux visiteurs (formulaire de contact, panier d’achat, création de compte, inscription et autres) devraient avoir un certificat SSL. C’est pour cela que depuis juillet 2018 Google avertis l’internaute si le certificat SSL est absent ou brisé. Vous pouvez lire plus d’informations à ce sujet dans un article écrit par un de mes collègues : Pourquoi je dois avoir un certificat de sécurité SSL sur mon site Web avant juillet 2018 ?.

Comment avoir un certificat SSL ?
Le certificat SSL est installé au niveau de votre hébergement Web. Contactez votre hébergeur Web pour qu’il vous installe ce certificat. Si votre site Web est hébergé par Wenovio, vous avez déjà un certificat inclut avec votre forfait d’hébergement Web.

Je vous recommande également l’article Really Simple SSL : comment configurer l’extension sur un site WordPress ? si vous avez déjà un certificat de sécurité SSL installé et que vous désirez vous assurer de son bon fonctionnement sur un site WordPress.

6 – Configurer le reCAPTCHA version 3 de Google

Configurer le reCAPTCHA version 3 de Google pour sécuriser un site WordPress

Si vous avez un ou plusieurs formulaires, que vous acceptez des commentaires, des inscriptions sur votre site Web. Vous aurez besoin de vous protéger contre les Spams ou courriers indésirables.

Je vous invite à lire mon article intitulé Comment configurer le reCAPTCHA version 3 de Google sur un site WordPress ? pour comprendre l’importance d’avoir un système de détection automatisée qui distingue les humains des robots. Vous apprendrez aussi comment configurer cette protection sur votre site WordPress.

7 – Utiliser un mot de passe fort et un nom utilisateur autre que « admin »

Utiliser un mot de passe fort et un nom utilisateur autre que "admin" pour sécuriser un site WordPress

Supprimez les utilisateurs qui ne travaillent plus pour vous. Assurez-vous que ceux qui ont le rôle « Administrateur » soient bien ceux qui ont le droit de l’être.

Indice d’un piratage
Un indice qui démontre que vous êtes victime d’un piratage informatique est que vous verrez dans les utilisateurs des comptes que vous ne connaissez pas et qui ont le rôle « Administrateur ».

En conclusion

La sécurité de votre site Web n’est pas à prendre à la légère. Beaucoup de personnes mettent la sécurité informatique en dernier dans leur budget et leurs priorités. Ensuite, il est souvent trop tard quand elles subissent une perte de données ou une attaque de pirate informatique.

J’espère que cet article vous permettra de comprendre l’importance de sécuriser votre site Web et de connaître les moyens pour y parvenir.

Je vous invite à poursuivre votre lecture en lisant les articles de la catégories sécurité de notre blogue :
https://www.wenovio.com/categorie/securite/.

Besoin d’aide?

N’hésitez pas à nous contacter!

Auteur de l'article

Josué Wilsi

Programmeur Web
Diplômé en TI dans son pays d’origine (Côte d’Ivoire) en 2008, Josué a complété sa formation au Québec avec un AEC en programmation Web. Les nouvelles technologies, il en mange. On comprend pourquoi il en est venu à exceller dans son domaine; la programmation Web, il l’a dans le sang! En véritable autodidacte, les défis sont loin de lui faire peur, bien au contraire. Il carbure aux nouvelles aventures. Si vous rencontrez Josué, parlez-lui des superhéros (surtout les MARVEL)… vous verrez comme ça le passionne. Et ce qu’il affectionne particulièrement? Passer du temps de qualité avec sa famille autour d’un excellent souper. Le tout, agrémenté de bonnes conversations, bien sûr!

À découvrir sur notre blogue

2018-04-17

Pourquoi garder le gestionnaire de contenu de mon site Web à jour ?

David Barbier / Shaman programmeur

Dans le domaine du Web comme ailleurs, il peut y avoir plusieurs raisons d’investir temps et argent afin de maintenir votre site Web à la fine pointe.

Lire la suite
2020-03-03

Sucuri Security : comment configurer l’extension sur un site WordPress?

Davyd Quintal / Directeur des solutions novatrices

Sucuri Security est une extension gratuite pour les sites Web créés avec WordPress. Elle permet de faire une veille continue de votre site.

Lire la suite
2021-06-29

Sécurité WordPress : les 8 extensions incontournables

Vincent Gaudreau / Programmeur Web

Pourquoi s’atarder à la sécurité sur WordPress ? Car les failles sont rendues publiques et les pirates les exploitent.

Lire la suite
2020-01-07

Really Simple SSL : comment configurer l’extension sur un site WordPress ?

Davyd Quintal / Directeur des solutions novatrices

Really Simple SSL est une extension que l’on peut ajouter à un site WordPress pour forcer une connexion sécurisée avec votre site en tout temps.

Lire la suite

Un commentaire pour “Comment sécuriser mon site WordPress ?”

  1. Sécurité WordPress : les extensions incontournables / Wenovio dit:

    […] Vous pouvez jumeler plusieurs extensions en autant qu’elles ne rentent pas en conflit entre elles ou avec d’autres extensions. Pour savoir plus sur comment sécuriser votre site WordPress lisez l’article de mon collègue Josué : Comment sécuriser mon site WordPress ? […]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.