Sécuriser son site WordPress en 2020

WordPress est le plus gros CMS présent sur la toile. En effet d’après des statistiques le CMS WordPress ferait tourner 30% des sites Internet qui sont présent sur Internet. Vous comprendrez alors que plus une solution est utilisée par des millions d’utilisateurs plus de hackeurs ou pirates informatiques tentent de dérober et crasher votre site Internet.

Cela fonctionne un peu comme les virus, lors de la création d’un virus les auteurs font tout pour que celui-ci ne soit pas détecté par les anti-virus, et je vous laisse deviner quel anti-virus ils testent (surement pas l’anti-virus à 100 téléchargement dans le monde ;)).

Dans cet article nous allons faire le tour des solutions qui vous permettent de sécuriser son site WordPress en 2020, afin que celui-ci soit un maximum protégé !

Mettre à jour votre thème et vos plugins

Alors nous allons commencer par cette étape, et vous savez pourquoi ? Car c’est la plus simple a réaliser (même si les autres qui suivent ne sont pas compliqués) mais celle-ci ne nécessite bien souvent qu’un clic de souris 😉

Vous avez peut-être vu des “avertissements” qui vous demande de faire la mise à jour de vos plugins et thème ? Je dit bien avertissement car souvent c’est un petit message qui parait anodin mais ne considérez pas ce message comme anodin. En effet, il peut y avoir des failles qui ont été découverte dans les plugins ou thèmes, les développeurs ont donc fait des mises à jours pour corriger ses problèmes, et si vous restez avec une ancienne version forcément vous êtes vulnérable !

Sécuriser son site WordPress

Changer l’URL de connexion de votre panneau d’administrateur

Cela peut paraître bête mais je suis sur que VOUS qui êtes en train de lire cet article si vous avez un site WordPress je peux accéder à votre page de connexion. Votre page de connexion est sûrement votrenomdedomaine.fr/wp-admin ou votrenomdedomaine.fr/wp-login
Alors je ne dit pas que je connais votre Login et votre Mot de passe mais déjà pouvoir arriver facilement à l’adresse de connexion c’est une étape de réalisée. Il suffit bien souvent pour les hackers alors d’utiliser un brute force (logiciel qui permet de faire des millions de combinaisons de manières très rapide afin de trouver votre mot de passe). D’ailleurs cette étape est pour moi une étape cruciale à réaliser rapidement. Pour vérifier la réalité de mes propos vous pouvez toujours essayer de taper le fameux wp-admin lorsque vous visitez un site dans la barre URL et vous verrez que bien souvent vous tomberez sur la page de connexion 😉

Pour changer votre URL de connexion à votre tableau de bord, voici les différentes solutions :

  • Le faire manuellement (il va falloir intervenir sur votre fichier .htaccess disponible sur votre FTP), cette solution est vraiment manuelle pas très compliquée mais il va falloir mettre les mains dans le cambouis. Si cette solution vous intéresse je vous renvoie vers un de nos article qui vous expliquera pas à pas comment faire : Changer son URL de connexion WordPress
  • Utiliser un plugin comme Ithemes Security, qui vous aidera à paramétrer ce type de modification facilement. Le plugin à été télécharger presque 1 millions de fois et dispose d’une très bonne note générale : 4.7/5

securiser son site WordPress Ithemes security

Une fois cette étape de réalisé vous vous êtes enlever une petite épine du pied et sur les 30% de site WordPress présent sur la toile vous faites à mon avis parti des 15% qui ne dispose pas de la page de connexion standard. Alors on ne peut pas dire que cela sécurise son site WordPress mais ça permet de cacher une page importante.

Changer votre LOGIN

Bon nous avons vu ensemble que finalement votre page de connexion n’est pas bien “cachée” si c’était le cas j’ai surement une mauvaise nouvelle pour vous. Je connais à 80% votre LOGIN, oui oui je fais mon voyant (non c’est pas vrai je n’ai aucun talent dans la voyance je vous le garantie), par contre je pense que votre LOGIN est “admin”. Ne vous inquiétez pas c’est souvent le cas sur les sites WordPress car au tout début de l’installation, par défaut le login est admin. Et je vous comprends car quand on est pas du métier avoir installer un site WordPress c’est déjà un peu le parcours du combattant. Alors une fois installé vous avez vite envie de “jouer” dessus et commencer à faire votre site Internet, sauf que ce login “admin” va rester longtemps voir il est toujours d’actualité, pas vrai ?! 🙂

Si vous êtes en train de lire ses lignes il est alors temps de le changer ! Pour le faire rien de plus facile : Allez dans “Utilisateurs” et cliquez sur “Modifier” !

Attention si vous découvrez des utilisateurs inscrits avec des adresses mails bizarres c’est le grand moment pour faire rapidement le ménage et tous les mettre à la poubelle.

Une connexion à double authentification

Vous l’avez peut-être activé sur votre hébergeur (1&1, PlanetHoster, OVH, …). Vous savez c’est cette authentification qui vous envoie un petit sms lorsque vous vous connectez à votre espace hébergement afin de sécurisé la connexion. Bah sachez que vous pouvez la mettre en place sur votre site afin de sécuriser son site WordPress en 2020 (pas l’envoi de sms car dans ce cas il faut passer par un service payant mais plutôt l’utilisation de Google Authentification) ! Car oui la double authentification commence à être présente de partout sur Internet notamment lors de la connexion à des données sensibles (portefeuille de crypto monnaie, accès aux comptes bancaires, etc ..)

Alors comment activer cette double authentification pour sécuriser son site WordPress ? Vous pouvez utiliser un plugin comme Two Factor Authentication qui vous aidera à la configuration de cette double authentification

double authentification wordpress

Alors personnellement je préfère toujours être clair et précis dans mes articles je suis convaincu que cette double authentification permet de sécuriser son site WordPress mais nous ne l’utilisons pas sur notre site Internet. Pourquoi ? Tout simplement parce que si vous êtes plusieurs à gérer le site Internet et que vous n’avez pas votre portable sous le coude ou le moyen de valider la deuxième authentification cela peut vous bloquer. Alors si vous pouvez reporter votre travail sur votre site Internet au lendemain ce n’est pas grave mais ce n’est pas le cas de tout le monde. Je vous laisse alors juge de si cette extension vous sera vraiment utile, par contre il est clair qu’elle permettra de sécuriser son site WordPress.

Nombres limitées d’essais de connexion

Un peu comme à l’instar de plusieurs gros sites Internet, ou de votre banque. Après un nombre de mauvais mot de passe il faut attendre un long moment pour pouvoir se connecter. Vous pouvez tout à fait utiliser ce système et l’installer pour sécuriser son site WordPress.

Alors cette option aura pour but de limiter les brutes forces (logiciel qui craque les mots de passe). Par exemple au bout de 5 essais la connexion est bloquée pendant 15 minutes et déverrouille 5 essais supplémentaires. Ce système est génial mais il peut être à double tranchant, si vous êtes tête en l’air et que vous oubliez votre mot de passe, bah il faudra patientez afin de pouvoir retenter votre chance. Alors pensez bien à le noter quelque part.

Pour mettre en place le système de limite d’essais de mot de passe je vous conseille le plugin : Wordfence

wordfence securite

Ce plugin ne gère pas que le nombre de connexion possible pour trouver votre mot de passe mais on y reviendra plus tard dans l’article

Déconnexion automatique de votre tableau de bord

Alors cette solution pour sécuriser son site WordPress est idéale si vous travaillez dans un lieu de travail avec d’autres personnes. Je pense surtout si vous travaillez depuis un bureau de co-working (partage de bureau avec d’autres entrepreneurs afin de limiter les coûts de location). En effet, pour y avoir été il y a bien longtemps, j’en garde un très bon souvenir ! Cependant la sécurité est bien souvent assez négligée (cela c’est peut-être améliorer depuis le temps), d’ailleurs je vous ne conseille pas de vous connecter au réseau partagé mais via votre smartphone en modem, ou alors en utilisant un VPN car une personne utilisant un sniffer de réseau peut alors absorber toutes vos connexions sécurisées et vos mots de passe ! Il n’est pas rare d’aller prendre un café avec un entrepreneur dehors et de laisser son PC allumé. Et c’est à ce moment précis que vous pouvez vous faire pirater. En effet votre tableau de bord restera ouvert, une personne peut prendre contrôle de votre site Internet et pire que ça il peut se créer un utilisateur avec des droits administrateur et puis se connecter depuis chez lui ou l’extérieur afin d’utiliser votre site à ses fins personnelles !

Pour mettre en place ce système de déconnexion après un temps d’inactivité prolongé je vous conseille BulletProof Security, facile à configurer et bien noté. Vous prendrez facilement la main dessus !

bulletproof securité wordpress

 

Scanner les fichiers de votre site Internet

Comme je vous l’avait dit on va de nouveau utiliser le plugin Wordfence idéal pour sécuriser son site WordPress. L’avantage de ce plugin est qu’il va scanner l’ensemble des fichiers de votre site Internet afin de détecter des codes malicieux qui pourrait se cacher à l’intérieur de votre thème ou de vos plugins. En effet les codes malicieux peuvent être très discret et ouvrir des portes aux hackeurs afin de pirater votre site Internet. Si il trouve des plugins ou thèmes dangereux je vous conseille vivement de faire la mise à jour de ceux-ci ou de les désinstaller si ils ne sont pas mis à jour depuis longtemps.

Il fonctionne un peu comme un anti-virus pour votre site Internet et peut vous protégez d’attaque en direct. Par contre forcément c’est un plugin assez lourd alors si vous souhaitez l’utiliser pour scanner votre site Internet, faites le. Mais vous pouvez aussi le désactiver à la fin du scan pour éviter de perdre des ressources et que votre site soit plus lent et donc avoir un impact négatif sur votre référencement

La sauvegarde

Enfin nous abordons la dernière étape de l’article afin de sécuriser son site WordPress en 2020. La sauvegarde est l’étape la plus importante et elle est bien souvent négligée. En effet, si vous vous retrouvez avec un site piraté et complètement inutilisable il vous suffit de remettre en place la dernière version fonctionnelle pour que le site soit de nouveau en ligne. Il est vrai que si un pirate à trouver une faille il faudra rapidement faire des mises à jour pour que cela ne se reproduise pas dans la foulée mais le fait d’avoir la sauvegarde vous fera gagner un temps inimaginable.

Pour faire une sauvegarde de votre site Internet WordPress vous disposez de 2 solutions :

  • Manuellement : il y a 2 étapes à faire ! Sauvegarder le contenu de votre dossier FTP WordPress dans un dossier sur votre ordinateur et puis connectez-vous sur votre hébergeur dans PhpMyAdmin afin d’exporter la base de donnée et de ranger tout cela dans un coin précis et votre sauvegarde est prête. Le souci principal est que si vous mettez régulièrement votre site à jour faire des sauvegardes manuelles peut prendre du temps car à chaque modification il faudra passer par là.
  • Automatique : Via un plugin comme UpdraftPlus

updraftplus sauvegarde wordpress

UpDraftPlus est un plugin très connu, il a été télécharger plus de 2 millions de fois et dispose d’une note générale de 4.8/5 autant vous dire que vous pouvez y aller les yeux fermés sur ce plugin ! La version gratuite vous permettra de faire le nécessaire pour obtenir une sauvegarde régulière, la version payante vous apportera un vrai plus de configuration de votre sauvegarde et même la possibilité de sauvegarder sur le cloud !

Conclusion

Voila c’est la fin, j’espère que tous ces précieux conseils vous permettrons de sécuriser son site WordPress en 2020 et que vous avez appréciez la lecture. Je ne vous conseille pas forcément toutes les étapes car il faudrait penser la sécurité au cas par cas mais vous avez tous les outils selon vos besoins de protéger votre site Internet WordPress. Si vous avez des commentaires ou des questions n’hésitez pas à les poster dans les commentaires, c’est avec plaisir que nous vous répondrons ! De même si vous souhaitez ajouter des informations supplémentaires vous pouvez nous les transmettre et nous mettrons l’article à jour si celle-ci sont pertinentes !

Résumé
Sécuriser son site Wordpress en 2020
Nom de l'article
Sécuriser son site Wordpress en 2020
Description
Vous voulez sécuriser son site Wordpress en 2020, on vous donne tous les conseils dans cet article complet !
Auteur
Éditeur
KendoDev
Logo de l'éditeur

Vous avez aimer cet article ? Partager le sur les réseaux sociaux :)

Laissez un commentaire

    • admin
    • 29 janvier 2020
    Répondre

    Bonjour Eric, effectivement le choix d’un thème par des développeurs qui le maintienne régulièrement à jour est primordial pour une sécurité optimale

    • Eric
    • 29 janvier 2020
    Répondre

    Il est également important de sélectionner des thèmes qui ont une bonne réputation. Ceux créés par des développeurs peu réputés ou qui n’ont pas le code le plus propre pourraient ouvrir votre site à des failles de sécurité une fois installées. Lisez les critiques des thèmes avant de les installer et si vous achetez un thème premium, achetez-en toujours un sur un site bien connu. De même, installez toujours les mises à jour de thème lorsqu’elles deviennent disponibles.

Articles

Voir tout