Sécurité d'un site wordPress

Comment sécuriser WordPress ? Il n’y a pas que les extensions à prendre en compte

On entend toujours dire que les sites réalisés avec le CMS WordPress ne sont pas fiables en terme de sécurité. S’il est vrai que de nombreux sites se font piraté, c’est que les règles de sécurité les plus basiques ne sont pas mises en place. Laissez les clés sur la serrure de la porte d’entrée de votre maison, partez quelques jours et d’après vous, il se passera quoi ?

Voici quelques éléments essentiels à prendre en compte :

Bien choisir l’hébergeur de votre site

Il est plutôt déconseillé de prendre un hébergeur gratuit. La sécurité laisse parfois à désirer. Préférez des hébergeurs payants qui mettent en place des pare-feu efficaces. Vous pouvez aussi vous tourner vers des hébergeurs spécialisés WordPress comme par exemple WPServeur qui propose une solution d’hébergement uniquement dédiée à WordPress. Pour ma part, j’héberge mes sites sur o2switch, un hébergeur français au top pour la sécurité.

Faire les mises à jour

En terme de sécurité, il est aussi primordial de faire les mises à jour des extensions installées sur votre site et bien-sûr celle du coeur de WordPress. Certaines mises à jour sont là pour corriger les failles de sécurité. Avoir toujours la dernière version de WordPress est primordial.

Utiliser un identifiant et un mot de passe sécurisé

Ne surtout pas utiliser l’identifiant admin par défaut et un mot de passe du style 12345 ou benjamin85 pour se connecter à son interface d’administration. Avoir toujours quelque chose de compliqué… Pour gérer les mots de passe, j’utilise KeePass, un coffre-fort de mots de passe super efficace. C’est open source et super sécurisé.

Changer sa page de connexion

Il est aussi possible de changer sa page de connexion avec Move login et ne pas avoir ni /wp-login.php ni /wp-admin. Ces pages là sont la cible d’attaques répétées pour entrer sur un site WordPress.

Modifier le préfixe de la base de données

Les bases de données WordPress ont toutes par défaut le préfixe wp_. Mieux vaut le changer, c’est une bonne pratique pour éviter les intrusions.

Renforcer la sécurité avec SecuPress

J’utilise SecuPress, facile à paramétrer, suffisant en version gratuite, la protection est top. Il permet d’aller très loin dans la sécurisation. Un scanner va vérifier de nombreux points sensibles et les corriger automatiquement pour la plupart. Des modules supplémentaires vont permettre de faire de votre site une vraie forteresse.

Sauvegarder, sauvegarder, sauvegarder…

Une chose à ne surtout pas négliger, c’est la sauvegarde des bases de données et de l’ensemble des fichiers du site. Si jamais votre site est attaqué, vous avez toujours une version de sauvegarde qui vous permet de le remettre en ligne. Après, il faut comprendre pourquoi.

Pour cela, il existe plusieurs solutions dont par exemple UpdraftPlus l’une des plus connues. Vous pouvez aussi utiliser ManageWP qui permet de gérer l’ensemble des sites à partir d’une seule interface et qui permet notamment de sauvegarder automatiquement (option 2$/mois/site) tous les jours l’ensemble des fichiers du site ainsi que la base de données, avec la possibilité de les restaurer en 1 click, de les cloner…

Et la liste des mesures pourrait s’allonger avec la mise en place d’un fichier .htaccess blindé.

 

 

Comme vous le voyez, la sécurité d’un site doit faire l’objet de toutes les attentions. Ne laissez pas les clés sur votre site. Ne laissez pas non plus les fenêtres ouvertes.

Auteur : Denis ALLARD

Denis ALLARD
Rédacteur Web sur le blog studiovitamine depuis 2009, j'ai pu mesurer l'évolution fulgurante du web, des nouvelles technologies, du e-commerce... Quand je n'écris pas pour le web, je me consacre à l'ergonomie, au référencement naturel et à la formation universitaire des futurs concepteurs de sites...

Commentaires Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *