Tu as décidé de faire ton site internet sur WordPress, il faut absolument que tu prennes en compte sa sécurité.
Imagine, tu as mis du temps, de l’argent et de l’énergie à créer ton site et là bim du jour au lendemain ton site est complètement foutu.
On pense souvent que ce scénario n’arrive qu’aux autres mais c’est faux. C’est pour ça que je vais te partager 7 bonnes pratiques afin de sécuriser ton site WordPress.
Utilise des mots de passe forts et uniques pour tous tes comptes.
La base sur internet : avoir des mots de passe forts et uniques. Mais dans les faits la plupart du temps ce n’est pas le cas.
- Trop long à écrire
- Trop pénible à retenir
- Difficile d’avoir un mot de passe unique pour chacun de tes comptes sur internet
- La flemme, tout simplement
Voici quelques conseils pour créer des mots de passe afin de sécuriser ton site WordPress :
- Crée des mots de passe avec au moins 10 caractères.
- Fais une combinaison de majuscules, minuscules, chiffres et caractères spéciaux (quand c’est possible).
- Ne fais pas de mots de passe avec des informations personnelles (date de naissance, nom, prénom, nom du site...).
- Trouve des mots de passe uniques pour chaque compte.
- Tu peux utiliser un gestionnaire de mots de passe comme Nord VPN, Dashlane ou encore NordPass qui permet de générer, stocker et surveiller tes mots de passe.
- Et pour finir tu peux modifier les mots de passe assez régulièrement (tous les 6 mois à 1 an).
Mets à jour régulièrement ta version de WordPress, les thèmes et les extensions installés.
Faire les mises à jour, c’est une des bases pour sécuriser ton site WordPress. Cela permet d’avoir :
- Le dernier correctif de bugs et d’améliorer les performances de WordPress, du thème ou de l’extension et donc éviter les problèmes techniques.
- Le dernier correctif au niveau des failles de sécurité pour éviter qu’elles ne soient exploitées par des pirates.
- Garder une certaine compatibilité entre la version de WordPress, celle de ton thème ainsi que celles de tes extensions.
- De nouvelles fonctionnalités pour améliorer ton site d’un point de vue technique, mais aussi au niveau de l’expérience utilisateur.
Note : Plus il y a de chiffres à droite de la version plus ce sera des corrections mineures à l’inverse si le chiffre de gauche change c’est une version majeure.
Voici un exemple :
![Exemple Version MAJ](https://camille-davidp15.fr/wp-content/uploads/2024/07/Exemple-Version-1024x410.png)
Attention, également à ne pas faire les mises à jour qui entraînent un changement de version dès leurs sorties sans avoir testé sur un sous-domaine ou vérifié dans des forums s’il y a un souci (mais par expérience je dirai que tout changement de version entraîne 1 ou 2 bugs).
Par exemple, pour WordPress, il faut attendre quelques semaines (voir parfois des mois) avant que les extensions deviennent compatibles à 100% avec la nouvelle version.
Supprime les thèmes et extensions inutilisés pour réduire les vulnérabilités.
On a souvent tendance à chercher une extension, la tester, puis on se rend compte qu’elle ne fonctionne pas encore très bien ou alors qu’elle pourrait nous servir dans quelques mois. Résultat on la désactive.
Le problème c’est qu’en installant une extension ou un thème on ouvre une porte et en désactivant l’extension ou le thème, la porte reste ouverte surtout s’ils ne sont pas mis à jour régulièrement. De plus, avoir des extensions et thèmes inutiles c’est rendre ton site plus lourd et moins performant.
Il faut donc faire, de temps en temps, le tri dans tes extensions et thèmes afin de sécuriser ton site WordPress. Pour t’aider tu peux te poser ces 2 questions :
- “Est-ce que cette extension est utile ?”
- “Est-ce que je n’ai pas une extension qui fait la même chose ?”
Effectue des sauvegardes régulières de ton site et conservez-les en dehors du serveur.
Les sauvegardes, ici encore une des bases à mettre en place quand on possède un site. Elles sont indispensables en cas de :
- bug avec une ou plusieurs extensions
- piratage
- modification qui tourne au drame
À partir du moment où tu modifies ton site de manière significative tu dois faire une sauvegarde.
Pour cela tu peux utiliser Updraft Plus dans sa version gratuite. Cette extension permet d’automatiser les sauvegardes, de les envoyer sur ton hébergement ou vers un stockage distant comme Dropbox ou Google Drive (le mieux est le stockage distant).
Pour mon site et les sites de mes clientes, c’est ce que je fais : j’envoie les sauvegardes sur GoogleDrive et ensuite je les récupère sur mon ordinateur avec Google Drive, puis je mets les sauvegardes sur un disque dur externe.
Comment sauvegarder avec Updraft ?
Comment sauvegarder avec WP Tiger (O2SWITCH) ?
Limite le nombre de tentatives de connexion échouées en utilisant une extension.
Tu sais parfois sur certains sites au bout d’un certain nombre de tentatives de connexion, le site te bloque pendant une durée déterminée (souvent 5-10 min) ou indéterminée (et, en général, il faut contacter le support) ? Tu peux également mettre ça en place avec 2 extensions :
- WPS Limit Login (totalement gratuite) : Tu vas pouvoir configurer le nombre de tentatives, le temps de blocage et tu peux aussi demander à recevoir une notification par email.
- Wordfence security (possède une version payante) : C’est une extension de sécurité qui, en plus de limiter les tentatives de connexion, surveille les vulnérabilités des autres extensions et des thèmes. Elle propose aussi un scan contre les logiciels malveillants.
Cependant, attention, limiter les tentatives de connexion c’est bien… Mais tu peux vite te retrouver toi-même bloqué.
Vérifie les extensions que tu installes sur ton site
Il existe de nombreuses extensions dans le répertoire WordPress.
D’après le site WordPress.org, il y avait 60 451 extensions gratuites en Mai 2023. Sur ces 60 451 extensions il en existe qui ne sont plus mises à jour depuis un moment ou qui ne sont pas compatibles avec ta version de PHP ou de WordPress.
Voici les points à vérifier avant d’installer une extension :
- Lis les avis et les notations sur la page de l'extension dans le répertoire WordPress.
- Regarde les dernières mises à jour : Sont-elles fréquentes ? La dernière date de quand ?
- Vérifie la compatibilité avec ta version de WordPress et de PHP.
- Fais un tour sur le forum dans le répertoire WordPress et dans le forum de l’éditeur pour voir s’il y a des recommandations, des soucis en particulier.
Et comme toujours, avant d’installer une extension, fais une sauvegarde !
Restreins l'accès au répertoire de téléchargement des fichiers en utilisant un fichier .htaccess.
Avant toute chose le fichier .htaccess est un fichier de configuration qui permet de gérer un répertoire ou un site.
On s’en sert souvent pour gérer le serveur, faire des redirections, forcer le HTTPS…
Et avec lui tu peux sécuriser un peu plus ton site :
- Bloquer l’affichage de tes répertoires depuis le navigateur
- Bloquer l’affichage de la version de WordPress
- Bloquer l’affichage des auteurs
- Empêcher de télécharger des fichiers depuis le navigateur
Si tu veux faire quelques tests je te conseille de créer un sous-domaine pour y installer un site WordPress et de lire l’article de blog de WP Marmite “Le guide ultime du fichier .htaccess“.
Si tu ne souhaites pas faire de sous-domaine pour créer un site test je te conseille fortement de faire une sauvegarde de ton site.
PS : Si tu es sur O2Switch dans ton CPANEL tu as WP Tiger qui te permet de faire des sauvegardes, vérifier les utilisateurs, forcer le HTTPS et tu peux aussi modifier quelques paramètres du fichier .htaccess (là encore pense à la sauvegarde).
Chaque jour, tu recevras une page du Codex avec une vidéo pour te présenter l'automatisation du jour.
Que tu sois à l'aise avec la tech, les outils et les automatisations ou non, le challenge du Codex t'aidera à gagner du temps et de l'énergie !