Astuces pour les professionnels du web

6 conseils pour sécuriser son site avec les plug-ins WordPress

plug-ins pour sécuriser son site Wordpress

64% des sites utilisant un CMS (Content Management System – Système de gestion de contenu) utilisent WordPress, en faisant l’une des solutions les plus utilisées au monde. Cet outil intuitif et facile d’utilisation permet de créer et configurer un site Internet sans exiger de connaissances particulièrement poussées en développement web. 

Il existe des milliers d’extensions gratuites et payantes sur WordPress. Ces extensions servent à ajouter des nouvelles fonctionnalités à votre site ou à étendre des fonctionnalités déjà existantes.

Sa forte popularité fait de WordPress une cible de choix pour tous les hackers et autres personnes malveillantes. Il est donc nécessaire de sécuriser votre site afin de protéger vos données et celles de vos clients. 

Voici nos 6 recommandations pour renforcer la sécurité de votre site avec les plug-ins WordPress.

1 – Sauvegarder régulièrement vos données

La première chose à faire en matière de sécurité est d’effectuer régulièrement des sauvegardes de votre site WordPress. Archiver vos données est essentiel car cela vous permettra :

  • de ne pas tout perdre en cas de problème sur votre site.
  • de remettre votre site sur pied non seulement dans l’éventualité ou vous feriez pirater, mais également en cas d’autres incidents menant à la perte de votre site.

Dans l’idéal, nous vous recommandons d’effectuer des sauvegardes chaque semaine et de noter la date et l’heure de l’archivage dans votre dossier de sauvegarde. 

Il existe des extensions (ou plug-ins) pour vous permettre de créer des sauvegardes automatiques de vos données. UpdraftPlus WordPress Backup Plugin ou BackWPup vous proposent des sauvegardes de vos données et fichiers. Mais elles vous permettent également de les sauvegarder sur un serveur de stockage tel que Nextcloud ou de les télécharger pour les stocker où bon vous semble (par exemple sur un disque dur externe). 

2 – Installer une extension de sécurité WordPress

De la même manière qu’on installe un antivirus sur son ordinateur, une bonne pratique pour améliorer la sécurité de votre site est d’installer une extension permettant de protéger votre site des attaques informatiques. Une extension complète de sécurité telle que iThemes Security, ou encore WordFence Security, améliore la sécurité de votre site.  Elle permet entre autres de créer une double authentification, de se prémunir des robots cherchant des vulnérabilités en matière de sécurité sur votre site ou encore de générer automatiquement des mots de passe puissants. 

3 – Modifier votre URL de connexion

Votre URL de connexion par défaut est monsite.fr/wp-admin. Cette adresse par défaut est très connue. En conservant cette URL, vous vous exposez à des personnes malveillantes qui accèderont à l’interface de connexion de votre site et essayer de trouver votre mot de passe.Pour éviter cela, nous vous recommandons de modifier votre URL de connexion en la personnalisant.

Vous pouvez le faire par vous même en modifiant le fichier .htaccess. Toutefois, il existe encore une fois des extensions qui vous permettent de modifier l’URL de connexion à votre backoffice de WordPress facilement sans nécessiter des connaissances poussées en développement web. Par exemple, l’extension WPS hide login, vous permet de le faire en seulement quelques clics. Une fois téléchargée, il ne vous reste plus qu’à vous rendre sur l’extension sur votre backoffice et modifier votre URL de connexion.

4 – Limiter le nombre d’essais de connexion

Une technique commune de piratage est le piratage par force brute (brute force attacks). Cette technique de piratage consiste en l’utilisation d’un robot qui essaye des milliers de combinaisons d’identifiants et de mots de passe.

Vous pouvez utiliser une extension qui permet de limiter le nombre de tentatives de connexion autorisées. Ainsi lorsqu’un robot fera un certain nombre de tentatives, son adresse IP sera bloquée et ne pourra plus essayer de se connecter. Des extensions telles que WordFence Security (y compris dans sa version gratuite), WP Limit Login Attempts et WPS Limit Login (disponible en français) permettent d’imposer facilement cette limitation de tentatives. 

Avec ces extensions, vous pouvez également ajouter une adresse IP qui n’aura aucune limite de tentative. Vous, ou vos clients n’aurez ainsi pas de risques de vous voir bloquer l’accès à votre propre site. 

5 – Faire les mises à jour de WordPress et des extensions

Pour assurer la sécurité de votre site WordPress, il faut procéder à des mises à jour régulièrement pour s’assurer d’avoir la dernière version disponible. Les développeurs du CMS corrigent régulièrement des bugs pour améliorer la sécurité, il est donc indispensable d’avoir la dernière version disponible du CMS.

Pour les mêmes raisons, il est également primordial de faire des mises à jour pour l’ensemble de vos plug-ins et thèmes. En effet, des failles sont régulièrement découvertes, ainsi les développeurs les corrigent. Gandi relaie, bien sûr, les alertes de sécurité les plus critiques. Il vous faut donc vérifier régulièrement si une mise à jour est disponible afin de s’assurer de posséder les dernières versions de vos plug-ins, car un plug-in obsolète risque de vous exposer. Cette recommandation est d’autant plus importante pour vos plug-ins relatifs à la sécurité de votre site !

Bonne nouvelle, pour ça aussi il y a un plug-in ! WP Updates Notifier permet de recevoir des alertes par email lorsqu’une mise à jour est disponible. Pour encore plus de simplicité, vous pouvez également activer les mises à jour automatiques de WordPress et des thèmes et extensions installées.
Enfin, pour limiter la surface d’attaque et faciliter la gestion des plug-ins, désactiver ou désinstaller les plug-ins que vous n’utilisez pas/plus est une bonne pratique que nous recommandons.

Pour aller plus loin, un article est disponible sur wordpress.org (lien en anglais).

6 – Choisir un hébergeur fiable et sécurisé pour votre site WordPress

Vous pouvez protéger votre site en utilisant toutes les astuces cités précédemment. Toutefois, les failles ne viennent pas nécessairement de votre site. Des attaques peuvent cibler les infrastructures de l’hébergeur de votre site, dont vous n’avez pas la gestion. Ainsi, au-delà de l’établissement de la sécurité de votre site, pensez à choisir un hébergeur fiable.

Il existe une large palette d’hébergeurs plus ou moins chers et plus ou moins fiables. Le mot d’ordre de Gandi est No Bullshit, les services proposés sont clairs et sans surprises. Gandi vous propose des services d’hébergement WordPress complets et sécurisés. Vous trouverez des hébergements WordPress à partir de 9,60 € par mois (taille M préconisée) comprenant notamment un stockage de 50 Go minimum, un certificat SSL gratuit, une documentation exhaustive.

NB : les mises à jour de WordPress restent de votre fait, comme évoqué dans le conseil n°5.

Et comme les extensions sont utiles mais ne font pas de miracle si mal paramétrées, notre équipe est à votre écoute pour vous conseiller et vous assister. Le support technique Gandi est disponible 24/24h 6/7 jours.

Besoin d’augmenter la puissance allouée à votre site pour supporter l’installation de vos extensions ? Pas de souci, vous pouvez modifier la taille de votre instance à tout moment depuis votre interface d’administration.

Choisissez Gandi pour un site sécurisé avec WordPress !