La sécurité est un vaste sujet en matière d’informatique et également au sujet du web. Nous allons, au travers de cet article, vous indiquer des démarches simples à suivre pour sécuriser son site WordPress.
Le choix d’un hébergeur de qualité
Premièrement, il est à noter que beaucoup de piratages sont dus à des défaillances au niveau des serveurs qui hébergent les sites internet. Nous allons désormais vous présenter les différentes options à vérifier pour choisir votre futur hébergeur.
Le taux de disponibilité
En tout premier lieu, vérifiez combien de temps l’hébergeur assure un taux de disponibilité pour votre site internet. Aucun des hébergeurs existants ne pourra vous garantir un taux à 100%.
En revanche, concentrez-vous sur ceux qui ont les taux de disponibilité les plus élevés.
Considérons par exemple, 2 hébergeurs, l’un proposant une disponibilité pour votre site de 99% du temps, et un second proposant une disponibilité à 99,99%. Cela signifie que chez le premier hébergeur, votre site sera indisponible environ 88 heures par an. Tandis que chez le second, votre site sera indisponible un peu moins d’une heure chaque année. Voilà donc une sacrée différence entre ces 2 hébergeurs !
Le support fourni
De même que pour le taux de disponibilité, vérifiez également le support proposé par l’hébergeur. Sont-ils facilement et souvent accessibles ? Sous combien de temps répondent-ils par e-mail ? Pouvez-vous également les joindre par téléphone ?
Les sauvegardes de votre site
Généralement inclus dans leur service, les hébergeurs proposent de réaliser des sauvegardes régulières de votre site internet. Ainsi, en cas de problème technique ou piratage, vous pourrez restaurer votre site à une date antérieure.
Infrastructure
Regardez les infrastructures des hébergeurs, ils les communiquent sans transparence dans leur offre. Vérifier s’ils disposent bien d’un antivirus et d’un pare-feu. Vous prendrez sans doute, dans un premier temps, un hébergement mutualisé, il vous faut donc demander à votre hébergeur si les comptes mutualisés sont bien isolés des autres. De manière que, si un site internet venait à être infecté, cela n’affecterait pas les autres.
Notre hébergeur favori
Nous avons, depuis plusieurs années, suivi l’évolution des hébergeurs web. Si vous recherchez un hébergeur de qualité afin de sécuriser son site WordPress, faites le même choix que Divilogy et confiez l’hébergement à O2Switch.
Sécuriser son site WordPress dès l’installation
Changer les clés uniques d’authentification et salage
Avant toute installation de WordPress, vous devez paramétrer le fichier « wp-config.php » pour y faire correspondre vos informations de connexion à votre base de données. On vous demande d’indiquer le nom de votre base de données, votre nom d’utilisateur et votre mot de passe. Toutes ces informations vous ont été fournies par votre hébergeur.
Plus bas dans ce fichier, se trouve la partie des clés uniques d’authentification et de salage. Pour ne pas rentrer dans les détails, ces clés secrètes sont des mots de passes avec des éléments qui vont rendre votre infrastructure WordPress plus résistantes aux piratages. Comme indiqué dans le fichier de configuration WordPress, vous pouvez les générer depuis l’outil officiel de WordPress : https://api.wordpress.org/secret-key/1.1/salt/
Changer le préfixe des tables de votre base de données
Par défaut, les tables de votre base de données commencent par « wp_ ». Il vous faut changer ce paramètre dans le but de rendre votre base de données plus sécurisée. Renseignez donc une suite de caractère aléatoire en tant que suffixe pour vos tables.
Utiliser un nom d’utilisateur et un mot de passe fort
La plupart des sites se font pirater par ce problème très simple. Beaucoup d’utilisateurs utilisent un nom d’utilisateur et un mot de passe trop commun et facilite la vie des hackers. Évitez absolument des noms d’utilisateur comme « admin » et des mots de passe comme « azerty ».
Ces informations sont trop connues et les hackers se feront une joie de se connecter à votre site !
Un mot de passe sécurisé comprend au minimum 8 caractères avec une lettre minuscule, une lettre majuscule, un chiffre ainsi qu’un symbole. Utilisez donc le gestionnaire Dashlane pour sécuriser vos mots de passe et à fortiori, sécuriser son site.
Sécuriser votre tableau d’administration
Le tableau d’administration de WordPress, disponible à l’adresse monsite.com/wp-admin est l’endroit où vous pouvez gérer l’entièreté de votre site. Il est donc crucial que cette partie ne soit accessible que par vous et personne d’autre !
Changer l’adresse de connexion à votre tableau d’administration
Par défaut, et comme mentionné ci-dessus, votre tableau de bord est disponible à l’adresse monsite.com/wp-admin, qui, si vous n’êtes pas connecté, vous redirigera vers le formulaire de connexion (/wp-login). Votre formulaire de connexion est donc, accessible à tous, visiteurs normaux et personnes mal intentionnées.
Compliquez la tâche des hackers en cachant votre page de formulaire de connexion. Pour cela, téléchargez l’extension WPS Hide Login et renseignez une nouvelle adresse de votre choix. Ainsi, votre formulaire de connexion sera déjà grandement sécurisé, car difficilement accessible si on n’en connaît pas l’adresse.
Limiter le nombre de tentatives de connexion
Toujours dans le but de renforcer la connexion à votre espace sécurisé, ajouter le plugin WPS Limit Login à votre site WordPress. Par défaut, vous pouvez tenter un nombre de connexions illimité à votre tableau d’administration. Cette extension vous permettra d’ajouter des limites et de bloquer temporairement les IP des personnes échouant, par exemple, 3 fois à se connecter à votre tableau de bord.
Activer la double authentification
Aujourd’hui devenu incontournable, la double authentification (ou authentification à deux facteurs) vous permet de sécuriser encore plus votre tableau de bord WordPress. Vous devrez désormais renseigner votre nom d’utilisateur et votre mot de passe, ainsi qu’un code envoyé par SMS ou disponible sur une application sur votre smartphone.
Pour mettre en place la double authentification sur WordPress, vous pouvez utiliser l’extension Google Authenticator et son application sur votre smartphone.
Divilogy accompagne de nombreuses PME et TPE dans leur transformation digitale. Confiez la réalisation de votre site internet sécurisé à nos experts.
Les autres facteurs pour sécuriser son site WordPress
Faire les mises à jour
Afin de corriger les failles existantes de votre site internet, assurez-vous d’avoir votre WordPress à jour mais également votre thème et vos extensions. Chaque mise à jour apportera donc de nouvelles fonctionnalités à votre site internet mais elles servent également à corriger et à améliorer leur code. Pensez, en revanche, à sauvegarder votre site avant chaque mise à jour, en cas d’incompatibilité entre les versions de votre WordPress, thème et extensions.
Effectuer des sauvegardes régulièrement
Garder une sauvegarde récente de votre site vous permettra de pouvoir le restaurer facilement en cas de piratage. Nous ne détaillerons pas ici la manière de sauvegarder votre site WordPress. Vous pouvez néanmoins aller sur notre article « Comment sauvegarder son site WordPress ».
Ajouter un captcha sur vos formulaires
Vous avez probablement un formulaire de contact sur votre site internet qui permet à vos visiteurs de vous envoyer des messages, ou encore mieux, des demandes de devis. Sachez que, comme votre formulaire de connexion, il va falloir également sécuriser vos formulaires de contact. Vous pouvez, pour cela, utiliser le célèbre captcha Google v3.
