Depuis plusieurs années, WordPress sert à concevoir des millions de sites Web. Une multitude d’entre eux collectent et stockent, des informations privées. Il s’agit souvent des données de paiement de clients e-commerce. Il faut donc à tout prix sécuriser WordPress.
WordPress est un nom reconnu par beaucoup d’utilisateurs, ainsi on a tendance à penser que ce CMS est forcément invulnérable au piratage.
En réalité, c’est assez fréquemment contredit, mais rassurez-vous, tout cela est normal.
En réalité les logiciels ont toujours des failles, WordPress, ne fait pas exception à la règle. Généralement lorsqu’un site WP se fait pirater ce n’est pas la faute du CMS WordPress… Mais du webmaster gérant le site. En effet, les clients ne suivent pas les recommandations afin de sécuriser leur site WordPress.
CYBERCRIMINALITÉ
Les spécialistes s’attendent à davantage d’attaques et de pénétration sur les sites WP, car passablement de gens n’ont pas fait l’update sur WP 6.0 depuis Mai 2022.
De plus, en tant qu’agence de création de site WordPress en Suisse, il est courant lors du premier contact avec les client d’entendre que c’est une petite PME. Mais petite ou grande à Lausanne, à Fribourg ou à Genève, vous ne serez pas épargné !
En effet, pour ce genre de hacking les pirates visent large et automatisent les attaques avec des robots, appelé Bots. Donc une bonne question serait : que dois-je faire pour éviter le piratage de mon site web et comment sécuriser un site WordPress ?
Nos quatre conseils de sécurité WordPress protégeront votre site en 2022
1. PROTÉGEZ VOTRE PAGE ADMINISTRATEUR
Votre page admin est la première chose à faire pour vous protéger contre les cyberattaques. Alors vous devez mieux la rendre inaccessible. Voici 4 choses impérative pour éviter de mauvaises surprises :
- Le gens ayant un site WP savent par où accéder à la page admin. C’est tout simple, il suffit de taper /wp-login.php ou /wp-admin. N’importe quel hacking bot ajoutera ce lien à la fin de votre url et vous serez vulnérable. Donc pour commencer à protéger votre site WordPress, il est nécessaire de modifier le lien de votre page administrateur. Il existe des plugins disponibles pour sécuriser son site wordpress.
- Nous vous invitons aussi à utiliser système de verrouillage de site Web, cela s’appelle un « anti-brute force » qui bloquera votre site après plusieurs tentatives de fausses combinaisons utilisateur/mot de passe. Cela protège contre les attaques forcées. Au moment où des tentatives d’accéder à votre WP avec un mot de passe incorrect à plusieurs reprises, la page admin se bloque . Vous recevrez aussi un email ou sms vous indiquant qu’une adresse IP tente d’y accéder sans autorisation. Il y a plusieurs plugins spécifiques que vous pourrez tester pour sécuriser votre site wordpress.
- Sur la page admin, une authentification à deux-facteurs est une autre mesure de sécurité complémentaire. En tant que gestionnaire du site WP, vous devez décider quels paramètres utiliser. Il peut s’agir d’un mot de passe normal avec code secret, de caractères ou alors utilisez encore un système qui envoie le fameux code secret sur votre téléphone. Cette dernière option vous garantira que seule la personne ayant le téléphone, normalement vous, pourra accéder au site.
- Vous devriez mettre à jour vos mots de passe régulièrement. Utilisez un mélange de majuscules, de minuscules, de chiffres et des caractères spéciaux. En brute force, un mot de passe assez long (10) sera quasiment impossible à pirater.
2. UTILISEZ UN HÉBERGEMENT SÉCURISÉ POUR WORDPRESS
Pour sécuriser un site sous wordpress nécessite plus que le blocage de ce dernier. Un site WP serait à protéger au niveau du serveur web. Ceci est une des responsabilités de votre hébergeur. Il devient fondamental de faire vos recherches et de trouver un hébergeur en qui vous pouvez avoir toute confiance et présent depuis de longues années comme infomaniak ou cloudways.
Au préalable, votre serveur devrait disposer d’un pare-feu au niveau du serveur, ainsi que de systèmes permettant de détecter les intrusions. Cela protégera votre site web, même pendant l’installation de WordPress et dès le développement de votre site. Une autre solution efficace est Cloudflare en version gratuite qui agit directement du trafic.
En utilisant un hébergement cloud, l’hébergeur devrait être en mesure d’assurer que le logiciel installé sur ses serveurs protège votre site WordPress tout en étant compatible avec les dernières mises à jour de WordPress.
3. UTILISEZ WP AVEC LES DERNIÈRES MISES A JOUR
Lorsqu’on désire qu’un site WP soit correctement sécurisé, il faut en assurer la maintenance donc mettre à jour les versions de WordPress.
Tout comme vous changez votre huile de moteur ou faites la tonte de votre pelouse, vous devez effectuer la maintenance de votre site WordPress. De la base noyau WordPress, en passant par vos plugins et vos thèmes tous doivent faire l’objet de mises à jour régulières.
Un rapport venant de la firme WP White Security a révélé que
« Près de 50 % des failles de WP viennent de plugins ou alors des thèmes non mis à jour ou non corrigés. Les vulnérabilités se répandent vite dans le monde de l’opensource et les personnes qui cherchent à exploiter ces failles savent par où commencer ».
source: https://www.wpwhitesecurity.com/statistics-highlight-main-source-wordpress-vulnerabilities/
D’après Malcare Security, ce nombre serait encore beaucoup plus élevé, aux environs de 80 %. Raison pour laquelle WordPress doit être actualisé très souvent. Chaque nouvelle version corrige les bugs et les failles de sécurité. WordPress identifie ses vulnérabilités et lors de chaque mise à jour, ils mentent en place des mesures de protection contre ces dernières. Sans mises à jour, votre site sera fragile face aux attaques.
Aussi, que vous aimiez ou pas les dernières trouvailles de WordPress (oui vous, chers éditeurs de Gutenberg), faire les update n’est plus optionnel, mais nécessaire pour sécuriser votre site WordPress.
4. NE PAS HÉBERGER PLUSIEURS SITES WP SUR LE MÊME SERVEUR
Imaginez que vous ayez 4 sites hébergés sur votre compte serveur. 3 de ces sites Web ont beaucoup de visiteurs, donc ils bénéficient régulièrement de mises à jour, mais il ne faut pas oublier d’actualiser le dernier pour sécuriser WordPress.
Un bot pirate peut trouver les problèmes des sites pas à jour et accéder au backend de votre serveur d’hébergement. Après, il aura la possibilité de télécharger un script permettant de prendre la main sur votre hébergement et pirater les données des fichiers qui s’y trouvent.
Ne vous inquiétez pas trop sur le fait d’avoir un hébergement partagé, il faut souligner que les bons hébergeurs Web ont de très petits regroupements de serveurs. On pense alors qu’il y a peu de sites hébergés sur chaque serveur.
Donc, quand l’un d’entre eux est attaqué, le hacking n’aura touché qu’un petit nombre de sites web… Ce qui réduit d’autant le risque que votre site WP fasse partie du lot.
Et pour terminer…
Encore quelques autres conseils que vous pouvez appliquer en 2022, pour sécuriser WordPress :
- Utilisez des thèmes WP de qualité, c’est-à-dire mise à jour par leurs créateurs. Faites vos vérifications avant de choisir un thème WordPress gratuit.
- Il ne faudrait pas prendre administrateur comme nom d’utilisateur. Malheureusement, beaucoup de webmaster de WordPress utilisent admin comme nom d’utilisateur. Il est donc facile de déchiffrer l’identifiant sur leur site Web sou WordPress.
- Désactivez l’édition et la modification de fichiers via le dashboard de bord WordPress.