Créer son site avec WordPress est une excellente option. C’est le CMS n°1 du marché car il est intuitif, performant et permet d’accéder à un grand nombre de ressources gratuites.
Si vous souhaitez créer un site internet avec WordPress sécurisé, vous entendrez parfois dire qu’il est difficile de conserver un bon niveau de sécurité.
Cependant, il existe un certain nombre de règles à suivre afin de sécuriser son site WordPress. Chez Sitizi, nous veillons à respecter chacune des règles suivantes avant la livraison des sites de nos clients.
Sécuriser son site WordPress peut être fait en suivant les 10 étapes de ce guide. N’hésitez pas à nous contacter si vous avez besoin d’aide !
Les mots de passe volés sont la cause de la plupart des piratages de sites WordPress.
Vous pouvez rendre cela plus difficile en utilisant un mot de passe fort et unique pour votre site Web. Utilisez également un mot de passe fort et si possible différent pour votre compte FTP, votre base de données ainsi que pour votre compte d’hébergement.
De nombreux débutants n’aiment pas utiliser des mots de passe forts car ils sont difficiles à retenir. Nous vous conseillons alors d’utiliser un gestionnaire de mots de passe tels que Dashlane afin de gérer tous vos mots de passe à un seul endroit sécurisé.
Afin de sécuriser votre site WordPress, nous vous conseillons également de ne pas accorder l’accès à votre compte d’administrateur WordPress, sauf en cas d’absolue nécessité. Si vous avez une grande équipe ou des auteurs invités, avant d’ajouter de nouveaux comptes d’utilisateurs et auteurs à votre site WordPress, assurez-vous de bien comprendre les rôles et les fonctions des utilisateurs dans votre back-office WordPress.
WordPress est régulièrement entretenu et mis à jour afin de corriger les failles de sécurité connues par la communauté. Par défaut, des mises à jour automatiques ont lieu pour les corrections mineurs. Vous pouvez lancer les mises à jour manuellement pour les corrections majeures.
Si vous créez votre site dans les règles de l’art, la mise à jour de WordPress ne devrait entraîner aucune régression sur votre site. Vous pouvez tout de même réaliser des sauvegardes en amont grâce à des plugins. Le back-office de certains hébergeurs le permettent également afin de vous assurer une mise à jour en toute tranquillité.
Pour mettre à jour vos extensions (ou plugins), rendez-vous dans l’onglet « extensions » de votre back-office et sélectionnez les extensions à mettre à jour.
Nous recommandons fortement d’activer la mise à jour automatique des plugins n’ayant pas d’impact sur l’affichage de votre site. Cela ne comportera aucun risque pour le rendu de vos pages.
Pour les autres plugins, nous vous conseillons de faire les mises à jour une par une. Cela permettra d’identifier facilement l’extension responsable en cas de casse.
D’abord, il est essentiel d’utiliser un thème enfant. Les thèmes enfant de WordPress dépendent d’un thème parent. Les thèmes enfants empruntent toutes les fonctionnalités et l’apparence de leur thème parent. Ils peuvent les modifier sans toucher au code du thème parent vous permettant ainsi de mettre à jour votre thème sans modifier les fichiers CSS propres à votre site.
La base de données sert à stocker le contenu de votre site WordPress.
N’oubliez pas de faire des sauvegardes régulières de cette base de données physiquement, soit sur votre ordinateur, soit sur un disque dur externe.
En cas de piratage ou de faille de sécurité, vous pouvez restaurer la dernière version enregistrée de votre site Web. Les experts Web recommandent de faire des sauvegardes hebdomadaires et de les stocker chaque semaine dans l’ancien dossier.
Beaucoup de débutants négligent la sauvegarde manuelle car c’est une tâche chronophage. WordPress permet de sauvegarder automatiquement des fichiers de pages ou leurs éléments graphiques (templates, add-ons, etc.) à l’aide de certaines extensions telles que UpdraftPlus ou BackWPup.
Par défaut, l’URL de votre back-office WordPress se située à : « nom-du-site.com/wp-admin ».
Si un hacker devait pirater le contenu de votre site WordPress, il lui suffirait de taper cette adresse pou naviguer facilement vers le contenu qui l’intéresse.
Pour éviter cela, vous pouvez modifier cette URL par défaut en vous rendant dans un fichier appelé « .htaccess » ou utiliser un plugin spécifique tel que : “Change wp-admin login“.
De même, la connexion à l’administration de WordPress se fait via un nom d’utilisateur standard appelé » admin « . Ce dernier est également très utilisé pour tenter de pirater les sites WordPress.
Au lieu de » admin « , nous vous recommandons de créer un identifiant personnel facile à retenir et impossible à deviner pour les personnes extérieures.
Si toute votre équipe a accès au même site WordPress, vous pouvez par exemple, utiliser le prénom de chaque membre de l’équipe. Dans ce cas, la meilleure chose à faire est de supprimer le compte « admin ».
Cette méthode permet d’ajouter un double niveau de sécurité à la connexion à l’administration de votre site WordPress.
Le premier niveau de sécurité provient des processus normaux. L’utilisateur saisit un nom d’utilisateur et un mot de passe. Le deuxième niveau prend ensuite le relais en passant un appel ou en envoyant un SMS.
Étant donné que la deuxième étape de connexion utilise un appareil différent, il n’y a aucune possibilité qu’un logiciel malveillant accède à cet appareil.
La façon la plus simple de tirer parti de l’authentification à deux facteurs est de télécharger un plugin WordPress tel que Google Authenticator ou Two Factor Authentication.
Par défaut, WordPress permet à quiconque d’accéder au dossier de votre site Web.
Le blocage de l’accès est fortement recommandé pour se protéger contre les attaques externes.
Les conditions d’accès aux dossiers peuvent être modifiées dans le fichier .htaccess. Les propriétaires de sites WordPress peu familiarisés avec le code peuvent facilement faire de même avec l’extension Hide My WordPress.
Même si vous faites tout votre possible pour sécuriser votre site WordPress, il arrive parfois que l’hébergeur soit la cause d’une faille de sécurité. Pour éviter cette situation, ne négligez pas l’étape du choix de votre hébergeur WordPress.
Pour sécuriser votre site WordPress, vous devez disposer d’un pare-feu et d’un antivirus intégrés.
Si votre site Web dispose d’un certificat SSL, vous pouvez activer le protocole HTTPS. Cette autorisation permet à un petit cadenas d’apparaître à gauche de l’adresse web.
Il garantit que la connexion entre votre navigateur et le serveur Web est sécurisée.
La possession de ce certificat est également rassurante pour les internautes. Cela garantit que les données personnelles sont transmises sous forme cryptée.
Vous avez créé votre site avec WordPress mais n’avez pas le temps ou les compétences techniques pour le maintenir ?
Sitizi réalise un audit de sécurité sur votre site et prend en charge la maintenance.
Contactez-nous par mail à contact@sitizi.fr ou par téléphone au 07 82 02 53 42 😉
