Si vous êtes préoccupé par la sécurité de votre site WordPress (et vous devriez l’être !), il est important de comprendre les principales sources de vulnérabilités, et comment y remédier. Ce petit guide vous fournira les informations dont vous avez besoin pour assurer la sécurité de votre site.
Ajouter un plugin (extension) de sécurité à votre site
L’une des meilleures façons de protéger votre site WordPress contre les failles de sécurité est d’utiliser un plugin de sécurité comme Wordfence. Ce plugin offre toute une série de fonctionnalités pour assurer la sécurité de votre site, notamment l’analyse des logiciels malveillants, la protection du pare-feu et la sécurité des connexions. Il offre également une défense contre les menaces en temps réel, ce qui signifie qu’il peut bloquer les attaques dès qu’elles se produisent. Avec Wordfence, vous pouvez être sûr que votre site est protégé contre les menaces de sécurité les plus courantes. Notez tout de même que la version gratuite offre un peu moins de sécurité, ce qui est bien normal, mais c’est souvent suffisant si vous êtes par ailleurs sur un serveur de qualité !
Un noyau (WordPress), un thème et des plugins (extensions) obsolètes
L’une des vulnérabilités les plus courantes de WordPress est la présence de logiciels obsolètes. Cela inclut le noyau de WordPress (ses fichiers), les thèmes et les plugins. Lorsqu’un logiciel est obsolète, il peut contenir des failles de sécurité que les pirates peuvent exploiter pour accéder à votre site. Pour remédier à ces vulnérabilités, il faut faire les mises à jours de ces éléments de manière régulière. Vous pouvez bien entendu les faire vous même, mais il est préférable de déléguer cette tâche à un professionnel, car celui-ci sait quel les mises à jours sont à faire dans l’immédiat, et lesquelles peuvent éventuellement créer des bugs sur votre site. Pour cette raison, j’ai créé ces plans de maintenance pour mes clients
Mots de passe et noms d’utilisateur faibles
Une autre vulnérabilité courante de WordPress est la faiblesse des mots de passe et des noms d’utilisateur. De nombreux utilisateurs choisissent des mots de passe faciles à deviner ou utilisent le nom d’utilisateur par défaut «admin», ce qui permet aux pirates d’accéder facilement à leur site. Pour remédier à cette vulnérabilité, veillez à utiliser des mots de passe forts et uniques et évitez d’utiliser des noms d’utilisateur courants tels que «admin». Vous pouvez également utiliser un plugin comme Login Lockdown pour limiter le nombre de tentatives de connexion et bloquer les adresses IP qui ne parviennent pas à se connecter à plusieurs reprises, mais si vous utilisez Wordfence, ce dernier bloquera également toutes sortes de tentative de connexion à répétition (Brute Force Attack).
Par ailleurs, inutile de vous dire que si vous utilisez un même mot de passe à pleins d’endroits, vous êtes encore plus vulnérable à cause du fait qu’il y a de bonnes chances pour que votre mot de passe traine sur le Dark Web. Pour le savoir, rien de plus simple que d’aller le tester sur «Have I been Pawned?»
Enfin, si vous voulez tester un mot de passe, et voir en combien de temps il serait «cracké», testez le sur Password Monster pour voir !
Absence d’authentification à deux facteurs
L’authentification à deux facteurs est une couche de sécurité supplémentaire qui exige des utilisateurs qu’ils fournissent deux formes d’identification avant d’accéder à leur compte. Il peut s’agir de quelque chose qu’ils connaissent (comme un mot de passe) et de quelque chose qu’ils possèdent (comme un code envoyé sur leur téléphone). Sans l’authentification à deux facteurs, les pirates peuvent facilement accéder à votre site WordPress en devinant ou en volant votre mot de passe. Pour corriger cette vulnérabilité, activez l’authentification à deux facteurs sur votre site WordPress à l’aide d’un plugin comme Google Authenticator, Duo Two-Factor Authentication, ou encore Wordfence, qui fait aussi ça !
Environnement d’hébergement et de serveur non suffisamment sécurisé
L’une des failles de sécurité les plus courantes de WordPress, c’est de l’héberger sur un serveur qui n’est pas suffisamment sécurisé. Et d’autant plus si votre site est sur un serveur partagé, ce qui est le cas de la majorité des PME et des travailleurs autonomes. Si votre hébergeur ne sécurise pas correctement ses serveurs, votre site web peut être vulnérable aux attaques. Alors pour remédier à cette vulnérabilité, il est essentiel de choisir un hébergeur réputé qui propose des mesures de sécurité telles que des pare-feux, la recherche de logiciels malveillants et des sauvegardes régulières. Pour ma part, je travaille essentiellement avec Siteground, qui m’offre une belle tranquillité quant à la sécurité de mes installations WordPress.
Conclusion
De la même manière que vous ne stationnez pas votre voiture en laissant les portes grandes ouvertes, vous devez sécuriser votre site web, sans vous fier totalement à votre hébergeur. Avec de bons mots de passe pour les comptes d’usagers et d’administrateurs, une maintenance régulière de votre site, des sauvegardes automatisées versées dans le «cloud», et un bon mur par-feu, vous pourrez dormir en paix !
