L’essentiel à retenir ℹ️
La sécurité de WordPress repose sur quelques bonnes pratiques : supprimer le compte admin par défaut, maintenir WordPress et ses plugins à jour, installer une extension de sécurité, modifier l’URL de connexion et restreindre les droits d’accès aux fichiers sensibles. Ces mesures simples protègent votre site contre la majorité des attaques.
En quoi le hacking peut-il menacer la sécurité de votre blog WordPress ?
Les sites web non sécurisés ou qui le sont insuffisamment peuvent à tout moment faire l’objet d’attaques de hacking. En matière de sécurisation de sites web, la prévention est toujours meilleure que les actions curatives postérieures. Les intrusions malveillantes dans les sites web sont effectuées par des personnes dénommées hackers (ou pirates si vous préférez le terme français). Les actes malveillants perpétrés par les hackers sont souvent motivés par toute une série de raisons. Par exemple, le fait de se prouver à lui-même qu’il est capable de réaliser un grand coup, l’amusement qu’il retire de son activité de sabotage, le désir de vouloir doper la capacité de son réseau informatique, la motivation financière ou encore l’accès à des données confidentielles. Dans certains cas exceptionnels, les hackers après leur intrusion dans votre réseau informatique peuvent le signaler à l’entreprise afin que celle-ci révise son dispositif de sécurité.Les différents types de hacking
Il existe trois types de hacking qui vont bloquer l’accessibilité de votre site. Il s’agit du hacking ciblé et manuel, le hacking réalisé par un robot et le hacking de votre hébergeur. Parlons du hacking ciblé et manuel. Il s’agit d’une opération menée en général par une seule personne ou un groupe de personnes en direction d’un site. Dans ce cas de figure, la méthodologie du hacker peut consister à bloquer l’accès à vos données. Il peut en contrepartie de la restitution de vos données vous demander de l’argent. En général, le pirate vous demandera de régler un certain montant en bitcoins à travers un lien personnalisé. Les entreprises de taille un peu plus grande sont généralement confrontées aux deux types de hacking suivants. Le second type de hacking est en général effectué par un robot, c’est une attaque de plus grande envergure. Dans ce cas de figure, Google vous signalera un logiciel malveillant logé au niveau de votre site que l’on appelle malware. Cette attaque va entraîner un blocage de votre site par votre hébergeur et généralement par Google. Le troisième cas concerne le piratage de votre hébergeur, ce qui touche plusieurs sites simultanément avec un impact bien plus large.Quelles mesures de sécurité adopter pour protéger votre site WordPress ?
Pour protéger votre site, il est utile d’adopter un certain nombre de mesures de sécurité à différents niveaux : pendant l’installation de WordPress, au moment de mettre à jour WordPress et au niveau des extensions WordPress. Au moment de votre création de site web avec WordPress , vous devez veiller à choisir un hébergeur fiable, performant et réactif. Il faut ensuite sécuriser l’accès à votre base de données (tout comme votre FTP) à travers notamment l’adoption d’un mot de passe sécurisé.Supprimer l’identifiant par défaut Admin
Il est également recommandé pour avoir accès à votre backoffice de remplacer l’identifiant standard « admin » par un identifiant plus personnel. C’est l’identifiant qui sera testé par défaut par les pirates pour pouvoir accéder au backoffice de votre site WordPress. Utilisez également un mot de passe utilisateur relativement complexe qui compliquera la tâche des hackers qui voudraient s’introduire sur votre site.Mettre à jour WordPress
N’oubliez pas l’importance de mettre à jour WordPress. Dans le web, les choses évoluent très vite. On assiste quotidiennement à l’apparition de nouveaux navigateurs ainsi que de nouveaux spams et virus. WordPress fait l’objet de constantes mises à jour de la part de ses développeur. Afin de permettre au CMS de faire face aux attaques, de garder un bon fonctionnement pour les internautes et solutionner les difficultés liées aux incompatibilités de mises à jour. Si vous n’allez pas souvent sur votre site WordPress, je vous conseille de mettre en place la mise à jour automatique de WordPress. Car ne pas appliquer les mises à jour de WordPress (et notamment les mises à jour liées à la sécurité) et des plugins est la façon la plus simple de se faire pirater son site…Utiliser un plugin de sécurité pour WordPress
Je vous recommande également d’intégrer à votre site WordPress, des plugins de sécurité pour WordPress. Ces plugins spécialisés couvrent différents champs d’action et proposent un certain nombres de mesure qui renforcent la sécurité de votre site WordPress. Par exemple, l’ obligation de définir des mots de passe complexes, le rappel des mises à jour à faire, le blocage des tentatives d’accès à l’administration de votre site par force brute, l’optimisation du fichier .htaccess etc… C’est un peu comme avoir un antivirus (c’est indispensable, même sous Mac, il existe maintenant de très bons antivirus pour macOs)Les stratégies d’optimisation de votre site WordPress
En termes de stratégies d’optimisation du site WordPress, deux actions sont à entreprendre : la sécurisation de l’accès à votre administration WordPress et le verrouillage des droits d’accès aux fichiers sensibles.Changer l’url de connexion à l’administration WordPress
Pour ce qui est de l’accès à votre Administration WordPress, il faut procéder à la modification du chemin d’accès au tableau de bord du site. La plupart des extensions de sécurité pour WordPress propose cette fonctionnalité. Car par défaut, l’administration (ou backoffice) de votre site est accessible et connue de tous… Enfin, surtout des possesseurs de sites WP, des spécialistes et bien évidemment des pirates. Vous pouvez modifier l’URL de connexion à WordPress avec une extension de sécurité comme iThemes Security ou une extension dédiée comme WPS Hide Login. Au cas où le hacker réussirait à pénétrer au niveau de votre page d’identification, il faut bloquer les possibilités de connexion future. Les adresses IP intruses doivent être dans un premier temps bannies.Restreindre l’accès aux fichiers de WordPress
La seconde stratégie d’optimisation consiste à procéder au verrouillage des droits d’accès aux fichiers sensibles du site. Il suffira de procéder au paramétrage des droits d’accès au niveau de votre FTP pour bloquer leur accès aux utilisateurs non autorisés.Foire aux questions
Quelles sont les premières mesures de sécurité à prendre sur WordPress ?
Commencez par supprimer le compte « admin » par défaut, choisir un mot de passe complexe, installer un plugin de sécurité et maintenir WordPress ainsi que ses extensions à jour. Ces actions simples bloquent la majorité des attaques automatisées.
WordPress est-il un CMS sécurisé ?
Oui, WordPress est l’un des CMS les plus sécurisés du marché. Les failles sont corrigées rapidement par son équipe de développeurs. Les problèmes de sécurité proviennent le plus souvent de plugins obsolètes, de mots de passe faibles ou d’un manque de mises à jour.
Quel plugin de sécurité choisir pour WordPress ?
Les plugins les plus utilisés sont iThemes Security, Wordfence et Sucuri Security. Ils proposent le blocage des tentatives de connexion par force brute, la modification de l’URL de connexion et la surveillance des fichiers modifiés. Le choix dépend de vos besoins et de votre budget.
Comment savoir si mon site WordPress a été piraté ?
Plusieurs signes alertent : redirections vers des sites suspects, pages modifiées sans votre intervention, alertes de Google Search Console, ralentissement du site ou apparition de fichiers inconnus sur votre serveur. Un plugin de sécurité surveille ces anomalies en continu.
Faut-il changer l’URL de connexion à WordPress ?
Oui, modifier l’URL par défaut (/wp-admin ou /wp-login.php) réduit les attaques par force brute. Les robots ciblent en priorité ces adresses connues. Des extensions comme WPS Hide Login permettent de changer cette URL en quelques clics.
À quelle fréquence faut-il mettre à jour WordPress et ses plugins ?
Appliquez les mises à jour de sécurité dès leur disponibilité. Pour les mises à jour mineures et les corrections de bugs, une vérification hebdomadaire suffit. Vous pouvez aussi activer les mises à jour automatiques pour ne rien manquer.
