Comment améliorer la sécurité de son site WordPress ?

Environ un quart des sites web du monde sont élaborés à partir de WordPress. Cela équivaut à des millions de pages web sur la toile. Du fait du remarquable succès que rencontre WordPress, le CMS n’est pas à l’abri des attaques des hackers. D’où l’intérêt de cet article qui traite des mesures à prendre pour garantir la sécurité de son blog WordPress. L’idée selon laquelle WordPress souffrirait de problèmes de sécurité est récurrente. Pourtant, il s’agit en fait d’un des système de gestion de contenus qui offre le plus de sécurité sur le marché. WordPress doit certainement cette idée reçue à sa grande popularité qui l’expose particulièrement aux méfaits des hackers. Les soins apportés à la sécurisation d’un blog ou d’un site WordPress doivent faire l’objet d’une actualisation permanente. Car les techniques des hackers sont en perpétuel renouvellement.

Renforcer la sécurité de son site WordPress

En quoi le hacking peut-il menacer la sécurité de votre blog WordPress ?

Les sites web non sécurisés ou qui le sont insuffisamment peuvent à tout moment faire l’objet d’attaques de hacking. En matière de sécurisation de sites web, la prévention est toujours meilleure que les actions curatives postérieures. Les intrusions malveillantes dans les sites web sont effectuées par des personnes dénommées hackers (ou pirates si vous préférez le terme français). Les actes malveillants perpétrés par les hackers sont souvent motivés par toute une série de raisons. Par exemple, le fait de se prouver à lui-même qu’il est capable de réaliser un grand coup, l’amusement qu’il retire de son activité de sabotage, le désir de vouloir doper la capacité de son réseau informatique, la motivation financière ou encore l’accès à des données confidentielles. Dans certains cas exceptionnels, les hackers après leur intrusion dans votre réseau informatique peuvent le signaler à l’entreprise afin que celle-ci révise son dispositif de sécurité.

Les différents types de hacking

Il existe trois types de hacking qui vont bloquer l’accessibilité de votre site. Il s’agit du hacking ciblé et manuel, le hacking réalisé par un robot et le hacking de votre hébergeur.

Parlons du hacking ciblé et manuel. Il s’agit d’une opération menée en général par une seule personne ou un groupe de personnes en direction d’un site. Dans ce cas de figure, la méthodologie du hacker peut consister à bloquer l’accès à vos données. Il peut en contrepartie de la restitution de vos données vous demander de l’argent. En général, le pirate vous demandera de régler un certain montant en bitcoins à travers un lien personnalisé. Les entreprises de taille un peu plus grande sont généralement confrontées aux deux types de hacking suivants.

Le second type de hacking est en général effectué par un robot, c’est une attaque de plus grande envergure. Dans ce cas de figure, Google vous signalera un logiciel malveillant logé au niveau de votre site que l’on appelle malware. Cette attaque va entraîner un blocage de votre site par votre hébergeur et généralement par Google.

Le dernier cas de hacking renvoie à celui de votre hébergeur touchant ainsi plusieurs sites avec une capacité de nuisance plus grande.

Quelles mesures de sécurité adopter pour protéger votre site WordPress ?

Pour protéger votre site, il est utile d’adopter un certain nombre de mesures de sécurité à différents niveaux : pendant l’installation de WordPress, au moment de mettre à jour WordPress et au niveau des extensions WordPress. Au moment de votre création de site web avec WordPress , vous devez veiller à choisir un hébergeur fiable, performant et réactif. Il faut ensuite sécuriser l’accès à votre base de données (tout comme votre FTP) à travers notamment l’adoption d’un mot de passe sécurisé.

Supprimer l’identifiant par défaut Admin

Il est également recommandé pour avoir accès à votre backoffice de remplacer l’identifiant standard « admin » par un identifiant plus personnel. C’est l’identifiant qui sera testé par défaut par les pirates pour pouvoir accéder au backoffice de votre site WordPress. Utilisez également un mot de passe utilisateur relativement complexe qui compliquera la tâche des hackers qui voudraient s’introduire sur votre site.

Mettre à jour WordPress

N’oubliez pas l’importance de mettre à jour WordPress. Dans le web, les choses évoluent très vite. On assiste quotidiennement à l’apparition de nouveaux navigateurs ainsi que de nouveaux spams et virus. WordPress fait l’objet de constantes mises à jour de la part de ses développeur. Afin de permettre au CMS de faire face aux attaques, de garder un bon fonctionnement pour les internautes et solutionner les difficultés liées aux incompatibilités de mises à jour. Si vous n’allez pas souvent sur votre site WordPress, je vous conseille de mettre en place la mise à jour automatique de WordPress. Car ne pas appliquer les mises à jour de WordPress (et notamment les mises à jour liées à la sécurité) et des plugins est la façon la plus simple de se faire pirater son site…

Utiliser un plugin de sécurité pour WordPress

Je vous recommande également d’intégrer à votre site WordPress, des plugins de sécurité pour WordPress. Ces plugins spécialisés couvrent différents champs d’action et proposent un certain nombres de mesure qui renforcent la sécurité de votre site  WordPress. Par exemple, l’ obligation de définir des mots de passe complexes, le rappel des mises à jour à faire, le blocage des tentatives d’accès à l’administration de votre site par force brute, l’optimisation du fichier .htaccess etc… C’est un peu comme avoir un antivirus (c’est indispensable, même sous Mac, il existe maintenant de très bons antivirus pour macOs)

Les stratégies d’optimisation de votre site WordPress

En termes de stratégies d’optimisation du site WordPress, deux actions sont à entreprendre : la sécurisation de l’accès à votre administration WordPress et le verrouillage des droits d’accès aux fichiers sensibles.

Changer l’url de connexion à l’administration WordPress

Pour ce qui est de l’accès à votre Administration WordPress, il faut procéder à la modification du chemin d’accès au tableau de bord du site. La plupart des extensions de sécurité pour WordPress propose cette fonctionnalité. Car par défaut, l’administration (ou backoffice) de votre site est accessible et connue de tous… Enfin, surtout des possesseurs de sites WP, des spécialistes et bien évidemment des pirates. Le chemin d’accès à l’administration ressemble à ça :

ou

Il est donc nécessaire de modifier l’url de connexion à WordPress pour limiter les risques de piratage, que cela soit avec une extension de sécurité comme iThemes Security ou une extension dédiée comme WPS Hide Login.

Au cas où le hacker réussirait à pénétrer au niveau de votre page d’identification, il faut bloquer les possibilités de connexion future. Les adresses IP intruses doivent être dans un premier temps bannies.

Restreindre l’accès aux fichiers de WordPress

La seconde stratégie d’optimisation consiste à procéder au verrouillage des droits d’accès aux fichiers sensibles du site. Il suffira de procéder au paramétrage des droits d’accès au niveau de votre FTP pour bloquer leur accès aux utilisateurs non autorisés.