Comment sécuriser un site WordPress ?

Il est loin le temps où WordPress n'était qu'un simple moteur de blogs, qu'on ne jugeait pas forcément très professionnel. Aujourd'hui, c'est le CMS le plus déployé au monde. Si l'on fait les choses bien, WordPress permet de créer des sites internet très professionnels, performants et sécurisés. La preuve ? Le site de la Maison Blanche est développé sur WordPress. 

Alors, comment bien sécuriser un site WordPress ? Chez Concept Image, nous offrons des solutions WordPress 100% personnalisées, et nous savons à quel point la sécurité peut être une préoccupation, surtout pour les responsables marketing, communication, et les DSI. Voici nos recommandations pour sécuriser efficacement votre site WordPress.

Choisissez un hébergement sécurisé

Le choix de l'hébergeur est la première ligne de défense. Optez pour un hébergeur spécialisé dans WordPress qui offre des mesures de sécurité robustes, telles que des pare-feu, une surveillance 24/7, des sauvegardes régulières et une protection contre les attaques DDoS. C'est le cas de l'hébergement professionnel que nous proposons à nos clients, sur serveur mutualisé ou sur VM dédiée (VM : Virtual Machine), en France. 

Utilisez des identifiants forts

Les identifiants faibles sont une porte d'entrée facile pour les attaquants. Utilisez des mots de passe complexes, comprenant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Oui, on sait... c'est pénible. Surtout que l'on vous invite à changer régulièrement vos mots de passe et ne pas réutiliser les anciens. 

• Pour générer des mots de passe forts, vous pouvez utiliser la solution gratuite Dashlane
• Pour stocker vos mots de passe, on laisse tomber les post-its et les fichiers Excel en local. Optez pour un gestionnaire de mots de passe comme LastPass, Dashlane ou Bitwarden
• Et bien sûr, ne communiquez jamais un mot de passe en clair 😱 Vous pouvez envoyer un mot de passe de façon sécurisée et gratuitement grâce à One Time Secret

Mettez à jour régulièrement

Les mises à jour de WordPress, des thèmes et des plugins corrigent souvent des failles de sécurité. Assurez-vous de maintenir votre site à jour pour bénéficier des dernières améliorations. Vous pouvez aussi utilisez un outil comme ManageWP ou Solid Suite pour savoir si les plugins, le thème ou le core de Wordpress de votre site possèdent une faille de sécurité déclaré pour ainsi pouvoir réagir rapidement et mettre à jour avant qu'elle ne soit exploitée. Chez Concept Image, nous utilisons un de ces outils, pour réagir au plus vite et via un forfait de maintenance préventive, nous procédons donc à des mises à jour de sécurité tout au long de l'année.

Il est aussi très important de maintenir à jour la partie serveur, cela sera généralement pris en charge par votre hébergeur pour les montées de version mineur, mais il ne faut pas s'arrêter là. Par exemple les version de PHP ne reçoivent plus de mise à jour de sécurité au bout de 4 ans, il faut donc penser aussi à faire un passage de version de PHP majeur de temps en temps. (pour suivre le support des version de php)

Limitez les tentatives de connexion

Les attaques par force brute visent à deviner vos identifiants de connexion. Utilisez des plugins comme Solid Security pour restreindre le nombre de tentatives de connexion échouées et bloquer temporairement ou définitivement les adresses IP suspectes.

Implémentez l’authentification à deux facteurs (2FA)

La 2FA ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme d'identification, comme un code envoyé sur votre téléphone. On sait, d'un point de vue utilisateur, c'est souvent pénible... Mais pour la sécurité, c'est le top. De nombreux plugins comme Solid security ou WP 2FA permettent d'implémenter ça facilement, soit avec un système de mail ou via une application d'authentification comme Google Authenticator, on vous conseille la seconde solution qui est un peu plus sécurisé. Et une fois qu'on a pris le pli (ou quand on a vécu une attaque cyber), on s'y fait ! 

Utilisez des plugins de sécurité

Des plugins comme Solid Security offrent une gamme complète de fonctionnalités de sécurité, y compris la surveillance des fichiers, les scans de logiciels malveillants, et les notifications en cas d'activité suspecte.

Changez l'URL de connexion

La page de connexion par défaut de WordPress est facile à trouver. Chez Concept Image, nous changeons l'URL de connexion à l'interface d'administration pour compliquer la tâche des attaquants.

Sauvegardez régulièrement votre site

Des sauvegardes régulières vous permettent de restaurer rapidement votre site en cas d'attaque ou de panne. A l'agence, tous les sites que nous hébergeons sont sauvegardés quotidiennement, sur 14 jours glissants. 

Restreignez les permissions utilisateur

Limitez les permissions des utilisateurs au strict nécessaire. Donnez des rôles spécifiques avec des capacités limitées et surveillez les activités des utilisateurs ayant des accès privilégiés.

Sécurisez votre base de données

Changez le préfixe par défaut des tables de la base de données WordPress pour rendre plus difficile les attaques visant la BDD. Utilisez également des mots de passe forts pour l'accès à la base de données et configurez les permissions pour limiter l'accès.

Contactez Concept Image pour sécuriser votre WordPress

La sécurité de votre site WordPress ne doit pas être prise à la légère. En suivant ces bonnes pratiques, vous pouvez grandement réduire les risques et protéger votre site contre les menaces potentielles. A l'agence, nous sommes experts en WordPress sur mesure et nous nous engageons à créer des sites non seulement performants, mais aussi les plus sécurisés possibles. Contactez nous pour discuter de votre projet et découvrir comment nous pouvons sécuriser votre site WordPress de manière optimale.