WordPress demeure à ce jour le CMS le plus utilisé au monde. Il est donc naturel qu’il fasse l’objet d’attaques de la part des pirates informatiques. Parmi les types de vulnérabilités rencontrées, nous pouvons citer les redirections malveillantes, les backdoors, les dénis de service ou encore les Pharma Hacks. Le fait d’utiliser une ancienne version WordPress, de mal gérer les identifiants, de méconnaître les règles de sécurité élémentaires sur internet ou d’user de plugins nulled sont autant de pratiques qui laissent le champ libre aux hackers pour commettre leurs méfaits. Par ailleurs, il faut noter qu’il n’y a pas de risque zéro. Les techniques mises en œuvre pour renforcer la sécurité d’un site WordPress visent par conséquent à réduire les risques existants et non à les supprimer.
Les 6 astuces pour sécuriser votre site WordPress
Mettez régulièrement à jour WordPress et vos plugins
Pour améliorer la sécurité de votre WordPress, il est impératif de procéder aux mises à jour dès que vous recevez un message. Il est évident que WordPress ne cessera pas d’être la cible des pirates. Cependant, étant donné que ce CMS effectue des mises à jour chaque fois que des failles sécuritaires sont décelées, vous êtes tenu de les implémenter le plus rapidement possible.
Certaines de ces mises à jour peuvent se faire de façon instantanée, mais cela ne doit pas vous pousser à négliger les notifications qui apparaissent sur votre tableau de bord. De telles mises à jour ont une réelle importance dans la mesure où il ne s’agit pas seulement d’ajouter des fonctionnalités. En effet, la majorité d’entre elles ont pour rôle de résoudre des bugs ou de corriger des dysfonctionnements en liaison avec le volet sécuritaire. À ce titre, si vous constatez que certains thèmes ou extensions ne sont pas compatibles avec la dernière version de WordPress, renoncez à les installer ou remplacez-les. Si vous ne le faites pas, vous risquez de subir des attaques.
Protégez votre page de connexion
Habituellement, la page de connexion est l’une des cibles les plus récurrentes des attaques malveillantes. Les hackers effectuent des tests automatiques en faisant toutes les combinaisons de mots de passe imaginables dans le but de trouver celui-ci. C’est la raison pour laquelle est il est nécessaire d’opter pour des mots de passe dont la composition est assez complexe.
Pour éviter que de telles tentatives aboutissent, vous êtes en mesure d’interdire l’accès à wp-login.php ou restreindre le nombre d’essais visant à établir une connexion. Ainsi, si quelqu’un essaye de pénétrer sur votre espace d’administration, ses manœuvres seront vouées à l’échec. Il vous suffit par exemple de télécharger l’extension Login Lockdown de WordPress.
N’utilisez pas le nom d’utilisateur admin par défaut
C’est le nom d’utilisateur qui a longtemps était attribué par défaut par le CMS WordPress. Par conséquent, les hackers en font une cible privilégiée. Depuis un petit moment, il vous est possible de le modifier en configurant un nom d’utilisateur différent. Par contre, si vous possédez un site web depuis pas mal de temps, vous avez probablement dû installer la version WordPress qui contenait l’ancienne option. Dans ce cas, il vous faudra supprimer le compte « admin » et le remplacer par un nouveau avec un nom différent.
Choisissez des mots de passe complexes
Cela fait partie des mesures de sécurité basiques qui permettent de renforcer la sécurité d’un site WordPress, mais qui sont souvent oubliées. Il vous faut proscrire tous les mots de passe trop populaires comme « 123456 », « azerty », « qwerty » ou encore « password ». Composez des mots de passe complexes qui contiennent des minuscules, des majuscules, des caractères spéciaux et des chiffres. C’est l’idéal.
Vos mots de passe doivent être variés pour les différents services que vous utilisez, mais ne les oubliez pas pour autant ! Modifiez-les régulièrement et évitez également de mettre des mots de passes type « votre date de votre naissance ». Si d’autres personnes ont accès à votre tableau de bord, notamment vos collaborateurs, assurez-vous qu’ils utilisent des mots de passe avec le même niveau de sécurité.
Mettez en place une authentification à deux facteurs
Peu importe le niveau de sécurité de votre mot de passe, il est toujours probable que quelqu’un le découvre. C’est la raison pour laquelle il est nécessaire de privilégier l’identification en deux étapes. Le principe est simple : pour vous connecter, vous devrez non seulement indiquer votre mot de passe, mais également effectuer une seconde opération. Pour cette dernière, il peut s’agir d’un sms, d’un appel téléphonique ou bien d’un mot de passe unique et limité dans le temps.
Le plus souvent, cette méthode se révèle très efficace pour faire face à une attaque de type force brute. Son efficacité réside dans le fait qu’il est quasiment impossible que le pirate connaisse en même temps votre mot de passe et ait accès à votre téléphone par exemple.
Supprimez les plugins non utilisés
Vous devez être très prudents lorsqu’il s’agit d’installer des extensions (plugins). Je vous conseille d’ailleurs fortement de supprimer celles que vous n’utilisez plus. Premièrement, elles risquent à mettre à mal les performances de votre site. Il faut également savoir que les extensions dont la qualité laisse à désirer peuvent détenir des « bouts de codes » au travers desquels d’autres codes ou requêtes SQL peuvent être diffusés. Le risque encouru est relativement important et un site web peut subir des dommages irréversibles.
Les hackers peuvent également exploiter les failles de certains plugins pour attaquer votre site internet. Par conséquent, je vous recommande de réduire le nombre d’extensions que vous installez.
J’espère que ces quelques recommandations vous seront utiles pour renforcer la sécurité de votre site WordPress. N’hésitez pas à consulter les autres articles relatifs à l’univers WordPress !