Partager l'article
  •  
  •  
  •  
  •  
5 min

Comment sécuriser son site web sous WordPress ?

WordPress est le CMS le plus utilisé dans le monde, il équipe plus de 35% des sites du World Wide Web ! Le revers de la médaille est qu’il s’agit de l’outil le plus ciblé par les cyberattaques. Il faut donc sécuriser son site afin d’éviter au maximum ces attaques.

Sécuriser WordPress Expertinbox

Cet article fait suite à celui j’ai publié sur la nécessité de mettre à jour son site WordPress, nous verrons ici les actions complémentaires à réaliser.

Côté serveur

Les attaques peuvent être orchestrées à 2 endroits, soit au niveau du serveur qui héberge votre site, soit côté client, c’est à dire directement au niveau des sources et de la base de données de votre site.
Je ne vais pas détailler par ici les actions à réaliser côté serveur car je n’ai pas les compétences pour vous les expliquer, en effet chez Expertinbox nous travaillons avec un expert en administration système pour l’hébergement de nos projets.
Cependant, il est primordial que l’hébergement de votre site soit choisi avec minutie, voici quelques critères importants à prendre en compte :

  • Une version de PHP à jour
  • Un accès à vos logs (journal des évènements)
  • Un support technique efficace

L’idéal est d’avoir un administrateur système qui configure votre espace avec les bons droits sur les fichiers et dossiers, installe un certificat SSL et des outils de surveillance et mette à jour régulièrement le serveur.

Côté client

Mettre à jour WordPress et les extensions

Au risque de me répéter, comme je l’ai expliqué ici, la première chose à faire est de mettre régulièrement à jour WordPress, les extensions et le thème 😊

Renforcer la sécurité grâce à une extension

Si vous n’êtes pas un expert en développement ou en sécurité informatique, le plus simple est d’utiliser un plugin afin de renforcer la sécurité de votre site internet. Il en existe des dizaines, chez Expertinbox nous avons l’habitude d’utiliser Cerber Security ou iThemes Security. Je vais détailler ici une configuration avec iThemes Security, cette configuration est réalisable avec une autre extension ou même sans plugin.
Une fois l’extension installée, vous devez avoir un tableau de bord comme celui-ci :
Tableau de bord Itheme Security
Voici les étapes pour bien configurer ce plugin :

  1. Lors du premier lancement de l’extension, une popup Security check apparaît, cliquer sur « Secure site », vous pouvez retrouver cette fonctionnalité ici contrôle de sécurité > afficher les détails > secure site : cela permet de mettre en place les réglages généraux.
  2. Si vous n’avez pas d’administrateur système et pas de compétence au niveau serveur, je vous conseille de planifier des sauvegardes de votre base de données : sauvegarde de la base de données > configurer les réglages > cocher « sauvegarde de l’ensemble de la base de données » puis sélectionner « sauvegarde en local seulement » et « restreindre à 10 sauvegardes » avec des intervalles de sauvegarde de 3 jours > enregistrer les réglages.
  3. Détection d’altération de fichiers > activer.
  4. Ajustements système > activer > sélectionner « Protéger les fichiers système », puis  » Retirer les permissions d’écriture sur les fichiers », « Désactiver PHP dans le répertoire Uploads », « Désactiver PHP dans les extensions », « Désactiver PHP dans les thèmes » > enregistrer les réglages.
  5. Pour éviter que les robots bombardent l’administration par défaut de WordPress, il va falloir changer son adresse : Avancés > Déplacer l’administration > Cocher « Activer la fonctionnalité déplacer l’administration » puis entrer un slug de connexion autre que wp-admin qui est celui par défaut pour accéder à l’espace d’administration > cochez « activer la redirection » > Enregistrez les réglages.

Avoir du bon sens

Même si vous avez scrupuleusement suivi les étapes précédentes, il faut cependant veiller à ce que les administrateurs de votre site n’utilisent pas d’identifiant / mot de passe trop simple, comme par exemple admin / admin 🤔

En effet les attaques vont d’abord cibler ce genre de combinaisons. Je vous conseille aussi d’éviter d’utiliser en nom d’utilisateur « admin » qui était à un moment le nom d’utilisateur par défaut sur WordPress. Si jamais c’est le cas vous pouvez le changer grâce à iThemes Security : avancés > utilisateur admin > configurer les réglages > change l’ID de l’utilisateur n°1 (pensez à faire une sauvegarde de votre base de données avant).

Le mot de la fin

Sécuriser son site internet n’est pas une chose aisée et nécessite une attention quotidienne particulière. Cependant je vous conseille vivement d’entreprendre ces démarches pour limiter tout problème qui peut avoir de lourdes conséquences. Chez Expertinbox, nous gérons la sécurité de plusieurs dizaines de sites, n’hésitez pas à nous confier le vôtre 😉

#WordPress #WebSiteSecurity #hébergement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *