WordPress : Sécuriser son site sans compétence technique !

DOCUMENTATION GRATUITE

* Informations requises pour être recontacté.e
Informatique et libertés
Contactez-nous 01.46.00.67.78
Rappel gratuit
> Blog > WordPress : Sécuriser son site sans compétence technique !

Pour un utilisateur lambda, il n’est pas toujours évident de comprendre les tenants et les aboutissants de la sécurité de son site internet, d’autant qu’il s’agit généralement d’une problématique qui touche à des aspects techniques. Après la faille “Heartbleed” signalée au printemps 2014, c’est un plugin WordPress utilisé par plus de 1,7 millions de sites qui vient remettre le sujet de la sécurité sur le tapis. Vous êtes concerné ou vous avez un site WordPress ? Cet article devrait vous intéresser !

Nous allons aborder quelques-unes des meilleurs pratiques à mettre en place pour protéger son site WordPress et pour comprendre les points de vulnérabilités les plus importants… Mais attention, pas sous un angle technique ! Cet article s’adresse à tout type d’utilisateur, même si vous êtes totalement novice dans le domaine !

Pourquoi WordPress est l’un des CMS les plus vulnérables aux attaques informatiques ?

Dans le monde du Web, différents logiciels, appelés également CMS (Content Management System), permettent de construire des sites Web à partir d’une structure commune. On peut ainsi citer WordPress, mais également Joomla, Drupal, ou Prestashop, pour ne parler que des plus connus. Selon une étude réalisée par le cabinet W3Techs en Juin 2014, WordPress possède près de 60% des parts de marché de tous les CMS dans le monde, loin devant Joomla, qui arrive 2ème avec… 8,2% du marché. cms-joomla-wordpress-drupal-300x244

C’est dire l’hégémonie de cet outil. Il est donc normal, et logique, que WordPress soit également le CMS le plus souvent visé par des attaques informatiques. Et pourtant, selon une enquête réalisée par le cabinet d’analystes EnableSecurity en 2013, 73% des 40 000 sites Web les plus connus, développés avec WordPress, seraient vulnérables aux attaques informatiques. C’est la raison pour laquelle tout propriétaire de site WordPress se doit de prendre des mesures bien spécifiques pour se protéger.

Les plus importantes mesures de protection… la mise à jour et la sauvegarde !

C’est le premier conseil donné à tout propriétaire de site WordPress : Mettre votre site à jour ! Grâce à la simplicité de cet outil, un simple clic permet de mettre à jour le CMS et ses différents plugins, alors pourquoi s’en priver ! Sachant que nombre de ces mises à jours sont là pour corriger des failles de sécurité. Attention tout de même, il arrive parfois qu’une mise à jour provoque un dysfonctionnement du site. L’idéal est d’attendre un ou deux jours, que ces erreurs aient été éprouvées par les autres utilisateurs, avant de lancer soi-même la mise à jour, ou de disposer d’un webmaster sous la main en cas de problème.

L’autre mesure principale de sécurité à mettre en place, même si cela semble être une mesure désespérée, c’est la sauvegarde complète et régulière du site ! On pense souvent que les prestataires techniques chargés de l’hébergement du site, comme OVH ou 1&1, pour ne citer que les hébergements grands publics les plus connus, se doivent de réaliser cette sauvegarde et de la mettre à disposition du client. Pourtant, cela n’est pas exact. Si le prestataire donne au client les moyens de paramétrer des sauvegardes, il ne se charge généralement pas de la mise en place. De plus, ces sauvegardes, bien souvent hébergées au même endroit que les sites Web, peuvent se révéler tout aussi vulnérables en cas d’attaque ou de panne.

La bonne pratique ? Installer ou faire installer sur son site un plugin de sauvegarde automatique, tel que Updraftplus. Avec ce plugin, il est possible de planifier une fréquence de sauvegarde, et d’exporter les fichiers de sauvegarde sur son propre ordinateur, mais aussi, pour plus de sécurité, sur des espaces de stockage en ligne, comme Dropbox ou Google Drive.

WordPress, attention aux réglages de base !

Sur WordPress, les réglages de base peuvent être de véritables opportunités pour les pirates. Qu’appelle-t-on “réglage de base” ? Par défaut, l’utilisateur administrateur WordPress s’appelle “admin”, à moins que la personne chargée de l’installation de votre site ne décide de le modifier. Le problème, c’est que la majorité des sites WordPress utilisent cet identifiant, cela fait déjà une information utile pour les pirates qui n’ont plus qu’à tester des milliers de mots de passe, jusqu’à trouver le vôtre !

C’est ce que l’on appelle des attaques “de force brute”. D’autres réglages de base sont à changer ou à faire modifier sur votre site. Par exemple, le nom de votre base de données, qui comporte habituellement le préfixe “wp”, ou encore, l’adresse de la page de connexion à l’espace d’administration, qui est www.votresite.com/wp-admin/. Mais pour corriger tous ces défauts, il n’est pas forcément nécessaire de s’y connaître en technique ou de faire appel à un Webmaster ! En effet, des plugins gèrent cela très bien, et de façon très simple, comme par exemple All in One WP Security, un plugin qui vous accompagne pas à pas dans toutes ces étapes de la sécurisation de votre site. Wordpress

WordPress… même l’hébergeur, ça compte !

Faire des sauvegardes et sécuriser son site est important, mais parfois, cela ne suffit pas… C’est pour cela que le choix de l’hébergeur est également important pour la sécurité de son site WordPress. Selon une étude réalisée en 2013 par la société américaine WP White Security, 41% des piratages de sites WordPress seraient dus à des vulnérabilités de leur hébergeur. Alors comment bien choisir son hébergeur ?

La question est plus compliquée qu’il n’y parait. Il convient de choisir un hébergeur réputé et dynamique, un hébergeur dont les serveurs utilisent la dernière version de PHP et MySql (demandez conseil à votre Webmaster) et un hébergeur qui semble proposer des services spécifiques à WordPress (car cela signifie probablement qu’il dispose d’une expertise dans ce domaine). Malgré tout, en cas de piratage et s’il est avéré que la faute vient de votre hébergeur, n’hésitez pas dans ce cas à changer de prestataire… Ainsi, les meilleurs pratiques en matière de sécurité WordPress sont :

  • Les mises à jours constantes et régulières ;
  • Des sauvegardes externalisées sur Dropbox ou Google Drive (par exemple, la modification des fichiers et paramétrages par défaut du CMS et le choix d’un bon hébergeur).

Pour réaliser toutes ces manœuvres, il n’est besoin que d’un minimum de compétences techniques puisque cela est possible à l’aide de plugins simples à paramétrer. Rappelons tout de même que ces pratiques ne peuvent garantir à 100% une totale invulnérabilité de votre site. Il importe donc de prendre des mesures de sécurité adaptées à vos enjeux business et économiques, et à requérir l’aide de professionnels si nécessaire.

Documentation
J'appelle
Je suis rappelé·e
Contactez-nous

Demande de rappel

Un projet de formation ? Nous vous appelons !*

callback

Planifier un rappel :

Jour
Heure

Merci de renseigner les champs obligatoires

*hors jours fériés et week-end

thank you

Merci et à très vite

Un conseiller vous recontactera pour vous renseigner ou vous accompagner dans votre projet de formation.