Il n'est pas agréable de voir un site web piraté. Le piratage d'un site web WordPress peut causer des dommages à votre entreprise à court et à long terme, surtout s'il se produit de manière répétée. Le piratage d'un site web peut entraîner la suppression de données du site et une baisse du classement dans les moteurs de recherche, soit parce que des pages manquent, soit parce que Google détecte un code malveillant sur le site. On estime qu'environ 30 000 sites web sont piratés chaque jour. En outre, environ 43 % des attaques contre des sites web visent des petites entreprises, et les données montrent que seulement 14 % environ de ces sites web sont correctement protégés. Pourquoi devriez-vous faire partie de ces statistiques ?
Il existe plusieurs solutions pour sécuriser votre site web WordPress, et vous pouvez en mettre en œuvre bon nombre vous-même. Il est vrai que vous pouvez rapidement restaurer un site web WordPress si vous disposez d'une sauvegarde à jour (et il est très important d'en avoir une), mais il vaut mieux prévenir les tracas, les maux de tête et les pertes de temps à l'avance.
Comment sécuriser un site WordPress ?
Des mots de passe forts
De nombreuses attaques contre les sites WordPress impliquent des outils de devinette de mots de passe. Créez des mots de passe forts et assurez-vous que tous les utilisateurs du site ont des mots de passe forts. Un tel mot de passe doit contenir au moins 12 à 16 caractères différents, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Vous pouvez également utiliser WordPress lui-même, qui dispose d'un générateur de mots de passe sur la page de création d'utilisateur.
Installez un plugin de sécurité
Il existe plusieurs plugins de sécurité très efficaces pour WordPress, et même leurs versions gratuites offrent une bonne protection de base pour votre site. Plugins de sécurité recommandés pour WordPress :
Il est important de vérifier les performances du site après avoir installé et activé le plugin de sécurité. Si le plugin cause des problèmes ou ralentit le site, il vaut mieux essayer un autre plugin. N'oubliez pas de sauvegarder le site avant d'installer le plugin de sécurité.
Maintenez le système à jour
WordPress est fréquemment mis à jour, et dans la plupart des cas, il s'agit de mises à jour de sécurité qui corrigent diverses vulnérabilités et problèmes dans le système de gestion de contenu. Certaines mises à jour sont effectuées automatiquement, mais les mises à jour majeures devront être effectuées manuellement, car il est important de vérifier le site web après coup pour s'assurer que tout fonctionne correctement.
De nombreux propriétaires de petites entreprises négligent leurs sites web et oublient de les mettre à jour. Un système obsolète expose votre site web au piratage, il est donc important de consulter fréquemment l'interface de gestion et de procéder aux mises à jour nécessaires.
Vous pouvez également activer les mises à jour automatiques sur votre site WordPress et laisser le système se mettre à jour lui-même selon les besoins.
Gardez un œil sur les plugins et les modèles
Les plugins et les modèles WordPress doivent également être mis à jour. En effet, les plugins et les modèles constituent un point faible que les pirates adorent exploiter. Les plugins anciens et obsolètes, par exemple, peuvent clairement présenter un risque pour la sécurité de votre site. Si les développeurs du plugin ont cessé de le mettre à jour, vous devriez envisager de le supprimer ou de le remplacer par un nouveau plugin.
Avec les modèles, la situation peut être encore plus frustrante, car leur développement est souvent abandonné, et changer la conception de l'ensemble du site web pour des raisons de sécurité n'est pas quelque chose que les petites entreprises ont tendance à faire. Cependant, un modèle WordPress très ancien représente sans aucun doute un risque pour la sécurité de votre site, et il vaut la peine de le remplacer ou de faire appel à un professionnel pour mettre à jour le code du modèle.
Masquer l'écran de connexion WordPress
L'écran de connexion est un vecteur d'attaque très courant sur les sites WordPress. Lorsque WordPress est installé, cet écran se trouve à une URL spécifique prédéterminée, ce qui en fait une cible très facile à scanner et à attaquer. Au lieu d'avoir l'écran de connexion à une adresse se terminant par wp-admin, vous pouvez le placer à une adresse différente, telle que enterhere.php ou toute autre extension de votre choix.
Vous pouvez modifier l'adresse de l'écran de connexion en modifiant le code WordPress ou en utilisant un plugin tel que WPS Hide Login.
Désactiver les requêtes xmlrpc.php
WordPress est fourni avec un protocole XML-RPC qui permet à des logiciels externes de publier des articles, d'enregistrer des copies, d'utiliser des options d'édition avancées, etc. Ces options constituent un risque pour la sécurité de votre site, car elles ouvrent la porte à la réception d'informations externes sans interruption.
À partir de la version 3.5 de WordPress, cette fonction est activée par défaut et il n'y a aucun moyen de la désactiver via l'interface d'administration de WordPress. Cependant, vous pouvez modifier les fichiers via l'interface d'administration de l'hébergement de votre site web pour la désactiver. Nous avons rédigé un guide à votre intention : Désactiver les requêtes xmlrpc.php via votre serveur d'hébergement.
Assurez-vous que votre service d'hébergement utilise la dernière version de php
Tout comme l'utilisation d'anciennes versions de WordPress, l'utilisation d'anciennes versions de php n'est pas sûre. La version de php est définie sur le serveur d'hébergement de votre site web, et de nombreux services d'hébergement vous permettent de définir vous-même la version de php à l'aide de cPanel. Veillez à utiliser la dernière version de php.
Choisissez un hébergement web sécurisé
Avant d'acheter un hébergement pour votre site web, vérifiez si le service d'hébergement web accorde suffisamment d'importance à la sécurité et aux sauvegardes du site web. Recherchez des informations spécifiques sur le site web de la société d'hébergement ou demandez au service client quelles mesures de sécurité sont prises sur les serveurs.
Un hébergement web sécurisé réduira considérablement les risques de piratage de votre site web et vous évitera bien des tracas et vous fera gagner du temps.
Transférez votre site web vers un serveur virtuel
Un serveur virtuel est une excellente solution pour renforcer immédiatement et considérablement la sécurité de votre site web WordPress. Sur un serveur partagé, vous partagez l'espace avec de nombreux voisins, dont certains peuvent présenter un risque pour la sécurité, quelles que soient les mesures de sécurité que vous prenez vous-même.
Lorsque vous hébergez votre site WordPress sur un serveur virtuel, vous lui offrez une infrastructure de meilleure qualité, plus stable, plus rapide et plus solide, et bien sûr, une sécurité nettement accrue. La partie du serveur que vous occupez vous appartient entièrement (c'est pourquoi on l'appelle « privée »), vous n'êtes donc pas exposé aux risques liés à un comportement imprudent ou à des attaques sur des sites web qui ne vous appartiennent pas.