Comment sécuriser votre site WordPress des attaques ?

WordPress est l’un des CMS les plus puissants et utilisés au monde pour la création de sites internet. Aujourd’hui, on compte 43,3% de sites créés sous WordPress. Dû à sa notoriété, le CMS fait l’objet d’attaques malveillantes. Et la question de la sécurité n’est pas à négliger.

Comment un piratage affecte votre entreprise ?

Qui sont la cible des hackers ?

Malheureusement, tous les sites peuvent être la cible des hackers. Ils ne s’en prennent pas seulement aux grands groupes et grands acteurs du digital. Souvent, les piratages sont automatisés et ne font pas la différence entre plusieurs sites visés. Des robots ont pour rôle de scanner le web pour y découvrir des failles et les utiliser.

Quelles sont les motivations des hackers ?

Les hackers peuvent avoir plusieurs sources de motivations lors d’un piratage : 

➡️ Tenter d’infecter les ordinateurs de vos utilisateurs via votre site

➡️ Capter les informations personnelles de vos visiteurs

➡️ Demander une rançon pour vous restituer les données

➡️ Rediriger vos utilisateurs vers un autre site pour augmenter des revenus d’affiliation

➡️ Polluer votre site avec d’autres contenus, juste pour le plaisir

➡️ Modifier les bannières publicitaires pour récupérer les revenus

➡️ Espionner la concurrence

➡️ Ajouter du code à votre serveur pour utiliser ses ressources et effectuer d’autres attaques

Les 2 types d’attaques possibles

➡️ Un contrôle absolu 

Avec ce type d’attaque, le hacker prend le contrôle total de votre base de données et de l’entièreté de votre site web. Dans quel but ? Transformer votre site, le détruire, revendre vos données sensibles ou les voler. 

➡️ Une infection de votre site web

Le hacker va infester votre site ainsi que l’ordinateur de vos utilisateurs avec un code malveillant ou un malware. Le hacker va alors être invisible pour rester le plus longtemps et attraper un maximum de ressources. Dans quel but ? Revendre des informations personnelles, envoyer des spams ou accéder à des données sensibles comme les données bancaires.

Les conséquences d’un piratage

Un piratage aura une double conséquence pour votre entreprise : du temps et de l’argent. En effet, un piratage coûte cher car il peut avoir une répercussion sur votre chiffre d’affaires en cas de fermeture, de nettoyage ou de restauration de votre site. 

Cela peut également jouer sur votre notoriété de marque. Un piratage peut la détériorer si vos visiteurs voient un contenu non approprié sur votre site ou si des données personnelles sont volées. 

Enfin, le piratage va desservir vos performances sur les moteurs de recherches comme Google. Cela peut ralentir votre référencement naturel ou pire Google peut vous blacklister.

Nos 14 astuces pour sécuriser au mieux votre site

Sauvegarder régulièrement la base de données de votre site web

Chaque site possède une base de données dans laquelle tous les contenus sont sauvegardés. Il est primordial d’enregistrer vos données en cas de problème sur votre site web. En effet, même si votre site est ultra-sécurisé, avoir une sauvegarde de votre site, au cas où, est toujours bon. 

Grâce à des sauvegardes régulières de votre site, vous pourrez remettre votre site en l’état, suite à la correction de la vulnérabilité si celui-ci venait à se faire pirater. 

Dans l’idéal, nous vous conseillons de faire une sauvegarde au moins une fois par semaine. N’oubliez pas de noter la date du jour de l’archivage sur votre dossier de sauvegarde. En cas de piratage ou de perte de votre site web, vous aurez la possibilité de tout réintégrer facilement et rapidement. 

WordPress propose de nombreuses extensions permettant de faire des sauvegardes automatiques de tous vos fichiers, extensions, thèmes et contenus pour les conserver sur votre serveur ou sur un cloud comme Google Drive, Dropbox… 

Parmi les plus populaires sur la plateforme : 

➡️ BackWPup

➡️ UpdraftPlus WordPress Backup Plugin

Vérifier vos mises à jour

Afin de renforcer la sécurité de votre site web WordPress, ne négligez pas les mises à jour. Il faut penser à les faire très régulièrement. Et par mise à jour, nous ne parlons pas que de celles de votre site web ! Cela concerne aussi les mises à jour de tous les plugins que vous avez téléchargé et installé. Y compris votre plugin de sécurité. 

Les mises à jour offrent de nombreux avantages :

➡️ Proposer de nouveaux outils, essentiel pour lutter efficacement contre les nouveaux virus

➡️ Corriger les bugs et les failles 

Télécharger un plugin de sécurité

Ces plugins ont pour but de protéger votre site web des virus mais également de surveiller sa sécurité globale. 

Un plugin de sécurité vous permettra de gérer différents aspects de la sécurité de votre site web facilement, comme : 

➡️ Surveiller le trafic pour bloquer le trafic malveillant

➡️ Avertir des mises à jour disponibles

➡️ Protéger votre système de connexion contre une attaque

➡️ Analyser votre site 

Parmi les extensions de sécurité : WordFence Security, iThemes Security, Sucuri Security, SecuPress, …

À lui seul, WordFence est installé sur plus de 3 millions de sites WordPress.

Retirer les thèmes et plugins inutiles

Il arrive qu’on installe des extensions pour les tester ou sur une courte durée, pour les désactiver, dans les meilleurs des cas, ou les oublier dans un coin. 

Ces plugins constituent souvent une porte ouverte pour les hackers, surtout s' ils sont obsolètes ou pas mis à jour. 

Il est préférable de supprimer les extensions et thèmes que vous n’utilisez plus.

Appliquer des extensions et thèmes officiels

Utiliser sur votre site web des thèmes ou extensions non officiels ne sera pas bénéfique à la sécurité de votre site. 

Ces versions crackées offrent un accès à votre site à n’importe qui. Elles ne sont pas validées par WordPress et il est possible que les créateurs de ces thèmes ou extensions insèrent à l’intérieur des fichiers malwares, donnant une porte d’accès à votre site sans que vous ne vous en aperceviez. 

C’est pourquoi il faut toujours faire attention à passer par l’ajout d’extensions et de thèmes officiels WordPress ou des sociétés externes auxquelles vous auriez acheté un élément.

Sélectionner le bon hébergeur web

Deux critères sont essentiels chez un hébergeur web à la sécurité d’un site WordPress : la qualité et la fiabilité. Votre hébergeur devra vous offrir des garanties solides car des failles de sécurité peuvent venir de ce côté.

Pour choisir au mieux votre hébergeur web, vous pouvez analyser leurs offres sur 3 éléments : 

➡️ Ont-ils un pare-feu et un antivirus ?

➡️ Les sauvegardes automatiques sont-elles régulières ?

➡️ Si vous avez un hébergement mutualisé, chaque compte utilisateur est-il isolé des autres comptes pour ne pas infecter les autres utilisateurs ?

Modifier vos identifiants WordPress

WordPress inscrit par défaut l’identifiant “admin” lors de la première installation du service. Il est très fortement conseillé de changer cet identifiant rapidement car celui-ci est facilement identifiable par les pirates. Vous pourrez le modifier grâce aux paramètres de votre compte WordPress.

Bloquer la navigation dans les dossiers WordPress

Par défaut, votre site web WordPress rend les dossiers accessibles à tous. Il est donc nécessaire d’empêcher leur accès afin de les protéger.

Il existe des options faciles à mettre en place comme modifier les conditions d’accès via votre .htaccess ou télécharger une extension comme Hide My WordPress.

Choisir l’authentification en 2 étapes

Différentes extensions existent pour sécuriser votre système de connexion sur votre site WordPress. 

La majorité de ces extensions proposent une 2nd étape avec un code envoyé par SMS, une connexion requise via une application ou un appel. Il sera alors quasiment impossible pour un pirate de connaître à la fois votre mot de passe et d'avoir un accès à l’appareil utilisé pour la 2nd étape de connexion. 

Parmi les différentes extensions d'authentification à double facteur : 

➡️ Google Authentificator

➡️ Two Factor Authentication

➡️ Duo Two-Factor Authentication

Ces extensions marchent avec leur propre application mobile qui vous permettra de gérer cette authentification à deux étapes et autoriser la connexion lorsque celle-ci est nécessaire.

Masquer la version WordPress de votre site web

Il existe des failles sur chaque version de WordPress et les pirates se font un malin plaisir de les exploiter. Afin de compliquer la mission de ces pirates, la version WordPress utilisée doit être masquée.

Cette modification doit se faire à deux niveaux : dans le fichier readme.html mais aussi dans le fichier function.php.

Protéger votre site avec le certificat SSL

Si vous jetez un œil à l’url de notre site Kwantic, vous remarquerez un petit cadenas à côté de notre URL, celle-ci précédée par la mention “HTTPS”. Ces éléments sont inscrits car notre site possède un certificat SSL. 

Ce certificat permet d’activer le protocole HTTPS et assure une connexion sécurisée entre le serveur web et le navigateur, par exemple Google. Le certificat SSL est d’autant plus important quand votre site dispose d’un système de paiement sur le site. 

Ce certificat est aussi utile pour d’autres raisons : 

➡️ Avec un protocole HTTPS, les données transférées entre le serveur web et le navigateur sont cachées. Ce qui n’est pas le cas pour les sites en HTTP. 

➡️ Il a un impact sur le référencement SEO. Google a confirmé que ce certificat est un élément légèrement déterminant pour votre positionnement dans la SERP. 

➡️ Dans l’esprit commun, le cadenas est un gage de sécurité pour les utilisateurs, qui ont pris l’habitude de vérifier s’il est présent. Le certificat SSL est un signe de confiance pour vos utilisateurs. 

➡️ Le protocole HTTPS s’avère plus rapide que le HTTP. Le certificat jouera éventuellement sur la vitesse de chargement de votre site web WordPress.

➡️ Des navigateurs web comme Google Chrome affichent maintenant une mention “Non sécurisé” devant l’url d’un site sans certificat SSL. Des moteurs de recherche affichent une page de prévention avant l’accès au site pouvant effrayer une majorité des utilisateurs.

Installer un système de protection contre le DDOS

L’attaque DDOS compte parmi les attaques les plus dangereuses contre les sites WordPress. Le DDOS est une attaque ciblée et précise de plusieurs systèmes simultanément. 

L’attaque DDOS a pour objectif de rendre inaccessible une fonctionnalité de votre site web en envoyant en même temps plusieurs requêtes pour surchargé le site jusqu’à le “crasher”. 

Pour pallier ce type d’attaque, il existe des extensions à configurer sur votre site WordPress pour atténuer les attaques DDOS.

Limiter le nombre d’essais pour l’identification

Les attaques les plus fortes se résument à une répétition de plusieurs tentatives de connexion. L’une des manières les plus simples et efficaces pour éviter les pirates est de mettre en place une limitation du nombre des tentatives de connexion. En effet, au bout d’un certain nombre d'essais, l’utilisateur tentant de se connecter se retrouvera bloqué. 

Plusieurs extensions pourront vous apporter cette fonctionnalité : 

➡️ Cerber Security

➡️ WP Limit Login Attempts

➡️ Limit Login Attempts Reloaded

➡️ WPS Limit Login

Désactiver vos rapports d’erreurs PHP

Un rapport d’erreurs PHP sera utile à un développeur pour s’assurer du bon fonctionnement de votre site web. Cependant, lorsque le développeur a fini sa partie, il est important de désactiver ces rapports directement car ce serait une erreur de montrer ces rapports à tout le monde. 

Vous pourrez directement désactiver les rapports d’erreurs PHP via le panneau de contrôle, selon votre hébergeur web.

Vous cherchez une agence web à qui confier votre projet web sur WordPress ou la sécurité de votre site ? Contactez dès-maintenant nos experts pour nous faire part de votre projet.