Vous êtes en train de créer votre site internet sous WordPress ? Avez-vous pensé à sa sécurisation ?
Si ce n’est pas encore le cas, sachez que vous risquez gros (le risque zéro n’existe pas sur internet)… Vous vous exposez à une perte de vos données, à des virus, au piratage de données sensibles (les vôtres et celles de vos clients)…
Les risques sont bel et bien réels.
Pour autant, sachez que vous pouvez limiter les risques encourus pour votre site dès maintenant. Même si vous avez déjà construit votre site WordPress, il n’est jamais trop tard pour le sécuriser.
Dans cet article, je vous donne 15 astuces pour protéger votre site WordPress. Vous n’avez plus qu’à les appliquer pas à pas…
Pourquoi sécuriser son site WordPress dès le départ (et ce que vous risquez si vous ne le faites pas) ?
Si vous pensez que la sécurisation de votre site WordPress n’est pas une priorité, vous vous mettez le doigt dans l’œil...
WordPress est la plateforme la plus populaire pour créer un site internet, c’est donc naturellement la plus attaquée par les pirates.
Ne pas sécuriser un site WordPress, c’est comme laisser la porte de votre maison grande ouverte. Peut-être que personne ne rentrera pour vous voler mais vous prenez quand même un GROS risque que ce soit le cas.
Sur internet, on parle de piratage. Certains hackeurs se serviront de votre site pour y installer un virus qui pourrait contaminer votre ordinateur ou votre smartphone.
Le vol de données est également possible : imaginez que vos visiteurs reçoivent des spams à profusion, ou pire... se fassent voler leurs données bancaires après avoir consulté votre site web… Clairement, votre réputation va en prendre un coup. Sans parler de la confiance de votre audience.
Un site sécurisé donnera davantage confiance à vos visiteurs (et à raison). Il améliorera aussi (légèrement) son référencement naturel.
Il est préférable de sécuriser votre site dès le départ pour éviter de vous faire pirater dès sa mise en ligne… Faire tout en même temps vous débarrasse aussi une bonne fois pour toutes de tous ces aspects techniques dont on se passerait bien 😅.
Et pour éviter de vous prendre la tête, je vous conseille de suivre l’atelier gratuit de Myriam. Vous découvrirez toutes les étapes à suivre pour installer et sécuriser votre site WordPress (pas besoin d’être un as de la technique pour ça).
Et en attendant, vous pouvez toujours lire ces 15 conseils que je vous présente ici pour limiter le risque de vous faire pirater et de perdre votre site.
1. Bien choisir son hébergeur
Pour avoir un site sécurisé, il faut commencer par bien choisir son hébergeur.
Votre site sera créé sur WordPress mais il sera stocké sur un serveur mis à disposition par un hébergeur (comme un disque dur mais en ligne).
Il en existe de nombreux sur le marché : O2 Switch, Ionos, OVH, Infomaniak, Planet Hoster…
Pour bien choisir son hébergeur, il faut avant tout minimiser le risque de problème.
Choisir un hébergeur reconnu vous assure de :
- avoir un site sécurisé et mis à jour
- éviter la perte de données
- compter sur des serveurs fiables
Vous vous souvenez sans doute de l’incendie qui s’est déclaré dans les serveurs d’OVH, causant la perte de données de nombreux sites web… Un mauvais souvenir pour tous les créateurs de site sous OVH. Et j'avoue que je suis contente de ne jamais avoir eu à vivre ça.
Personnellement, j’utilise Ionos et je n’ai jamais eu de problème. Le service client est réactif si vous avez des questions (24h/24 et 7j/7) et les tarifs sont abordables.
2. Être vigilant au thème et aux plugins qu’on installe
Deuxième chose à savoir pour un site sécurisé : faites attention au thème que vous choisissez et aux plugins que vous installez.
Choisissez un thème sûr, mis à jour régulièrement et utilisé par des milliers d’internautes. Astra, Ocean WP ou Divi sont des thèmes sûrs que vous pouvez utiliser sans risque.
Avant d’installer un plugin, vérifiez plusieurs points :
- La compatibilité avec votre thème (c’est affiché par une phrase du type « 100 % compatible avec le thème x » ou au contraire « non compatible »)
- La mise à jour récente (dans les deux mois) : les mises à jour des extensions permettent de corriger des failles de sécurité et d’empêcher ainsi les pirates de pénétrer sur votre site
- Le nombre de téléchargements : le plus haut possible (c’est une preuve de la fiabilité d’une extension).
Concernant les extensions, au départ, vous allez vouloir installer plein (parce que c’est facile et hyper pratique). Ne vous laissez pas tenter par le syndrome de l’objet brillant et installez uniquement celles dont vous allez vraiment vous servir.
Toutes les extensions que je vous présente dans cet article sont sûres, vous pouvez les télécharger sans crainte. Elles vous aideront à sécuriser au mieux votre site WordPress.
3. Mettre à jour son site et ses extensions régulièrement
Dans la même lignée que l’astuce précédente, faites attention de conserver votre site à jour.
Les pirates sont nombreux sur WordPress et la plateforme doit régulièrement corriger certaines failles de sécurité. Il en est de même pour les thèmes et les extensions.
Voici comment mettre à jour facilement votre site :
- Avant d’effectuer une mise à jour, je vous recommande de sauvegarder votre site (voir astuce n°10). Il y a peu de risques si vous utilisez un thème et des extensions sûres mais le risque zéro d’avoir un bug n’existe malheureusement pas.
- Dans votre tableau de bord, cliquez sur “mises à jour” : s’il y a des mises à jour à effectuer, il y aura un chiffre entouré en rouge à côté.
- 3 types de mises à jour sont alors possibles :
- Une nouvelle version de WordPress
- Des extensions à mettre à jour : vérifiez la compatibilité avec votre version de WordPress avant de mettre un plugin à jour
- Votre thème
- Mettez à jour chaque élément un par un (c’est tentant de tout sélectionner et de mettre à jour d’un coup mais s’il y a un bug, vous ne saurez pas d’où ça vient).
- A chaque mise à jour d’un élément, vérifiez que tout fonctionne sur votre site et qu’il n’y a pas de bug d’affichage.
Vous pourriez être tentées d’activer les mises à jour automatiques mais je vous le déconseille. Mieux vaut toujours garder la main sur les mises à jour pour vérifier qu’il n’y a pas de problème dans la mise à niveau d’une extension ou d’un thème.
En termes de fréquence, faites les mises à jour au minimum une fois par mois pour ne prendre aucun risque. Vous pouvez bien sûr les faire plus régulièrement (mais pas besoin de vérifier tous les jours non plus).
4. Ne pas conserver ses extensions et thèmes inutilisés
On reste sur la même thématique : inutile de conserver des extensions et des thèmes que vous n’utilisez pas.
Lorsque vous avez choisi votre thème, vous pouvez supprimer tous ceux installés sur votre site (même s’ils ne sont pas utilisés par défaut).
De la même manière, si vous vous rendez compte que vous n’utilisez plus une extension (et que vous l’avez désactivée dans l’onglet “extensions”), supprimez-la.
Les thèmes et extensions inutilisés surchargent votre site pour rien et il est inutile de faire leurs mises à jour.
5. Changer son identifiant admin et utiliser un mot de passe fort
Troisième étape à faire tout de suite, avant même de construire votre site : changer votre identifiant « admin » et choisir un mot de passe fort.
Par défaut, pour vous connecter à votre espace WordPress, l’identifiant sera « admin ». Il est facile de se faire pirater avec un identifiant aussi simple : c’est le premier que les pirates essaient. Ils n’ont ensuite plus qu’à trouver votre mot de passe (et c’est beaucoup plus facile que vous ne le pensez).
Voici comment faire pour le changer :
- Connectez-vous à WordPress.
- Allez sur l’onglet « comptes » et cliquez sur « ajouter ».
- Choisissez les informations pour le nouveau compte :
- Identifiant : choisissez un identifiant compliqué à trouver et différent du nom que vous utilisez pour publier. Vous pouvez utiliser des caractères spéciaux. Par exemple : Emm@47
- Adresse email
- Prénom, nom
- Site web
- Choisissez un mot de passe complexe. Vous pouvez générer automatiquement un mot de passe long et difficile à retenir (et donc à pirater).
- Copiez-le dans un endroit sûr de votre ordinateur et notez-le également dans un carnet. Il faut que votre mot de passe comprenne au minimum 12 caractères, des majuscules et des minuscules, des chiffres et des caractères spéciaux (& @ #...).
- Sélectionnez bien le rôle d’administrateur puis cliquez sur « ajouter un compte ».
- Maintenant, il faut supprimer l’ancien compte « admin ». Déconnectez-vous puis connectez-vous avec votre nouvel identifiant et votre mot de passe.
- Cliquez sur l’onglet « comptes » > « tous les comptes ». Passez votre souris sur « admin », vous pourrez alors « modifier » ou « supprimer ». Cliquez sur « supprimer ».
- Si vous avez déjà écrit du contenu sur votre site, pensez à sélectionner « attribuer tous les articles et les liens à » (suivi de votre nouveau nom d’administrateur). N’oubliez pas de choisir cette option sinon tout le contenu sera effacé.
- Cliquez ensuite sur « confirmer la suppression »
.
6. Passer son site en https
Autre élément indispensable à la sécurisation de votre site WordPress : le https.
Le “s” à la suite de http indique que le site est sécurisé. Il est représenté par un petit cadenas fermé, qui protège notamment les coordonnées bancaires lors d’un paiement effectué sur un site.
Par défaut, tous les sites sont en http. L’adresse url se présente sous cette forme : http://nom-du-site.fr. Dans la barre de recherche de votre navigateur, le cadenas présent à gauche est alors ouvert.
Quand un site est en http (et non en httpS), une fenêtre s’ouvre pour vous préciser qu’il n’est pas sécurisé. Ça n’inspire pas vraiment confiance… et selon le navigateur web que vous utilisez, vous ne pourrez même pas accéder au site.
Lorsque votre site est en https, le cadenas devant l’adresse url est fermé (et aucun message inquiétant ne s’affiche).
Un site sans https a davantage de risque de se faire pirater et son référencement naturel sera moins bon.
Mais comment faire pour afficher son site en https ?
Il vous suffit de le faire grâce à votre hébergeur. Voici comment procéder avec Ionos :
- Connectez-vous sur Ionos et cliquez sur « domaines » puis « sécurité » et « certificat SSL ». C’est grâce au certificat SSL que votre site apparaîtra en https.
- Achetez le certificat SSL Starter (qui suffit pour un nom de domaine). Il suffit ensuite de l’activer pour votre site en cliquant sur « domaines et SSL ».
- Sélectionnez la roue crantée et cliquez sur « configurer un certificat ssl ».
- Choisissez le nom de domaine lié et confirmer. Et voilà, votre site devrait s’afficher en https quelques minutes après.
7. Configurer la double authentification pour se connecter à son site
Cinquième astuce pour mieux sécuriser votre site WordPress : la double authentification.
La double authentification implique que vous avez besoin de deux méthodes pour vous connecter à votre site WordPress. Vous renseignez d’abord votre mot de passe, puis :
- soit vous recevez un SMS (ou un appel téléphonique) dans lequel vous recevez un mot de passe unique et limité dans le temps
- soit vous scannez un QR code.
C’est une technique 100 % efficace pour prévenir les attaques malveillantes. Il est en effet très peu probable que le pirate ait à la fois le mot de passe de votre site et votre smartphone dans les mains.
Pour mettre en place la double authentification, il suffit d’installer et de configurer le plugin Two Factor Authentication (qui fait très bien le job en version gratuite).
Dans l’atelier gratuit de Myriam, en plus d’apprendre à créer votre site, vous apprendrez également à installer un plugin facilement.
Revenons à la configuration de la double authentification pour votre site WordPress. Le plugin Wordfence Security (en anglais) propose la mise en place d’une authentification à deux facteurs.
Une fois le plugin installé et activé, il suffit de vous rendre dans « login security » de l’extension Wordfence et de suivre les instructions.
L’avantage de Wordfence Security, c’est que l’extension est utile pour sécuriser votre site à d’autres niveaux que nous verrons dans la suite de l’article. Il existe une version premium de l’extension mais la version gratuite suffit pour tout ce que vous ferez avec.
8. Installer un captcha
Sixième astuce pour sécuriser votre site WordPress : installer un captcha.
En demandant à vos visiteurs de renseigner un captcha obligatoire, vous sécurisez l’accès à votre site et évitez les spams qui peuvent être laissés en commentaires ou via les formulaires de votre site.
En effet, le captcha sert à prouver que vous n’êtes pas un robot spammeur et est présenté sous 3 formes différentes :
- la petite case à cocher
- les chiffres/lettres à reporter dans une case
- ou les images à cocher
Pour le mettre en place, c’est simple, il suffit de télécharger le plugin Google Captcha (reCAPTCHA) by BestWebSoft. Il est léger, entièrement gratuit et mis à jour régulièrement.
Une fois le plugin installé et activé, retrouvez-le dans la colonne de gauche de votre site et configurez-le.
Vous n’avez alors qu’à suivre ces 2 étapes :
- Commencez par récupérer vos clés API (« clé du site » et « clef secrète »).
- Choisissez ensuite à quel formulaire s’applique le captcha (mieux vaut l’appliquer sur tout votre site pour plus de sécurité).
Voici comment ça s’affichera sur votre page de connexion :
Il suffira de cocher la case « je ne suis pas un robot » avant de cliquer sur « se connecter ».
9. Bloquer les requêtes malveillantes
Pour augmenter la sécurité de votre site WordPress, il est aussi recommandé de bloquer les requêtes malveillantes.
Il s’agit des logiciels et des attaques visant à pirater votre site pour le mettre hors service ou pour que le pirate y installe des virus pouvant contaminer les visiteurs.
Le plugin Wordfence Security vous permet de protéger votre site contre les attaques malveillantes.
Il vous suffit de configurer le plugin en vous rendant dans le menu « Firewall ». Sélectionnez « All Firewall Options » puis au niveau de « Web Application Firewall Status », choisissez l’option « Enabled and protecting ».
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes » en haut à droite.
10. Limiter les tentatives de connexion
Limiter les tentatives de connexion est un excellent moyen de protéger votre site WordPress. Vous empêcherez les pirates d’essayer de trouver votre identifiant et votre mot de passe.
Ils essaient, de manière automatique, des milliers de combinaisons à l’aide de listes de noms d’utilisateurs et de mots de passe courants qui ont fuité (d’où l’intérêt de limiter le nombre de tentatives).
Voici comment limiter le nombre de tentatives de connexion avec Wordfence Security en 2 étapes (cette extension est géniale pour la sécurité de votre site) :
- Dans le menu « Firewall », cliquez sur « All Firewall Options » puis cliquez sur « Brute Force Protection ».
- Sélectionnez « on » et choisissez les options (vous pouvez reprendre les chiffres proposés dans la capture d’écran ci-dessus) :
- Lock out after how many login failures (verrouillage après combien d’échecs de connexion)
- Lock out after how many forgot password attempts (verrouillage après combien de tentatives de mot de passe oublié)
- Count failures over what time period (sur quelle période compter les échecs)
- Amount of time a user is locked out (durée pendant laquelle un utilisateur est bloqué).
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes ».
11. Masquer les erreurs de connexion
Autre astuce pour sécuriser votre site WordPress : masquer les erreurs de connexion.
Par défaut, si vous entrez le bon identifiant et un mauvais mot de passe, WordPress vous affichera un message de type « mauvais mot de passe », révélant ainsi que l’identifiant est le bon. Pour un pirate, c’est du pain béni. Il n’aura plus qu’à trouver votre mot de passe.
Et vice versa : si vous vous trompez d’identifiant mais que vous avez le bon mot de passe, WordPress l’affiche clairement. C’est une grosse faille de sécurité.
Heureusement avec Wordfence Security, vous pouvez masquer les erreurs de connexion en modifiant la phrase qui s’affiche (je vous avais dit que ce plugin vous serait super utile).
Dans « Firewall » > « All Firewall Options », cliquez sur « Brute Force Protection » et descendez jusqu’à « Additional Options ». Cochez la case « Don’t let WordPress reveal valid user in login errors ».
Cette option affichera un message générique si quelqu’un essaie de trouver vos identifiants : « le nom d’utilisateur ou le mot de passe est incorrect ». Sauvegardez les changements en cliquant sur « save changes ».
12. Sauvegarder son site
Douzième moyen de sécuriser votre site : effectuer des sauvegardes régulières.
Sauvegarder régulièrement votre site vous permet de le réinstaller en cas de piratage (ou en cas de boulette lorsque vous le modifiez).
Installez et configurez dès le début une extension comme Updraft Plus (la version gratuite suffit).
Une fois le plugin installé et activé, ouvrez les configurations de l’extension. Elles se trouvent dans le menu WordPress dans « Réglages » > « Sauvegardes Updraft Plus ».
Vous pouvez sauvegarder manuellement votre site mais aussi configurer des sauvegardes automatiques pour ne pas avoir à y penser.
Une fois sur le tableau de bord de l’extension, cliquez sur « Réglages ». Choisissez à quelle fréquence sauvegarder votre site (fichiers et base de données) : toutes les 2, 4, 8, 12 heures, quotidiennement, une fois par semaine, deux fois par mois, une fois par mois. A vous de choisir une fréquence adaptée aux modifications que vous apportez sur votre site.
Par exemple, si vous publiez un article de blog par semaine, une sauvegarde par mois ne sera pas suffisante.
Choisissez ensuite l’endroit où stocker votre sauvegarde.
Si vous choisissez de stocker vos sauvegardes sur un cloud comme Dropbox ou Google Drive, vous devrez vous identifier pour finir la configuration.
Juste en-dessous, il faudra aussi cocher les éléments que vous voulez inclure dans la sauvegarde. Je vous recommande de tout cocher pour pouvoir restaurer votre site en totalité en cas de piratage.
Pensez à enregistrer les modifications en cliquant sur le bouton du même nom en bas de page.
13. Masquer sa version de WordPress
Pour masquer votre version de WordPress, il faut de nouveau utiliser l’extension Wordfence Security.
- Cliquez sur le tableau de bord du plugin Wordfence
- Sélectionnez “global options”
- Faites défiler jusqu’à “general wordfence options”
- Cochez la case devant “hide WordPress version”
- N’oubliez pas de sauvegarder les modifications en haut à droite.
En fonction du thème que vous utilisez, il est possible que votre version de WordPress apparaisse malgré tout. Si c’est le cas, faites appel à un développeur si vous ne voulez pas mettre les mains dans le code (un professionnel fera ça en quelques minutes et vous évitera de faire des bêtises).
14. Modifier l’url de connexion
Autre moyen d’améliorer la sécurité de votre site WordPress : modifier l’url de connexion à votre site.
Par défaut (et les pirates le savent), l’url de connexion à votre site WordPress se présente sous cette forme : https://nom-du-site.fr/wp-admin ou /wp-login.
Facile alors d’accéder à votre page de connexion et de trouver votre identifiant et votre mot de passe…
Heureusement, vous pouvez facilement changer votre url de connexion à l’aide de l’extension WPS Hide Login.
Après avoir installé et activé le plugin, cliquez sur « Réglages » dans votre menu WordPress et choisissez « WPS Hide Login ».
Choisissez une nouvelle url de connexion et cliquez sur « enregistrer les modifications ». Votre nouvelle page de connexion ne sera plus /wp-admin ou /wp-login mais l’url de connexion que vous avez choisie.
15. Protéger son ordinateur
Dernier conseil : pensez à protéger votre ordinateur contre le piratage à l’aide d’un anti-virus et en faisant les mises à jour régulièrement.
Si un pirate entre dans votre ordinateur, il peut voler vos mots de passe et accéder à votre site.
Avant d’acheter un antivirus, vérifiez que votre ordinateur n’en a pas un déjà intégré. Si votre ordinateur sous Windows est récent, il est équipé de l’antivirus gratuit Microsoft Defender Antivirus. Cet antivirus est chargé de repérer les logiciels malveillants qui essaient de s’installer sur votre ordinateur.
Si vous êtes sous Mac, le risque zéro n’existe pas mais la menace est moins présente que sur PC.
Effectuez également les mises à jour de votre navigateur : il vous protège lui aussi contre les menaces.
Question antivirus, selon l’UFC Que Choisir, les logiciels gratuits sont aussi efficaces que les antivirus payants (mais vous serez sollicités par de la publicité et incités à basculer sur la formule payante très régulièrement).
Voici quelques antivirus fiables que vous pouvez utiliser en version gratuite :
- Avast
- Sophos
- Avira
- AVG
- Kaspersky
Enfin, pour protéger votre ordinateur :
- Evitez d’ouvrir des pièces jointes d’email si vous n’êtes pas sûres de la source
- Soyez prudentes lorsque vous téléchargez des fichiers sur internet
- Ne bloquez pas les mises à jour des logiciels (je sais, ça tombe toujours au mauvais moment mais reprogrammez-la pour la nuit si vous ne pouvez vraiment pas faire autrement).
Ce qu’il faut retenir pour sécuriser son site WordPress
Même si choisir un mot de passe fort peut vous sembler suffisant pour sécuriser votre site WordPress, mieux vaut prévenir que guérir.
On n’est jamais trop prudent en ce qui concerne la protection de ses données et de celles de nos visiteurs.
Voici les différents moyens de sécuriser votre site WordPress (et je vous recommande vraiment de tout faire, même si ça vous semble fastidieux, car vous vous éviterez tout un tas d’ennuis par la suite) :
- Bien choisir votre hébergeur
- Bien sélectionner votre thème et les plugins que vous installez
- Effectuer des mises à jours régulièrement
- Ne pas conserver les extensions et thèmes inutilisés
- Changer votre identifiant (ne laissez pas « admin ») et choisissez un mot de passe fort
- Passer votre site en https
- Configurer la double authentification
- Installer un captcha
- Bloquer les requêtes malveillantes
- Limiter les tentatives de connexion
- Masquer les erreurs de connexion
- Sauvegarder votre site
- Masquer sa version de WordPress
- Modifier l’url de connexion
- Protéger votre ordinateur
Je sais que tout ça peut sembler compliqué (surtout si vous êtes allergique à la technique comme moi) mais en procédant étape par étape, vous pourrez sécuriser votre site WordPress.
Une fois toutes ces étapes réalisées, vous n’aurez plus qu’à mettre à jour régulièrement votre thème et vos plugins.
Prendre en main son site est primordial quand on débute (surtout quand on n’a pas les moyens de faire appel à un webmaster).
L’atelier de Myriam est parfait car il explique comment installer proprement votre site, étape par étape et le sécuriser. C’est LE guide parfait pour commencer sans faire de boulette.
Suivre son atelier vous permettra de vous faire une idée de la qualité de sa formation payante qui permet de construire et personnaliser son site de A à Z avec Divi. Cerise sur le gâteau : sa formation comprend la licence Divi à vie (soit une économie de plus de 200 €)...
1. Bien choisir son hébergeur
Pour avoir un site sécurisé, il faut commencer par bien choisir son hébergeur.
Votre site sera créé sur WordPress mais il sera stocké sur un serveur mis à disposition par un hébergeur (comme un disque dur mais en ligne).
Il en existe de nombreux sur le marché : O2 Switch, Ionos, OVH, Infomaniak, Planet Hoster…
Pour bien choisir son hébergeur, il faut avant tout minimiser le risque de problème.
Choisir un hébergeur reconnu vous assure de :
- avoir un site sécurisé et mis à jour
- éviter la perte de données
- compter sur des serveurs fiables
Vous vous souvenez sans doute de l’incendie qui s’est déclaré dans les serveurs d’OVH, causant la perte de données de nombreux sites web… Un mauvais souvenir pour tous les créateurs de site sous OVH. Et j'avoue que je suis contente de ne jamais avoir eu à vivre ça.
Personnellement, j’utilise Ionos et je n’ai jamais eu de problème. Le service client est réactif si vous avez des questions (24h/24 et 7j/7) et les tarifs sont abordables.
2. Être vigilant au thème et aux plugins qu’on installe
Deuxième chose à savoir pour un site sécurisé : faites attention au thème que vous choisissez et aux plugins que vous installez.
Choisissez un thème sûr, mis à jour régulièrement et utilisé par des milliers d’internautes. Astra, Ocean WP ou Divi sont des thèmes sûrs que vous pouvez utiliser sans risque.
Avant d’installer un plugin, vérifiez plusieurs points :
- La compatibilité avec votre thème (c’est affiché par une phrase du type « 100 % compatible avec le thème x » ou au contraire « non compatible »)
- La mise à jour récente (dans les deux mois) : les mises à jour des extensions permettent de corriger des failles de sécurité et d’empêcher ainsi les pirates de pénétrer sur votre site
- Le nombre de téléchargements : le plus haut possible (c’est une preuve de la fiabilité d’une extension).
Concernant les extensions, au départ, vous allez vouloir installer plein (parce que c’est facile et hyper pratique). Ne vous laissez pas tenter par le syndrome de l’objet brillant et installez uniquement celles dont vous allez vraiment vous servir.
Toutes les extensions que je vous présente dans cet article sont sûres, vous pouvez les télécharger sans crainte. Elles vous aideront à sécuriser au mieux votre site WordPress.
3. Mettre à jour son site et ses extensions régulièrement
Dans la même lignée que l’astuce précédente, faites attention de conserver votre site à jour.
Les pirates sont nombreux sur WordPress et la plateforme doit régulièrement corriger certaines failles de sécurité. Il en est de même pour les thèmes et les extensions.
Voici comment mettre à jour facilement votre site :
- Avant d’effectuer une mise à jour, je vous recommande de sauvegarder votre site (voir astuce n°10). Il y a peu de risques si vous utilisez un thème et des extensions sûres mais le risque zéro d’avoir un bug n’existe malheureusement pas.
- Dans votre tableau de bord, cliquez sur “mises à jour” : s’il y a des mises à jour à effectuer, il y aura un chiffre entouré en rouge à côté.
- 3 types de mises à jour sont alors possibles :
- Une nouvelle version de WordPress
- Des extensions à mettre à jour : vérifiez la compatibilité avec votre version de WordPress avant de mettre un plugin à jour
- Votre thème
- Mettez à jour chaque élément un par un (c’est tentant de tout sélectionner et de mettre à jour d’un coup mais s’il y a un bug, vous ne saurez pas d’où ça vient).
- A chaque mise à jour d’un élément, vérifiez que tout fonctionne sur votre site et qu’il n’y a pas de bug d’affichage.
Vous pourriez être tentées d’activer les mises à jour automatiques mais je vous le déconseille. Mieux vaut toujours garder la main sur les mises à jour pour vérifier qu’il n’y a pas de problème dans la mise à niveau d’une extension ou d’un thème.
En termes de fréquence, faites les mises à jour au minimum une fois par mois pour ne prendre aucun risque. Vous pouvez bien sûr les faire plus régulièrement (mais pas besoin de vérifier tous les jours non plus).
4. Ne pas conserver ses extensions et thèmes inutilisés
On reste sur la même thématique : inutile de conserver des extensions et des thèmes que vous n’utilisez pas.
Lorsque vous avez choisi votre thème, vous pouvez supprimer tous ceux installés sur votre site (même s’ils ne sont pas utilisés par défaut).
De la même manière, si vous vous rendez compte que vous n’utilisez plus une extension (et que vous l’avez désactivée dans l’onglet “extensions”), supprimez-la.
Les thèmes et extensions inutilisés surchargent votre site pour rien et il est inutile de faire leurs mises à jour.
5. Changer son identifiant admin et utiliser un mot de passe fort
Troisième étape à faire tout de suite, avant même de construire votre site : changer votre identifiant « admin » et choisir un mot de passe fort.
Par défaut, pour vous connecter à votre espace WordPress, l’identifiant sera « admin ». Il est facile de se faire pirater avec un identifiant aussi simple : c’est le premier que les pirates essaient. Ils n’ont ensuite plus qu’à trouver votre mot de passe (et c’est beaucoup plus facile que vous ne le pensez).
Voici comment faire pour le changer :
- Connectez-vous à WordPress.
- Allez sur l’onglet « comptes » et cliquez sur « ajouter ».
- Choisissez les informations pour le nouveau compte :
- Identifiant : choisissez un identifiant compliqué à trouver et différent du nom que vous utilisez pour publier. Vous pouvez utiliser des caractères spéciaux. Par exemple : Emm@47
- Adresse email
- Prénom, nom
- Site web
- Choisissez un mot de passe complexe. Vous pouvez générer automatiquement un mot de passe long et difficile à retenir (et donc à pirater).
- Copiez-le dans un endroit sûr de votre ordinateur et notez-le également dans un carnet. Il faut que votre mot de passe comprenne au minimum 12 caractères, des majuscules et des minuscules, des chiffres et des caractères spéciaux (& @ #...).
- Sélectionnez bien le rôle d’administrateur puis cliquez sur « ajouter un compte ».
- Maintenant, il faut supprimer l’ancien compte « admin ». Déconnectez-vous puis connectez-vous avec votre nouvel identifiant et votre mot de passe.
- Cliquez sur l’onglet « comptes » > « tous les comptes ». Passez votre souris sur « admin », vous pourrez alors « modifier » ou « supprimer ». Cliquez sur « supprimer ».
- Si vous avez déjà écrit du contenu sur votre site, pensez à sélectionner « attribuer tous les articles et les liens à » (suivi de votre nouveau nom d’administrateur). N’oubliez pas de choisir cette option sinon tout le contenu sera effacé.
- Cliquez ensuite sur « confirmer la suppression »
.
6. Passer son site en https
Autre élément indispensable à la sécurisation de votre site WordPress : le https.
Le “s” à la suite de http indique que le site est sécurisé. Il est représenté par un petit cadenas fermé, qui protège notamment les coordonnées bancaires lors d’un paiement effectué sur un site.
Par défaut, tous les sites sont en http. L’adresse url se présente sous cette forme : http://nom-du-site.fr. Dans la barre de recherche de votre navigateur, le cadenas présent à gauche est alors ouvert.
Quand un site est en http (et non en httpS), une fenêtre s’ouvre pour vous préciser qu’il n’est pas sécurisé. Ça n’inspire pas vraiment confiance… et selon le navigateur web que vous utilisez, vous ne pourrez même pas accéder au site.
Lorsque votre site est en https, le cadenas devant l’adresse url est fermé (et aucun message inquiétant ne s’affiche).
Un site sans https a davantage de risque de se faire pirater et son référencement naturel sera moins bon.
Mais comment faire pour afficher son site en https ?
Il vous suffit de le faire grâce à votre hébergeur. Voici comment procéder avec Ionos :
- Connectez-vous sur Ionos et cliquez sur « domaines » puis « sécurité » et « certificat SSL ». C’est grâce au certificat SSL que votre site apparaîtra en https.
- Achetez le certificat SSL Starter (qui suffit pour un nom de domaine). Il suffit ensuite de l’activer pour votre site en cliquant sur « domaines et SSL ».
- Sélectionnez la roue crantée et cliquez sur « configurer un certificat ssl ».
- Choisissez le nom de domaine lié et confirmer. Et voilà, votre site devrait s’afficher en https quelques minutes après.
7. Configurer la double authentification pour se connecter à son site
Cinquième astuce pour mieux sécuriser votre site WordPress : la double authentification.
La double authentification implique que vous avez besoin de deux méthodes pour vous connecter à votre site WordPress. Vous renseignez d’abord votre mot de passe, puis :
- soit vous recevez un SMS (ou un appel téléphonique) dans lequel vous recevez un mot de passe unique et limité dans le temps
- soit vous scannez un QR code.
C’est une technique 100 % efficace pour prévenir les attaques malveillantes. Il est en effet très peu probable que le pirate ait à la fois le mot de passe de votre site et votre smartphone dans les mains.
Pour mettre en place la double authentification, il suffit d’installer et de configurer le plugin Two Factor Authentication (qui fait très bien le job en version gratuite).
Dans l’atelier gratuit de Myriam, en plus d’apprendre à créer votre site, vous apprendrez également à installer un plugin facilement.
Revenons à la configuration de la double authentification pour votre site WordPress. Le plugin Wordfence Security (en anglais) propose la mise en place d’une authentification à deux facteurs.
Une fois le plugin installé et activé, il suffit de vous rendre dans « login security » de l’extension Wordfence et de suivre les instructions.
L’avantage de Wordfence Security, c’est que l’extension est utile pour sécuriser votre site à d’autres niveaux que nous verrons dans la suite de l’article. Il existe une version premium de l’extension mais la version gratuite suffit pour tout ce que vous ferez avec.
8. Installer un captcha
Sixième astuce pour sécuriser votre site WordPress : installer un captcha.
En demandant à vos visiteurs de renseigner un captcha obligatoire, vous sécurisez l’accès à votre site et évitez les spams qui peuvent être laissés en commentaires ou via les formulaires de votre site.
En effet, le captcha sert à prouver que vous n’êtes pas un robot spammeur et est présenté sous 3 formes différentes :
- la petite case à cocher
- les chiffres/lettres à reporter dans une case
- ou les images à cocher
Pour le mettre en place, c’est simple, il suffit de télécharger le plugin Google Captcha (reCAPTCHA) by BestWebSoft. Il est léger, entièrement gratuit et mis à jour régulièrement.
Une fois le plugin installé et activé, retrouvez-le dans la colonne de gauche de votre site et configurez-le.
Vous n’avez alors qu’à suivre ces 2 étapes :
- Commencez par récupérer vos clés API (« clé du site » et « clef secrète »).
- Choisissez ensuite à quel formulaire s’applique le captcha (mieux vaut l’appliquer sur tout votre site pour plus de sécurité).
Voici comment ça s’affichera sur votre page de connexion :
Il suffira de cocher la case « je ne suis pas un robot » avant de cliquer sur « se connecter ».
9. Bloquer les requêtes malveillantes
Pour augmenter la sécurité de votre site WordPress, il est aussi recommandé de bloquer les requêtes malveillantes.
Il s’agit des logiciels et des attaques visant à pirater votre site pour le mettre hors service ou pour que le pirate y installe des virus pouvant contaminer les visiteurs.
Le plugin Wordfence Security vous permet de protéger votre site contre les attaques malveillantes.
Il vous suffit de configurer le plugin en vous rendant dans le menu « Firewall ». Sélectionnez « All Firewall Options » puis au niveau de « Web Application Firewall Status », choisissez l’option « Enabled and protecting ».
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes » en haut à droite.
10. Limiter les tentatives de connexion
Limiter les tentatives de connexion est un excellent moyen de protéger votre site WordPress. Vous empêcherez les pirates d’essayer de trouver votre identifiant et votre mot de passe.
Ils essaient, de manière automatique, des milliers de combinaisons à l’aide de listes de noms d’utilisateurs et de mots de passe courants qui ont fuité (d’où l’intérêt de limiter le nombre de tentatives).
Voici comment limiter le nombre de tentatives de connexion avec Wordfence Security en 2 étapes (cette extension est géniale pour la sécurité de votre site) :
- Dans le menu « Firewall », cliquez sur « All Firewall Options » puis cliquez sur « Brute Force Protection ».
- Sélectionnez « on » et choisissez les options (vous pouvez reprendre les chiffres proposés dans la capture d’écran ci-dessus) :
- Lock out after how many login failures (verrouillage après combien d’échecs de connexion)
- Lock out after how many forgot password attempts (verrouillage après combien de tentatives de mot de passe oublié)
- Count failures over what time period (sur quelle période compter les échecs)
- Amount of time a user is locked out (durée pendant laquelle un utilisateur est bloqué).
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes ».
11. Masquer les erreurs de connexion
Autre astuce pour sécuriser votre site WordPress : masquer les erreurs de connexion.
Par défaut, si vous entrez le bon identifiant et un mauvais mot de passe, WordPress vous affichera un message de type « mauvais mot de passe », révélant ainsi que l’identifiant est le bon. Pour un pirate, c’est du pain béni. Il n’aura plus qu’à trouver votre mot de passe.
Et vice versa : si vous vous trompez d’identifiant mais que vous avez le bon mot de passe, WordPress l’affiche clairement. C’est une grosse faille de sécurité.
Heureusement avec Wordfence Security, vous pouvez masquer les erreurs de connexion en modifiant la phrase qui s’affiche (je vous avais dit que ce plugin vous serait super utile).
Dans « Firewall » > « All Firewall Options », cliquez sur « Brute Force Protection » et descendez jusqu’à « Additional Options ». Cochez la case « Don’t let WordPress reveal valid user in login errors ».
Cette option affichera un message générique si quelqu’un essaie de trouver vos identifiants : « le nom d’utilisateur ou le mot de passe est incorrect ». Sauvegardez les changements en cliquant sur « save changes ».
12. Sauvegarder son site
Douzième moyen de sécuriser votre site : effectuer des sauvegardes régulières.
Sauvegarder régulièrement votre site vous permet de le réinstaller en cas de piratage (ou en cas de boulette lorsque vous le modifiez).
Installez et configurez dès le début une extension comme Updraft Plus (la version gratuite suffit).
Une fois le plugin installé et activé, ouvrez les configurations de l’extension. Elles se trouvent dans le menu WordPress dans « Réglages » > « Sauvegardes Updraft Plus ».
Vous pouvez sauvegarder manuellement votre site mais aussi configurer des sauvegardes automatiques pour ne pas avoir à y penser.
Une fois sur le tableau de bord de l’extension, cliquez sur « Réglages ». Choisissez à quelle fréquence sauvegarder votre site (fichiers et base de données) : toutes les 2, 4, 8, 12 heures, quotidiennement, une fois par semaine, deux fois par mois, une fois par mois. A vous de choisir une fréquence adaptée aux modifications que vous apportez sur votre site.
Par exemple, si vous publiez un article de blog par semaine, une sauvegarde par mois ne sera pas suffisante.
Choisissez ensuite l’endroit où stocker votre sauvegarde.
Si vous choisissez de stocker vos sauvegardes sur un cloud comme Dropbox ou Google Drive, vous devrez vous identifier pour finir la configuration.
Juste en-dessous, il faudra aussi cocher les éléments que vous voulez inclure dans la sauvegarde. Je vous recommande de tout cocher pour pouvoir restaurer votre site en totalité en cas de piratage.
Pensez à enregistrer les modifications en cliquant sur le bouton du même nom en bas de page.
13. Masquer sa version de WordPress
Pour masquer votre version de WordPress, il faut de nouveau utiliser l’extension Wordfence Security.
- Cliquez sur le tableau de bord du plugin Wordfence
- Sélectionnez “global options”
- Faites défiler jusqu’à “general wordfence options”
- Cochez la case devant “hide WordPress version”
- N’oubliez pas de sauvegarder les modifications en haut à droite.
En fonction du thème que vous utilisez, il est possible que votre version de WordPress apparaisse malgré tout. Si c’est le cas, faites appel à un développeur si vous ne voulez pas mettre les mains dans le code (un professionnel fera ça en quelques minutes et vous évitera de faire des bêtises).
14. Modifier l’url de connexion
Autre moyen d’améliorer la sécurité de votre site WordPress : modifier l’url de connexion à votre site.
Par défaut (et les pirates le savent), l’url de connexion à votre site WordPress se présente sous cette forme : https://nom-du-site.fr/wp-admin ou /wp-login.
Facile alors d’accéder à votre page de connexion et de trouver votre identifiant et votre mot de passe…
Heureusement, vous pouvez facilement changer votre url de connexion à l’aide de l’extension WPS Hide Login.
Après avoir installé et activé le plugin, cliquez sur « Réglages » dans votre menu WordPress et choisissez « WPS Hide Login ».
Choisissez une nouvelle url de connexion et cliquez sur « enregistrer les modifications ». Votre nouvelle page de connexion ne sera plus /wp-admin ou /wp-login mais l’url de connexion que vous avez choisie.
15. Protéger son ordinateur
Dernier conseil : pensez à protéger votre ordinateur contre le piratage à l’aide d’un anti-virus et en faisant les mises à jour régulièrement.
Si un pirate entre dans votre ordinateur, il peut voler vos mots de passe et accéder à votre site.
Avant d’acheter un antivirus, vérifiez que votre ordinateur n’en a pas un déjà intégré. Si votre ordinateur sous Windows est récent, il est équipé de l’antivirus gratuit Microsoft Defender Antivirus. Cet antivirus est chargé de repérer les logiciels malveillants qui essaient de s’installer sur votre ordinateur.
Si vous êtes sous Mac, le risque zéro n’existe pas mais la menace est moins présente que sur PC.
Effectuez également les mises à jour de votre navigateur : il vous protège lui aussi contre les menaces.
Question antivirus, selon l’UFC Que Choisir, les logiciels gratuits sont aussi efficaces que les antivirus payants (mais vous serez sollicités par de la publicité et incités à basculer sur la formule payante très régulièrement).
Voici quelques antivirus fiables que vous pouvez utiliser en version gratuite :
- Avast
- Sophos
- Avira
- AVG
- Kaspersky
Enfin, pour protéger votre ordinateur :
- Evitez d’ouvrir des pièces jointes d’email si vous n’êtes pas sûres de la source
- Soyez prudentes lorsque vous téléchargez des fichiers sur internet
- Ne bloquez pas les mises à jour des logiciels (je sais, ça tombe toujours au mauvais moment mais reprogrammez-la pour la nuit si vous ne pouvez vraiment pas faire autrement).
Ce qu’il faut retenir pour sécuriser son site WordPress
Même si choisir un mot de passe fort peut vous sembler suffisant pour sécuriser votre site WordPress, mieux vaut prévenir que guérir.
On n’est jamais trop prudent en ce qui concerne la protection de ses données et de celles de nos visiteurs.
Voici les différents moyens de sécuriser votre site WordPress (et je vous recommande vraiment de tout faire, même si ça vous semble fastidieux, car vous vous éviterez tout un tas d’ennuis par la suite) :
- Bien choisir votre hébergeur
- Bien sélectionner votre thème et les plugins que vous installez
- Effectuer des mises à jours régulièrement
- Ne pas conserver les extensions et thèmes inutilisés
- Changer votre identifiant (ne laissez pas « admin ») et choisissez un mot de passe fort
- Passer votre site en https
- Configurer la double authentification
- Installer un captcha
- Bloquer les requêtes malveillantes
- Limiter les tentatives de connexion
- Masquer les erreurs de connexion
- Sauvegarder votre site
- Masquer sa version de WordPress
- Modifier l’url de connexion
- Protéger votre ordinateur
Je sais que tout ça peut sembler compliqué (surtout si vous êtes allergique à la technique comme moi) mais en procédant étape par étape, vous pourrez sécuriser votre site WordPress.
Une fois toutes ces étapes réalisées, vous n’aurez plus qu’à mettre à jour régulièrement votre thème et vos plugins.
Prendre en main son site est primordial quand on débute (surtout quand on n’a pas les moyens de faire appel à un webmaster).
L’atelier de Myriam est parfait car il explique comment installer proprement votre site, étape par étape et le sécuriser. C’est LE guide parfait pour commencer sans faire de boulette.
Suivre son atelier vous permettra de vous faire une idée de la qualité de sa formation payante qui permet de construire et personnaliser son site de A à Z avec Divi. Cerise sur le gâteau : sa formation comprend la licence Divi à vie (soit une économie de plus de 200 €)...
Vous êtes en train de créer votre site internet sous WordPress ? Avez-vous pensé à sa sécurisation ?
Si ce n’est pas encore le cas, sachez que vous risquez gros (le risque zéro n’existe pas sur internet)… Vous vous exposez à une perte de vos données, à des virus, au piratage de données sensibles (les vôtres et celles de vos clients)…
Les risques sont bel et bien réels.
Pour autant, sachez que vous pouvez limiter les risques encourus pour votre site dès maintenant. Même si vous avez déjà construit votre site WordPress, il n’est jamais trop tard pour le sécuriser.
Dans cet article, je vous donne 15 astuces pour protéger votre site WordPress. Vous n’avez plus qu’à les appliquer pas à pas…
Pourquoi sécuriser son site WordPress dès le départ (et ce que vous risquez si vous ne le faites pas) ?
Si vous pensez que la sécurisation de votre site WordPress n’est pas une priorité, vous vous mettez le doigt dans l’œil…
WordPress est la plateforme la plus populaire pour créer un site internet, c’est donc naturellement la plus attaquée par les pirates.
Ne pas sécuriser un site WordPress, c’est comme laisser la porte de votre maison grande ouverte. Peut-être que personne ne rentrera pour vous voler mais vous prenez quand même un GROS risque que ce soit le cas.
Sur internet, on parle de piratage. Certains hackeurs se serviront de votre site pour y installer un virus qui pourrait contaminer votre ordinateur ou votre smartphone.
Le vol de données est également possible : imaginez que vos visiteurs reçoivent des spams à profusion, ou pire… se fassent voler leurs données bancaires après avoir consulté votre site web… Clairement, votre réputation va en prendre un coup. Sans parler de la confiance de votre audience.
Un site sécurisé donnera davantage confiance à vos visiteurs (et à raison). Il améliorera aussi (légèrement) son référencement naturel.
Il est préférable de sécuriser votre site dès le départ pour éviter de vous faire pirater dès sa mise en ligne… Faire tout en même temps vous débarrasse aussi une bonne fois pour toutes de tous ces aspects techniques dont on se passerait bien 😅.
Et pour éviter de vous prendre la tête, je vous conseille de suivre l’atelier gratuit de Myriam. Vous découvrirez toutes les étapes à suivre pour installer et sécuriser votre site WordPress (pas besoin d’être un as de la technique pour ça).
Et en attendant, vous pouvez toujours lire ces 15 conseils que je vous présente ici pour limiter le risque de vous faire pirater et de perdre votre site.
1. Bien choisir son hébergeur
Pour avoir un site sécurisé, il faut commencer par bien choisir son hébergeur.
Votre site sera créé sur WordPress mais il sera stocké sur un serveur mis à disposition par un hébergeur (comme un disque dur mais en ligne).
Il en existe de nombreux sur le marché : O2 Switch, Ionos, OVH, Infomaniak, Planet Hoster…
Pour bien choisir son hébergeur, il faut avant tout minimiser le risque de problème.
Choisir un hébergeur reconnu vous assure de :
-
- avoir un site sécurisé et mis à jour
-
- éviter la perte de données
-
- compter sur des serveurs fiables
Vous vous souvenez sans doute de l’incendie qui s’est déclaré dans les serveurs d’OVH, causant la perte de données de nombreux sites web… Un mauvais souvenir pour tous les créateurs de site sous OVH. Et j’avoue que je suis contente de ne jamais avoir eu à vivre ça.
Personnellement, j’utilise Ionos et je n’ai jamais eu de problème. Le service client est réactif si vous avez des questions (24h/24 et 7j/7) et les tarifs sont abordables.
2. Être vigilant au thème et aux plugins qu’on installe
Deuxième chose à savoir pour un site sécurisé : faites attention au thème que vous choisissez et aux plugins que vous installez.
Choisissez un thème sûr, mis à jour régulièrement et utilisé par des milliers d’internautes. Astra, Ocean WP ou Divi sont des thèmes sûrs que vous pouvez utiliser sans risque.
Avant d’installer un plugin, vérifiez plusieurs points :
-
- La compatibilité avec votre thème (c’est affiché par une phrase du type « 100 % compatible avec le thème x » ou au contraire « non compatible »)
-
- La mise à jour récente (dans les deux mois) : les mises à jour des extensions permettent de corriger des failles de sécurité et d’empêcher ainsi les pirates de pénétrer sur votre site
-
- Le nombre de téléchargements : le plus haut possible (c’est une preuve de la fiabilité d’une extension).
Concernant les extensions, au départ, vous allez vouloir installer plein (parce que c’est facile et hyper pratique). Ne vous laissez pas tenter par le syndrome de l’objet brillant et installez uniquement celles dont vous allez vraiment vous servir.
Toutes les extensions que je vous présente dans cet article sont sûres, vous pouvez les télécharger sans crainte. Elles vous aideront à sécuriser au mieux votre site WordPress.
3. Mettre à jour son site et ses extensions régulièrement
Dans la même lignée que l’astuce précédente, faites attention de conserver votre site à jour.
Les pirates sont nombreux sur WordPress et la plateforme doit régulièrement corriger certaines failles de sécurité. Il en est de même pour les thèmes et les extensions.
Voici comment mettre à jour facilement votre site :
-
- Avant d’effectuer une mise à jour, je vous recommande de sauvegarder votre site (voir astuce n°10). Il y a peu de risques si vous utilisez un thème et des extensions sûres mais le risque zéro d’avoir un bug n’existe malheureusement pas.
-
- Dans votre tableau de bord, cliquez sur “mises à jour” : s’il y a des mises à jour à effectuer, il y aura un chiffre entouré en rouge à côté.
-
- 3 types de mises à jour sont alors possibles :
-
- Une nouvelle version de WordPress
-
- Des extensions à mettre à jour : vérifiez la compatibilité avec votre version de WordPress avant de mettre un plugin à jour
-
- Votre thème
-
- Mettez à jour chaque élément un par un (c’est tentant de tout sélectionner et de mettre à jour d’un coup mais s’il y a un bug, vous ne saurez pas d’où ça vient).
-
- A chaque mise à jour d’un élément, vérifiez que tout fonctionne sur votre site et qu’il n’y a pas de bug d’affichage.
Vous pourriez être tentées d’activer les mises à jour automatiques mais je vous le déconseille. Mieux vaut toujours garder la main sur les mises à jour pour vérifier qu’il n’y a pas de problème dans la mise à niveau d’une extension ou d’un thème.
En termes de fréquence, faites les mises à jour au minimum une fois par mois pour ne prendre aucun risque. Vous pouvez bien sûr les faire plus régulièrement (mais pas besoin de vérifier tous les jours non plus).
4. Ne pas conserver ses extensions et thèmes inutilisés
On reste sur la même thématique : inutile de conserver des extensions et des thèmes que vous n’utilisez pas.
Lorsque vous avez choisi votre thème, vous pouvez supprimer tous ceux installés sur votre site (même s’ils ne sont pas utilisés par défaut).
De la même manière, si vous vous rendez compte que vous n’utilisez plus une extension (et que vous l’avez désactivée dans l’onglet “extensions”), supprimez-la.
Les thèmes et extensions inutilisés surchargent votre site pour rien et il est inutile de faire leurs mises à jour.
5. Changer son identifiant admin et utiliser un mot de passe fort
Troisième étape à faire tout de suite, avant même de construire votre site : changer votre identifiant « admin » et choisir un mot de passe fort.
Par défaut, pour vous connecter à votre espace WordPress, l’identifiant sera « admin ». Il est facile de se faire pirater avec un identifiant aussi simple : c’est le premier que les pirates essaient. Ils n’ont ensuite plus qu’à trouver votre mot de passe (et c’est beaucoup plus facile que vous ne le pensez).
Voici comment faire pour le changer :
-
- Connectez-vous à WordPress.
-
- Allez sur l’onglet « comptes » et cliquez sur « ajouter ».
-
- Choisissez les informations pour le nouveau compte :
-
- Identifiant : choisissez un identifiant compliqué à trouver et différent du nom que vous utilisez pour publier. Vous pouvez utiliser des caractères spéciaux. Par exemple : Emm@47
-
- Adresse email
-
- Prénom, nom
-
- Site web
-
- Choisissez un mot de passe complexe. Vous pouvez générer automatiquement un mot de passe long et difficile à retenir (et donc à pirater).
-
- Copiez-le dans un endroit sûr de votre ordinateur et notez-le également dans un carnet. Il faut que votre mot de passe comprenne au minimum 12 caractères, des majuscules et des minuscules, des chiffres et des caractères spéciaux (& @ #…).
-
- Sélectionnez bien le rôle d’administrateur puis cliquez sur « ajouter un compte ».
-
- Maintenant, il faut supprimer l’ancien compte « admin ». Déconnectez-vous puis connectez-vous avec votre nouvel identifiant et votre mot de passe.
-
- Cliquez sur l’onglet « comptes » > « tous les comptes ». Passez votre souris sur « admin », vous pourrez alors « modifier » ou « supprimer ». Cliquez sur « supprimer ».
-
- Si vous avez déjà écrit du contenu sur votre site, pensez à sélectionner « attribuer tous les articles et les liens à » (suivi de votre nouveau nom d’administrateur). N’oubliez pas de choisir cette option sinon tout le contenu sera effacé.
-
- Cliquez ensuite sur « confirmer la suppression ».
6. Passer son site en https
Autre élément indispensable à la sécurisation de votre site WordPress : le https.
Le “s” à la suite de http indique que le site est sécurisé. Il est représenté par un petit cadenas fermé, qui protège notamment les coordonnées bancaires lors d’un paiement effectué sur un site.
Par défaut, tous les sites sont en http. L’adresse url se présente sous cette forme : http://nom-du-site.fr. Dans la barre de recherche de votre navigateur, le cadenas présent à gauche est alors ouvert.
Quand un site est en http (et non en httpS), une fenêtre s’ouvre pour vous préciser qu’il n’est pas sécurisé. Ça n’inspire pas vraiment confiance… et selon le navigateur web que vous utilisez, vous ne pourrez même pas accéder au site.
Lorsque votre site est en https, le cadenas devant l’adresse url est fermé (et aucun message inquiétant ne s’affiche).
Un site sans https a davantage de risque de se faire pirater et son référencement naturel sera moins bon.
Mais comment faire pour afficher son site en https ?
Il vous suffit de le faire grâce à votre hébergeur. Voici comment procéder avec Ionos :
-
- Connectez-vous sur Ionos et cliquez sur « domaines » puis « sécurité » et « certificat SSL ». C’est grâce au certificat SSL que votre site apparaîtra en https.
-
- Achetez le certificat SSL Starter (qui suffit pour un nom de domaine). Il suffit ensuite de l’activer pour votre site en cliquant sur « domaines et SSL ».
-
- Sélectionnez la roue crantée et cliquez sur « configurer un certificat ssl ».
-
- Choisissez le nom de domaine lié et confirmer. Et voilà, votre site devrait s’afficher en https quelques minutes après.
7. Configurer la double authentification pour se connecter à son site
Cinquième astuce pour mieux sécuriser votre site WordPress : la double authentification.
La double authentification implique que vous avez besoin de deux méthodes pour vous connecter à votre site WordPress. Vous renseignez d’abord votre mot de passe, puis :
-
- soit vous recevez un SMS (ou un appel téléphonique) dans lequel vous recevez un mot de passe unique et limité dans le temps
-
- soit vous scannez un QR code.
C’est une technique 100 % efficace pour prévenir les attaques malveillantes. Il est en effet très peu probable que le pirate ait à la fois le mot de passe de votre site et votre smartphone dans les mains.
Pour mettre en place la double authentification, il suffit d’installer et de configurer le plugin Two Factor Authentication (qui fait très bien le job en version gratuite).
Dans l’atelier gratuit de Myriam, en plus d’apprendre à créer votre site, vous apprendrez également à installer un plugin facilement.
Revenons à la configuration de la double authentification pour votre site WordPress. Le plugin Wordfence Security (en anglais) propose la mise en place d’une authentification à deux facteurs.
Une fois le plugin installé et activé, il suffit de vous rendre dans « login security » de l’extension Wordfence et de suivre les instructions.
L’avantage de Wordfence Security, c’est que l’extension est utile pour sécuriser votre site à d’autres niveaux que nous verrons dans la suite de l’article. Il existe une version premium de l’extension mais la version gratuite suffit pour tout ce que vous ferez avec.
8. Installer un captcha
Sixième astuce pour sécuriser votre site WordPress : installer un captcha.
En demandant à vos visiteurs de renseigner un captcha obligatoire, vous sécurisez l’accès à votre site et évitez les spams qui peuvent être laissés en commentaires ou via les formulaires de votre site.
En effet, le captcha sert à prouver que vous n’êtes pas un robot spammeur et est présenté sous 3 formes différentes :
-
- la petite case à cocher
-
- les chiffres/lettres à reporter dans une case
-
- ou les images à cocher
Pour le mettre en place, c’est simple, il suffit de télécharger le plugin Google Captcha (reCAPTCHA) by BestWebSoft. Il est léger, entièrement gratuit et mis à jour régulièrement.
Une fois le plugin installé et activé, retrouvez-le dans la colonne de gauche de votre site et configurez-le.
Vous n’avez alors qu’à suivre ces 2 étapes :
-
- Commencez par récupérer vos clés API (« clé du site » et « clef secrète »).
-
- Choisissez ensuite à quel formulaire s’applique le captcha (mieux vaut l’appliquer sur tout votre site pour plus de sécurité).
Voici comment ça s’affichera sur votre page de connexion :
Il suffira de cocher la case « je ne suis pas un robot » avant de cliquer sur « se connecter ».
9. Bloquer les requêtes malveillantes
Pour augmenter la sécurité de votre site WordPress, il est aussi recommandé de bloquer les requêtes malveillantes.
Il s’agit des logiciels et des attaques visant à pirater votre site pour le mettre hors service ou pour que le pirate y installe des virus pouvant contaminer les visiteurs.
Le plugin Wordfence Security vous permet de protéger votre site contre les attaques malveillantes.
Il vous suffit de configurer le plugin en vous rendant dans le menu « Firewall ». Sélectionnez « All Firewall Options » puis au niveau de « Web Application Firewall Status », choisissez l’option « Enabled and protecting ».
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes » en haut à droite.
10. Limiter les tentatives de connexion
Limiter les tentatives de connexion est un excellent moyen de protéger votre site WordPress. Vous empêcherez les pirates d’essayer de trouver votre identifiant et votre mot de passe.
Ils essaient, de manière automatique, des milliers de combinaisons à l’aide de listes de noms d’utilisateurs et de mots de passe courants qui ont fuité (d’où l’intérêt de limiter le nombre de tentatives).
Voici comment limiter le nombre de tentatives de connexion avec Wordfence Security en 2 étapes (cette extension est géniale pour la sécurité de votre site) :
-
- Dans le menu « Firewall », cliquez sur « All Firewall Options » puis cliquez sur « Brute Force Protection ».
-
- Sélectionnez « on » et choisissez les options (vous pouvez reprendre les chiffres proposés dans la capture d’écran ci-dessus) :
-
- Lock out after how many login failures (verrouillage après combien d’échecs de connexion)
-
- Lock out after how many forgot password attempts (verrouillage après combien de tentatives de mot de passe oublié)
-
- Count failures over what time period (sur quelle période compter les échecs)
-
- Amount of time a user is locked out (durée pendant laquelle un utilisateur est bloqué).
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes ».
11. Masquer les erreurs de connexion
Autre astuce pour sécuriser votre site WordPress : masquer les erreurs de connexion.
Par défaut, si vous entrez le bon identifiant et un mauvais mot de passe, WordPress vous affichera un message de type « mauvais mot de passe », révélant ainsi que l’identifiant est le bon. Pour un pirate, c’est du pain béni. Il n’aura plus qu’à trouver votre mot de passe.
Et vice versa : si vous vous trompez d’identifiant mais que vous avez le bon mot de passe, WordPress l’affiche clairement. C’est une grosse faille de sécurité.
Heureusement avec Wordfence Security, vous pouvez masquer les erreurs de connexion en modifiant la phrase qui s’affiche (je vous avais dit que ce plugin vous serait super utile).
Dans « Firewall » > « All Firewall Options », cliquez sur « Brute Force Protection » et descendez jusqu’à « Additional Options ». Cochez la case « Don’t let WordPress reveal valid user in login errors ».
Cette option affichera un message générique si quelqu’un essaie de trouver vos identifiants : « le nom d’utilisateur ou le mot de passe est incorrect ». Sauvegardez les changements en cliquant sur « save changes ».
12. Sauvegarder son site
Douzième moyen de sécuriser votre site : effectuer des sauvegardes régulières.
Sauvegarder régulièrement votre site vous permet de le réinstaller en cas de piratage (ou en cas de boulette lorsque vous le modifiez).
Installez et configurez dès le début une extension comme Updraft Plus (la version gratuite suffit).
Une fois le plugin installé et activé, ouvrez les configurations de l’extension. Elles se trouvent dans le menu WordPress dans « Réglages » > « Sauvegardes Updraft Plus ».
Vous pouvez sauvegarder manuellement votre site mais aussi configurer des sauvegardes automatiques pour ne pas avoir à y penser.
Une fois sur le tableau de bord de l’extension, cliquez sur « Réglages ». Choisissez à quelle fréquence sauvegarder votre site (fichiers et base de données) : toutes les 2, 4, 8, 12 heures, quotidiennement, une fois par semaine, deux fois par mois, une fois par mois. A vous de choisir une fréquence adaptée aux modifications que vous apportez sur votre site.
Par exemple, si vous publiez un article de blog par semaine, une sauvegarde par mois ne sera pas suffisante.
Choisissez ensuite l’endroit où stocker votre sauvegarde.
Si vous choisissez de stocker vos sauvegardes sur un cloud comme Dropbox ou Google Drive, vous devrez vous identifier pour finir la configuration.
Juste en-dessous, il faudra aussi cocher les éléments que vous voulez inclure dans la sauvegarde. Je vous recommande de tout cocher pour pouvoir restaurer votre site en totalité en cas de piratage.
Pensez à enregistrer les modifications en cliquant sur le bouton du même nom en bas de page.
13. Masquer sa version de WordPress
Pour masquer votre version de WordPress, il faut de nouveau utiliser l’extension Wordfence Security.
-
- Cliquez sur le tableau de bord du plugin Wordfence
-
- Sélectionnez “global options”
-
- Faites défiler jusqu’à “general wordfence options”
-
- Cochez la case devant “hide WordPress version”
-
- N’oubliez pas de sauvegarder les modifications en haut à droite.
En fonction du thème que vous utilisez, il est possible que votre version de WordPress apparaisse malgré tout. Si c’est le cas, faites appel à un développeur si vous ne voulez pas mettre les mains dans le code (un professionnel fera ça en quelques minutes et vous évitera de faire des bêtises).
14. Modifier l’url de connexion
Autre moyen d’améliorer la sécurité de votre site WordPress : modifier l’url de connexion à votre site.
Par défaut (et les pirates le savent), l’url de connexion à votre site WordPress se présente sous cette forme : https://nom-du-site.fr/wp-admin ou /wp-login.
Facile alors d’accéder à votre page de connexion et de trouver votre identifiant et votre mot de passe…
Heureusement, vous pouvez facilement changer votre url de connexion à l’aide de l’extension WPS Hide Login.
Après avoir installé et activé le plugin, cliquez sur « Réglages » dans votre menu WordPress et choisissez « WPS Hide Login ».
Choisissez une nouvelle url de connexion et cliquez sur « enregistrer les modifications ». Votre nouvelle page de connexion ne sera plus /wp-admin ou /wp-login mais l’url de connexion que vous avez choisie.
15. Protéger son ordinateur
Dernier conseil : pensez à protéger votre ordinateur contre le piratage à l’aide d’un anti-virus et en faisant les mises à jour régulièrement.
Si un pirate entre dans votre ordinateur, il peut voler vos mots de passe et accéder à votre site.
Avant d’acheter un antivirus, vérifiez que votre ordinateur n’en a pas un déjà intégré. Si votre ordinateur sous Windows est récent, il est équipé de l’antivirus gratuit Microsoft Defender Antivirus. Cet antivirus est chargé de repérer les logiciels malveillants qui essaient de s’installer sur votre ordinateur.
Si vous êtes sous Mac, le risque zéro n’existe pas mais la menace est moins présente que sur PC.
Effectuez également les mises à jour de votre navigateur : il vous protège lui aussi contre les menaces.
Question antivirus, selon l’UFC Que Choisir, les logiciels gratuits sont aussi efficaces que les antivirus payants (mais vous serez sollicités par de la publicité et incités à basculer sur la formule payante très régulièrement).
Voici quelques antivirus fiables que vous pouvez utiliser en version gratuite :
-
- Avast
-
- Sophos
-
- Avira
-
- AVG
-
- Kaspersky
Enfin, pour protéger votre ordinateur :
-
- Evitez d’ouvrir des pièces jointes d’email si vous n’êtes pas sûres de la source
-
- Soyez prudentes lorsque vous téléchargez des fichiers sur internet
-
- Ne bloquez pas les mises à jour des logiciels (je sais, ça tombe toujours au mauvais moment mais reprogrammez-la pour la nuit si vous ne pouvez vraiment pas faire autrement).
Ce qu’il faut retenir pour sécuriser son site WordPress
Même si choisir un mot de passe fort peut vous sembler suffisant pour sécuriser votre site WordPress, mieux vaut prévenir que guérir.
On n’est jamais trop prudent en ce qui concerne la protection de ses données et de celles de nos visiteurs.
Voici les différents moyens de sécuriser votre site WordPress (et je vous recommande vraiment de tout faire, même si ça vous semble fastidieux, car vous vous éviterez tout un tas d’ennuis par la suite) :
-
- Bien choisir votre hébergeur
-
- Bien sélectionner votre thème et les plugins que vous installez
-
- Effectuer des mises à jours régulièrement
-
- Ne pas conserver les extensions et thèmes inutilisés
-
- Changer votre identifiant (ne laissez pas « admin ») et choisissez un mot de passe fort
-
- Passer votre site en https
-
- Configurer la double authentification
-
- Installer un captcha
-
- Bloquer les requêtes malveillantes
-
- Limiter les tentatives de connexion
-
- Masquer les erreurs de connexion
-
- Sauvegarder votre site
-
- Masquer sa version de WordPress
-
- Modifier l’url de connexion
-
- Protéger votre ordinateur
Je sais que tout ça peut sembler compliqué (surtout si vous êtes allergique à la technique comme moi) mais en procédant étape par étape, vous pourrez sécuriser votre site WordPress.
Une fois toutes ces étapes réalisées, vous n’aurez plus qu’à mettre à jour régulièrement votre thème et vos plugins.
Prendre en main son site est primordial quand on débute (surtout quand on n’a pas les moyens de faire appel à un webmaster).
Suivre son atelier vous permettra de vous faire une idée de la qualité de sa formation payante qui permet de construire et personnaliser son site de A à Z avec Divi. Cerise sur le gâteau : sa formation comprend la licence Divi à vie (soit une économie de plus de 200 €)…
Pour avoir un site sécurisé, il faut commencer par bien choisir son hébergeur.
Votre site sera créé sur WordPress mais il sera stocké sur un serveur mis à disposition par un hébergeur (comme un disque dur mais en ligne).
Il en existe de nombreux sur le marché : O2 Switch, Ionos, OVH, Infomaniak, Planet Hoster…
Pour bien choisir son hébergeur, il faut avant tout minimiser le risque de problème.
Choisir un hébergeur reconnu vous assure de :
-
- avoir un site sécurisé et mis à jour
-
- éviter la perte de données
-
- compter sur des serveurs fiables
Vous vous souvenez sans doute de l’incendie qui s’est déclaré dans les serveurs d’OVH, causant la perte de données de nombreux sites web… Un mauvais souvenir pour tous les créateurs de site sous OVH. Et j’avoue que je suis contente de ne jamais avoir eu à vivre ça.
Personnellement, j’utilise Ionos et je n’ai jamais eu de problème. Le service client est réactif si vous avez des questions (24h/24 et 7j/7) et les tarifs sont abordables.
2. Être vigilant au thème et aux plugins qu’on installe
Deuxième chose à savoir pour un site sécurisé : faites attention au thème que vous choisissez et aux plugins que vous installez.
Choisissez un thème sûr, mis à jour régulièrement et utilisé par des milliers d’internautes. Astra, Ocean WP ou Divi sont des thèmes sûrs que vous pouvez utiliser sans risque.
Avant d’installer un plugin, vérifiez plusieurs points :
-
- La compatibilité avec votre thème (c’est affiché par une phrase du type « 100 % compatible avec le thème x » ou au contraire « non compatible »)
-
- La mise à jour récente (dans les deux mois) : les mises à jour des extensions permettent de corriger des failles de sécurité et d’empêcher ainsi les pirates de pénétrer sur votre site
-
- Le nombre de téléchargements : le plus haut possible (c’est une preuve de la fiabilité d’une extension).
Concernant les extensions, au départ, vous allez vouloir installer plein (parce que c’est facile et hyper pratique). Ne vous laissez pas tenter par le syndrome de l’objet brillant et installez uniquement celles dont vous allez vraiment vous servir.
Toutes les extensions que je vous présente dans cet article sont sûres, vous pouvez les télécharger sans crainte. Elles vous aideront à sécuriser au mieux votre site WordPress.
3. Mettre à jour son site et ses extensions régulièrement
Dans la même lignée que l’astuce précédente, faites attention de conserver votre site à jour.
Les pirates sont nombreux sur WordPress et la plateforme doit régulièrement corriger certaines failles de sécurité. Il en est de même pour les thèmes et les extensions.
Voici comment mettre à jour facilement votre site :
-
- Avant d’effectuer une mise à jour, je vous recommande de sauvegarder votre site (voir astuce n°10). Il y a peu de risques si vous utilisez un thème et des extensions sûres mais le risque zéro d’avoir un bug n’existe malheureusement pas.
-
- Dans votre tableau de bord, cliquez sur “mises à jour” : s’il y a des mises à jour à effectuer, il y aura un chiffre entouré en rouge à côté.
-
- 3 types de mises à jour sont alors possibles :
-
- Une nouvelle version de WordPress
-
- Des extensions à mettre à jour : vérifiez la compatibilité avec votre version de WordPress avant de mettre un plugin à jour
-
- Votre thème
-
- 3 types de mises à jour sont alors possibles :
-
- Mettez à jour chaque élément un par un (c’est tentant de tout sélectionner et de mettre à jour d’un coup mais s’il y a un bug, vous ne saurez pas d’où ça vient).
-
- A chaque mise à jour d’un élément, vérifiez que tout fonctionne sur votre site et qu’il n’y a pas de bug d’affichage.
Vous pourriez être tentées d’activer les mises à jour automatiques mais je vous le déconseille. Mieux vaut toujours garder la main sur les mises à jour pour vérifier qu’il n’y a pas de problème dans la mise à niveau d’une extension ou d’un thème.
En termes de fréquence, faites les mises à jour au minimum une fois par mois pour ne prendre aucun risque. Vous pouvez bien sûr les faire plus régulièrement (mais pas besoin de vérifier tous les jours non plus).
4. Ne pas conserver ses extensions et thèmes inutilisés
On reste sur la même thématique : inutile de conserver des extensions et des thèmes que vous n’utilisez pas.
Lorsque vous avez choisi votre thème, vous pouvez supprimer tous ceux installés sur votre site (même s’ils ne sont pas utilisés par défaut).
De la même manière, si vous vous rendez compte que vous n’utilisez plus une extension (et que vous l’avez désactivée dans l’onglet “extensions”), supprimez-la.
Les thèmes et extensions inutilisés surchargent votre site pour rien et il est inutile de faire leurs mises à jour.
5. Changer son identifiant admin et utiliser un mot de passe fort
Troisième étape à faire tout de suite, avant même de construire votre site : changer votre identifiant « admin » et choisir un mot de passe fort.
Par défaut, pour vous connecter à votre espace WordPress, l’identifiant sera « admin ». Il est facile de se faire pirater avec un identifiant aussi simple : c’est le premier que les pirates essaient. Ils n’ont ensuite plus qu’à trouver votre mot de passe (et c’est beaucoup plus facile que vous ne le pensez).
Voici comment faire pour le changer :
-
- Connectez-vous à WordPress.
-
- Allez sur l’onglet « comptes » et cliquez sur « ajouter ».
-
- Choisissez les informations pour le nouveau compte :
-
- Identifiant : choisissez un identifiant compliqué à trouver et différent du nom que vous utilisez pour publier. Vous pouvez utiliser des caractères spéciaux. Par exemple : Emm@47
-
- Adresse email
-
- Prénom, nom
-
- Site web
-
- Choisissez un mot de passe complexe. Vous pouvez générer automatiquement un mot de passe long et difficile à retenir (et donc à pirater).
-
- Copiez-le dans un endroit sûr de votre ordinateur et notez-le également dans un carnet. Il faut que votre mot de passe comprenne au minimum 12 caractères, des majuscules et des minuscules, des chiffres et des caractères spéciaux (& @ #…).
-
- Sélectionnez bien le rôle d’administrateur puis cliquez sur « ajouter un compte ».
-
- Maintenant, il faut supprimer l’ancien compte « admin ». Déconnectez-vous puis connectez-vous avec votre nouvel identifiant et votre mot de passe.
-
- Cliquez sur l’onglet « comptes » > « tous les comptes ». Passez votre souris sur « admin », vous pourrez alors « modifier » ou « supprimer ». Cliquez sur « supprimer ».
-
- Si vous avez déjà écrit du contenu sur votre site, pensez à sélectionner « attribuer tous les articles et les liens à » (suivi de votre nouveau nom d’administrateur). N’oubliez pas de choisir cette option sinon tout le contenu sera effacé.
-
- Cliquez ensuite sur « confirmer la suppression ».
6. Passer son site en https
Autre élément indispensable à la sécurisation de votre site WordPress : le https.
Le “s” à la suite de http indique que le site est sécurisé. Il est représenté par un petit cadenas fermé, qui protège notamment les coordonnées bancaires lors d’un paiement effectué sur un site.
Par défaut, tous les sites sont en http. L’adresse url se présente sous cette forme : http://nom-du-site.fr. Dans la barre de recherche de votre navigateur, le cadenas présent à gauche est alors ouvert.
Quand un site est en http (et non en httpS), une fenêtre s’ouvre pour vous préciser qu’il n’est pas sécurisé. Ça n’inspire pas vraiment confiance… et selon le navigateur web que vous utilisez, vous ne pourrez même pas accéder au site.
Lorsque votre site est en https, le cadenas devant l’adresse url est fermé (et aucun message inquiétant ne s’affiche).
Un site sans https a davantage de risque de se faire pirater et son référencement naturel sera moins bon.
Mais comment faire pour afficher son site en https ?
Il vous suffit de le faire grâce à votre hébergeur. Voici comment procéder avec Ionos :
-
- Connectez-vous sur Ionos et cliquez sur « domaines » puis « sécurité » et « certificat SSL ». C’est grâce au certificat SSL que votre site apparaîtra en https.
-
- Achetez le certificat SSL Starter (qui suffit pour un nom de domaine). Il suffit ensuite de l’activer pour votre site en cliquant sur « domaines et SSL ».
-
- Sélectionnez la roue crantée et cliquez sur « configurer un certificat ssl ».
-
- Choisissez le nom de domaine lié et confirmer. Et voilà, votre site devrait s’afficher en https quelques minutes après.
7. Configurer la double authentification pour se connecter à son site
Cinquième astuce pour mieux sécuriser votre site WordPress : la double authentification.
La double authentification implique que vous avez besoin de deux méthodes pour vous connecter à votre site WordPress. Vous renseignez d’abord votre mot de passe, puis :
-
- soit vous recevez un SMS (ou un appel téléphonique) dans lequel vous recevez un mot de passe unique et limité dans le temps
-
- soit vous scannez un QR code.
C’est une technique 100 % efficace pour prévenir les attaques malveillantes. Il est en effet très peu probable que le pirate ait à la fois le mot de passe de votre site et votre smartphone dans les mains.
Pour mettre en place la double authentification, il suffit d’installer et de configurer le plugin Two Factor Authentication (qui fait très bien le job en version gratuite).
Dans l’atelier gratuit de Myriam, en plus d’apprendre à créer votre site, vous apprendrez également à installer un plugin facilement.
Revenons à la configuration de la double authentification pour votre site WordPress. Le plugin Wordfence Security (en anglais) propose la mise en place d’une authentification à deux facteurs.
Une fois le plugin installé et activé, il suffit de vous rendre dans « login security » de l’extension Wordfence et de suivre les instructions.
L’avantage de Wordfence Security, c’est que l’extension est utile pour sécuriser votre site à d’autres niveaux que nous verrons dans la suite de l’article. Il existe une version premium de l’extension mais la version gratuite suffit pour tout ce que vous ferez avec.
8. Installer un captcha
Sixième astuce pour sécuriser votre site WordPress : installer un captcha.
En demandant à vos visiteurs de renseigner un captcha obligatoire, vous sécurisez l’accès à votre site et évitez les spams qui peuvent être laissés en commentaires ou via les formulaires de votre site.
En effet, le captcha sert à prouver que vous n’êtes pas un robot spammeur et est présenté sous 3 formes différentes :
-
- la petite case à cocher
-
- les chiffres/lettres à reporter dans une case
-
- ou les images à cocher
Pour le mettre en place, c’est simple, il suffit de télécharger le plugin Google Captcha (reCAPTCHA) by BestWebSoft. Il est léger, entièrement gratuit et mis à jour régulièrement.
Une fois le plugin installé et activé, retrouvez-le dans la colonne de gauche de votre site et configurez-le.
Vous n’avez alors qu’à suivre ces 2 étapes :
-
- Commencez par récupérer vos clés API (« clé du site » et « clef secrète »).
-
- Choisissez ensuite à quel formulaire s’applique le captcha (mieux vaut l’appliquer sur tout votre site pour plus de sécurité).
Voici comment ça s’affichera sur votre page de connexion :
Il suffira de cocher la case « je ne suis pas un robot » avant de cliquer sur « se connecter ».
9. Bloquer les requêtes malveillantes
Pour augmenter la sécurité de votre site WordPress, il est aussi recommandé de bloquer les requêtes malveillantes.
Il s’agit des logiciels et des attaques visant à pirater votre site pour le mettre hors service ou pour que le pirate y installe des virus pouvant contaminer les visiteurs.
Le plugin Wordfence Security vous permet de protéger votre site contre les attaques malveillantes.
Il vous suffit de configurer le plugin en vous rendant dans le menu « Firewall ». Sélectionnez « All Firewall Options » puis au niveau de « Web Application Firewall Status », choisissez l’option « Enabled and protecting ».
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes » en haut à droite.
10. Limiter les tentatives de connexion
Limiter les tentatives de connexion est un excellent moyen de protéger votre site WordPress. Vous empêcherez les pirates d’essayer de trouver votre identifiant et votre mot de passe.
Ils essaient, de manière automatique, des milliers de combinaisons à l’aide de listes de noms d’utilisateurs et de mots de passe courants qui ont fuité (d’où l’intérêt de limiter le nombre de tentatives).
Voici comment limiter le nombre de tentatives de connexion avec Wordfence Security en 2 étapes (cette extension est géniale pour la sécurité de votre site) :
-
- Dans le menu « Firewall », cliquez sur « All Firewall Options » puis cliquez sur « Brute Force Protection ».
-
- Sélectionnez « on » et choisissez les options (vous pouvez reprendre les chiffres proposés dans la capture d’écran ci-dessus) :
-
- Lock out after how many login failures (verrouillage après combien d’échecs de connexion)
-
- Lock out after how many forgot password attempts (verrouillage après combien de tentatives de mot de passe oublié)
-
- Count failures over what time period (sur quelle période compter les échecs)
-
- Amount of time a user is locked out (durée pendant laquelle un utilisateur est bloqué).
N’oubliez pas de sauvegarder les changements en cliquant sur « save changes ».
11. Masquer les erreurs de connexion
Autre astuce pour sécuriser votre site WordPress : masquer les erreurs de connexion.
Par défaut, si vous entrez le bon identifiant et un mauvais mot de passe, WordPress vous affichera un message de type « mauvais mot de passe », révélant ainsi que l’identifiant est le bon. Pour un pirate, c’est du pain béni. Il n’aura plus qu’à trouver votre mot de passe.
Et vice versa : si vous vous trompez d’identifiant mais que vous avez le bon mot de passe, WordPress l’affiche clairement. C’est une grosse faille de sécurité.
Heureusement avec Wordfence Security, vous pouvez masquer les erreurs de connexion en modifiant la phrase qui s’affiche (je vous avais dit que ce plugin vous serait super utile).
Dans « Firewall » > « All Firewall Options », cliquez sur « Brute Force Protection » et descendez jusqu’à « Additional Options ». Cochez la case « Don’t let WordPress reveal valid user in login errors ».
Cette option affichera un message générique si quelqu’un essaie de trouver vos identifiants : « le nom d’utilisateur ou le mot de passe est incorrect ». Sauvegardez les changements en cliquant sur « save changes ».
12. Sauvegarder son site
Douzième moyen de sécuriser votre site : effectuer des sauvegardes régulières.
Sauvegarder régulièrement votre site vous permet de le réinstaller en cas de piratage (ou en cas de boulette lorsque vous le modifiez).
Installez et configurez dès le début une extension comme Updraft Plus (la version gratuite suffit).
Une fois le plugin installé et activé, ouvrez les configurations de l’extension. Elles se trouvent dans le menu WordPress dans « Réglages » > « Sauvegardes Updraft Plus ».
Vous pouvez sauvegarder manuellement votre site mais aussi configurer des sauvegardes automatiques pour ne pas avoir à y penser.
Une fois sur le tableau de bord de l’extension, cliquez sur « Réglages ». Choisissez à quelle fréquence sauvegarder votre site (fichiers et base de données) : toutes les 2, 4, 8, 12 heures, quotidiennement, une fois par semaine, deux fois par mois, une fois par mois. A vous de choisir une fréquence adaptée aux modifications que vous apportez sur votre site.
Par exemple, si vous publiez un article de blog par semaine, une sauvegarde par mois ne sera pas suffisante.
Choisissez ensuite l’endroit où stocker votre sauvegarde.
Si vous choisissez de stocker vos sauvegardes sur un cloud comme Dropbox ou Google Drive, vous devrez vous identifier pour finir la configuration.
Juste en-dessous, il faudra aussi cocher les éléments que vous voulez inclure dans la sauvegarde. Je vous recommande de tout cocher pour pouvoir restaurer votre site en totalité en cas de piratage.
Pensez à enregistrer les modifications en cliquant sur le bouton du même nom en bas de page.
13. Masquer sa version de WordPress
Pour masquer votre version de WordPress, il faut de nouveau utiliser l’extension Wordfence Security.
-
- Cliquez sur le tableau de bord du plugin Wordfence
-
- Sélectionnez “global options”
-
- Faites défiler jusqu’à “general wordfence options”
-
- Cochez la case devant “hide WordPress version”
-
- N’oubliez pas de sauvegarder les modifications en haut à droite.
En fonction du thème que vous utilisez, il est possible que votre version de WordPress apparaisse malgré tout. Si c’est le cas, faites appel à un développeur si vous ne voulez pas mettre les mains dans le code (un professionnel fera ça en quelques minutes et vous évitera de faire des bêtises).
14. Modifier l’url de connexion
Autre moyen d’améliorer la sécurité de votre site WordPress : modifier l’url de connexion à votre site.
Par défaut (et les pirates le savent), l’url de connexion à votre site WordPress se présente sous cette forme : https://nom-du-site.fr/wp-admin ou /wp-login.
Facile alors d’accéder à votre page de connexion et de trouver votre identifiant et votre mot de passe…
Heureusement, vous pouvez facilement changer votre url de connexion à l’aide de l’extension WPS Hide Login.
Après avoir installé et activé le plugin, cliquez sur « Réglages » dans votre menu WordPress et choisissez « WPS Hide Login ».
Choisissez une nouvelle url de connexion et cliquez sur « enregistrer les modifications ». Votre nouvelle page de connexion ne sera plus /wp-admin ou /wp-login mais l’url de connexion que vous avez choisie.
15. Protéger son ordinateur
Dernier conseil : pensez à protéger votre ordinateur contre le piratage à l’aide d’un anti-virus et en faisant les mises à jour régulièrement.
Si un pirate entre dans votre ordinateur, il peut voler vos mots de passe et accéder à votre site.
Avant d’acheter un antivirus, vérifiez que votre ordinateur n’en a pas un déjà intégré. Si votre ordinateur sous Windows est récent, il est équipé de l’antivirus gratuit Microsoft Defender Antivirus. Cet antivirus est chargé de repérer les logiciels malveillants qui essaient de s’installer sur votre ordinateur.
Si vous êtes sous Mac, le risque zéro n’existe pas mais la menace est moins présente que sur PC.
Effectuez également les mises à jour de votre navigateur : il vous protège lui aussi contre les menaces.
Question antivirus, selon l’UFC Que Choisir, les logiciels gratuits sont aussi efficaces que les antivirus payants (mais vous serez sollicités par de la publicité et incités à basculer sur la formule payante très régulièrement).
Voici quelques antivirus fiables que vous pouvez utiliser en version gratuite :
-
- Avast
-
- Sophos
-
- Avira
-
- AVG
-
- Kaspersky
Enfin, pour protéger votre ordinateur :
-
- Evitez d’ouvrir des pièces jointes d’email si vous n’êtes pas sûres de la source
-
- Soyez prudentes lorsque vous téléchargez des fichiers sur internet
-
- Ne bloquez pas les mises à jour des logiciels (je sais, ça tombe toujours au mauvais moment mais reprogrammez-la pour la nuit si vous ne pouvez vraiment pas faire autrement).
Ce qu’il faut retenir pour sécuriser son site WordPress
Même si choisir un mot de passe fort peut vous sembler suffisant pour sécuriser votre site WordPress, mieux vaut prévenir que guérir.
On n’est jamais trop prudent en ce qui concerne la protection de ses données et de celles de nos visiteurs.
Voici les différents moyens de sécuriser votre site WordPress (et je vous recommande vraiment de tout faire, même si ça vous semble fastidieux, car vous vous éviterez tout un tas d’ennuis par la suite) :
-
- Bien choisir votre hébergeur
-
- Bien sélectionner votre thème et les plugins que vous installez
-
- Effectuer des mises à jours régulièrement
-
- Ne pas conserver les extensions et thèmes inutilisés
-
- Changer votre identifiant (ne laissez pas « admin ») et choisissez un mot de passe fort
-
- Passer votre site en https
-
- Configurer la double authentification
-
- Installer un captcha
-
- Bloquer les requêtes malveillantes
-
- Limiter les tentatives de connexion
-
- Masquer les erreurs de connexion
-
- Sauvegarder votre site
-
- Masquer sa version de WordPress
-
- Modifier l’url de connexion
-
- Protéger votre ordinateur
Je sais que tout ça peut sembler compliqué (surtout si vous êtes allergique à la technique comme moi) mais en procédant étape par étape, vous pourrez sécuriser votre site WordPress.
Une fois toutes ces étapes réalisées, vous n’aurez plus qu’à mettre à jour régulièrement votre thème et vos plugins.
Prendre en main son site est primordial quand on débute (surtout quand on n’a pas les moyens de faire appel à un webmaster).
Suivre son atelier vous permettra de vous faire une idée de la qualité de sa formation payante qui permet de construire et personnaliser son site de A à Z avec Divi. Cerise sur le gâteau : sa formation comprend la licence Divi à vie (soit une économie de plus de 200 €)…