Faites le test : scannez votre site WordPress pour savoir s’il est assez sécurisé

Nicolas Alamone
Nicolas Alamone
Produits mentionnés
Outils de gestion de site, Certificats SSL, Sécurité site Web
La sécurité idéale pour WordPress

Internet est un monde merveilleux, mais il peut également être dangereux. Ses réseaux regorgent de logiciels malveillants et de hackers prêts à voler des données sensibles où ils le peuvent. Il est donc nécessaire de protéger votre site WordPress le mieux possible, et cela passe par un scan de sécurité régulier comprenant de nombreux points essentiels.

De l’importance de réaliser un scan de sécurité WordPress

Une analyse réalisée en 2018 par GoDaddy Security et Sucuri montre que, sur plus de 25 000 sites web infectés, 90 % d’entre eux tournaient sous WordPress, alors que le CMS ne représente « que » 34 % des sites sur le globe. Il ne s’agit pas toutefois d’un manque de sécurité du fameux logiciel open source, mais plutôt du fait qu’il fait fonctionner une grande part des plateformes les plus populaires dans le monde, notent les auteurs de l’étude.

Cela doit évidemment vous interpeller : si vous avez construit votre site web grâce à WordPress, vous avez plus de chances d’être victime d’une cyberattaque qu’avec n’importe quel autre système de gestion de contenu. C’est pourquoi vous devez réaliser régulièrement un scan de sécurité le plus complet possible.

À lire aussi : Cybersécurité : les risques d’un site internet non sécurisé

Les étapes à suivre pour sécuriser votre site WordPress

Mettre en place un scan de sécurité WordPress nécessite de suivre plusieurs étapes auxquelles vous ne pouvez pas déroger.

Installez un certificat SSL

Cela semble évident, mais il vous faut absolument installer un certificat SSL sur votre site internet. Celui-ci sert tout simplement à crypter la connexion entre l’ordinateur de vos visiteurs et votre serveur, protégeant ainsi leurs données personnelles et empêchant un pirate informatique d’infecter leurs appareils. Disposer d’un tel protocole améliorera également votre référencement naturel sur les moteurs de recherche comme Google, dont les algorithmes favorisent les plateformes affichant un HTTPS dans leur URL, augmentant ainsi votre SEO.

Si votre site internet dispose déjà d’un tel certificat, vérifiez qu’il soit bien à jour et suffisamment sécurisé pour éviter toute intrusion ou hacking.

Lecture complémentaire : Quel certificat SSL fonctionne le mieux avec WordPress ?

 Prêtez attention aux plugins et aux thèmes

Chaque mise à jour de WordPress inclut des patchs de sécurité pour combler les failles nouvellement découvertes. Mais ceux-ci ne prennent pas en compte les applications et autres logiciels périphériques comme vos plugins et thèmes, que vous devrez mettre à jour manuellement. Pour cela, rien de plus simple. Il vous suffit de vous rendre dans l’onglet Mises à jour de votre dashboard et de télécharger tous les fichiers nécessaires. Il est également possible de réaliser cette étape automatiquement en entrant quelques lignes de code dans le fichier wp-config.php.

Il se peut également que vous ayez des widgets installés mais que vous n’utilisez pas ou plus. Chacun d’entre eux est une porte d’entrée potentielle pour un hacker, et il ne suffit pas de les désactiver pour être en sécurité. Pensez à les désinstaller dès que vous n’en avez plus l’utilité, pour vous protéger.

Utilisez des mots de passe vraiment sécurisés

Tout comme le certificat SSL, utiliser des mots de passe vraiment sécurisés semble aller de soi. Il y a toutefois trop de sites internet employant des mots de passe beaucoup trop simples pour les accès administrateur, allant du classique « 12345 » à la date de naissance du développeur, évidemment très vulnérables. Privilégiez alors des suites de caractères aléatoires comprenant des chiffres, des lettres minuscules et majuscules, et des caractères spéciaux. Vous pouvez télécharger un générateur de mots de passe pour vous aider.

Limitez les tentatives de connexion

Dans la même veine, pour éviter les attaques de force brute (lorsqu’un hacker utilise un logiciel pour essayer des milliers de mots de passe par seconde), vous pouvez mettre en place un nombre limite de tentatives de connexion avant de bloquer l’accès d’un utilisateur à l’espace administrateur. Certains services l’incluent dans leurs formules, comme GoDaddy, mais vous pouvez toujours installer un plugin pour mettre en place cette fonctionnalité.

Sécurité d'un site WordPress

Sécurisez les fichiers sur votre serveur

Pour vous protéger des injections de code malveillant ou des tentatives de dégradation de votre site, vous devez protéger les fichiers de votre serveur.

Le fichier .htaccess

Cela commence par limiter l’accès au .htaccess de votre site internet. Il s’agit d’un fichier de configuration vous permettant de contrôler les données du répertoire subordonné, par exemple pour en restreindre l’accès. Il y a toutefois un petit problème : au moment de la création d’un site internet, son répertoire est par défaut accessible et modifiable librement par tout internaute. Il vous faudra alors en restreindre l’accès par l’ajout de quelques lignes de code et la création d’un fichier .htpasswd.

Vérifiez les permissions de vos fichiers

Vous devez également modifier les permissions de modification des fichiers sur votre serveur. Beaucoup de développeurs utilisent la permission 777, ce qui signifie que n’importe qui peut les modifier, qu’ils soient administrateurs ou non. Au lieu de cela, WordPress lui-même conseille fortement de les modifier dès que possible : permission 755 pour les dossiers et permission 644 pour les fichiers. Vérifiez bien que c’est le cas à chaque mise à jour du CMS et des applications.

Modifiez les clés de sécurité

Enfin, pour éviter qu’une personne malintentionnée ne profite de la session constamment ouverte de l’un de vos collègues pour s’introduire sur votre site internet, il vous faudra modifier régulièrement les clés de sécurité dans votre fichier wp-config.php. Avec cette manipulation, vous invalidez toute session déjà ouverte, forçant tout un chacun à se reconnecter régulièrement avec ses identifiants. Vous pouvez vous aider du très simple générateur de clefs de sécurité WordPress pour réaliser cette opération. Il vous suffit de rafraîchir la page pour en obtenir de nouvelles.

Cette liste d’actions représente la base d’un scan de sécurité WordPress et celles-ci vous protégeront de la plupart des menaces présentes sur Internet. Certaines d’entre elles sont à réaliser aussi souvent que possible, d’autres peuvent être automatisées pour vous faciliter la vie, mais vous devez effectuer très régulièrement un tour d’horizon complet de votre site internet pour vérifier que tout est en ordre et combler les failles de sécurité.

À lire aussi : Tout ce qu’il faut savoir sur la sécurité informatique

 

#securiteweb-fr #ssl-fr #outil-de-gestion-de-site
Nicolas Alamone

Nicolas Alamone

Nicolas Alamone est chef de projet éditorial chez fullCONTENT depuis plusieurs années. Journaliste puis rédacteur en chef, Nicolas est un rédacteur expérimenté à l'aise dans de nombreux domaines (high-tech, voyages, sport...). Fort d'une solide expérience dans le brand content et la gestion de projets éditoriaux, il a accompagné de nombreux clients dans leur stratégie de développement. Ses deux passions dans la vie : le sport et le café.
Voir plus d'articles par Nicolas