Si vous souhaitez protéger votre site WordPress mais que vous n’êtes pas expert en sécurité informatique, alors cet article est fait pour vous. Créer un site Web requiert un investissement en temps, en énergie et en ressources. Personne ne veut avoir à recommencer de zéro à la suite d’une cyber attaque ou à cause d’un logiciel malveillant.

Infomaniak met en oeuvre d’importantes mesures de sécurité, situées très en amont, pour éliminer proactivement les menaces, avant même qu’elles atteignent les hébergements. Pour compléter ce dispositif, chaque hébergement est gratuitement protégé par Patchman Security Scanner, une solution professionnelle anti-malware et de correction des vulnérabilités automatisée. Les hébergements Web d’Infomaniak sont de plus sauvegardés automatiquement toutes les 24 heures.

Devez-vous sécuriser votre site WordPress ?

Même en choisissant le meilleur hébergement Web, il est recommandé de prendre un minimum de précautions pour protéger la partie que vous gérez : le site Internet en lui-même. Avec 60% de parts de marché, WordPress est le gestionnaire de contenu (CMS) le plus utilisé au monde. Il existe donc naturellement un nombre important et constant de menaces. Grâce à quelques actions simples, vous pouvez significativement augmenter la sécurité de votre site WordPress.

1. Les mises à jour sont la priorité pour protéger votre site WordPress

Mettre à jour WordPress

Comme tous les logiciels, WordPress évolue. Son code est régulièrement revu pour apporter de nouvelles fonctionnalités, mais aussi et surtout pour apporter des correctifs de sécurité. Comme pour votre ordinateur ou votre smartphone, il est essentiel de régulièrement faire les mises à jour de WordPress pour combler les failles de sécurité et garantir l’intégrité logicielle de votre site.

Voici comment mettre à jour son site WordPress :

  1. Connectez-vous à la console WordPress (besoin d’aide ?)
  2. Cliquez sur Mises à jour depuis la rubrique Tableau de bord du menu principal à gauche
  3. Si nécessaire, installez la dernière version de WordPress

Mettre à jour les plugins et les thèmes WordPress

Les thèmes et les plug-ins sont du code ajouté à WordPress. Bien trop souvent, on laisse trainer des plug-ins ou des thèmes inutilisés, sans les mettre à jour : c’est une erreur de sécurité insoupçonnée. Ce code obsolète est très souvent exploité pour injecter des fichiers malveillants et ouvrir une brèche dans la sécurité d’un site. Il est donc important de mettre à jour ses plug-ins et ses thèmes, même si vous ne les utilisez pas. Le cas échéant, n’hésitez pas à les supprimer pour diminuer les risques et éviter une maintenance inutile.

Voici comment mettre à jour ses plugins et ses thèmes WordPress :

  1. Connectez-vous à la console WordPress (besoin d’aide ?)
  2. Cliquez sur Mises à jour depuis la rubrique Tableau de bord du menu principal à gauche
  3. Sélectionnez les extensions et les thèmes à mettre à jour
  4. Cliquez sur Mettre à jour les extensions

Utiliser une version de php à jour

WordPress utilise le langage php pour créer les pages Web qui s’affichent chez vos visiteurs. Comme pour WordPress, les risques augmentent si vous utilisez une version de php obsolète. Votre hébergement Infomaniak vous permet de tester et installer la dernière version de php en 1 clic et sans connaissance préalable.

En cas de besoin, ce guide vous montre comment installer une version récente de php sur votre site. Si votre thème ou des extensions ne supportent pas encore la dernière version de php, vous pourrez revenir à une version moins récente et maintenue à jour en quelques clics.

2. Sécuriser l’accès et la connexion à WordPress

La porte d’entrée de votre site est protégée par la page de login de WordPress. Cette page est importante, mais aussi vulnérable. Elle subit régulièrement des attaques, voici comment la protéger :

Utiliser un mot de passe fort et un nom d’utilisateur personnalisé

Dans WordPress, le compte administrateur par défaut est nommé « admin ». Ce nom est le même pour tous et c’est probablement celui que vous tapez pour vous connecter. Or, si un pirate connaît déjà le nom d’utilisateur de votre site, il est encore plus facile pour lui de s’y introduire. Il est donc judicieux de changer le nom de ce compte.

Lors de la création de votre site avec Mon site WordPress, vous avez la possibilité de définir un nom d’utilisateur autre que « admin » et bien sûr un mot de passe personnalisé. Nous vous recommandé d’utiliser un gestionnaire de mots de passe pour générer un mot de passe avec au moins 8 caractères, des lettres majuscules et minuscules ainsi que des caractères spéciaux (par ex.: !?’:_,+§°, etc.) et des chiffres. Plus ce dernier est long, plus l’accès à la console WordPress sera sécurisé.

Voici comment modifier votre mot de passe WordPress :

  1. Connectez-vous à la console WordPress (besoin d’aide ?)
  2. Cliquez sur Utilisateurs depuis le menu principal à gauche
  3. Cliquez sur votre utilisateur
  4. Vers le bas de la page, cliquez sur le bouton Générer un mot de passe
  5. Enregistrez précieusement ce mot de passe dans votre gestionnaire de mots de passe
  6. Cliquez sur Mettre à jour le profil tout en bas de la page

Voici comment modifier l’identifiant d’un utilisateur WordPress :

  1. Connectez-vous à la console WordPress (besoin d’aide ?)
  2. Cliquez sur Utilisateurs depuis le menu principal à gauche
  3. Cliquez sur le bouton Ajouter tout en haut de la page
  4. Choisir un identifiant autre que « Admin » et un mot de passe fort
  5. Cliquez sur Ajouter un utilisateur tout en bas de la page
  6. Connectez-vous ensuite à la console WordPress avec le nouvel utilisateur pour supprimer l’ancien. Au moment de la suppression, vous aurez la possibilité d’attribuer tout votre contenu au nouvel utilisateur.

Changer l’URL de la page de connexion à WordPress

L’adresse de connexion à votre interface d’administration WordPress suit toujours la même syntaxe par défaut : www.monsiteweb.com/wp-login ou www.monsiteweb.com/wp-admin. Là encore, il est facile pour une personne mal intentionnée de déduire l’URL de la page de connexion à votre site WordPress, à partir de votre domaine.

Pour compliquer la tâche d’éventuels intrus, il est conseillé de modifier l’adresse du login de votre site. Afin d’éviter d’avoir à apporter les modifications manuellement, vous pouvez installer et utiliser le plug-in WPS Hide Login. Une fois l’extension installée et activée, naviguez à la section Réglages de votre console, à la rubrique WPS Hide Login. Il suffit alors de remplir le champ de l’URL de connexion et d’enregistrer les modifications. Pensez ensuite à mettre à jour vos favoris et à noter précieusement la nouvelle adresse pour accéder à votre console WordPress.

Limiter les tentatives de connexion à WordPress

Les pirates tentent de deviner la combinaison nom d’utilisateur/mot de passe en variant et multipliant les tentatives de connexion. Si l’on dispose d’assez de temps, il est en effet possible de gagner l’accès à un site : c’est la méthode par « force brute ». Ces attaques étant très fréquentes, il est recommandé de limiter le nombre de tentatives de connexions autorisées par WordPress. Le plus facile est d’installer l’extension WP Cerber directement depuis WordPress. Cette extension bloquera automatiquement les attaques répétées provenant de la même adresse IP, afin de parer les attaques par force brute.

3. Sécuriser les échanges entre votre site WordPress et ses visiteurs

Activer HTTPS avec un certificat SSL

En visitant votre site, les utilisateurs échangent des données avec lui. Il peut s’agir de données de navigation, de données personnelles (nom, email, téléphone, etc.) ou même bancaires. Protéger ces échanges est primordial si vous ne voulez pas qu’un tiers puisse les intercepter. De même, les moteurs de recherche et les navigateurs pénalisent les sites non sécurisés. Pour sécuriser le trafic vers et depuis votre site, vous devez activer un certificat SSL, symbolisé par le petit cadenas situé en regard de votre nom de domaine (HTTPS). Vous trouverez dans cet article toutes les informations pour choisir et activer un certificat SSL.

Pour les sites e-Commerce ou utilisant WooCommerce, il est possible de renforcer la sécurité de vos utilisateurs avec un certificat payant de Sectigo incluant une garantie. Cette protection supplémentaire s’active en 1 clic et s’installe automatiquement si votre site est déjà géré chez Infomaniak.

À la recherche du meilleur hébergement pour votre site WordPress ?

Création, sécurité, service client : un bon hébergement doit être performant, sécurisé et facile à utiliser. Quel que soit votre projet, vous trouverez chez Infomaniak des hébergements optimisés pour WordPress et de nombreux services exclusifs pour vous faciliter la vie et vous faire gagner un temps précieux.