Si vous souhaitez protéger votre site WordPress mais que vous n’êtes pas expert en sécurité informatique, alors cet article est fait pour vous. Créer un site Web requiert un investissement en temps, en énergie et en ressources. Personne ne veut avoir à recommencer de zéro à la suite d’une cyber attaque ou à cause d’un logiciel malveillant.
Infomaniak met en oeuvre d’importantes mesures de sécurité, situées très en amont, pour éliminer proactivement les menaces, avant même qu’elles atteignent les hébergements. Pour compléter ce dispositif, chaque hébergement est gratuitement protégé par Patchman Security Scanner, une solution professionnelle anti-malware et de correction des vulnérabilités automatisée. Les hébergements Web d’Infomaniak sont de plus sauvegardés automatiquement toutes les 24 heures.
Devez-vous sécuriser votre site WordPress ?
Même en choisissant le meilleur hébergement Web, il est recommandé de prendre un minimum de précautions pour protéger la partie que vous gérez : le site Internet en lui-même. Avec 60% de parts de marché, WordPress est le gestionnaire de contenu (CMS) le plus utilisé au monde. Il existe donc naturellement un nombre important et constant de menaces. Grâce à quelques actions simples, vous pouvez significativement augmenter la sécurité de votre site WordPress.
1. Les mises à jour sont la priorité pour protéger votre site WordPress
Mettre à jour WordPress
Comme tous les logiciels, WordPress évolue. Son code est régulièrement revu pour apporter de nouvelles fonctionnalités, mais aussi et surtout pour apporter des correctifs de sécurité. Comme pour votre ordinateur ou votre smartphone, il est essentiel de régulièrement faire les mises à jour de WordPress pour combler les failles de sécurité et garantir l’intégrité logicielle de votre site.
Voici comment mettre à jour son site WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Mises à jour depuis la rubrique Tableau de bord du menu principal à gauche
- Si nécessaire, installez la dernière version de WordPress
Mettre à jour les plugins et les thèmes WordPress
Les thèmes et les plug-ins sont du code ajouté à WordPress. Bien trop souvent, on laisse trainer des plug-ins ou des thèmes inutilisés, sans les mettre à jour : c’est une erreur de sécurité insoupçonnée. Ce code obsolète est très souvent exploité pour injecter des fichiers malveillants et ouvrir une brèche dans la sécurité d’un site. Il est donc important de mettre à jour ses plug-ins et ses thèmes, même si vous ne les utilisez pas. Le cas échéant, n’hésitez pas à les supprimer pour diminuer les risques et éviter une maintenance inutile.
Voici comment mettre à jour ses plugins et ses thèmes WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Mises à jour depuis la rubrique Tableau de bord du menu principal à gauche
- Sélectionnez les extensions et les thèmes à mettre à jour
- Cliquez sur Mettre à jour les extensions
Utiliser une version de php à jour
WordPress utilise le langage php pour créer les pages Web qui s’affichent chez vos visiteurs. Comme pour WordPress, les risques augmentent si vous utilisez une version de php obsolète. Votre hébergement Infomaniak vous permet de tester et installer la dernière version de php en 1 clic et sans connaissance préalable.
En cas de besoin, ce guide vous montre comment installer une version récente de php sur votre site. Si votre thème ou des extensions ne supportent pas encore la dernière version de php, vous pourrez revenir à une version moins récente et maintenue à jour en quelques clics.
2. Sécuriser l’accès et la connexion à WordPress
La porte d’entrée de votre site est protégée par la page de login de WordPress. Cette page est importante, mais aussi vulnérable. Elle subit régulièrement des attaques, voici comment la protéger :
Utiliser un mot de passe fort et un nom d’utilisateur personnalisé
Dans WordPress, le compte administrateur par défaut est nommé « admin ». Ce nom est le même pour tous et c’est probablement celui que vous tapez pour vous connecter. Or, si un pirate connaît déjà le nom d’utilisateur de votre site, il est encore plus facile pour lui de s’y introduire. Il est donc judicieux de changer le nom de ce compte.
Lors de la création de votre site avec Mon site WordPress, vous avez la possibilité de définir un nom d’utilisateur autre que « admin » et bien sûr un mot de passe personnalisé. Nous vous recommandé d’utiliser un gestionnaire de mots de passe pour générer un mot de passe avec au moins 8 caractères, des lettres majuscules et minuscules ainsi que des caractères spéciaux (par ex.: !?’:_,+§°, etc.) et des chiffres. Plus ce dernier est long, plus l’accès à la console WordPress sera sécurisé.
Voici comment modifier votre mot de passe WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Utilisateurs depuis le menu principal à gauche
- Cliquez sur votre utilisateur
- Vers le bas de la page, cliquez sur le bouton Générer un mot de passe
- Enregistrez précieusement ce mot de passe dans votre gestionnaire de mots de passe
- Cliquez sur Mettre à jour le profil tout en bas de la page
Voici comment modifier l’identifiant d’un utilisateur WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Utilisateurs depuis le menu principal à gauche
- Cliquez sur le bouton Ajouter tout en haut de la page
- Choisir un identifiant autre que « Admin » et un mot de passe fort
- Cliquez sur Ajouter un utilisateur tout en bas de la page
- Connectez-vous ensuite à la console WordPress avec le nouvel utilisateur pour supprimer l’ancien. Au moment de la suppression, vous aurez la possibilité d’attribuer tout votre contenu au nouvel utilisateur.
Changer l’URL de la page de connexion à WordPress
L’adresse de connexion à votre interface d’administration WordPress suit toujours la même syntaxe par défaut : www.monsiteweb.com/wp-login ou www.monsiteweb.com/wp-admin. Là encore, il est facile pour une personne mal intentionnée de déduire l’URL de la page de connexion à votre site WordPress, à partir de votre domaine.
Pour compliquer la tâche d’éventuels intrus, il est conseillé de modifier l’adresse du login de votre site. Afin d’éviter d’avoir à apporter les modifications manuellement, vous pouvez installer et utiliser le plug-in WPS Hide Login. Une fois l’extension installée et activée, naviguez à la section Réglages de votre console, à la rubrique WPS Hide Login. Il suffit alors de remplir le champ de l’URL de connexion et d’enregistrer les modifications. Pensez ensuite à mettre à jour vos favoris et à noter précieusement la nouvelle adresse pour accéder à votre console WordPress.
Limiter les tentatives de connexion à WordPress
Les pirates tentent de deviner la combinaison nom d’utilisateur/mot de passe en variant et multipliant les tentatives de connexion. Si l’on dispose d’assez de temps, il est en effet possible de gagner l’accès à un site : c’est la méthode par « force brute ». Ces attaques étant très fréquentes, il est recommandé de limiter le nombre de tentatives de connexions autorisées par WordPress. Le plus facile est d’installer l’extension WP Cerber directement depuis WordPress. Cette extension bloquera automatiquement les attaques répétées provenant de la même adresse IP, afin de parer les attaques par force brute.
3. Sécuriser les échanges entre votre site WordPress et ses visiteurs
Activer HTTPS avec un certificat SSL
En visitant votre site, les utilisateurs échangent des données avec lui. Il peut s’agir de données de navigation, de données personnelles (nom, email, téléphone, etc.) ou même bancaires. Protéger ces échanges est primordial si vous ne voulez pas qu’un tiers puisse les intercepter. De même, les moteurs de recherche et les navigateurs pénalisent les sites non sécurisés. Pour sécuriser le trafic vers et depuis votre site, vous devez activer un certificat SSL, symbolisé par le petit cadenas situé en regard de votre nom de domaine (HTTPS). Vous trouverez dans cet article toutes les informations pour choisir et activer un certificat SSL.
Pour les sites e-Commerce ou utilisant WooCommerce, il est possible de renforcer la sécurité de vos utilisateurs avec un certificat payant de Sectigo incluant une garantie. Cette protection supplémentaire s’active en 1 clic et s’installe automatiquement si votre site est déjà géré chez Infomaniak.
- Comparer les différents certificats SSL
- Besoin d’aide pour choisir le certificat adapté à votre situation ?
À la recherche du meilleur hébergement pour votre site WordPress ?
Création, sécurité, service client : un bon hébergement doit être performant, sécurisé et facile à utiliser. Quel que soit votre projet, vous trouverez chez Infomaniak des hébergements optimisés pour WordPress et de nombreux services exclusifs pour vous faciliter la vie et vous faire gagner un temps précieux.
- Hébergement Web : la solution phare pour créer son site WordPress (thème Divi inclus avec Elegant Themes)
- Serveur Cloud : des ressources dédiées pour vos sites WordPress (thème Divi inclus avec Elegant Themes)
- Jelastic Cloud : la solution privilégiée pour les sites WordPress avec beaucoup de trafic (en savoir plus)
Si vous souhaitez protéger votre site WordPress mais que vous n’êtes pas expert en sécurité informatique, alors cet article est fait pour vous. Créer un site Web requiert un investissement en temps, en énergie et en ressources. Personne ne veut avoir à recommencer de zéro à la suite d’une cyber attaque ou à cause d’un logiciel malveillant.
Infomaniak met en oeuvre d’importantes mesures de sécurité, situées très en amont, pour éliminer proactivement les menaces, avant même qu’elles atteignent les hébergements. Pour compléter ce dispositif, chaque hébergement est gratuitement protégé par Patchman Security Scanner, une solution professionnelle anti-malware et de correction des vulnérabilités automatisée. Les hébergements Web d’Infomaniak sont de plus sauvegardés automatiquement toutes les 24 heures.
Devez-vous sécuriser votre site WordPress ?
Même en choisissant le meilleur hébergement Web, il est recommandé de prendre un minimum de précautions pour protéger la partie que vous gérez : le site Internet en lui-même. Avec 60% de parts de marché, WordPress est le gestionnaire de contenu (CMS) le plus utilisé au monde. Il existe donc naturellement un nombre important et constant de menaces. Grâce à quelques actions simples, vous pouvez significativement augmenter la sécurité de votre site WordPress.
1. Les mises à jour sont la priorité pour protéger votre site WordPress
Mettre à jour WordPress
Comme tous les logiciels, WordPress évolue. Son code est régulièrement revu pour apporter de nouvelles fonctionnalités, mais aussi et surtout pour apporter des correctifs de sécurité. Comme pour votre ordinateur ou votre smartphone, il est essentiel de régulièrement faire les mises à jour de WordPress pour combler les failles de sécurité et garantir l’intégrité logicielle de votre site.
Voici comment mettre à jour son site WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Mises à jour depuis la rubrique Tableau de bord du menu principal à gauche
- Si nécessaire, installez la dernière version de WordPress
Mettre à jour les plugins et les thèmes WordPress
Les thèmes et les plug-ins sont du code ajouté à WordPress. Bien trop souvent, on laisse trainer des plug-ins ou des thèmes inutilisés, sans les mettre à jour : c’est une erreur de sécurité insoupçonnée. Ce code obsolète est très souvent exploité pour injecter des fichiers malveillants et ouvrir une brèche dans la sécurité d’un site. Il est donc important de mettre à jour ses plug-ins et ses thèmes, même si vous ne les utilisez pas. Le cas échéant, n’hésitez pas à les supprimer pour diminuer les risques et éviter une maintenance inutile.
Voici comment mettre à jour ses plugins et ses thèmes WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Mises à jour depuis la rubrique Tableau de bord du menu principal à gauche
- Sélectionnez les extensions et les thèmes à mettre à jour
- Cliquez sur Mettre à jour les extensions
Utiliser une version de php à jour
WordPress utilise le langage php pour créer les pages Web qui s’affichent chez vos visiteurs. Comme pour WordPress, les risques augmentent si vous utilisez une version de php obsolète. Votre hébergement Infomaniak vous permet de tester et installer la dernière version de php en 1 clic et sans connaissance préalable.
En cas de besoin, ce guide vous montre comment installer une version récente de php sur votre site. Si votre thème ou des extensions ne supportent pas encore la dernière version de php, vous pourrez revenir à une version moins récente et maintenue à jour en quelques clics.
2. Sécuriser l’accès et la connexion à WordPress
La porte d’entrée de votre site est protégée par la page de login de WordPress. Cette page est importante, mais aussi vulnérable. Elle subit régulièrement des attaques, voici comment la protéger :
Utiliser un mot de passe fort et un nom d’utilisateur personnalisé
Dans WordPress, le compte administrateur par défaut est nommé « admin ». Ce nom est le même pour tous et c’est probablement celui que vous tapez pour vous connecter. Or, si un pirate connaît déjà le nom d’utilisateur de votre site, il est encore plus facile pour lui de s’y introduire. Il est donc judicieux de changer le nom de ce compte.
Lors de la création de votre site avec Mon site WordPress, vous avez la possibilité de définir un nom d’utilisateur autre que « admin » et bien sûr un mot de passe personnalisé. Nous vous recommandé d’utiliser un gestionnaire de mots de passe pour générer un mot de passe avec au moins 8 caractères, des lettres majuscules et minuscules ainsi que des caractères spéciaux (par ex.: !?’:_,+§°, etc.) et des chiffres. Plus ce dernier est long, plus l’accès à la console WordPress sera sécurisé.
Voici comment modifier votre mot de passe WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Utilisateurs depuis le menu principal à gauche
- Cliquez sur votre utilisateur
- Vers le bas de la page, cliquez sur le bouton Générer un mot de passe
- Enregistrez précieusement ce mot de passe dans votre gestionnaire de mots de passe
- Cliquez sur Mettre à jour le profil tout en bas de la page
Voici comment modifier l’identifiant d’un utilisateur WordPress :
- Connectez-vous à la console WordPress (besoin d’aide ?)
- Cliquez sur Utilisateurs depuis le menu principal à gauche
- Cliquez sur le bouton Ajouter tout en haut de la page
- Choisir un identifiant autre que « Admin » et un mot de passe fort
- Cliquez sur Ajouter un utilisateur tout en bas de la page
- Connectez-vous ensuite à la console WordPress avec le nouvel utilisateur pour supprimer l’ancien. Au moment de la suppression, vous aurez la possibilité d’attribuer tout votre contenu au nouvel utilisateur.
Changer l’URL de la page de connexion à WordPress
L’adresse de connexion à votre interface d’administration WordPress suit toujours la même syntaxe par défaut : www.monsiteweb.com/wp-login ou www.monsiteweb.com/wp-admin. Là encore, il est facile pour une personne mal intentionnée de déduire l’URL de la page de connexion à votre site WordPress, à partir de votre domaine.
Pour compliquer la tâche d’éventuels intrus, il est conseillé de modifier l’adresse du login de votre site. Afin d’éviter d’avoir à apporter les modifications manuellement, vous pouvez installer et utiliser le plug-in WPS Hide Login. Une fois l’extension installée et activée, naviguez à la section Réglages de votre console, à la rubrique WPS Hide Login. Il suffit alors de remplir le champ de l’URL de connexion et d’enregistrer les modifications. Pensez ensuite à mettre à jour vos favoris et à noter précieusement la nouvelle adresse pour accéder à votre console WordPress.
Limiter les tentatives de connexion à WordPress
Les pirates tentent de deviner la combinaison nom d’utilisateur/mot de passe en variant et multipliant les tentatives de connexion. Si l’on dispose d’assez de temps, il est en effet possible de gagner l’accès à un site : c’est la méthode par « force brute ». Ces attaques étant très fréquentes, il est recommandé de limiter le nombre de tentatives de connexions autorisées par WordPress. Le plus facile est d’installer l’extension WP Cerber directement depuis WordPress. Cette extension bloquera automatiquement les attaques répétées provenant de la même adresse IP, afin de parer les attaques par force brute.
3. Sécuriser les échanges entre votre site WordPress et ses visiteurs
Activer HTTPS avec un certificat SSL
En visitant votre site, les utilisateurs échangent des données avec lui. Il peut s’agir de données de navigation, de données personnelles (nom, email, téléphone, etc.) ou même bancaires. Protéger ces échanges est primordial si vous ne voulez pas qu’un tiers puisse les intercepter. De même, les moteurs de recherche et les navigateurs pénalisent les sites non sécurisés. Pour sécuriser le trafic vers et depuis votre site, vous devez activer un certificat SSL, symbolisé par le petit cadenas situé en regard de votre nom de domaine (HTTPS). Vous trouverez dans cet article toutes les informations pour choisir et activer un certificat SSL.
Pour les sites e-Commerce ou utilisant WooCommerce, il est possible de renforcer la sécurité de vos utilisateurs avec un certificat payant de Sectigo incluant une garantie. Cette protection supplémentaire s’active en 1 clic et s’installe automatiquement si votre site est déjà géré chez Infomaniak.
- Comparer les différents certificats SSL
- Besoin d’aide pour choisir le certificat adapté à votre situation ?
À la recherche du meilleur hébergement pour votre site WordPress ?
Création, sécurité, service client : un bon hébergement doit être performant, sécurisé et facile à utiliser. Quel que soit votre projet, vous trouverez chez Infomaniak des hébergements optimisés pour WordPress et de nombreux services exclusifs pour vous faciliter la vie et vous faire gagner un temps précieux.
- Hébergement Web : la solution phare pour créer son site WordPress (thème Divi inclus avec Elegant Themes)
- Serveur Cloud : des ressources dédiées pour vos sites WordPress (thème Divi inclus avec Elegant Themes)
- Jelastic Cloud : la solution privilégiée pour les sites WordPress avec beaucoup de trafic (en savoir plus)
Vous aimerez aussi...
Notre support client s’améliore grâce à un logiciel créé par nos développeurs
vendredi 27 janvier 2023
Auch interessant...
Notre support client s’améliore grâce à un logiciel créé par nos développeurs
vendredi 27 janvier 2023
Nous polluons, même si nous compensons à 200% l’intégralité de nos émissions de CO2
vendredi 17 décembre 2021
Plan de reprise d’activité (PRA) informatique : les solutions de protection contre les cyberattaques
vendredi 12 novembre 2021
Étude de cas : Deeplink migre sa plateforme IA de AWS au Public Cloud d’Infomaniak
vendredi 1 octobre 2021
Une formation de développeur Web junior axée sur la pratique intensive avec Réalise
vendredi 18 décembre 2020
Roadmap 2021 : Infomaniak accélère le développement de sa technologie indépendante
mardi 8 décembre 2020
kPaste : un service gratuit pour transmettre vos informations secrètes en sécurité
vendredi 11 septembre 2020
Toujours gratuit, kMeet fait peau neuve et introduit la modération et l’enregistrement
lundi 7 septembre 2020
Swiss Made Software : bâtir l’alternative technologique depuis le cœur de l’Europe
mercredi 26 août 2020
Mise à jour majeure de kDrive : boîte de dépôt et évolution des apps mobiles et desktop
mercredi 22 juillet 2020
[Mise au point] Les impacts du numérique : bonnes pratiques pour un Web plus écologique
vendredi 14 février 2020
Voici kDrive : la première solution de stockage collaborative suisse pour PME et particuliers
vendredi 20 décembre 2019
Infomaniak rend vos sites encore plus sûrs grâce à Patchman Security Scanner
vendredi 22 février 2019
Infomaniak lance SwissTransfer, l’alternative suisse hautes capacités à WeTransfer
vendredi 15 février 2019
Accélérer l’affichage de son site Web à l’international avec DNS Fast Anycast
vendredi 1 février 2019
Swiss Backup, la solution de sauvegarde suisse pour Windows, Mac, Linux, iOS et Android
jeudi 29 novembre 2018
Infomaniak Sync : l’app Android pour synchroniser les contacts et agendas du WorkSpace
vendredi 9 novembre 2018
La qualité du service client d’Infomaniak est saluée par 93% des utilisateurs
vendredi 28 septembre 2018
WorkSpace 3 : la nouvelle génération du Webmail suisse va évoluer avec ses utilisateurs
vendredi 14 septembre 2018
Relances d’événements et intégration de Slack : le WorkSpace continue d’évoluer
vendredi 10 août 2018
Gestion d’invitations : Infomaniak lance un outil pour organiser vos événements
vendredi 27 juillet 2018
Améliorer les performances de WordPress: utiliser Memcached avec W3 Total Cache
vendredi 27 octobre 2017
Sécurité: Infomaniak ajoute l’analyse AntiVirus à la demande à ses hébergements
vendredi 28 juillet 2017
5 conseils concrets et simples pour augmenter votre taux d’ouverture – Email Marketing
vendredi 28 avril 2017
L’organisateur du Rolex Grand Slam envoie ses newsletters avec Infomaniak: Interview
jeudi 24 novembre 2016
.wine & .vin: les noms de domaine pour le marché du vin et de la gastronomie
mercredi 27 janvier 2016
Installer Joomla, ownCloud, phpBB… en quelques clics avec les hébergements Infomaniak
vendredi 23 janvier 2015
Fin du monopole de Switch. Transférez dès maintenant vos noms de domaine « .ch ».
vendredi 18 juillet 2014
Recherche d’emails dans le WorkSpace: des résultats plus efficaces plus rapidement
dimanche 6 juillet 2014
We also suggest...
Notre support client s’améliore grâce à un logiciel créé par nos développeurs
vendredi 27 janvier 2023
Nous polluons, même si nous compensons à 200% l’intégralité de nos émissions de CO2
vendredi 17 décembre 2021
Plan de reprise d’activité (PRA) informatique : les solutions de protection contre les cyberattaques
vendredi 12 novembre 2021
Étude de cas : Deeplink migre sa plateforme IA de AWS au Public Cloud d’Infomaniak
vendredi 1 octobre 2021
Une formation de développeur Web junior axée sur la pratique intensive avec Réalise
vendredi 18 décembre 2020
Roadmap 2021 : Infomaniak accélère le développement de sa technologie indépendante
mardi 8 décembre 2020
kPaste : un service gratuit pour transmettre vos informations secrètes en sécurité
vendredi 11 septembre 2020
Toujours gratuit, kMeet fait peau neuve et introduit la modération et l’enregistrement
lundi 7 septembre 2020
Swiss Made Software : bâtir l’alternative technologique depuis le cœur de l’Europe
mercredi 26 août 2020
Mise à jour majeure de kDrive : boîte de dépôt et évolution des apps mobiles et desktop
mercredi 22 juillet 2020
[Mise au point] Les impacts du numérique : bonnes pratiques pour un Web plus écologique
vendredi 14 février 2020
Voici kDrive : la première solution de stockage collaborative suisse pour PME et particuliers
vendredi 20 décembre 2019
Infomaniak rend vos sites encore plus sûrs grâce à Patchman Security Scanner
vendredi 22 février 2019
Infomaniak lance SwissTransfer, l’alternative suisse hautes capacités à WeTransfer
vendredi 15 février 2019
Accélérer l’affichage de son site Web à l’international avec DNS Fast Anycast
vendredi 1 février 2019
Swiss Backup, la solution de sauvegarde suisse pour Windows, Mac, Linux, iOS et Android
jeudi 29 novembre 2018
Infomaniak Sync : l’app Android pour synchroniser les contacts et agendas du WorkSpace
vendredi 9 novembre 2018
La qualité du service client d’Infomaniak est saluée par 93% des utilisateurs
vendredi 28 septembre 2018
WorkSpace 3 : la nouvelle génération du Webmail suisse va évoluer avec ses utilisateurs
vendredi 14 septembre 2018
Relances d’événements et intégration de Slack : le WorkSpace continue d’évoluer
vendredi 10 août 2018
Gestion d’invitations : Infomaniak lance un outil pour organiser vos événements
vendredi 27 juillet 2018
Améliorer les performances de WordPress: utiliser Memcached avec W3 Total Cache
vendredi 27 octobre 2017
Sécurité: Infomaniak ajoute l’analyse AntiVirus à la demande à ses hébergements
vendredi 28 juillet 2017
5 conseils concrets et simples pour augmenter votre taux d’ouverture – Email Marketing
vendredi 28 avril 2017
L’organisateur du Rolex Grand Slam envoie ses newsletters avec Infomaniak: Interview
jeudi 24 novembre 2016