La création d’un site internet englobe bien plus de choses que le design. Il est nécessaire de tenir compte des bonnes pratiques SEO, même pendant le processus de création, pour garantir une bonne visibilité à votre contenu. La sécurité ne doit également pas être négligée.
Protéger votre site WordPress est indispensable pour faire face aux potentielles cyberattaques et rassurer vos visiteurs. Il serait très mal vu que leurs données fuitent et se retrouvent à la merci de personnes mal attentionnées.
Suivez les quelques conseils de cet article pour sécuriser votre site WordPress, je vous explique tout !
1. La base : bien choisir son hébergeur web
Le niveau de sécurité de votre site WordPress est influencé dès le début lorsque vous choisissez un hébergeur web.
Beaucoup d’entreprises proposent des tarifs attractifs (parfois trop attractifs), mais réaliser des économies à ce niveau n’est pas forcément la meilleure solution. Il est possible que l’hébergeur lui-même ne soit pas sécurisé et/ou que le support client soit totalement absent en cas de problème.
Tout hébergeur web sécurisé doit à minima effectuer régulièrement des sauvegardes de votre site afin de vous permettre de revenir à une version antérieure en cas de problème. N’hésitez pas à lire les commentaires d’autres utilisateurs pour connaître le sérieux de l’hébergeur.
Pour votre site WordPress, vous pouvez vous tourner vers ces hébergeurs web de confiance : OVH, 1&1 Ionos, Hostpapa ou encore Infomaniak.
2. Personnaliser ses identifiants de connexion
Après l’installation de WordPress, vous devriez recevoir un email de votre hébergeur avec les paramètres de connexion à votre site. Par exemple, OVH vous envoie un nom d’administrateur et un mot de passe par défaut.
Ce nom d’administrateur justement, parlons-en. Il y a de grande chance qu’il commence par “admin” suivit de chiffres. C’est certainement l’identifiant le moins sécurisé que vous pourriez avoir.
La première chose à faire est donc de modifier vos paramètres de connexion.
Connectez-vous à votre tableau de bord puis rendez-vous dans “Utilisateurs”. Créez un nouvel utilisateur en cliquant sur “Ajouter” et donnez-lui le rôle d’administrateur : ce sera votre nouveau profil pour vous connecter à votre site WordPress.
Ensuite, déconnectez-vous puis reconnectez-vous avec les identifiants du nouvel administrateur créé. Vous pouvez maintenant supprimer le premier utilisateur.
Pendant que nous sommes dans les identifiants, assurez-vous que votre nom d’administrateur n’apparaît pas publiquement sur votre site. Lorsque vous êtes dans “Tous les utilisateurs”, cliquez sur “Modifier” sous votre nouveau profil.
Modifiez votre pseudonyme s’il est identique à votre nom d’administrateur et modifiez le nom à afficher juste en-dessous.
3. Personnaliser l’URL de l’interface de connexion
Par défaut, l’interface pour vous connecter au tableau de bord de votre site WordPress est accessible via une URL de ce type : www.monsite.com/admin.
Nous retrouvons une fois de plus cet “admin” synonyme de porte d’entrée aux attaques.
Même si vous avez opté pour un nouveau nom d’utilisateur difficile à trouver, il est très risqué de laisser un accès aussi facile à cette page de connexion.
Pour modifier l’URL il va falloir retrousser vos manches et mettre les mains dans le code, mais pas de panique nous allons y aller par étape.
Commencez par ouvrir le fichier .htaccess qui se situe à la racine de votre site. Notez que ce fichier peut être caché.
Pour faire apparaître les fichiers cachés sous Mac, ouvrez votre Terminal et insérez cette ligne de code : defaults write com.apple.finder AppleShowAllFiles TRUE et appuyez sur “Entrée” pour valider.
Sous Windows rendez-vous dans vos paramètres avancés et sélectionnez “Afficher les fichiers, dossiers et lecteurs cachés”. Cliquez sur “Ok” pour valider.
Vous devriez maintenant voir apparaître votre fichier .htaccess. Ouvrez-le avec un éditeur de texte et rajoutez la ligne suivante : RewriteRule ^login$ http://NOM_DU_SITE.com/admin.php [NC,L]
Vous devez simplement remplacer “NOM_DU_SITE” par le nom de votre site et “admin” par un autre terme de votre choix.
Enregistrez votre fichier puis renvoyez-le sur votre site à l’aide de votre FTP, par exemple FileZilla.
Si vous rencontrez des difficultés, n’hésitez pas à demander de l’aide à un freelance qualifié.
4. Ne pas succomber à la folie des plugins
Les plugins sont des extensions que vous pouvez ajouter à votre site WordPress pour doter de dernier de fonctionnalités supplémentaires. Si cela est très pratique, faites attention à ne pas installer n’importe quoi.
Certains plugins développés par des personnes malveillantes peuvent récupérer vos données de connexion et surveiller votre activité.
Je vous conseille donc de regarder les éléments suivants :
- La note globale avec le nombre de votants
- Le nombre d’installations actives
- La dernière mise à jour qui doit être récente
- Le développeur
Installez toujours des plugins de confiance et utilisés par un grand nombre d’utilisateurs.
5. Mettre à jour son site WordPress
Les mises à jour sont loin d’être inutiles. Qu’elles concernent WordPress de manière générale, votre thème ou un plugin, elles apportent des rectifications et peuvent résoudre des failles de sécurité.
Les mises à jour à effectuer apparaissent dans l’onglet “Tableau de bord” puis “Mises à jour”.
Si vous êtes inquiet quant à la mise à jour à effectuer vous pouvez la réaliser sur un site “test”. Vous pourrez ainsi vous assurer que la nouvelle version n’entre pas en conflit avec d’autres éléments de votre site.
6. Cacher la version de son site WordPress
Vous est-il déjà arrivé de naviguer sur un site internet et de voir tout en bas la version de WordPress utilisée ?
Si cette petite information semble anodine elle peut être utilisée contre le propriétaire du site. En connaissant la version de WordPress, un hacker peut facilement attaquer votre site et le faire tomber.
Certains plugins de sécurité peuvent vous permettre de cacher cette information, comme par exemple Wordfence Security.
Après l’avoir installé et activé, rendez-vous dans “All Options” sous “Wordfence”. Sous “General Wordfence Options” cochez la case “Hide WordPress version” puis cliquez sur “Save changes” en haut à droite.
7. Ne conserver que l’essentiel
Un site WordPress, lorsqu’il vient d’être créé, est accompagné de plusieurs thèmes et plugins déjà installés. Si ces derniers ne vous sont d’aucune utilité inutile de les garder.
En plus de ralentir la vitesse de votre site ils peuvent diminuer le niveau de sécurité de ce dernier. N’hésitez donc pas à les supprimer.
8. Passer son site en https
Le “https” est visible par vos visiteurs, il rassure ces derniers en leur indiquant que votre site est sécurisé. Quant à Google, il privilégie aujourd’hui les sites web qui disposent d’une connexion chiffrée en leur accordant une meilleure position dans les résultats de recherche.
L’enjeu est double pour vous : gagner en visibilité et protéger efficacement votre site.
L’activation du https est quelque peu complexe, d’autant plus que d’autres manipulations doivent être effectuées après sa mise en place. Je vous conseille de vous rapprocher d’un professionnel, en déposant par exemple gratuitement une annonce sur Codeur.com.
