Votre entreprise possède un site Web et celui-ci est probablement construit avec un système de gestion de contenu (CMS) hébergé sur un serveur. Il existe plusieurs CMS chacun répondant à des besoins différents (WordPress, Joomla, Drupal, Magento, etc.). WordPress est certainement le plus populaire, mais c’est aussi le plus attaqué.
Voici 7 conseils simples pour protéger votre site WordPress (ces conseils sont aussi valables pour les autres CMS).
Votre hébergeur est votre 1er rempart
Choisissez un hébergeur de qualité et regardez particulièrement les options de sécurité offertes notamment les protections pare-feu serveur, attaque par force brute, le certificat de sécurité, les sauvegardes automatiques, les versions PHP et MySQL. De plus en plus d’hébergeurs offrent des hébergements spécialisés WordPress.
Gardez votre CMS à jour
Faites les mises à jour WordPress ainsi que celles de votre thème et de vos plugins (c’est souvent par ces derniers que les hackeurs entrent) et faites le ménage dans vos thèmes et plugins installés. Si vous ne les utilisez pas, désinstallez-les !
Utilisez un certificat de sécurité SSL
Ils sont souvent déjà inclus dans votre hébergement et permettent d’accéder à votre site via le protocole https://. Activez le SSL dans le panneau de contrôle de votre serveur et forcez le SSL dans l’administration de WordPress (vous pouvez aussi le forcer manuellement dans votre fichier .htaccess)
Sécurisez vos accès
Comptes utilisateurs : ayez 2 types de comptes, un avec le rôle Administrateur qui vous servira uniquement pour installer ou mettre à jour les plugins, les thèmes et WordPress et un avec le rôle Éditeur pour mettre à jour le contenu de votre site. Ne nommez pas vos comptes Admin ou Superadmin.
Utilisez des mots de passe forts : longs et complexes (un gestionnaire de mots de passe vous aidera dans cette tâche1).
Cachez votre page de connexion : tout pirate en herbe sait qu’il suffit d’ajouter /wp-admin ou /wp-login.php pour accéder à votre admin. Pour cela, vous pouvez utiliser le plugin WPS Hide Login (cette option se retrouve aussi souvent dans les suites de sécurité).
Installez une suite de sécurité
Un peu comme vous installez un antivirus sur votre ordinateur, vous pouvez protéger votre installation WordPress en installant un plugin. Si des pirates ont passé les protections mises en place par votre hébergeur, la suite de sécurité va prendre le relais et essayer de bloquer les attaques. Il existe des plugins gratuits, payants ou freemium tels que : Sucuri Security, iThemes Security, Wordfence Security ou Secupress.
Faites des sauvegardes
Votre hébergeur offre des sauvegardes quotidiennes, c’est très bien, mais installez aussi un plugin de sauvegarde que vous utiliserez chaque fois que vous faites des mises à jour ou bien à intervalles réguliers juste pour vous assurer d’avoir des copies récentes de votre contenu. UpdraftPlus est un bon choix.
Évitez le spam
Si vous n’utilisez pas les commentaires dans vos pages, désactivez-les ! Dans vos formulaires, utilisez l’option « pot de miel ». Si cela n’arrête pas les spammeurs, activez l’option reCaptcha ou hCaptcha souvent incluse dans les plugins de formulaire.
1. Voir chronique Mots de passe = maux de tête ? publiée sur ACQConstruire, 31 octobre 2018.
