Sélectionner une page

Comment sécuriser votre site WordPress ?

Votre site web est un outil marketing important pour votre entreprise ? Vous y tenez comme à un commercial d’élite ? La sécurité WordPress est un point sensible qu’il est important de prendre en compte. C’est d’ailleurs le cas pour l’ensemble des CMS populaires comme Drupal, Prestashop ou Magento.

Il se dit que la majorité de ces systèmes sont vulnérables aux attaques du premier apprenti hacker. Pourtant, ils peuvent aussi très bien se protéger.

En tant que responsable, si vous voulez bien maîtriser WordPress, vous devez aussi veiller à sa sécurité. Posez-vous dès lors la question de savoir comment le sécuriser au mieux.

Securite WordPress : 15 cles essentielles pour vous proteger

La sécurité WordPress n’est pas mon truc, mais …

J’ai rencontré différents hackers chevronnés ces dernières semaines. Ils m’ont sensibilisé sur l’intérêt d’optimiser la sécurité WordPress.

Je ne suis pas expert pour la sécurité des sites de mes clients. Je vous partage ici des aspects importants auxquels vous devez faire attention et comment vous devriez agir. Si vous voulez de l’aide pour vous assurer le maximum de sécurité WordPress, je vous conseille de rencontrer une agence comme BF-Web.

Je vous partage ici mes découvertes.

Sécurisez votre page de connexion

Tout le monde sait par où se connecter à un site WordPress. Du coup, les pirates essaient toujours d’entrer par la grande porte : www.votre-site.com/wp-login.php ou www.votre-site.com/wp-admin/.

Pourquoi ne pas modifier l’adresse de cette page d’entrée ? Personne n’a à la connaître, hors vous, votre gestionnaire web, votre agence …

1. Bloquez toute tentative d’intrusion

Bloquer toute tentative répétée de connexion sur votre site vous évitera de gros problèmes. Si des hackers tentent d’entrer dans votre espace, vous en serez automatiquement averti, et ils seront bloqués.

Plusieurs de mes clients utilisent l’extension iThemes Security. Il est aussi installé sur ce site. Vous pouvez y paramétrer différentes d’options pour indiquer à partir de quand estimer qu’une tentative de connexion est un essai d’intrusion intempestif. C’est alors l’adresse IP du hacker qui est bannie, durant x temps (Vous pouvez choisir la durée dans l’administration du plugin).

2. Utilisez l’email pour vous connecter

Par défaut, on demande à l’utilisateur d’indiquer son nom d’utilisateur pour se connecter. Pourtant, utiliser une adresse email plutôt qu’un nom d’utilisateur est bien plus sécurisé.

Pourquoi ?

  • Les noms d’utilisateur sont souvent communs (sans être péjoratif) et donc, plus faciles à deviner
  • Une adresse email ne peut être utilisée que par un seul utilisateur

L’extension WP Email Login vous permet d’obliger de se connecter avec son adresse email. Le système sera opérationnel dès son installation. Rien à y configurer.

3. Renommez votre page de connexion

C’est toujours par l’adresse /login.php ou /wp-admin/ que l’on peut se connecter. Mais cela peut facilement être modifié.

Changer cette adresse (URL) est important car les hackers la connaissent mieux que toute autre.

Jusqu’à maintenant, si vous avez tout suivi, nous avons vu comment réduire le nombre de tentatives d’accès à votre administration et obliger l’indication de votre adresse email. Remplaçons maintenant votre adresse de connexion. Cela bloquera déjà 99% de toute tentative de hacking.

Ainsi, seule une personne connaissant l’URL exacte par laquelle on peut se connecter pourra effectivement mieux le faire. Encore une fois, l’extension iThemes Security vous aide à adapter cette adresse.

  • Changez wp-login.php en (ex.) ma-nouvelle-adresse
  • Changez /wp-admin/ en (ex.) ma-nouvelle-administration
  • Changez /wp-login.php?action=register en (ex.) mon-nouvel-enregistrement
Securite de tableau de bord WordPress

Sécurisez votre tableau de bord

Pour tout hacker, ce qui apporte le plus de jouissance est de pouvoir s’introduire dans l’administration de votre site, parce que c’est la partie la mieux protégée. S’attaquer au plus difficile représente un vrai challenge. Lorsqu’il y parvient, le hacker obtient un réel sentiment de victoire. Et bien sûr, il a alors la possibilité de vous créer de réels problèmes.

Voici comment vous en prémunir.

1. Protégez votre répertoire /wp-admin/

Ce dossier est le coeur de votre site. Si un fichier de celui-ci est endommagé, votre site sera entièrement hors service.

Vous pouvez n’autoriser l’accès à ce dossier /wp-admin/ que par un mot de passe. Ainsi, pour accéder à votre administration, vous devrez avoir recourt à 2 mots de passe. Le premier protège l’accès à votre page de connexion et le second à votre espace d’administration.

Vous pouvez utiliser AskApache Password Protect pour protéger l’administration de votre site. Il générera automatiquement un fichier .htpasswd et y reprendra les mots de passe.

2. Pensez SSL

Ajouter un certificat SSL vous assurera de crypter les informations circulant entre le navigateur et le serveur. Cela empêche le hacker de s’introduire dans vos conversations et transactions.

Héberger votre site WordPress avec un certificat SSL est aujourd’hui très fréquent. Vous pouvez acheter ce certificat auprès d’un organisme agréé mais la majorité des hébergeurs vous le proposent directement.

Pour ce site, j’utilise le certificat de Let’s Encrypt. Mon hébergeur (Diogenius) me l’a proposé pour l’ensemble des sites de mon serveur.

Le certificat SSL impact aussi votre référencement sur Google. Google prend de plus en plus ce critère en considération pour le classement de ses résultats. Cela vous apportera ainsi plus de visiteurs et potentiels clients. Qui ne le souhaite pas ?

3. Sécurisez les comptes de votre site

Si différents auteurs peuvent intervenir sur votre site, chacun a son accès à votre panneau d’administration. Ceci peut rendre votre site plus vulnérable s’ils utilisent des mots de passe un peu trop bateau.

L’extension Force Strong Passwords oblige l’introduction de mots de passe bien sécurisés. Vos inscrits/auteurs/gestionnaires ne pourront pas utiliser de mots « standards ». C’est une mesure de précaution qui vous protège et vaut vraiment la peine d’être installée si vous avez un site collaboratif.

Sécurisez votre base de données

Toutes les informations de votre site sont stockées dans votre base de données. Il est essentiel de la protéger. Voici différentes manières de la sécuriser.

1. Changez le préfix de vos tables

Vous le savez certainement, le préfix par défaut des tables dans WordPress est wp-. Je vous recommande vivement de modifier ce préfix par quelque chose d’unique.

Si vous utilisez le préfix habituel, vous serez plus vulnérable par des requêtes SQL intempestives. Vous pourrez déjà vous prévenir de ces attaques en changeant votre préfix wp- en quelque chose comme sr-, mg-, pr- …

Si vous avez déjà installé votre site et donc, sa base de données, il existe des extensions pour adapter votre préfix. Encore une fois, l’extension iThemes Security fera ce travail en un clic.

Assurez-vous de sauvegarder votre base de données au préalable pour éviter toute perte de donnée.

2. Sauvegardez régulièrement votre site

Peu importe que votre site soit déjà bien sécurisé ou non. Programmer une sauvegarde régulière de votre site est probablement le meilleur antidote. Cela vous évitera bien des maux si un jour votre site connaît des ennuis.

Je sais, on ne s’en préoccupe que lorsque des problèmes sont déjà apparus. J’ai aussi fait l’erreur de ne pas sauvegarder mes sites. Mais aujourd’hui, après de mauvaises expériences, je programme des sauvegardes automatiques.

Si vous avez une sauvegarde de votre site, vous pourrez facilement et rapidement la réinstaller. De nombreuses extensions peuvent s’en charger.

J’utilise l’extension premium UpDraftPlus.

3. Mot de passe pour votre base de données

Il est important d’utiliser un mot de passe complexe pour votre base de données. Il ne s’agit pas d’un mot que vous devez mémoriser vous-même. N’hésitez-pas à y utiliser tout type de caractères :

  • Minuscules et majuscules
  • Chiffres et lettres
  • Caractères spéciaux
Securite hebergement WordPress

Sécurisez la configuration de votre hébergement

La majorité des hébergeurs peuvent se prévaloir de fournir un espace bien sécurisé. Mais vous pouvez aller encore plus loin.

1. Protégez votre fichier wp-config.php

Ce fichier, wp-config.php, comportent des informations essentielles. C’est d’ailleurs le fichier le plus important de votre site WordPress, même si vos visiteurs ne le voient pas. Protéger votre site web, cela implique de protéger son cœur !

Il est difficile pour un hacker d’attaquer votre site si votre fichier wp-config.php ne lui est pas accessible. Et cela peut facilement se mettre en place. Il suffit de déplacer ce fichier à un niveau plus élevé que la racine de votre site.

Vous me direz : comment le serveur pourrait-il trouver ce fichier s’il se situe à un niveau plus haut que votre racine WordPress ? La configuration de WordPress prend ce fichier en considération en 1ère priorité. Il pourra ainsi le trouver.

J’ai découvert cette astuce en écrivant cet article. Elle m’a surprise et je l’ai testée pour ne pas vous mener en erreur. Et OUI, cela fonctionne très bien.

2. Empêchez l’édition de certains fichiers

Si un administrateur a les droits d’accès à votre administration, il peut éditer tout fichier de votre site, extensions et thèmes inclus.

Cependant, si vous empêchez l’édition de ces fichiers, même si un hacker accède à votre tableau de bord, il ne pourra modifier aucun fichier.

Ajoutez cette instruction à la fin de votre fichier wp-config.php :
define(‘DISALLOW_FILE_EDIT’, true);

3. Configurez avec attention la permission de vos fichiers

Accorder les mauvaises permissions à un dossier peut être dramatique, surtout si votre site est hébergé sur espace partagé.

Si c’est votre cas, changer la permission de vos fichiers et dossiers est important pour sécuriser votre hébergement. Pour vos dossier, indiquez la permission 755, et pour vos fichiers, 644.

Vous pouvez faire cela par votre espace FTP. Si vous voulez vérifier vos permissions actuelles, utilisez iThemes Security.

4. Empêchez que l’on voit le contenu de vos dossiers

Si vous créez un nouveau dossier et que vous n’y ajoutez pas de fichier index.html, vos visiteurs pourront directement trouver tout le contenu de votre dossier.

Par exemple, si vous créez un dossier qui s’appelle secure, un hacker trouvera l’ensemble du contenu de ce dossier simplement en tapant l’URL www.votre-site.com/secure/. Il n’aura besoin d’aucun mot de passe pour y accéder. Faites le test !

Vous pouvez vous prémunir de ce risque en ajoutant cette ligne dans votre fichier .htaccess :
Options All –Indexes

Sécurisez vos extensions et thèmes WordPress

Les thèmes et extensions sont les ingrédients qui permettent de personnaliser votre site WordPress. Malheureusement, eux aussi peuvent connaître des problèmes de sécurité. Découvrez comment bien les protéger.

1. Faites vos mises à jour

Tout bon logiciel est régulièrement mis à jour. Son équipe de développeurs en améliore les fonctionnalités, les performances et, veille à colmater toute brèche de sécurité. WordPress est particulièrement fréquemment mis à jour. Il est parfois vital de rapidement updater votre WordPress pour éviter toute intrusion.

Oublier de tenir à jour vos thèmes et extensions peut vous apporter de réels problèmes. La majorité des hackers attaques les sites des entreprises qui ne tiennent leur site à jour. Ils exploitent alors des failles déjà découvertes et qui pourraient être facilement résolues.

Maintenez votre site à jour vous évitera bien des problèmes. Ne vous en privez pas !

2. Enlevez votre numéro de version

On peut trouver très facilement le numéro de version de votre site WordPress. Il apparaît dès le début de votre code source.

Le problème est que si un hacker sait quelle est votre version, il vous attaquera plus facilement.

Conclusion

Si vous débutez dans l’utilisation de WordPress, vous avez trouvé ici beaucoup d’éléments nouveaux. Mais, ils valent vraiment la peine de s’y pencher.

Vous voulez sécuriser votre site pour le maintenir en ligne. Si on ne peut pas facilement vous trouver lorsque l’on cherche vos services, il ne servira de toute façon pas à grand chose. Dès lors, pensez à optimiser votre référencement sur Google.

Source images : fr.depositphotos.com

Pourquoi faut-il se former pour maitriser WordPress ?

Le souhait de votre entreprise est de bien maîtriser votre site. Vous voulez pouvoir y apporter les modifications que vous souhaitez. Vous souhaitez le faire évoluer au gré de votre actualité. Vous ne voulez pas dépendre du bon vouloir de votre agence !

WordPress est la solution web (CMS) aujourd’hui la plus répandue. Elle est réputée pour :

  • large communauté active dans son développement
  • design personnalisable à souhait
  • énormément de fonctionnalités qui peuvent s’ajouter au noyau de base

Mais, pour être maîtrisé et en obtenir le plein potentiel, l’outil demande à être formé.

Pourquoi se former à l’utilisation de WordPress ?

De plus en plus d’entreprises génèrent une large partie de leur revenu grâce à internet. Et celles nées de l’ère numérique en sont la démonstration par excellence.

Peut-être avez-vous un site e-commerce qui propose tout le matériel nécessaire pour jouer au golf. Peut-être animez-vous la communauté en ligne d’une vedette du show-biz. Ou peut-être gérez-vous un site communautaire. Peut-être possédez vous un site web de marketing de niche. Et ce ne sont que des exemples.

Quelle que soit votre activité, il y a fort à parier que la maîtrise de votre site prenne chaque jour plus d’intérêt. Et même si l’outil est relativement facile à comprendre, se former à WordPress vous fera découvrir bien des fonctions plus utiles les unes que les autres. Et si vous faites appel à développeur, vous pourrez aller encore plus loin. Vous pourrez adapter des extensions proposées ou même, en créer de nouvelles sur mesure, pour répondre à 100 % à vos besoins.

7 extensions WordPress à maîtriser pour votre référencement

A part Akismet, WordPress ne fournit aucune extension (plugin) dans sa version de départ. Pourtant, certains sont presque systématiquement ajoutés, dès l’installation d’un nouveau site.

Voici, selon moi, les meilleures et indispensables extensions pour WordPress :

Yoast SEO

Pourquoi faut-il se former pour maîtriser WordPress ?

Vous le savez, le marketing est mon dada. Et le référencement de sites web en fait partie. C’est précisément ce à quoi me sert le plugin Yoast SEO, à réaliser une partie non négligeable de votre référencement naturel.

Pour tout site web, les moteurs de recherche sont une source majeure de trafic. Que vous recherchiez les résultats de la première ligue, les films que l’on joue ce soir au cinéma ou un collier pour offrir à votre dulcinée, vous l’avouerez, vous aurez tendance à commencer par passer chez Google. Aujourd’hui encore, ce moteur est la première source de trafic sur les sites web.

Yoast vous permet de rendre votre site « search friendly ». Il permet de personnaliser vos balises titres, vos méta-descriptions, votre communication sur les réseaux sociaux … Il offre aussi la possibilité de vérifier l’adéquation de votre texte avec l’expression que vous souhaitez cibler pour le SEO, les fameux « mot-clé » de Yoast.

Découvrez en plus sur cette extension et installez-là maintenant :

https://fr.wordpress.org/plugins/wordpress-seo/

All in one Schema.org rich snippet

Lorsque vous faites une recherche sur Google, on voit régulièrement des ajouts aux résultats habituellement affichés. Il s’agit par exemple d’étoiles, d’images ou de dates de publication. Ces informations apportent un plus par rapport aux résultats classiques. C’est ce que l’on appelle des Rich snippets.

Elles enrichissent les extraits de Google et attirent ainsi l’attention de l’internaute. Elles améliorent ainsi le taux de clics lors de l’affichage sur Google, et les font ainsi monter dans ses résultats.

All in on Schema.org vous aide à fournir les bonnes informations à Google pour qu’il vous affiche avec ces rich snippets.

https://fr.wordpress.org/plugins/all-in-one-schemaorg-rich-snippets/

W3 total cache

La vitesse de téléchargement de votre site web est de plus en plus importante. Google a d’ailleurs annoncé en janvier 2018 que la vitesse devenait prioritaire pour les résultats affichés sur mobile. En d’autres mots, votre référencement sur mobile sera impacté positivement si votre site est rapidement téléchargé.

La mise en cache d’un site réalisé avec WordPress est probablement la meilleure façon d’améliorer ses performances. L’idée est que lorsqu’un internaute visite une page, elle est temporairement mise en cache dans sa mémoire. Lorsqu’il revient sur la page, c’est alors la mémoire de son ordinateur qui répond, ce qui améliore fortement les performances du site.

W3 Total Cache est certainement l’une des extensions les plus populaires. Elle peut mettre de nombreux éléments en cache, mais s’occupe aussi de compresser vos fichiers et recourt au « content delivery network » (CDN).

Maîtriser cet outil demande une certaine formation, mais il est vraiment intéressant de s’y pencher. Un temps de chargement réduit améliorera votre classement sur Google. Ceci accroîtra votre trafic et vous apportera plus de conversions. N’est pas votre objectif ?

https://fr.wordpress.org/plugins/w3-total-cache/

WP Smush

Les images sont essentielles pour capter l’attention du visiteur et pour agrémenter la lecture. Elles favorisent la mémorisation de votre message. Elles rendent votre site plus attractif et engageant.

Mais les images prennent beaucoup d’espace de stockage et ralentissent le temps de chargement de votre site. Vous l’avez compris dans le chapitre précédent, le temps de chargement prend de plus en plus d’importance.

En utilisant WP Smush, vous pourrez compresser vos images et optimiser leur temps de chargement sans en détériorer la qualité. Cette extension compressera toutes vos images automatiquement.

https://fr.wordpress.org/plugins/wp-smushit/

Wordfence Security

Vous le savez certainement, de nombreux sites WordPress sont piratés. Ce que vous voulez éviter. Votre travail peut-être anéanti en une fraction de seconde. Bien sécuriser votre site est donc essentiel.

Il existe de nombreux plugins pour maintenir votre site WordPress en sécurité. Wordfence est réputé pour sa fiabilité. L’outil est très complet et vous protège des malwares, des tentatives d’intrusions et autres nuisances possibles.

L’extension vous permet de surveiller votre trafic en temps réel. Vous pouvez ainsi rapidement connaître toute menace et intervenir.

L’outil est très complet. Une configuration par défaut peut-être réalisée, mais personnaliser son utilisation vous apportera encore plus.

https://fr.wordpress.org/plugins/wordfence/

Broken link checker

Votre site peut être un excellent commercial. Il attire de nombreux visiteurs et est d’un réel apport à votre entreprise. Mais avez-vous pensé à une personne qui arriverait sur votre site sur une page qui n’existe plus ? Vous le devinez, elle sera mécontente, vous perdrez un client potentiel et créerez une mauvaise impression de votre entreprise. Avoir des liens cassés sur votre site peut être très préjudiciable.

La bonne nouvelle, l’extension Broken link checker surveillera automatiquement votre site pour détecter tout lien cassé. Elle vérifie toutes vos pages et vous prévient instantanément de problème éventuel. Bonus, elle détectera également toute image manquante.

https://fr.wordpress.org/plugins/broken-link-checker/

Redirection

L’URL de vos pages et articles peut changer, mais vous ne penserez peut-être pas à rediriger l’ancienne adresse (URL). Résultat, les gens qui viendront sur cette page arriveront sur une erreur. Ils seront alors déçus et risquent fort de quitter votre site.

Ce plugin vous aidera à gérer vos redirections et garde une trace de vos erreurs 404. Il ajoute automatiquement une redirection 301 si vous changez l’adresse d’une page. Vous pouvez aussi ajouter manuellement des redirections temporaires.

https://fr.wordpress.org/plugins/redirection/

Conclusion

Certaines extensions vous demanderont d’en acquérir une bonne maîtrise pour que vous en tiriez le maximum. Mais selon ma propre expérience, le temps que cela prend en vaut largement la chandelle.