WordPress

9 étapes pour sécuriser son site web WordPress

Par 21 mars 2020avril 25th, 2020Aucun commentaire

Comment sécuriser son site web WordPress ? Si vous lisez cet article, c’est que votre business a besoin de son site web. Peut-être que celui-ci est déjà en ligne ou que vous commencez à travailler dessus. Dans tous les cas, il s’agit d’un élément important de votre business qu’il faut sécuriser. 

WordPress est utilisé par plus de 30% des sites web de la planète. C’est un outil merveilleux mais il n’est malheureusement pas reconnu pour sa sécurité. Mal utilisé, il peut être encore plus facile à pirater. Voici quelques bonnes pratiques pour sécuriser son site web WordPress.

Sécuriser son site WordPress-min

Etape 1 

Avant tout, il est important de vous créer un deuxième compte administrateur avec un autre nom d’utilisateurs, mot de passe et adresse email. Si votre compte est corrompu, vous pourrez alors en avoir un de secours pour accéder à votre site WordPress. 

Si vous avez créé votre site web vous-même, vous avez sans doute choisi le « module 1 clique » WordPress proposé par les hébergeurs. Si c’est le cas, supprimez le compte administrateur par défaut et créez en donc 2 nouveaux avec un nom d’utilisateur et mot de passe sécurisés. 

Etape 2

Bien entendu, sécuriser son site WordPress passe par le choix de mots de passe forts pour sécuriser l’accès à son backoffice. Utilisez des mots de passe long qui contiennent des symboles, des chiffres et des lettres. Évitez d’utiliser des mots de passes liés à votre vie ou celle de vos proches (date de naissance, prénom…). Vous pouvez utiliser des gestionnaires de mot de passe comme Dashlane ou Avast.

Etape 3

Les hackeurs ont plus de facilité à pirater un site web si celui-ci comporte des failles. Les mises à jour de WordPress, des plugins et des templates permettent de corriger ces failles et compliquent la vie des hackeurs. Il sera normalement bientôt possible de réaliser ces mises à jour automatiquement mais pour le moment, il est important de se connecter au moins une fois par semaine pour vérifier les mises à jour. 

Vous devez toujours faire les mises à jour.

Etape 4

Il est très important de toujours réaliser une sauvegarde de son site web. C’est une étape très importante pour sécuriser son site web WordPress. Pour cela, j’utilise le plugin Updraft Plus qui me permet de réaliser des sauvegardes automatiques et de les envoyer vers un service de cloud, un disque dur ou en FTP. Le plugin peut être téléchargé gratuitement dans la bibliothèque de plugin de WordPress.

En cas de souci, vous n’aurez pas perdu vos données et vous pourrez faire une restauration de toutes vos données très facilement. 

10 meilleurs plugins wordpress - updraftplus-min

Etape 5

Par défaut, l’accès au backoffice d’un site WordPress se fait à cette adresse : nom-de-domaine.fr/wp-login ou nom-de-domaine.fr/wp-admin. Il est donc facile d’accéder au formulaire de connexion pour n’importe qui. Il faut donc changer cette URL, il n’y a que vous qui devez la connaitre. 

Pour cela vous pouvez utiliser le plugin gratuit Sf Move Login. Celui-ci vous permettra de choisir l’URL de votre choix pour toutes les pages sensibles. Vous pourrez aussi paramétrer l’affichage de la page /wp-admin.

Attention à bien se rappeler l’URL en question. 

Etape 6

Vous devez maintenant sécuriser l’accès à votre backoffice. Par défaut, WordPress permet de rentrer un mot de passe indéfiniment. Du coup, c’est encore plus facile pour les hackeurs qui peuvent essayer une multitude de mot de passe.

Sécurisez votre site web WordPress en installant le plugin gratuit Login Lock Down. Il vous permettra de limiter la tentative de mot de passe au nombre de votre choix. Les internautes dépassant ce nombre seront alors bloqués.

Etape 7

Bien entendu, vous devez passer votre site web en HTTPS. Si vous ne l’avez pas déjà fait pendant la conception de votre site web, vous pouvez suivre mon tuto en ligne ou suivre ma formation vidéo offerte sur WordPress. Je vous propose 2 solutions pour mettre en place le HTTPS.

de http à httpsde http à https

Etape 8

Encore une fois, il existe des tas de plugins pour sécuriser son site web WordPress. Je vous conseille d’utiliser soit WordFence soit Itheme Security. Ces deux plugins sont des extensions de sécurité globale. Ils sont intéressant car ils ne nécessite quasiment pas de configuration et font le job tous seul. 

Ces plugins s’occupent de sécuriser votre site web et de scanner régulièrement votre site web pour vous notifier s’il y a un souci de sécurité.

Etape 9

Si vous voulez aller plus loin, voici quelques astuces un peu plus avancé. Vous allez devoir passer par l’installation de code dans les fichiers de votre site web. J’utilise personnellement Filezilla. Si vous ne savez pas comment vous connecter en FTP, n’essayez pas cette étape, vous pourriez casser complètement votre site web.

  1. Dans le fichier functions.php (wp-content – thème – Votre thème), ajoutez les codes suivant en bas du fichier (attention, si vous n’avez pas de thème enfant, ces modifications seront perdus lors de la prochaine mise à jour du template) :

remove_action(« wp_head », « wp_generator »);

add_filter(‘login_errors’,create_function(‘$a’, « return null; »));

define(‘DISALLOW_FILE_EDIT’,true);

  1. A la racine du site (www), supprimez le fichier readme.html
  2. A la racine du site (www), ajoutez les codes suivant dans le fichier .htacces :

<Files wp-config.php>

order allow,deny

 deny from all

</Files>

Options All -Indexes

<Files .htaccess>

 order allow,deny

 deny from all

</Files>

Sécuriser son site web WordPress-min

Sécuriser son site WordPress : Vérification

Bien joué, vous savez maintenant comment sécuriser votre site WordPress en 9 étapes. Afin de vérifier la sécurité de votre site web, vous pouvez utiliser les outils Securi SiteCheck et/ou SSL Server Test.

Sécuriser son site web WordPress est une étape cruciale dans la vie en ligne de votre business. Vous allez passer des heures à travailler votre référencement naturel, il serait dommage de tout perdre du jour au lendemain. Sécurisez votre site WordPress maintenant.

Vous souhaitez aller plus loin ?

BONUS : dans ma formation vidéo WordPress & SEO, je présente le plugin All In One WP Security qui permet de sécuriser son site web avec un seul plugin tout en un. Vous pouvez vous inscrire en cliquant ici. C’est le top du top pour sécuriser son site web et en plus le plugin est gratuit.

Vous pouvez aller encore plus loin en installant une connexion en 2 étapes avec des clés de sécurités physiques. La première étape se fait via le mot de passe et la deuxième étape se fait via une clé USB qui contient un code secret. J’utilise personnellement les clés Google Titan.

À ne pas rater !
Profitez d'une formation offerte

Visionnez plus de 3h de vidéos pour apprendre à créer un site web WordPress et le référencer !

Adresse e-mail non valide
Essayez. Vous pouvez vous désinscrire à tout moment.
Florian

À propos de Florian

Consultant SEO WordPress à Nice, j'accompagne les info-preneurs, TPE et PME dans leur stratégie webmarketing et leur recherche de visibilité sur le web. Spécialisé en référencement WordPress, je propose aussi du coaching et des formations en ligne.

Laisser une Réponse

2 × deux =