WordPress et sécurité : les bases

Depuis quelques jours, je suis de plus en plus sollicité par des webmasters suite à des hacking de sites WordPress. Le scénario est souvent le même, le site a été hacké et lorsqu’un utilisateur arrive sur le site, celui-ci est redirigé vers un autre site internet qui n’a rien à voir avec le site d’origine. Dans cet article, je vais vous donner quelques conseils afin d’éviter de vous faire hacker. Bien entendu, il est très difficile d’avoir un site 100% sécurisé, cela peut revenir cher et les petites entreprises n’ont pas les moyens de faire auditer leur site régulièrement. Voici quelques bonnes pratiques à respecter afin d’augmenter le niveau de sécurité de votre site internet WordPress et de minimiser les risques de hacking.

Mettez votre site à jour régulièrement.

Je n’en reviens pas quand certaines personnes conseillent encore de ne pas mettre à jour WordPress. Et c’est bien souvent de là que provient la majorité des soucis. Il est très important, même indispensable de garder votre site à jour. Qu’il s’agisse de votre thème WordPress, de vos plugins ou encore de WordPress en lui même, vous devez le mettre à jour régulièrement. Dans le cas du coeur de WordPress, je vous conseille d’activer les mises à jour automatiques, pour les plugins et les thèmes, vérifiez les mises à jour au minimum une fois par semaine. Et lancer les mises à jour lorsqu’elles sont disponibles.

Régulièrement, de nouvelles failles de sécurité sont découvertes et les développeurs s’efforcent de les corriger. Si vous ne mettez pas à jour votre site internet WordPress, vous risquez d’observer des problèmes de sécurité. Gardez en tête qu’un audit de sécurité et la remise en ligne d’un site internet peut coûter cher, alors mieux vos prévenir que guérir.

Faites attention lors de l’achat de votre thème

Sur ce point, il est nécessaire d’intervenir un peu plus en amont. Aujourd’hui, de plus en plus d’agence WordPress vous propose la création d’un site WordPress en utilisant un thème, gratuit ou payant, disponible sur internet. Certes, cette méthode permet de réduire drastiquement les coûts de développement, mais peut poser quelques problèmes si l’on choisi le mauvais thème.

La chose à savoir : lorsque vous achetez un thème wordpress, celui-ci comprend un certain nombre de plugins qui sont compris dans le thème. C’est bien souvent le cas des Page builder (ou éditeur de page) comme WP Bakery, Elementor Pro, Site Origin, etc. Lorsque vous achetez un thème, celui-ci vous fournit un éditeur de page vous permettant d’administrer simplement votre site internet. Dès lors, le page builder sera mis à jour lorsque que le développeur de votre thème mettra à jour celui-ci.

Dans ce cas, il est primordial de vérifier que le développeur du thème met régulièrement à jour celui-ci. Dans le cas contraire, vous risquez de vous retrouver avec des plugins anciens qui présentent de potentielles failles de sécurité. Vérifiez donc que votre thème WordPress est à jour avant de l’acheter.

N’installez pas n’importe quel plugin gratuit

Il existe de nombreux plugins disponibles pour WordPress. N’importe qui à la possibilité de publier un plugin gratuit sur le dépôt officiel de WordPress (https://fr.wordpress.org/plugins/). Cependant, les développeurs ne sont pas toujours attentifs à la sécurité de leur plugin et certains d’entre eux peuvent intégrer des failles de sécurité. Si vous n’avez pas les connaissances techniques nécessaires, je vous conseil de n’installer que des plugins sur des plateformes effectuant un contrôle de qualité. Bien souvent les plugins seront payants, mais vous diminuer le risque de faille de sécurité.

Installer Wordfence

Enfin, je vous conseil d’installer un anti-virus pour WordPress. Il s’agit d’un plugin qui ajoutera une couche de sécurité supplémentaire. Vous protégeant ainsi d’un grand nombre d’attaque. J’ai pour habitude d’installer Wordfence sur les sites présentant des risques de sécurité important. Il s’agit d’un plugin WordPress disponible en version gratuite et payante qui vous permettra de scanner l’intégralité des fichiers de votre site internet afin de vérifier la présence d’une potentielle faille ou d’un potentiel virus.

La version gratuite de Wordfence vous permet de réaliser un certain nombre de chose et améliore grandement la sécurité de votre site internet, si vous avez un doute, je ne peux que vous conseiller de l’installer.

Allez plus loin

Il existe de nombreux points à prendre en compte lorsque l’on souhaite sécurisé un site internet WordPress. Mettre en place une sécurité par adresse IP, restreindre l’utilisation de certaines fonctions par PHP, gérer correctement les droits d’accès aux fichiers sur le serveur. Cette article n’a pas vocation a être exhaustif, mais plutôt d’attirer votre attention sur des points critiques. Si votre site stock des données critiques ou qu’il représente une part importante de votre chiffre d’affaire, je vous conseil fortement de faire auditer votre site internet par un expert.

Mise à jour 27 mai 2023
Nicolas Trimardeau
Depuis 2004, je parcours le web et fais des tests pour comprendre les algorithmes de Google. Je vous partage mon expérience du SEO et du SEA pour vous aider à exploiter correctement le pouvoir du plus grand moteur de recherche du monde.