Sécurité WordPress pour les débutants

Mise à jour le février 3, 2022 Rob Pugh

Vous souhaitez lancer un site professionnel, une boutique en ligne ou un blog de loisirs ? WordPress vous offre la flexibilité, la facilité d’utilisation et les fonctionnalités avancées qui en feront un succès.

Mais avant, prenez quelques minutes pour réfléchir à la sécurité. Protégez votre site autant que possible pour le préserver des pirates et pour qu’il fonctionne à tout moment pour vos fans et vos clients.

Pourquoi la sécurité est-elle importante ?

Votre site Web indique à vos visiteurs qui vous êtes, le type de contenu et de services que vous proposez et ce qu’ils peuvent attendre de votre marque. C’est l’endroit pour faire une première bonne impression et instaurer la confiance et la fidélité avec les fans existants.

C’est pourquoi il est si important de vous assurer que votre site Web est opérationnel à tout moment. S’il contient soudainement des liens vers des programmes malveillants, commence à s’exécuter très lentement après un piratage ou se met hors ligne complètement, cela aura un impact sur votre réputation.

Si votre site est piraté, vous pourriez perdre de l’argent en raison d’une diminution du nombre de vues, de ventes ou d’impressions publicitaires. La restauration de votre site pourrait impliquer des coûts. Vous pourriez également perdre votre classement sur les moteurs de recherche, parfois de façon permanente. Donc, pour économiser de l’argent (et sauver la face !), assurez-vous que votre site Web est verrouillé et sécurisé.

Comment les sites Web WordPress sont-ils piratés ?

Google a récemment publié une liste des principales méthodes utilisées par les pirates pour accéder aux sites Web. Voyons quelques-unes de ces méthodes en détail :

Mots de passe compromis

Les attaques par force brute sont l’une des façons les plus courantes pour les pirates de pénétrer dans un site. Ils utilisent des bots pour essayer différents identifiants et mots de passe, des milliers de combinaisons par seconde, jusqu’à ce qu’ils trouvent les bons.

Thèmes et extensions non sécurisés

Les vulnérabilités trouvées dans les extensions et les thèmes sont un moyen d’accès relativement facile pour les personnes malveillantes. Les développeurs de thèmes de haute qualité publient des correctifs pour ces vulnérabilités dans des mises à jour régulières, mais les utilisateurs de WordPress ne mettent pas tous à jour leur site fréquemment. Et les versions gratuites des extensions et thèmes premium ont souvent des portes dérobées intégrées dans leur code (des points d’accès permettant aux pirates de se connecter à distance à votre site et de faire ce qu’ils veulent).

Politiques de sécurité faibles

De faibles pratiques de sécurité, comme donner accès au site à des personnes qui n’en ont pas besoin ou autoriser les mots de passe non sécurisés, facilitent l’accès à votre site Web. 

Pourquoi pirater un site Web ?

  1. Pour voler de l’argent. Les pirates veulent collecter les informations de carte de crédit des clients ou diriger les visiteurs vers des sites Web malveillants conçus pour les escroquer.
  2. Pour capturer des informations. Les pirates peuvent vendre les données personnelles à des tiers ou demander de l’argent contre la restitution des informations.
  3. Pour mettre un site hors service. Cette raison est généralement personnelle et constitue rarement une menace pour le propriétaire de site Web ordinaire.
  4. Pour vandaliser un site. Ici aussi, cette raison est généralement personnelle. Le pirate peut dégrader le site Web d’une personne avec laquelle il n’est pas d’accord pour s’affirmer.
  5. Pour attaquer quelqu’un d’autre. Les pirates peuvent utiliser votre site Web pour diffuser des programmes malveillants ou des rançongiciels sur Internet ou utiliser votre serveur Web pour attaquer quelqu’un d’autre avec malveillance.
  6. Pour apprendre. Les pirates doivent s’entraîner d’une manière ou d’une autre, n’est-ce pas ? Ils peuvent utiliser votre site Web comme terrain d’entraînement pour de futures cibles plus importantes et plus lucratives.

Découvrez les atouts de Jetpack

Découvrez comment Jetpack peut vous aider à protéger, à accélérer et à développer votre site WordPress.

Explorer les plans

Comment sécuriser votre site WordPress

1. Choisir un hébergeur de qualité

Votre hébergeur est votre partenaire en matière de sécurité et il est important d’en choisir un avec une bonne réputation. Ce que vous obtenez est en adéquation avec ce que vous payez et beaucoup d’hébergeurs bas de gamme ne mettent pas en place de solides pratiques de sécurité.

Mais comment savoir lequel choisir ? Voici quelques points indiquant un hébergeur fiable :

  • Des sauvegardes régulières, incluses dans votre plan ou moyennant des frais supplémentaires.
  • Des certificats SSL, qui protègent les données des visiteurs de votre site.
  • Une assistance 24 h/24 et 7 j/7, en cas de piratage de votre site.
  • Un pare-feu intégré, qui protège les fichiers et la base de données sur votre serveur.
  • Des analyses de sécurité, qui vous alertent en cas de code et d’activité suspects sur votre site.
  • Une bonne réputation. Les avis et les recommandations sont souvent le meilleur moyen de déterminer la qualité d’un hébergeur.

Et souvenez-vous : une entreprise avec de bonnes connaissances et une sécurité solide vaut bien tous les coûts supplémentaires. Voici une liste des hébergeurs WordPress recommandés pour vous aider à démarrer.

2. Tenir les logiciels à jour

La meilleure façon de sécuriser votre site Web est de mettre à jour régulièrement votre logiciel : WordPress, les thèmes et les extensions. Les nouvelles versions corrigent souvent les vulnérabilités de sécurité, donc plus tôt vous mettez à jour, mieux c’est.

Vous pouvez également réduire les risques de sécurité de WordPress en choisissant des extensions fiables qui sont stables et répondent à plusieurs besoins à la fois. Par exemple, Jetpack Security propose une suite complète d’outils de sécurité WordPress intégrés dans la seule extension Jetpack. Ainsi, vous pouvez également bénéficier de fonctionnalités supplémentaires sans installer des dizaines d’extensions et sans augmenter le risque d’attaque sur votre site.

3. Créer des identifiants et des mots de passe sécurisés

Laissez les pirates deviner en choisissant un identifiant unique et un mot de passe sécurisé. Utilisez au moins 20 caractères, une majuscule, une minuscule, un chiffre et un symbole. 

Si vous créez un site avec des utilisateurs supplémentaires, assurez-vous de définir les autorisations correctes pour chacun. Vous ne souhaitez peut-être pas que votre stagiaire ait accès aux fichiers principaux ou à d’autres données importantes, par exemple. Voici un article intéressant sur les autorisations utilisateur pour WooCommerce, mais une grande partie s’applique à tout type de site. 

Et si vous créez un compte pour un tiers, comme un développeur, une agence de marketing ou une personne de l’assistance, assurez-vous de supprimer l’accès une fois qu’il a terminé son travail.

4. Configurer des sauvegardes hors site

Les sauvegardes sont essentielles pour protéger votre contenu, votre travail et les données des clients ou visiteurs. Quel que soit le problème avec votre site, vous pouvez rapidement le rendre à nouveau opérationnel en ayant une sauvegarde complète à portée de main. 

Mais il est important de choisir le bon type de sauvegardes. Par exemple, vérifiez que vos sauvegardes sont stockées hors site, dans le cloud plutôt que sur votre serveur. Cela signifie que, même si vous perdez l’accès à votre site ou si votre serveur est compromis, vous pouvez toujours rétablir une version propre.

C’est là que Jetpack Backup est utile. Non seulement il stocke toutes les sauvegardes sur les mêmes serveurs sécurisés qu’il utilise pour son propre site, mais il conserve également plusieurs sauvegardes chiffrées pour une couche de protection supplémentaire. 

Restauration d’une sauvegarde Jetpack

De plus, vous pouvez choisir entre deux options : en temps réel et quotidienne. 

Les sauvegardes en temps réel représentent le meilleur choix pour les boutiques en ligne, les forums d’adhésion ou les sites Web régulièrement mis à jour. Jetpack enregistre une copie de votre site à chaque fois que quelque chose change : une vente effectuée, une page mise à jour ou un commentaire ajouté. Cela signifie que vous ne perdrez pas une seule vente ou information, quoi qu’il se passe.

Les sauvegardes quotidiennes sont parfaites pour les sites statiques qui ne sont pas fréquemment mis à jour. Jetpack enregistre vos fichiers et votre base de données une fois par jour plutôt que lorsque des modifications sont apportées.

La meilleure partie ? L’installation est très facile, pas besoin de configuration de serveur compliquée. Il vous suffit de suivre quelques étapes simples et de contacter l’équipe d’assistance client inégalée de Jetpack si vous avez besoin d’aide.

Vous pouvez utiliser la meilleure extension de sauvegarde WordPress en tant qu’outil autonome ou dans le cadre de la suite de sécurité complète.

5. Ajouter une protection contre les attaques par force brute

Les attaques par force brute se produisent lorsque les pirates utilisent des bots pour deviner des milliers de combinaisons identifiant/mot de passe par seconde jusqu’à ce qu’ils obtiennent enfin l’accès à votre site. Non seulement ces attaques mettent en danger les informations de votre site, mais elles peuvent également le ralentir en surchargeant votre serveur. 

Bien que des informations de connexion sécurisées soient sans aucun doute utiles, la meilleure prévention consiste à utiliser un outil qui les arrêtera dans leur élan. La fonctionnalité gratuite de protection contre les attaques par force brute de Jetpack bloque les adresses IP suspectes avant même qu’elles n’atteignent votre site ! 

nombre d’attaques malveillantes bloquées sur un site : 14 989

La configuration ne peut pas être plus simple : vous devez simplement activer la fonctionnalité. Vous pouvez ensuite voir le nombre d’attaques bloquées directement depuis votre tableau de bord. Indice : la moyenne est de 5 193 !

6. Rechercher les programmes malveillants

Si un pirate réussit à entrer, vous voulez le savoir immédiatement afin de pouvoir résoudre le problème. Car plus votre site est indisponible ou non sécurisé, plus votre réputation et vos données seront endommagées. 

Jetpack Scan recherche automatiquement sur votre site les programmes malveillants, les personnes malveillantes et les activités suspectes en vous alertant immédiatement s’il trouve quelque chose. Vous pouvez même résoudre la majorité des piratages connus en un clic, ce qui vous fait économiser du temps et de l’argent. 

recherche des programmes malveillants exécutée sur un site Web

Et vous n’aurez pas à passer du temps à déchiffrer un langage technique compliqué : le tableau de bord de Jetpack Scan explique tout en termes simples et vous guide à chaque étape à suivre. Vous pouvez simplement l’installer et l’oublier, en sachant que votre site Web est surveillé 24 h/24 et 7 j/7.

En savoir plus sur notre outil de recherche des programmes malveillants WordPress.

7. Mettre en place la surveillance des temps d’arrêt

Que ce soit le résultat d’une attaque malveillante ou d’une simple erreur, si votre site Web tombe en panne, vous devez prendre une mesure immédiate. Mais vous n’avez pas le temps de recharger votre site toute la journée pour vous assurer qu’il fonctionne !

notification d’un temps d’arrêt de Jetpack

L’outil de surveillance des temps d’arrêt WordPress de Jetpack surveille votre site 24 h/24 et 7 j/7 et vous alerte s’il cesse de répondre. Vous pouvez ensuite utiliser le journal d’activité pour déterminer exactement ce qui s’est passé et quand, afin de pouvoir réagir de manière appropriée et être de nouveau opérationnel en quelques minutes, et non en quelques heures ou jours.

8. Supprimer les extensions et les thèmes inutilisés

Plus vous installez de thèmes et d’extensions sur votre site, plus vous avez de risques qu’un pirate en profite. Même si les extensions sont un excellent moyen d’ajouter des fonctionnalités supplémentaires, faites un peu de ménage et supprimez celles que vous n’utilisez plus.

Et à part un thème par défaut que vous pouvez utiliser lorsque vous résolvez des erreurs de site, il n’est pas nécessaire de stocker des thèmes supplémentaires. 

Bonus : leur suppression peut également améliorer la vitesse de votre site !

9. Activer l’authentification à deux facteurs pour les administrateurs

L’authentification à deux facteurs est un moyen très efficace de protéger votre page de connexion car elle oblige le pirate à avoir à la fois votre mot de passe et un appareil physique, ce qui est improbable. Lorsqu’un administrateur se connecte à votre site, il doit saisir un code à usage unique qui est envoyé sur son téléphone.

Jetpack offre cette fonctionnalité gratuitement, ce qui permet facilement d’aller plus loin que les mots de passe forts. Vous avez plusieurs utilisateurs ? Mettez en place l’authentification à deux facteurs facilement pour chacun d’eux.

10. Configurer un pare-feu WordPress

Un pare-feu WordPress surveille tout le trafic entrant sur votre site, en agissant comme une barrière contre les pirates. Bien qu’un bon plan d’hébergement inclut un pare-feu qui protège votre serveur, vous pourrez également en installer un spécifiquement pour WordPress. 

Une bonne extension de pare-feu dispose d’une base de données d’informations sur les personnes malveillantes (adresses IP suspectes, bots malveillants et trafic qui semble simplement éteint) et les bloque avant qu’elles ne puissent attaquer votre site Web. Vous pouvez voir certaines des options les plus populaires dans le répertoire d’extensions WordPress.

11. Garder un œil sur l’activité de votre site

Lorsque vous avez un journal de tout ce qui se passe sur votre site Web, vous pouvez facilement le consulter et identifier tout élément suspect. Et si votre site est piraté, vous pouvez également savoir à quelle heure cela s’est produit, connaître les mesures qui ont été prises et découvrir quels comptes ont été compromis beaucoup plus facilement.

activités qui se sont produites sur un site Web

Le journal d’activité de Jetpack pour WordPress garde une trace de toutes les principales modifications apportées, des tentatives de connexion et des pages publiées, des extensions supprimées, des thèmes mis à jour ou des réglages modifiés. Pour chaque événement, vous pouvez voir un horodatage, l’utilisateur qui a effectué la modification et une description de ce qu’il a fait. Vous pouvez ensuite utiliser ces informations pour dépanner ou rétablir une sauvegarde juste avant qu’un problème ne se produise. 

Que se passe-t-il si mon site WordPress n’est pas sécurisé ?

La plupart des pirates ne vous ciblent pas spécifiquement, ils recherchent seulement le site le plus facile d’accès. Ainsi, si votre site WordPress n’est pas correctement sécurisé, il est plus susceptible d’être victime d’un piratage. Au final, cela peut conduire à :

  • Une réputation entachée. Si votre site contient des avertissements de sécurité, tombe en panne ou redirige vers un site Web suspect, les visiteurs en auront une mauvaise image. Ils peuvent perdre confiance dans votre blog ou votre entreprise, vous faisant perdre des ventes ou des revenus publicitaires.
  • Des données client volées. Si un pirate accède à votre boutique de eCommerce, il peut collecter des informations personnelles qu’il peut utiliser lui-même ou vendre à des tiers.
  • Des fichiers de site Web endommagés. Vous pourriez perdre tout ou partie de votre site Web, potentiellement des années de travail !
  • La suppression des résultats de recherche. Si votre site est piraté, il peut être bloqué par Google et entièrement supprimé des résultats de recherche.
  • Une perte de trafic sur le site. Entre un classement faible (ou inexistant) sur les moteurs de recherche et les gens qui ne voudront pas visiter un site avec un avertissement de sécurité, le trafic de votre site peut diminuer considérablement.
  • Des revenus publicitaires réduits. Les réseaux publicitaires ne veulent pas que les publicités de leurs clients soient diffusées sur des sites non sécurisés. Ainsi, si votre site est piraté, il pourrait être supprimé des réseaux publicitaires et vous pourriez être complètement banni, réduisant ou éliminant vos revenus provenant des publicités. Même s’il n’est pas supprimé, le trafic réduit aura un impact négatif sur les clics publicitaires.

Comment savoir si mon site WordPress a été piraté ?

Il peut parfois être difficile de dire si votre site Web a été piraté ou s’il rencontre un autre type de problème. Cependant, voici quelques points indiquant un piratage de site :

  • Votre site Web affiche un avertissement de sécurité lorsque vous chargez votre URL.
  • Votre extension de sécurité signale un problème.
  • Votre hébergeur vous envoie un e-mail concernant un problème.
  • Votre site Web redirige ailleurs et vous n’avez pas effectué cette redirection.
  • Vous voyez des lignes de code bizarres sur des pages de votre site.
  • Votre site est complètement en panne, mais cela pourrait également être dû à d’autres causes.
  • Les publicités sur votre site redirigent vers des sites Web suspects.
  • Votre site se charge soudainement très lentement ou il agit bizarrement.

Que faire si mon site WordPress est piraté ?

Si votre site WordPress est piraté, vous pouvez prendre quelques mesures pour résoudre le problème et récupérer vos fichiers et votre base de données :

  1. Déterminez ce qui s’est passé. Si vous utilisez Jetpack, consultez le journal d’activité pour voir qui s’est connecté, quand et ce qui a été modifié. Cela peut vous aider à identifier les comptes compromis et à déterminer les fichiers qui sont affectés.
  2. Effectuez une recherche des programmes malveillants. Utilisez un outil comme Jetpack Scan pour rechercher les programmes malveillants ou d’autres indices d’un piratage dans les fichiers de votre site Web. Si vous utilisez l’outil de recherche des programmes malveillants de Jetpack pour WordPress, vous pouvez également résoudre la majorité des problèmes en un clic.
  3. Rétablissez une sauvegarde. Si vous effectuez des sauvegardes régulières de votre site Web, rétablissez-en une précédant le piratage. Si vous utilisez Jetpack Backup, vos fichiers sont stockés en dehors de votre serveur, ils ne devraient donc pas être compromis.
  4. Réinitialisez tous les mots de passe et supprimez les utilisateurs suspects. Réinitialisez tous les mots de passe de votre site Web WordPress et de votre hébergeur. Si vous voyez des comptes utilisateurs suspects que vous n’avez pas créés, supprimez-les.
  5. Engagez un expert en sécurité des sites Web. Si vous ne parvenez pas à supprimer les programmes malveillants par vous-même ou si vous souhaitez simplement vous assurer que votre site est sécurisé, envisagez d’engager un expert en sécurité d’un service comme Codeable.
  6. Mettez à jour vos extensions, thèmes et version de WordPress. Cela aidera à sécuriser toutes les vulnérabilités dont le pirate aurait pu profiter.
  7. Soumettez de nouveau votre site à Google. Si votre site a été bloqué, utilisez Google Search Console pour demander un examen et le retirer de la liste. 

Pour plus d’informations, lisez notre guide qui explique ce qu’il faut faire en cas de piratage de votre site.

Prêt pour le lancement

En faisant ce qu’il convient dès le début pour avoir une sécurité WordPress appropriée, vous assurez la réussite de votre site, ainsi que sa sécurité et son efficacité pour les années à venir. N’oubliez pas qu’il est beaucoup plus facile de prévenir les piratages de sites que de les résoudre une fois qu’ils se sont produits.

Avec le package Jetpack Security, vous pouvez vérifier la majorité des éléments de cette liste en quelques minutes, pas besoin d’un développeur ou d’une configuration compliquée. 

Lancez-vous avec la meilleure extension de sécurité WordPress.

Cet article a été publié dans Sécurité. Ajoutez ce permalien à vos favoris.
Rob Pugh profile
Rob Pugh

Rob is the Marketing Lead for Jetpack. He has worked in marketing and product development for more than 15 years, primarily at Automattic, Mailchimp, and UPS. Since studying marketing at Penn State and Johns Hopkins University, he’s focused on delivering products that delight people and solve real problems.

Découvrez les atouts de Jetpack

Découvrez comment Jetpack peut vous aider à protéger, à accélérer et à développer votre site WordPress.

Explorer les plans

Avez-vous une question ?

Les commentaires sont fermés pour cet article mais nous restons disponibles au besoin pour vous aider ! Visitez le forum d’assistance. Nous nous ferons un plaisir de répondre à vos questions.

Voir le forum d’assistance

  • Saisissez votre adresse e-mail pour vous abonner à ce blog et vous tenir au courant des nouveautés Jetpack !

    Rejoignez les 165 autres abonnés

  • Parcourir les catégories

    • %d