Une des questions récurrentes quand on se lance dans la gestion d’un site WordPress est : « Mon site WordPress peut-il se faire pirater ? »

Dans ce guide pratique de sécurité pour un site WordPress, nous allons voir quelques mesures basiques de sécurité qui vont compliquer la tâche d’éventuels pirates. Ce guide s’adresse aux utilisateurs débutants. Apprenez dans ce guide pratique de sécurité pour un site WordPress les bons reflex de base pour gérer votre site correctement.

De façon générale, n’ayez pas peur ! Il vaut mieux prévenir que guérir. Si vous suivez quelques conseils basiques d’informatique, rien ne vous arrivera. C’est comme bien regarder à droite et à gauche avant traverser une rue. Cela évite dès le départ d’éventuels soucis.

Une fois que vous adoptez les bon réflexes, il y a peu de chances que quelque chose de désagréable vous arrive.

Vous êtes un particulier ou une entreprise à qui on a fourni un site WordPress prêt à l’emploi ? Vous êtes d’autant plus concernés.

« Se faire pirater », cela veut dire quoi exactement ?

En général cela veut dire qu’un petit logiciel malveillant s’installe sur votre serveur et qu’il s’exécute. Il modifie votre site pour insérer des publicités et se propager. Votre site devient impossible à utiliser, sa page d’accueil peut être remplacée et des informations sans rapport avec vous s’affichent sur votre site.

Votre serveur et Google pourront bannir votre site afin d’empêcher tout accès.

Cela arrive pourquoi et comment ?

Il y a plusieurs manières. Voici quelques exemples :

  1. Une mauvaise gestion de mots de passe. Si votre mot de passe est trop simple, il est facile à deviner par un robot malveillant qui scanne le web.
  2. Une faille dans l’accès au site. Si votre site n’est pas encryptée, on peut intercepter votre nom et mot de passe quand vous vous identifiez sur votre WordPress. Si votre site a « https » dans l’adresse de votre navigateur, vous êtes couvert à ce niveau-là.
  3. Une faille dans le software de votre site. Par exemple une faille dans WordPress ou dans l’une des extensions installées.
  4. Une vulnérabilité sur votre serveur. Ce n’est pas votre responsabilité, mais celle de la société qui héberge votre site.
  5. Un virus dans votre ordinateur qui intercepte les informations d’accès.
  6. Etc.

Mon site WordPress peut-il se faire pirater ?

La réponse courte est OUI. Comme tout dans l’informatique, le risque n’est jamais zéro.

À ce jour, plus de 17 millions de sites en ligne sont des sites WordPress. Ce développement fait de WordPress un moyen extraordinaire pour créer un site grâce à de nombreuses ressources et informations disponibles gratuitement.

WordPress est un outil puissant mais victime de son succès. Il est plus exposé à être piraté que d’autres. Il est connu, donc par conséquent, les failles de sécurité sont plus faciles à être trouvées et malheureusement exploitées.

Mon site WordPress est-il plus exposé que d’autres sites ?

Pas forcément ! Si vous prenez quelques mesures de sécurité décrites dans cet article.

Si mon site WordPress se fait pirater, comment le réparer ?

Votre site peut être réparé. Mais cela a forcément un coût :

  • S’il existe une copie de sécurité non infectée, il faut la faire restaurer. Vous aurez perdu les nouveaux contenus qu’éventuellement vous aurez mis en ligne depuis la réalisation de cette sauvegarde.
  • S’il n’existe pas de copie de sécurité ou que toutes les copies sont infectées, il faudra nettoyer la version existante du site. Pour cela, il est conseillé de laisser faire à un professionnel.

Guide pratique de sécurité pour un site WordPress

 

1. Votre ordinateur de travail doit être libre de virus et protégé.

Gardez votre ordinateur libre de virus et mettez à jour les logiciels, navigateurs et système d’exploitation. Avec WindowsDefender vous avez une bonne protection. Avec un Mac, vous êtes plus tranquille.

2. Ayez les bons réflexes pour les mots de passe

Le mot de passe doit être très long et compliqué (au moins 10 caractères, avec des lettres, numéros et caractères spéciaux).

Exemple d’un bon mot de passe : s^k#^wu5?2gLsfWL ou Le Drom@daire lave ses ailes3
  • Ne réutilisez pas les mots de passe dans plusieurs sites.
  • Protégez vos mots de passe. Par exemple avec un logiciel de mots de passe comme LastPass, Keepass (gratuit et open source) ou Dashlane.
  • Utilisez un générateur de mot de passe. Il y a des outils en ligne comme http://passwordsgenerator.net/.

3. Minimisez le nombre d’utilisateurs qui ont accès au backoffice (interface d’administration) de votre site WordPress.

Moins de personnes y ont accès, le mieux c’est. Dans tous les cas, s’il y a plusieurs collaborateurs, ils doivent tous avoir un identifiant et mot de passes uniques à chaque personne, associé à son email individuel. Cela permet de vérifier les accès et les modifications apportées par chaque personne.

Pour un administrateur WordPress : 3 conseils de sécurité faciles et indispensables

1. Votre site WordPress doit être à jour.

WordPress réalise ses mises à jours automatiquement, ce qui est déjà super.

Les extensions doivent elles aussi être à jour. Pour cela, Agence Dream peut s’en charger.

2. Faites des copies de sécurité journalières.

Gardez-les sur votre serveur et sur un serveur distant cloud (par exemple Dropbox ou Google Drive). Gardez un certain nombre de copies pendant plusieurs semaines afin d’avoir le choix en cas de besoin. Des extensions WordPress font ça automatiquement, comme UpdraftPlus et VaultPress.

3. Utilisez un serveur de qualité et sécurisé.

Il s’agit d’une question de choix. Le moins cher et le moins sécurisé ? Ou plus haut de gamme et le plus sécurisé ?

Le moins cher est fréquemment utilisé pour les sites vitrines qui ont peu d’audience. Dans ce cas votre site sera sur un serveur mutualisé, c’est à dire que votre site est hébergé dans un serveur partagé avec d’autres utilisateurs, ce qui convient dans la plupart de sites vitrines.

Le choix haut de gamme est conseillé pour des sites à forte audience et de vente en ligne.

Que vous ayez fait un choix ou un autre, il est fortement conseillé d’utiliser le protocole https pour profiter d’une connexion cryptée. C’est désormais gratuit et facilement accessible grâce à Let’s Encrypt. Renseignez-vous auprès de votre hébergeur.

Conclusion

Il vaut mieux prévenir que guérir. Alors appliquez tous les conseils de sécurité décrits dans cet article afin de minimiser fortement les probabilités de voir votre site WordPress piraté. Rappelez vous que si vous suivez ces quelques conseils basiques d’informatique, ça devrait bien se passer.

Pour aller plus loin, veillez à que votre administrateur ait installé un plugin de sécurité comme All In One WP Security ou iTehemes Security

Si vous avez la moindre question, je suis là pour vous !

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Avez-vous aimé cet article?

Je suis disponible pour missions freelance, à distance ou dans vos locaux.

Engagez-moi

Article rédigé par Mag Alés

En 1999 j'ai commencé dans le web design et depuis on ne s'est jamais quitté. Je suis designer web & mobile et j’aide les entrepreneurs à communiquer sur le web de manière créative et efficace. Amie des gens et des pixels, graphiste, photographe, web-marketeuse. Actuellement je suis freelance et je dream à mon Agence DREAM à Bordeaux.

Poster un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.