Comment puis-je sécuriser mon site WordPress ?

Remarque :

Mise à jour de WordPress

WordPress est en constante évolution. Le code est régulièrement révisé pour combler les failles de sécurité et mettre en œuvre de nouvelles fonctions. Il est très important que vous mettiez régulièrement à jour votre Wordpress et que vous utilisiez la dernière version.

Vous avez deux possibilités pour mettre à jour votre WordPress :

1. Avec le WordPress-Toolkit de Plesk
   • Se connecter à Plesk
   • Cliquez sur "WordPress" dans le menu principal à gauche
   • Dans l'aperçu, vous trouverez le statut de votre site. Si vous voyez des mises à jour, veuillez installer la dernière version de WordPress
2. Dans l'administration WordPress
   • Connectez-vous à WordPress 
   • Dans le menu principal à gauche dans la zone du tableau de bord, cliquez sur Mises à jour
   • Installer la dernière version de WordPress

Mise à jour des extensions et des thèmes WordPress

Les thèmes et les extensions sont ajoutés sous forme de code dans Wordpress. Si ces extensions ne sont pas à jour, elles peuvent également contenir des failles de sécurité, qui sont très souvent exploitées pour introduire des logiciels malveillants. 

Souvent, les extensions ou les thèmes non-utilisés sont oubliés et ne sont pas mis à jour. Supprimez les extensions inutilisées de votre site pour minimiser les risques de sécurité.

Il est très important que vous gardiez à jour tous les thèmes et extensions installés.

Vous disposez de 2 moyens différents pour mettre à jour vos extensions :

1. Avec le WordPress-Toolkit de Plesk
   • Se connecter à Plesk
   • Cliquez sur "WordPress" dans le menu principal à gauche
   • Dans l'aperçu, vous trouverez le statut de votre page. Si vous voyez des mises à jour, veuillez installer la dernière version de WordPress
2. Dans l'administration WordPress
   • Connectez-vous à WordPress
   • Dans le menu principal à gauche, dans la zone du tableau de bord, cliquez sur Mises à jour
   • Sélectionnez les extensions et les thèmes à mettre à jour
   • Cliquez sur "Mettre à jour les extensions".

Utiliser une version actuelle de PHP

Wordpress est écrit dans le langage de programmation PHP. Si vous utilisez une version obsolète, vous augmentez le risque de failles de sécurité.

La version actuelle de WordPress est compatible avec les versions actuelles de PHP depuis un certain temps et vous pouvez déjà passer à PHP 7.3 ou 7.4.

Sécuriser la page de connexion WordPress

Page de connexion WordPress

Utilisez un nom d'utilisateur unique avec un mot de passe fort pour vous connecter à WordPress.

Si vous utilisez toujours l'administrateur par défaut "admin", nous vous recommandons vivement de le changer.

Le mot de passe utilisé doit comporter au moins 8 caractères, des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Plus le mot de passe est long et abstrait, plus votre accès à WordPress sera sûr.

Vous pouvez modifier le nom d'utilisateur dans WordPress comme suit :

• Connectez-vous à WordPress
• Dans le menu principal à gauche, cliquez sur Utilisateur
• Cliquez sur le bouton "Ajouter" en haut de la page
• Choisissez un nouveau nom d'utilisateur individuel avec les droits de l'administrateur avec un mot de passe fort
• Cliquez sur Ajouter un utilisateur au bas de la page
• Ensuite, connectez-vous à WordPress avec le nouvel utilisateur pour supprimer l'ancien utilisateur "admin". Au moment de la suppression, vous pouvez attribuer tout votre contenu au nouvel utilisateur.

Le mot de passe peut être modifié dans WordPress comme suit :

• Connectez-vous à WordPress
• Dans le menu principal à gauche, cliquez sur Utilisateur
• Cliquez sur votre utilisateur
• Cliquez sur le bouton "Générer un mot de passe" en bas de la page

Restreindre les tentatives de connexion à WordPress

Dans les attaques par force brute, les pirates informatiques tentent de deviner la combinaison du nom d'utilisateur et du mot de passe. Ils varient les tentatives de connexion et augmentent leur nombre. Avec de suffisamment de temps, il est possible que les attaquants accèdent à votre site web.

Comme ces attaques sont très fréquentes, nous recommandons de limiter le nombre de tentatives de connexion autorisées par WordPress.

L'extension WordPress "WP Cerber" bloque automatiquement les attaques répétées provenant de la même adresse IP. Cela permet d'éviter les attaques par la force brute.

Activer SSL 

Les certificats SSL sont l'une des mesures de sécurité décisives pour les sites ou les applications web. Dès que des données sensibles sont échangées via votre site web ou votre boutique en ligne, vous devez protéger votre site avec le protocole SSL.

Offrez à vos clients une sécurité à 100%. La protection des données en ligne est très importante, en particulier dans le domaine du commerce électronique. Grâce à un certificat SSL, les données personnelles et les informations relatives aux cartes de crédit sont protégées au plus haut niveau contre toute utilisation abusive par des tiers. Le navigateur du client reconnaît immédiatement votre présence sur le web comme un site sécurisé. Cela crée la confiance.

Les sites web certifiés SSL sont mieux notés par Google et sont mieux placés dans les résultats de recherche. En moyenne, ils obtiennent jusqu'à 5 % de meilleurs résultats. Cela augmente le trafic et fait du certificat SSL une mesure de référencement efficace.

Dans tous nos hébergements, vous pouvez installer gratuitement le certificat SSL de Let's Encrypt. En quelques étapes, le Let's Encrypt peut être installé et activé. 

Nous recommandons d'installer et d'utiliser un plug-in tel que "Really Simple SSL" pour rediriger correctement toutes les URL vers https://.