La sécurité de votre site WordPress est un des éléments parmi les plus important à gérer lorsque vous mettez en ligne votre site internet. Voici une liste de bonnes pratiques pour éviter au maximum le piratage.

Un plugin de sécurité premium

Installer un plugin de sécurité WordPress est fortement recommandé. Celui-ci aura plusieurs rôles : Il permettra d’une part de corriger les éventuelles failles de sécurité de WordPress. Il réalisera un scan de votre site web de manière régulière à la recherche de virus ou malware, et enfin il bloquera les personnes ou les robots qui essaient de se connecter de manière mal intentionné à votre backoffice ou espace d’administration.

Plusieurs plugins, tous payant, se démarquent, mais il en existe pléthore. À vous de choisir celui qui vous correspond le mieux, et qui s’adapte aux besoins de votre site.

Wordfence-Plugin-de-sécurité-Wordpress
Wordfence – Un plugin de sécurité wordpress
SecuPress-Plugin-de-sécurité-Wordpress
Secupress – Un plugin de sécurité wordpress
Sucuri-Plugin-de-sécurité-Wordpress
Sucuri – Un plugin de sécurité wordpress

Avoir son thème et ses plugins à jour

Une des bonnes pratiques est de toujours avoir son thème et ses plugins WordPress à jour, cela limitera l’accès à votre site via de vieilles failles de sécurité.

Pour cela vous pouvez activer les mises à jour automatiques de WordPress, ce qui est pour moi très risqué car vous rencontrerez souvent des incompatibilités entre thèmes et plugins ou alors entre les plugins eux-mêmes.

Ou vous pouvez faire appel à un professionnel qui s’occupera de réaliser les mises a jour de votre site grâce à des outils spécialisé comme Manage WP. Veillera à faire une sauvegarde avant les mises à jour, réalisera celles-ci dans le bon ordre, vérifiera la compatibilité entre les différentes extensions et le thème après les mises à jour…

Sauvegarder son site et sa base de donnée a plusieurs endroits

Pour une sécurité optimale, il est très important de réaliser plusieurs sauvegardes de votre site internet wordpress, ainsi que de sa base de donnée, à plusieurs endroits différents. La seule sauvegarde de votre hébergeur n’est pas suffisante.

Une multitude de plugins et services sont à votre disposition pour réaliser cette tâche

Voici quelques plugins ou services que j’utilise régulièrement :

Updraft-Plus-Plugin-de-sauvegarde-Wordpress
Updraft Plus – plugin de sauvegarde WordPress
All-in-one-wp-migration-Plugin-de-sauvegarde-et-mise-a-jour-WordpressManage-WP-Plugin-de-sauvegarde-Wordpress
All in one wp migration – plugin de sauvegarde et migration WordPress
Manage-WP-Plugin-de-sauvegarde-et-mise-a-jour-Wordpress
Manage WP – plugin de sauvegarde et mise à jour WordPress

Un mot de passe fort

A l’heure actuelle, je vous recommande très fortement d’utiliser un mot de passe fort, vous savez celui des geeks avec des caractères bizarre dedans #@%$*!. Étant donné la recrudescence des attaques réalisés de manière automatisée par des robots, cela leur complique la tâche.

Pas facile voir impossible de retenir ce genre de mot de passe. Pas de panique ! Des applications comme 1password ou Dashlane que vous pouvez installer sur votre ordinateur et votre téléphone s’occuperont de cela pour vous. Et si vous souhaitez une solution gratuite sans logiciel, votre navigateur comme Google Chrome fait ça très bien. Fini la prise de tête !

Authentification en deux étapes

Un bon moyen de sécuriser fortement l’accès au panneau d’administration de votre site WordPress, c’est d’utiliser une authentification en deux étapes. Mais c’est quoi ce truc ?

Cela consiste simplement à demander une confirmation sur votre téléphone portable : Première étape, vous rentrez vos logins et mot de passe de manière classique. Deuxième étape, après avoir installé une application 2FA comme Google Authenticator par exemple, vous rentrez le code secret affiché sur votre smartphone.

De cette manière, étant donné que le code change toutes les 30 secondes environ, et que seul la personne en possession de votre téléphone a le code, il devient très difficile de pirater votre accès.

Cacher le login de la console d’administration WordPress

Pour vous connecter au backoffice de votre site WordPress, deux éléments sont nécessaires : le login et le mot de passe. Vous définissez le mot de passe, donc pas de souci là dessus. En revanche, si vous écrivez des articles par exemple, votre login est probablement affiché en clair sur la page de vos articles, tout simplement à cause du nom de l’auteur qui se trouve être le même que le login.

Là encore des solutions existe : Il suffit par exemple d’utiliser un Pseudonyme différent de votre Identifiant lorsque vous créez un utilisateur. Le plugin SX User Name Security peut vous aider à cela.

Le plugin WPS Hide Login quant à lui, permet de changer l’url d’accès à votre backoffice qui d’habitude se trouve être tout le temps la même (votresiteweb.com/wp-admin). Un rempart de plus pour limiter l’accès a l’admin de votre site internet et pour sécuriser encore d’avantage votre site WordPress.

Si vous avez d’autres astuces pour sécuriser son site WordPress ou simplement envi de nous faire part d’une anecdote, n’hésitez pas à en faire part dans les commentaires 😉

Aide, conseils et dépannage Wordpress - Aurora Bordeaux