Suite à notre précédent article Pourquoi mon site internet s’est fait pirater ?, nous détaillons aujourd’hui les bonnes pratiques à respecter pour limiter ces risques. Nous parlerons des paramètres d’installation d’un site Internet, des bonnes utilisation des plugins et de la nécessité des mises à jour.
Des mesures à mettre en place dès l’installation de son site
La protection de votre site WordPress, démarre dès les premières étapes de sa création.
En effet, nous vous conseillons de :
- Choisir un hébergeur fiable qui reste à la pointe en matière de sécurité et qui propose un support réactif et facilement joignable. C’est un minimum car votre site sera installé sur leur serveur. Nous préconisons des hébergeurs tels que OVH, PHP Net…
- Protéger l’accès de votre base de données en utilisant un préfixe de table et un mot de passe complexe. Si ce n’est pas le cas, un hacker pourrait facilement pénétrer votre base et vous nuire (création d’un nouvel utilisateur, suppression de vos données…)
- Bannir l’identifiant “admin” pour accéder à votre backoffice : cet identifiant est utilisé par défaut dans la majorité des projets. C’est donc la première faille que les hackers vont tester afin de tenter une intrusion sur votre site. Pensez à modifier cet identifiant.
- Opter pour un mot de passe utilisateur complexe : on trouve encore trop de suites logiques comme “1234”, “AZERTY” ou d’expressions types “motdepasse” qui sont connues et exploitées par les hackers…
En panne d’inspiration pour générer un mot de passe sécurisé ? Créez-en un complexe et aléatoire avec un générateur en ligne.
Vous l’aurez compris, des paramètres d’installation WordPress comme ci-dessous sont à prohiber !
La nécessité de mettre à jour WordPress
Internet et les technologies du web évoluent constamment. Régulièrement, une nouvelle version de navigateur apparaît et de nouveaux virus ou spams dangereux naissent.
Face à ces évolutions, le CMS WordPress est constamment optimisé par ses développeurs pour lutter contre ces menaces.
Il est donc nécessaire d’effectuer des mises à jour régulières pour trois raisons fondamentales :
- Résister aux attaques malveillantes
- Garder une lisibilité et un fonctionnement optimal auprès des internautes
- Anticiper les problèmes de fonctionnement liés aux incompatibilités de mises à jour
Pour savoir si votre version de WordPress est à jour, connectez-vous sur votre tableau de bord et cliquez sur mise à jour. Si vous avez un message de ce type…
… c’est qu’une version plus récente que la vôtre existe. Il faudra donc l’effectuer, mais attention, mettre à jour son WordPress n’est pas une opération anodine.
Cette action peut engendrer divers problèmes et notamment créer des incompatibilités avec vos plugins, il convient donc de tester localement cette nouvelle version avant de le faire sur votre site en ligne.
Si vous travaillez avec une Web Agency ou un webmaster indépendant, pensez à vérifier s’il est prévu un contrat de maintenance préventive qui prend en compte toutes ces mises à jour.
Les bonnes pratiques côté plugins
Un plugin est une extension qui vient s’ajouter à votre site WordPress existant. Il permet d’intégrer une fonctionnalité qui n’est pas prévu nativement par WordPress ou d’en étendre l’utilisation. À ce jour il en existe plus de 50 000 sur des thématiques très variées : e-commerce, personnalisation visuelle, formulaires … et bien sûr de sécurités !
Il est essentiel de :
- Mettre à jours ses plugins : les éditeurs de plugins publient fréquemment des mises à jours pour corriger des failles de sécurité et pour maintenir leurs compatibilités avec les dernières versions de WordPress. Il est conseillé de les garder à niveau (attention toutefois à la même mise en garde que pour les mises à jours WordPress évoquée plus haut)
- Installer des plugins connus et maintenus : n’installez surtout pas de plugins qui ne sont plus mis à jour depuis plusieurs mois, ils auront potentiellement des failles dans lesquelles les hackers pourront s’infiltrer. De même, évitez les plugins sans avis et aux origines douteuses.
Voici un exemple de plugin qui n’est pas mis à jour depuis 8 ans, qui a peu d’installations actives et qui n’a pas d’avis (à très fort risque donc).
- Supprimer les plugins dont vous ne vous servez-pas : Il est inutile de surcharger votre WordPress. Faîtes du tri afin d’éviter les failles potentielles.
De nombreux sites WordPress à gérer ?
Si vous devez gérer plusieurs sites WordPress, vous pouvez utiliser des moniteurs qui analyserons les mises à jour disponibles automatiquement sur tous vos sites. Cela vous permettra de gagner du temps et surtout de ne pas manquer de mises à jours importantes !
À l’agence, nous utilisons la plateforme Main WP qui nous permet de gérer et suivre une cinquantaine de sites web au quotidien. Cet outil, connecté à l’ensemble de nos sites WordPress nous permet d’un coup d’oeil, de suivre les nombreuses mises à jour possibles chaque jour. À noter qu’il existe de nombreuses autres plateformes de monitoring de sites WordPress comme Infinite WP.
Conclusion
Un environnement WordPress sain commence par une installation rigoureuse et une maintenance régulière de ses mises à jours et plugins.
Dans notre prochain article nous détaillerons davantage les bonnes pratiques à adopter afin de renforcer la sécurité de votre site WordPress.
