Votre site internet WordPress est-il suffisamment sécurisé ?
WordPress est l’outil de conception de sites internet le plus utilisé dans le monde. À la date du 1er décembre 2020, WordPress est utilisé par 39,1 % des sites web dans le monde (source Wikipédia). Ses performances ne sont plus à prouver tant au niveau de sa facilité d’utilisation que de son algorithme pour le référencement naturel.
WordPress est un logiciel Open-Source, c’est-à-dire mis à la disposition du grand public avec la possibilité de libre redistribution et d’accès au code source.
Depuis 2005, WordPress est distribué par Automattic, entreprise américaine d’édition de logiciels. il est donc régulièrement mis à jour pour corriger d’éventuels bugs et failles de sécurité. Cela permet donc à WordPress d’être parfaitement sécurisé et donc de n’avoir aucune faille de sécurité.
Cela est-il suffisant pour se dire que WordPress est suffisamment sécurisé ? Pas vraiment…
Mises à jour de WordPress et des plugins
La première étape importante pour sécuriser un site WordPress et de faire régulièrement les mises à jour de l’outil et des plugins installés. Les développeurs travaillent au quotidien pour faire évoluer WordPress, pour l’optimiser et surtout pour corriger les éventuelles failles de sécurité.
Il parait donc simple de faire ses propres mises à jour de WordPress mais cela n’est pas sans risque. WordPress n’est que le noyau de votre site internet auquel vous avez certainement ajouté un thème (template) et différents plugins. Tous ces outils doivent être compatibles entre eux pour ne générer aucun bug lors de la mise à jour.
Avant de faire une mise à jour, il est primordial de faire une sauvegarde complète de votre site internet. Ensuite il faut vérifier que l’ensemble des thèmes et plugins installés sur votre site soient compatibles avec la nouvelle version de WordPress. Nous favorisons l’utilisation de plugins appartenant à la bibliothèque wordpress.org et ayant été mis à jour récemment.
Il est aussi important de bien vérifier votre version PHP (langage web utilisé pour la conception de WordPress).
Comment sécuriser son site WordPress ?
WordPress se doit de posséder une sécurité supplémentaire pour limiter au maximum les intrusions de robots malveillants sur votre site internet.
La première étape est de vérifier l’accessibilité à votre interface de connexion à l’administration de votre site internet.
Un test simple à effectuer est de vérifier si votre administration est accessible via l’url « /wp-admin » en tapant dans votre barre de recherche « www.monsite.fr/wp-admin »
Si c’est le cas alors il y a peu de chance que votre site soit parfaitement sécurisé puisque n’importe quelle personne ou robot peuvent avoir accès à votre espace de connexion.
Voici une liste de recommandations non exhaustives à effectuer sur votre site internet :
- Changez l’URL de la page de connexion à WordPress
- Choisissez un login et un mot de passe complexe et sécurisé
- Limitez le nombre de tentatives de connexion
- Masquez la version de votre WordPress
- Évitez les thèmes gratuits
- Protégez vos fichiers
- Renommez le préfixe de votre base de données
- …
Quel est le rôle d’un certificat SSL (https://) ?
Depuis la mise en application de la RGPD (règlement général sur la protection des données), il est obligatoire de mettre en place un certificat SSL sur son site internet et de créer la redirection http:// vers https://
Un certificat SSL permet de crypter les données envoyées depuis le site web (informations depuis un formulaire de contact, informations personnelles d’un compte client, informations bancaires, …). Le principe du cryptage est de rendre illisible et indéchiffrable ces différentes informations.
Le certificat SSL ne sécurise donc pas votre site internet mais uniquement les informations transmises depuis votre site internet.