WordPress est le CMS le plus utilisé. Près de 43 % de tous les sites Web ont été construits à partir de cette plateforme. Au moment d’écrire ces lignes, on compte pas moins de 28 183 568 sites WordPress à travers le monde!
La grande popularité de ce CMS fait en sorte que les pirates informatiques vont le cibler de façon toute particulière. Simplement parce que les utilisateurs de WordPress constituent un grand bassin de victimes potentielles qui leur permet de rentabiliser leurs efforts. Ainsi, pour une seule recherche de vulnérabilité, il y a statistiquement plus de chances de tomber sur un site qui la présente.
Or, pour la majorité des attaques réussies sur les sites WordPress, c’est la négligence des propriétaires qui est en cause. Et non le code source du logiciel en lui-même. La plupart de ces incidents de sécurité auraient donc pu être évités par de simples gestes préventifs!
Les experts de PF communications se spécialisent dans la création de sites WordPress. Pour que vous puissiez bien protéger votre site conçu sur cette puissante plateforme. voici leurs recommandations de sécurité Web:
1- Installer une extension de sécurité
C’est un des tout premiers gestes à poser. Disons que ça donne un bon coup de pouce pour la suite! Un plugin de sécurité est à votre site Web ce qu’est l’antivirus pour votre ordinateur.
Il existe plusieurs options sur le marché. Parmi les extensions les plus connues et les mieux cotées pour sécuriser votre site WordPress, mentionnons: Sucuri Security, Wordfence Security, WP fail2ban et iThemes Security.
Le choix de l’équipe: iThemes Security
L’équipe de PF communications a un penchant avoué pour cette dernière. Efficace, simple à utiliser et assez légère pour ne pas ralentir un site une fois installée. Bien sûr, l’extension possède un scanner de malware (constamment à la recherche de programmes malveillants).
Elle offre en plus une panoplie de fonctionnalités qui facilitent l’accomplissement d’actions essentielles pour sécuriser votre accès et votre connexion à WordPress.
La version gratuite de iThemes Security, permet par exemple de:
- Changer l’adresse URL par défaut du panneau de connexion du site (ce qui le rend invisible aux pirates);
- Personnaliser votre nom d’utilisateur pour le compte d’administrateur (garder sa dénomination par défaut, «admin», qui est la même pour tous les sites, rendrait la tâche beaucoup trop facile pour les pirates!);
- Exiger et produire des mots de passe forts (définis selon le type d’utilisateurs: administrateurs, éditeurs ou usagers);
- Détecter les erreurs 404 (liens introuvables générés par des pirates ou robots qui scannent votre site à la recherche de vulnérabilités) et bloquer les adresses IP qui les génèrent;
- Bloquer les utilisateurs au comportement suspect (selon des critères que vous établissez).
L’extension permet aussi de:
- Détecter les fichiers altérés (si jamais des pirates parviennent à en prendre le contrôle) et envoyer rapidement des notifications incluant la liste des fichiers modifiés;
- Programmer des sauvegardes régulières de votre base de données et d’en faire des copies conservées dans un fichier séparé.
Dans sa version Pro, iThemes Security propose entre autres la très pertinente authentification à deux facteurs qui oblige non seulement les utilisateurs à se connecter avec leur mot de passe mais aussi avec un code envoyé sur mobile.
Cette version comprend aussi le service reCAPTCHA. Il permet de vérifier que les manœuvres ou interventions effectuées sur votre site proviennent bien d’êtres humains et pas de robots malveillants.
2- Faire régulièrement les mises à jour
Le but des mises à jour n’est pas seulement d’introduire de nouvelles fonctionnalités ou d’améliorer l’expérience utilisateur d’un logiciel. Les updates peuvent aussi servir à corriger des erreurs pouvant causer de potentielles vulnérabilités.
Dans plus de 56% des cas de piratage réussis, les CMS ou extensions touchés n’affichaient pas leur plus récente version. Les pirates raffinent sans cesse leurs stratégies et de nouvelles failles de sécurité sont identifiées régulièrement.
Il est donc essentiel pour vous d’établir un protocole de mises à jour et de vous y conformer diligemment. Autant pour votre version de WordPress, que pour votre thème ou les extensions que vous utilisez.
Effectuez sans attendre les mises à jour de sécurité. Vous pouvez par contre vous permettre d’attendre quelques jours avant d’appliquer les d’updates n’étant pas destinés à régler des vulnérabilités. Cela peut même être prudent; histoire de voir si les nouvelles fonctionnalités introduites sont bien rodées… 😉
La recommandation de PF communications: Manage WP
Bien sûr, il peut être fastidieux de surveiller et d’appliquer assidûment les mises à niveau. Surtout si vous devez gérer plusieurs sites. Dans un pareil cas, Manage WP est un outil de monitoring en ligne très pratique.
Il s’agit d’un tableau de bord gratuit, avec options payantes. Il permet de gérer facilement, à partir d’un même endroit, les différents paramètres de vos sites WordPress. Parmi ses fonctionnalités, mentionnons:
- la possibilité de définir et de préciser les conditions de vos sauvegardes et backups;
- l’authentification à deux facteurs;
- des vérifications de sécurité grâce à Sucuri Security.
Manage WP est tout particulièrement pratique pour les updates. L’outil permet de programmer ou d’effectuer les mises à jour sur tous vos sites en un clic, autant pour votre version WordPress que pour vos thèmes et extensions.
Vous pouvez aussi recevoir en temps réel des informations sur les plugins potentiellement vulnérables et agir rapidement sur tous vos sites concernés.
3- Adopter une saine utilisation des thèmes et extensions
Une des règles de base en matière de sécurité Web ramène du pouvoir entre vos mains. Elle consiste à faire des choix éclairés en ce qui concerne vos thèmes et extensions.
Tout d’abord, n’installez pas sur votre site WordPress du matériel d’origine ou de réputation douteuse. Même si, à prime abord, ses fonctionnalités sont séduisantes.
Faites vos recherches: quelles sont les évaluations par les usagers? Les thèmes ou les plugins en question sont-ils mis à jour régulièrement? Qu’en est-il de leurs développeurs, sont-ils fiables?
Informez-vous auprès de professionnels ou autres personnes de confiance. Misez sur des produits qui ont fait leurs preuves au fil du temps et qui sont connus pour la qualité de leur support technique. Une bonne façon de choisir prudemment consiste à faire votre sélection à partir du catalogue officiel de WordPress.
Vous pouvez vérifier la fiabilité des thèmes sur Theme Check. Ou encore, gagner du temps et d’emblée choisir Divi, de Elegant Themes. (C’est le thème chouchou de Patricia Filiatrault, experte en création de sites WordPress. 😊)
Rappelez-vous que même si vous avez choisi chacun d’entre eux avec prudence, tout thème ou plugin laissé à l’abandon est une menace potentielle pour votre site.
La gestion des plugins, tout particulièrement, peut devenir compliquée (surtout si vous en avez plusieurs). Faites preuve de retenue dans vos installations. Limitez-vous à ce dont vous avez vraiment besoin ou qui apporte une valeur ajoutée à votre site Web.
Pensez aussi à faire régulièrement «le ménage» en supprimant tout ce qui ne vous sert plus. Pour vous assurer de ne rien retirer qui puisse être essentiel ou utile, établissez un répertoire de vos extensions et des fonctionnalités de chacune.
6 conseils WEB
Créer son site avec WordPress en évitant de tomber dans les pièges du Web
4- Effectuer régulièrement des sauvegardes de votre site WordPress
Plusieurs facteurs peuvent entraîner la corruption ou la perte de vos données:
pirates informatiques, erreurs humaines et circonstances incontrôlables (tels que des dégâts par l’eau ou par le feu).
Il se peut que vous ayez choisi d’inclure dans votre contrat d’hébergement la saisie et la sauvegarde régulière de votre site. C’est bien, mais cela ne suffit pas. Peut-être parce que votre hébergeur ne s’exécute pas à une fréquence suffisante pour vos besoins. Ou qu’il ne conserve pas vos données pendant une période assez longue.
Et n’oubliez-pas que même les serveurs d’hébergeurs réputés peuvent être compromis pour une raison ou pour une autre. L’incendie qui s’est produit chez OVH et l’incident survenu chez WHC en témoignent.
Donc: que votre hébergeur effectue ou pas des backups de votre site, vous devez effectuer vos propres sauvegardes. Elles représentent une façon de sauver les meubles en cas de catastrophe. À condition d’être effectuées de façon compétente.
Déterminer la fréquence idéale des sauvegardes
Pour bien faire, la fréquence est la première chose à considérer. Interrogez-vous sur le rythme des sauvegardes que votre situation exige:
- Vous possédez un site vitrine, essentiellement statique et qui génère peu d’interactions avec les internautes? Des sauvegardes mensuelles ou réalisées avant chaque processus de mises à jour pourraient être suffisantes.
- Si c’est votre cas, l’extension Duplicator pourrait très bien répondre à vos besoins. Sa fonction première est de faire des migrations de sites en les clonant. Mais on peut aussi s’en servir pour procéder à des sauvegardes manuelles. Une valeur sûre et facile d’utilisation.
- Vous possédez un site en perpétuelle évolution? Il génère des formulaires ou des transactions? Alors vous feriez bien de planifier à l’avance des backups hebdomadaires, voire quotidiens.
Redondance des sauvegardes: une stratégie intelligente
Les experts en sécurité informatique s’entendent sur la nécessité de ne pas «mettre tous vos œufs dans le même panier». Ils suggèrent de conserver une copie de vos backups dans au moins deux, et idéalement trois, lieux différents:
- Une chez votre hébergeur.
- Une autre dans votre ordinateur.
- Une dernière sur tout autre type de support (clé USB, CD ou Cloud).
De cette façon, à moins d’un cataclysme digne de la fin des temps, les probabilités sont faibles pour que toutes les copies de vos backups soient détruites simultanément, dans des lieux différents.
Vous ne serez pas pris au dépourvu si jamais votre site est mis hors fonction. Vous pourrez avoir recours à une version antérieure, non corrompue, pour le rétablir.
5- Activer un certificat SSL (et le HTTPS) pour sécuriser les échanges de données
Les visiteurs qui interagissent avec votre site partagent aussi des données avec lui. Il est impératif d’empêcher que des pirates informatiques n’interceptent ces communications et ne s’approprient les informations sensibles qu’elles renferment.
La solution consiste à doter votre site Web d’un certificat SSL. Il s’agit d’un protocole de cryptage des données échangées entre un navigateur et un serveur Web.
On reconnaît les sites dont les données sont protégées par un certificat SSL grâce aux deux signes suivants:
- leur URL en HTTPS (par opposition au HTTP);
- l’icône en forme de cadenas (visible à la gauche du nom de domaine dans la barre d’adresse du navigateur).
Le certificat SSL touche autant la confiance envers un site Web que sa sécurité et celle de ses usagers. Les internautes voient d’un mauvais œil les pages qui n’affichent pas le petit cadenas à côté de leur URL. Ils préfèrent les sites qui respectent cette norme de sécurité.
Selon des statistiques récentes, 89% des pages téléchargées dans Chrome relèvent du protocole HTTPS et elles comptent pour 93% du temps passé à naviguer. Ces chiffres indiquent que les internautes, lorsqu’ils se rendent compte qu’ils sont sur une page non sécurisée, la quittent presqu’aussitôt.
Doté du HTTPS et d’un certificat SSL, votre site pourra mieux attirer et retenir ses visiteurs. Et puisque Google pénalise les sites qui n’ont pas encore le protocole de transfert hypertexte sécurisé, votre SEO ne s’en portera que mieux.
La sécurisation de votre site WordPress: pour protéger votre investissement
Rien de ce qui compte et de ce qui rapporte ne vient sans risques. Investir dans un site Web, de nos jours, est un élément essentiel de toute bonne stratégie d’affaires. Pour que votre présence en ligne demeure profitable et sécuritaire (tant pour votre site WordPress que pour ses utilisateurs), il faut agir intelligemment.
Propriétaires de sites, pour maximiser votre ROI, vous devez vous responsabiliser par rapport aux questions de sécurité Web. Il est important pour vous d’agir préventivement. Vous diminuez ainsi vos chances d’être victime des cyberpirates et limitez les dommages en cas d’attaque réussie.
Il y a des gestes simples que tout propriétaire de site doit connaître et effectuer régulièrement. Il est normal de se sentir un peu intimidé à l’idée de mettre en application par vous-même ces mesures préventives.
Chez PF communications, on se fera un plaisir de vous accompagner dans vos démarches et de vous aider à développer votre intelligence numérique vis-à-vis de la sécurité Web.
Pour approfondir les sujets abordés dans cet article vous pouvez:
- consulter notre article qui explique l’importance de sécuriser son site WordPress.
- prendre connaissance du Facebook Live de Patricia Filiatrault sur le thème de la sécurité des sites WordPress en compagnie de Kaylynne Johnson;
- découvrir pourquoi Patricia Filiatrault apprécie tout particulièrement le thème Divi.
Vous souhaitez implanter un blogue d’entreprise? Contactez-nous!
Patricia œuvre dans le milieu des communications et du marketing depuis 2007. Elle a choisi de se spécialiser en marketing numérique en 2014, en plus d’enseigner à la Faculté de communication de l’UQAM depuis 2011. Détentrice d’un baccalauréat en relations publiques et d’une maîtrise en administration des affaires (MBA), Patricia compte plusieurs dizaines de mandats de gestion de projets à son actif.
ChatGPT Search : Va-t-il tuer les moteurs de recherche traditionnels?
Depuis le 31 octobre, il est possible de chercher sur Internet avec ChatGPT. En tant qu’experte du SEO depuis 2013, j’ai souvent entendu prédire la fin du SEO, mais force est de constater que cela ne s’est pas encore produit.
Le blogue d’entreprise comme outil marketing : avantages et bonnes pratiques
Pourquoi le blogue devrait devenir l’un des principaux éléments de votre stratégie de marketing numérique? La réponse… ici.