WordPress représente 26% des sites Web dans le monde. Il s'agit du gestionnaire de contenu le plus utilisé au monde. Il est devenu le CMS préféré des utilisateurs, notamment en raison du grand nombre de problèmes auxquels il est confronté…. Mais c’est aussi à cause de cette utilisation massive que les cybercriminels s’y attaquent.
WordPress est assez sûr en standard, mais en le configurant ou en l’utilisant, nous pouvons générer des faiblesses par lesquelles les pirates cherchent à se faufiler. Bien que WordPress soit un CMS sécurisé, il n’est pas infaillible ... pourquoi? Parce que la sécurité dépend en grande partie des utilisateurs. C’est à dire, de vous. Ici, nous vous montrons quelques astuces avec un investissement minimum: 0 euros.
>> Téléchargez la check-list
avec les 25 points d’utilisabilité de base que votre site web doit respecter <<
Il est logique que les sites Web célèbres qui utilisent WordPress - les Rolling Stones, Antonio Banderas, Disney, Mercedes-Benz ou le New York Times ... - investissent pleinement dans la protection de leurs pages à l’aide de puissants plugins et dans la modification du code. C’est évident mais cela n’enlève en rien les quelques règles que vous devez savoir, et surtout, que vous devez mettre en pratique:
1. Tout mettre à jour: WordPress, Plugins et Hébergement
C'est de loin ce qu'il y a de plus important. Vous devez mettre à jour les plugins que vous avez déjà installés (vous devez bien sûr vérifier qu'ils sont fiables). Ainsi, vous disposez de la version la plus optimisée et la plus robuste, et donc moins susceptible d’être piratée. De même, le serveur que vous utilisez doit avoir un système mis à jour et géré correctement.
Plus la mise à jour est longue, plus vous êtes vulnérable et plus la mise à jour sera compliquée le jour où vous déciderez de le faire. Il est plus facile de passer d'une version à la version immédiatement ultérieure que d'une version à une autre dix fois plus éloignée.
Si vous avez également installé des plugins que vous n'utilisez plus, il est préférable de les éliminer car même s'ils sont inactifs, s'ils ont une vulnérabilité, les pirates informatiques vont s’y faufiler. Assurez-vous qu'ils ne sont pas vraiment nécessaires, puis supprimez-les.
2. Créer des mots de passe robustes
Créez des mots de passe assez forts (longs et complexes) pour éviter de les "deviner" et modifiez-les de temps à autre. Il existe plusieurs types d’attaques informatiques, dont l’une dite attaque par force brute: elle consiste à entrer sur le site en testant toutes les combinaisons possibles de nom d’utilisateur et de mot de passe. Si vous utilisez des noms et des mots de passe évidents, vous avez une forte probabilité de faire partie des "dictionnaires" des mots de passe pour les attaques par force brute. Dans cette page Panda Security, vous trouverez quelques astuces pour créer ces «super mots de passe».
Il ne donne à chacun des utilisateurs que les autorisations nécessaires pour leur tâche: administrateur, éditeur, auteur, collaborateur ou abonné. Chacun à ses manières d’éviter des erreurs, des moments de confusion ou des maux de tête.
Par exemple: si un pirate informatique accède au mot de passe d’un utilisateur, qu’il ne puisse accéder qu’à ce qu’il a la permission de faire et rien d’autre.
3. Télécharger des plugins de confiance
Les plugins que vous installez doivent être approuvés. Pour cela, il est utile de passer en revue plusieurs aspects qui vous donneront des indices sur la fiabilité des plugins. Aucun de ces indices n'est définitif, mais ils donnent une idée plus ou moins précise de la qualité du plugin:
- Quelle est la dernière mise à jour? C'est bon signe s'il a été mis à jour ces derniers mois: cela signifie qu'il s'améliore et qu’il "est en vie". Il existe également des plugins qui n'ont pas besoin d'être constamment mis à jour car ils remplissent des fonctions très spécifiques.
- Qui ou qui sont les développeurs du plugin?
- De combien d'installations actives comptez-vous? Plus la communauté qui l’utilise est grande, mieux c'est.
- Quel est le score de la communauté?
Par exemple, "BuddyPress" est un plug-in de fonctionnalités de réseau social utilisé pour les campus virtuels, la communication interne d'une entreprise, un intranet privé, un groupe, le type de réseau social Facebook, etc.
- Dernière mise à jour: Il y a 2 mois ✔
- Combien d'installations actives avez-vous? +200 000 ✔
- Quel est le score de la communauté? 4.5 / 5 ✔
- Qui est le développeur de plugin? John James Jacoby est membre de WordPress depuis mars 2008; Contributeur principal de WordPress.org; Développeur de thèmes WordPress; Documentation Contributor etc ... ✔
Conclusion
Notez bien que ces quelques points sont essentiels et que votre investissement a été de 0 € tout en ayant considérablement amélioré la sécurité de base de votre WordPress. N'oubliez pas que WordPress utilise une source ouverte et que donc tout le monde peut connaître ces faiblesses: les mises à jour, le renforcement du mot de passe et la fiabilité des plugins sont essentiels. Ce sont des choses tellement fondamentales qu’il nous arrive souvent de passer à côté ...!
Enfin, un dernier aspect important: créer systématiquement des copies de sauvegarde du site Web et de sa base de données pour éviter tout risque d’intrusion... C’est fondamental.