Téléphone : 07.51.62.01.40 | Mail : contact@morpheus-formation.fr
L'année dernière, en l'espace de 36 heures, le système de protection Wordfence a bloqué 13,7 millions de tentatives d'attaques qui ciblaient 1,6 million de sites WordPress 😱 Découvre mon article complet pour sécuriser un site WordPress.
Comment sécuriser WordPress rapidement ? Voici ma checklist rapide :
- Évitez d'installer des plugins ou thèmes de sources non fiables.
- Optez pour un plugin de sécurité reconnu, comme SolidSecurity.
- Activez la double authentification pour les comptes administrateurs.
- Assurez-vous de mettre régulièrement à jour WordPress, ainsi que vos thèmes et extensions.
- Choisissez un hébergeur de confiance, tels que o2switch, Hostinger ou Faaaster (mon favori).
- Éliminez le compte "admin" si celui-ci est installé par défaut.
- Mettez à jour la version de PHP de votre hébergement, privilégiant au minimum la version 8.0.
- Évitez d'acheter des plugins et thèmes premium sur des sites non réputés.
- Ne faites pas usage de plugins ou thèmes obsolètes qui n'ont pas été actualisés depuis longtemps.
WordPress est-il sécurisé ? Oui, mais non ! WordPress est victime de son succès. Sa popularité en fait une cible privilégiée de nombreux acteurs du web.
La sécurité de ton site WordPress est donc un sujet crucial ! Si tu souhaites le préserver, tu es au bon endroit. Quand tu réalises le temps de travail, d’écriture, et de réflexion que demande la création de ta vitrine, tu n’as pas le droit d’être approximatif en ce qui concerne sa protection.
Attirer 3000 visiteurs mensuels sur son site WordPress !
Notre formation "WordPress SEO" est la solution idéale pour acquérir des compétences précieuses en référencement naturel sur ce CMS, améliorer sa visibilité sur Google et booster votre chiffre d'affaires. 100% finançable !
Le guide complet pour sécuriser son site WordPress
Tu souhaites aller encore plus loin ? Je te conseille mon guide PDF complet pour sécuriser ton site WordPress !
Étape par étape et de façon chronologique, ce guide va t'aider à sécuriser ton site WordPress gratuitement.
Allez, c'est le moment de le télécharger avant qu'il ne devienne payant !
Le meilleur plugin de sécurité : iTheme Security / Solid Security
Attention : Ithème Security est devenu Solid Security
Itheme Security est un plugin de sécurité qui protège ton site Web ou ta boutique en ligne dans WordPress de 30 manières différentes.
Une fois que tu as été formé pour créer un site sous WordPress, tu dois le sécuriser !
Ce plugin a été créé lorsque des logiciels obsolètes, des mots de passe faibles et des vulnérabilités de plugins ont permis aux pirates de pénétrer facilement dans les sites WordPress. Par conséquent, il est capable de corriger les failles de sécurité pour empêcher les pirates d'accéder à ton site Web.
Cela dit, bien que IThemes Security soit conçu pour rendre ton site WordPress plus sécurisé, notamment contre de nombreuses méthodes d'attaque courantes, il ne peut pas empêcher toutes les attaques possibles.
ITheme Security est l'un des plugins de sécurité les plus populaires, les plus utilisés et les mieux notés pour WordPress. Il est capable de protéger chaque site WordPress. Il fournit un accès facile à ses fonctionnalités, avec un tableau de bord ergonomique. Ce plugin de sécurité est léger pour un site Web et n'a donc que peu d'incidences sur les performances du site.
Sa dernière grosse mise à jour de 2023 a considérablement amélioré son ergonomie et sa simplicité. Actuellement (07/02/2023), Ithèmes Security est la meilleure solution gratuite sur le marché, devant WordFence. J'ai déjà réalisé une vidéo sur cette extension de sécurité l'année dernière. C'est le moment de la regarder !
Les 5 étapes + 1 pour sécuriser son site WordPress en 2024
Il existe plusieurs moyens de sécuriser un site WordPress. Voici quelques-unes des mesures que nous allons voir :
- Utiliser une version à jour de WordPress. Les nouvelles versions de WordPress incluent des correctifs de sécurité pour les vulnérabilités connues. Assure-toi de toujours utiliser la dernière version de WordPress pour bénéficier de ces correctifs.
- Installer un plugin de sécurité. Il existe de nombreux plugins de sécurité pour WordPress. Ils te permettent de protéger ton site contre les attaques de hackers. Ces plugins peuvent notamment t'aider à protéger tes comptes d'utilisateurs, à détecter les tentatives d'intrusion et à bloquer les IP indésirables. Je te conseille, comme tu as pu le voir, Ithemes Security.
- Utiliser un mot de passe fort. Tu dois choisir un mot de passe complexe et difficile à deviner pour protéger tes comptes d'utilisateurs. Tu dois ainsi éviter les mots de passe simples ou courants, comme "123456" ou "motdepasse". Utilisez plutôt une combinaison de lettres, de chiffres et de caractères spéciaux.
- Régulièrement, effectuer des sauvegardes de ton site. Les sauvegardes te permettent de restaurer ton site en cas de problème. Assure-toi de réaliser constamment des sauvegardes de ton site et de les stocker dans un endroit sûr. Je te conseille l'extension UpdraftPlus ou Wpvivid.
- Se déconnecter : déconnecte-toi de tes services et sites WordPress après chaque utilisation.
- Découvre la dernière astuce en bas.
1 - Mettre à jour WordPress
Il est crucial d'utiliser la dernière version de WordPress pour bénéficier des derniers correctifs de sécurité. Les nouvelles versions de WordPress incluent des correctifs pour les vulnérabilités connues, qui, si non corrigées, peuvent être exploitées par les hackers pour accéder à ton site. En mettant à jour régulièrement, tu t'assures que ton site est protégé contre ces vulnérabilités.
Pour mettre à jour WordPress :
- Connecte-toi à ton site et accède à l'onglet "Mises à jour" dans le menu de gauche.
- Si une nouvelle version de WordPress est disponible, tu verras un message t'invitant à la mettre à jour.
- Clique simplement sur "Mettre à jour maintenant" pour lancer le processus.
- Une fois la mise à jour terminée, ton site sera à jour avec la dernière version de WordPress.
Mais n'oublie pas, ce n'est pas tout !
METTEZ À JOUR VOS EXTENSIONS ET THÈMES.
C'est un fait : environ 33% des sites hackés le sont à cause d'extensions ou de thèmes obsolètes. La mise à jour de ces éléments est tout aussi importante que celle de WordPress lui-même. Ces mises à jour ne se limitent pas à la sécurité ; elles peuvent résoudre 90% des problèmes que tu rencontres sur WordPress.
En outre, pense à faire le ménage régulièrement. Avoir moins d'extensions signifie moins de vulnérabilités potentielles et une meilleure performance de ton site. C'est un équilibre entre fonctionnalité et sécurité.
Garder WordPress, tes thèmes et extensions à jour est essentiel. Cela te protège non seulement contre les attaques, mais améliore aussi la stabilité et la performance de ton site. Sois vigilant, et ton site WordPress te remerciera !
2 - Installer un plugin de sécurité
Pour cette partie, je te conseille de suivre la première partie ! Sinon, voici quelques fonctionnalités indispensables pour un plugin de sécurité WordPress :
- Protection des comptes d'utilisateurs : certains plugins de sécurité t'aident à protéger tes comptes utilisateurs en t'avertissant lorsqu'un utilisateur tente de se connecter avec des identifiants incorrects. Le plugin peut aussi bloquer les comptes d'utilisateurs après un certain nombre de tentatives de connexion infructueuses.
- Détection des tentatives d'intrusion : les plugins de sécurité peuvent également t'aider à détecter les tentatives d'intrusion sur ton site. Ils peuvent par exemple enregistrer les tentatives de connexion et t'avertir si des IP suspectes tentent d'accéder à ton site.
- Blocage des IP indésirables : certains plugins de sécurité te permettent par ailleurs de bloquer les IP indésirables. Tu peux par exemple définir une liste d'IP que tu souhaites bloquer, ou utiliser des listes noires publiques pour bloquer les IP connues pour être utilisées par des hackers.
En utilisant un plugin de sécurité pour WordPress, tu pourras renforcer la sécurité de ton site en protégeant tes comptes d'utilisateurs, en détectant les tentatives d'intrusion et en bloquant les IP indésirables.
3 - Utiliser un mot de passe fort
Pour renforcer la sécurité de ton site WordPress, il est crucial d'utiliser un mot de passe fort pour protéger tes comptes d'utilisateurs, surtout face au risque du vol de mot de passe, souvent causé par des attaques par force brute.
Qu'est-ce qu'une attaque par force brute ? C'est une méthode employée par des bots ou des hackers qui testent des milliers, voire des millions, de combinaisons de mots de passe jusqu'à en trouver un valide. Ces attaques visent principalement les mots de passe faibles et courants, comme "123456" ou "motdepasse", qui sont facilement devinables.
Comment choisir un mot de passe fort ?
- Longueur : Opte pour un mot de passe d'au moins 12 caractères.
- Complexité : Utilise une combinaison de lettres (majuscules et minuscules), de chiffres et de caractères spéciaux. Cela rend ton mot de passe beaucoup plus difficile à deviner.
- Unicité : N'utilise pas le même mot de passe pour plusieurs comptes. Si un hacker découvre un de tes mots de passe, il ne devrait pas pouvoir accéder à d'autres comptes avec celui-ci.
Si tu manques d'inspiration pour créer un mot de passe sécurisé, pense à utiliser un logiciel de gestion de mots de passe comme celui que je recommande : https://www.motdepasse.xyz/.
L'authentification à deux facteurs (2FA)
Pour une sécurité optimale, il est également recommandé d'ajouter l'authentification à deux facteurs. En plus de ton mot de passe, tu devras entrer un code que tu reçois par SMS, e-mail, ou via une application d'authentification. Cela offre une couche supplémentaire de sécurité, car même si un hacker devine ton mot de passe, il lui sera difficile d'accéder à ton compte sans ce second code.
En résumé
- Mots de passe forts : Essentiels pour se protéger contre les attaques par force brute.
- 2FA : Ajoute une sécurité supplémentaire en nécessitant un deuxième facteur de vérification.
- Gestion des mots de passe : Utilise des outils pour générer et stocker en toute sécurité tes mots de passe.
En adoptant ces pratiques, tu pourras considérablement améliorer la sécurité de ton site WordPress et te protéger efficacement contre les menaces courantes en ligne.
4 - Faire des sauvegardes régulières
Réaliser régulièrement des sauvegardes de ton site WordPress est une mesure importante pour protéger tes données contre les pertes accidentelles ou les attaques de hackers. Les sauvegardes te permettent de restaurer ton site en cas de problème, que ce soit une erreur de ta part ou une attaque de hackers.
Voici ma vidéo sur YouTube où je te présente un super plugin, UpdraftPlus et comment l'utiliser de manière efficace :
A - Comment effectuer des sauvegardes sur WordPress ?
Pour effectuer des sauvegardes de ton site WordPress, tu peux utiliser l'outil de sauvegarde intégré à WordPress ou un plugin de sauvegarde. Ces outils te permettent de sélectionner les éléments à sauvegarder (fichiers, bases de données, etc.) et de choisir l'emplacement où stocker les sauvegardes (sur votre ordinateur, sur un serveur externe, etc.).
B - À quelle fréquence réaliser des sauvegardes WordPress ?
Il est important de réaliser des sauvegardes souvent pour être sûr de disposer d'une copie récente de ton site en cas de problème. La fréquence des sauvegardes dépend de la fréquence d'ajout de contenu sur ton site et de la crainte que tu as de perdre vos données. En général, il est conseillé de réaliser des sauvegardes quotidiennes ou hebdomadaires. Encore plus fréquemment pour des gros sites e-commerces.
C - Où stocker ses sauvegardes WordPress ?
Une fois que vous avez effectué une sauvegarde, assure-toi de la stocker dans un endroit sûr et de la conserver en lieu sûr. Si tu stockes tes sauvegardes sur ton ordinateur, tu dois les transférer sur un disque dur externe ou sur un service de stockage en ligne (comme Dropbox ou Google Drive) pour éviter de les perdre en cas de problème avec ton ordinateur.
D - Mes conseils pratiques pour réaliser ses sauvegardes WordPress
Mon premier conseil : sauvegarde la base de données et les fichiers. Mon deuxième conseil : sauvegarde tes fichiers sur Google drive avec une adresse Gmail spécifique (qui ne sert qu'à ça). Tu protèges cette adresse au maximum (mot de passe fort + adresse compliqué) et tu ne la communiques pas. Attention : n'utilise pas le même compte Google Drive pour sauvegarder deux sites ! Catastrophe assurée (sauf si tu as la version premium de Updraft par exemple).
Solution 5 : Déconnectez-vous.
Voici une révélation surprenante issue des dernières données en cybersécurité : les vols de cookies de sessions sont en forte hausse. En d'autres termes, un malware présent sur ton ordinateur peut s'emparer de tes cookies de session pour infiltrer ton site WordPress. Tu sais quoi ? Cela représente près de 60% des sites hackés en 2023.
Alors, comment tu peux te défendre contre ça ? La solution est simple mais efficace : déconnecte-toi de tes services et sites WordPress après chaque utilisation. Oui, je sais, ça peut paraître fastidieux, mais crois-moi, c'est un moyen redoutablement efficace pour garder les intrus à distance.
Et ce n'est pas tout. Tu devrais également limiter le nombre de comptes admin sur ton site. Plus il y a d'admins, plus il y a de risques. Restreindre l'accès à quelques personnes de confiance réduit considérablement les chances de compromission de ton site.
En résumé, ne sous-estime jamais le pouvoir d'un simple clic sur "Déconnexion". Cela pourrait bien être le bouclier dont tu as besoin contre une grande partie des menaces en cybersécurité. Alors, même si ça te semble pénible, prends cette habitude. La sécurité de ton site en vaut la chandelle !
Bonus : Les patchs virtuels pour une sécurité renforcée
Cette solution est particulièrement adaptée pour ceux qui souhaitent aller au-delà des mesures de sécurité standard pour leur site WordPress. Les patchs virtuels sont une forme avancée de protection, surtout utile contre les vulnérabilités dites "0 jour".
Qu'est-ce qu'un patch virtuel ? Un patch virtuel est une méthode pour protéger rapidement votre site contre une faille de sécurité spécifique, même avant que les développeurs n'aient officiellement corrigé le problème dans le thème ou le plugin concerné. Cela est particulièrement utile pour les failles "0 jour", qui sont des vulnérabilités non découvertes ou non corrigées par les développeurs, rendant les sites WordPress susceptibles d'être exploités.
Comment fonctionne-t-il ? Les patchs virtuels sont généralement fournis par des services de sécurité tiers, tels que Patchstack, qui peuvent être accessibles via des outils comme Solid Security Pro. Ces services surveillent votre site WordPress et appliquent automatiquement des règles de sécurité ou des filtres pour bloquer les tentatives d'exploitation des vulnérabilités connues.
Pourquoi envisager des patchs virtuels ?
- Protection proactive : Ils offrent une couche de sécurité supplémentaire en protégeant contre les vulnérabilités nouvelles ou inconnues.
- Réponse rapide : Les patchs virtuels peuvent être appliqués beaucoup plus rapidement qu'un correctif officiel, ce qui est crucial pour la sécurité en temps réel.
- Tranquillité d'esprit : Même si un plugin ou un thème n'est pas immédiatement mis à jour par le développeur, votre site reste protégé.
Est-ce indispensable ? Bien que ce ne soit pas indispensable pour tous les sites WordPress, l'utilisation de patchs virtuels peut faire une grande différence en termes de sécurité, surtout si vous gérez un site avec beaucoup de trafic ou des données sensibles. C'est une mesure supplémentaire pour ceux qui veulent assurer une protection maximale de leur site.
Sécuriser un site WordPress : le mot de la fin
Comme tu peux le constater, il existe de nombreuses manières de sécuriser un site WordPress :
- Le choix d’un hébergeur WordPress sécurisé,
- L'utilisation de mots de passe forts.
- Ou encore les mises à jour du cœur et des extensions.
Ils ne constituent seulement quelques-uns des éléments qui permettront à ton site WordPress de fonctionner en toute sécurité. Ton site WordPress est à la fois ton entreprise et ton revenu, il est donc important de prendre un peu de temps et de mettre en œuvre certaines des meilleures pratiques de sécurité mentionnées ci-dessus, le plus tôt possible.
Formation pour sécuriser son site web
Vous avez déjà un site WordPress et vous souhaitez :
- Effectuer un audit approfondi ?
- Sécuriser son site.
- Maximiser sa rapidité de chargement ?
- Booster sa visibilité sur Google de manière significative ?
- Améliorer ses conversions ?
- Recevoir des conseils exclusifs et personnalisés ?
Si la réponse est oui, notre formation WordPress est exactement ce qu'il vous faut !
Notre formation est spécialement conçue pour les propriétaires de sites WordPress aspirant à rafraîchir leur site et optimiser leur présence en ligne.
Et c'est finançable !
Mes autres articles sur WordPress :