Comment bien sécuriser son site WordPress ?

Site Web

Accueil | Site Web | Comment bien sécuriser son site WordPress ?
Sommaire

Nous ne présentons plus WordPress, le système de gestion de contenu ou CMS (Content Management System) le plus utilisé au monde. Mal paramétré, WordPress peut présenter plusieurs failles de sécurité. Cela peut être le cas si des modules de sécurité ne sont pas installés.

Les cyberattaques ont augmenté. Parmi elles, nous pouvons retrouver :

  • Les faux ordres de virement (+63%). En 2022, la fraude par faux ordres de virement représentait environ 1,192 milliards d’euros de préjudice.
  • La défiguration de site internet (+61%), il s’agit ici d’une opération (visuelle ou textuelle) allant à l’encontre des informations véhiculées sur votre site.
  • Le déni de service (+41%), ce type d’attaque consiste à rendre inaccessible le serveur utilisé par l’entreprise, soit en exploitant une faille de sécurité présente sur le site, soit en surchargeant la fonction du service (FTP et/ou Base de données).

*source : entreprendre.service-public.fr 2023

Quelles sont les principales attaques web ?

Les attaques web sont des actions opérées par des utilisateurs mal intentionnés visant à exploiter les failles de sécurité d’un site internet afin de causer du tort à autrui.

Elles visent à nuire à votre site internet et par la même occasion à votre entreprise. Les cyberattaques les plus courantes visent à voler des données confidentielles de l’entreprise et demander une rançon contre la non-divulgation de ces données.

Il faut savoir que le fait de payer une rançon lorsque l’entreprise subit un vol de données, ne garantit pas à 100% la restitution de celles-ci. Les pirates conservent souvent ces informations pour effectuer du chantage auprès des entreprises attaquées.

Les types d’attaques web les plus courantes

Parmi les attaques web les plus courantes :

Injection SQL

L’injection SQL permet à un pirate d’ajouter du code malveillant via des champs de formulaire ou des liens sur un site web. Cette attaque cible les bases de données pour voler ou modifier des informations sensibles comme les identités ou coordonnées des utilisateurs.

Cross-site scripting (XSS)

Le cross-site scripting injecte des scripts malveillants, souvent en JavaScript, dans un site web. Ces scripts peuvent voler des données utilisateur ou compromettre leur navigation.

Attaque par déni de service (DoS/DDoS)

Une attaque DoS ou DDoS surcharge un serveur avec un volume massif de requêtes, souvent via un réseau d’ordinateurs infectés. Cela rend le site lent ou totalement inaccessible pour les utilisateurs légitimes.

Brute force

Cette attaque teste toutes les combinaisons possibles pour deviner un mot de passe ou un identifiant. Bien qu’ancienne, elle reste fréquente et peut être contrée par des mots de passe complexes et des systèmes de blocage après plusieurs tentatives échouées.

Autres attaques à connaitre

  • Man-in-the-middle (MitM) : Dans une attaque MitM, le pirate intercepte les données échangées entre un utilisateur et un serveur, souvent pour voler des informations sensibles comme des mots de passe ou des données bancaires.
  • Phishing : Le phishing consiste à usurper l’identité d’une organisation connue (banque, impôts, etc.) pour inciter les victimes à fournir des informations sensibles via de faux emails ou sites web.
  • Ransomware : Le ransomware bloque l’accès aux fichiers d’un utilisateur en les chiffrant. Les pirates exigent ensuite une rançon pour déverrouiller les données. Cette attaque se propage via des pièces jointes infectées, des liens malveillants ou des logiciels obsolètes.

Cet article peut également vous intéresser : 13 points à vérifier avant de lancer votre site internet

Quelles actions mettre en place pour sécuriser son site ?

Afin de sécuriser au mieux votre site WordPress et de limiter les tentatives de piratages, vous pouvez mettre en place les actions suivantes :

Mettre à jour votre site avec la dernière version de PHP est une mesure essentielle pour renforcer sa cybersécurité. Chaque nouvelle version corrige des failles identifiées dans les précédentes, réduisant ainsi les risques d’attaques potentielles. Par exemple, les versions de PHP antérieures à 7.4 sont obsolètes et exposent votre site à des vulnérabilités critiques, car elles ne reçoivent plus de mises à jour de sécurité.

Actuellement, la version PHP 8.3.9 est la plus récente et offre non seulement une sécurité renforcée, mais aussi des performances accrues, avec une exécution jusqu’à 52,2 % plus rapide par rapport à PHP 7.4. Cette version intègre des fonctionnalités avancées.

Pour protéger efficacement votre site contre les cybermenaces et bénéficier de ces avancées, connectez-vous à votre hébergeur et passez à PHP 8.3.9 dès maintenant.

Pour aller plus loin, consultez les étapes essentielles pour un site qui convertit.

Installer un certificat SSL est incontournable sur votre site internet. Il sécurise techniquement votre site et est gage de confiance pour les internautes.

Le certificat SSL est facilement identifiable sur les sites internet grâce au « » qui suit le « http ».

La signification de l’acronyme https est :  Hyper Text Transfer Protocol Secure. Le « S » signifie que les données du site ainsi que de l’internaute sont chiffrées. Cela permet de garder les informations du site et de l’utilisateur confidentielles.

Mettre à jour les modules WordPress régulièrement corrige et réduit les failles de sécurité en plus d’ajouter de nouvelles fonctionnalités à votre site, d’éviter les bugs et d’améliorer les performances de votre site (grâce aux correctifs apportés à travers leurs mises à jour).

En mettant à jours vos modules, des correctifs sont opérés et vous permettent de profiter pleinement des fonctionnalités de ces modules.

Concernant les modules que vous n’utilisez plus sur votre site, il ne suffit pas de les désactiver. Tant que le module reste présent dans vos extensions, cela ajoute une faille de sécurité qui peut être exploitable par des pirates. Lorsque vous n’utilisez plus une extension, désactivez-la et supprimez-la.

Modifier l’url de connexion par défaut est un incontournable en matière de sécurisation de site WordPress. Cette URL vous permet d’accéder directement à la connexion de votre back office. Les urls de connexion les plus communes sont : https://www.exemple.com/wp-admin ou https://www.exemple.com/wp-login.php

Pour diminuer les risques de tentatives de connexion au back office de votre site web, nous vous conseillons de la modifier.

Voici un exemple d’URL de connexion robuste : https://www.exemple.com/S-secure-0192.

La double authentification est un moyen efficace de contrer les systèmes de piratages de votre site. Pour ajouter une double authentification à la connexion au back office de votre site, il vous faudra ajouter une nouvelle extension sur votre profil WordPress.
Une des plus connue est « Google Authenticator ».  Cette extension peut être reliée à votre mobile par le biais d’une application qui vous générera un code d’accès pour vous connecter à votre compte.

Comme la protection à 100% n’existe pas, nous vous conseillons de mettre en place un système de sauvegardes régulières. Ainsi, si votre site se fait pirater, vous aurez toujours la solution radicale de supprimer la version contenant le virus et de restaurer une version antérieure à l’attaque (base de données et FTP).

Pour sécuriser la sauvegarde, il est essentiel de la déporter sur un serveur externe. Il existe plusieurs extensions comme BackWPup qui permettent de faire le lien entre le site et le serveur de sauvegardes.

Pour sécuriser votre site internet, deux actions simples sont recommandées : ajuster les permissions des fichiers (chmod) et modifier les préfixes des tables de votre base de données. Modifier les permissions avec des niveaux tels que 755 pour les répertoires et 644 pour les fichiers limite l’accès à la lecture, l’écriture ou l’exécution, réduisant les risques de modifications malveillantes ou accidentelles. Pour ce faire, accédez à votre FTP.

Concernant les bases de données, changer le préfixe par défaut wp_ de WordPress renforce la protection contre les attaques automatisées, comme les injections SQL. Avant toute modification, sauvegardez vos données pour éviter des pertes en cas de problème. Ces précautions réduisent les failles exploitables par des pirates ou des robots, renforçant ainsi la sécurité globale de votre site.

Cet article peut également vous intéresser : Comment créer son blog : dossier, sous-domaine ou nouveau domaine ?

Vous cherchez un professionnel pour sécuriser votre site ? Contactez-nous ! 

Je prends contact

Utiliser un Fire Wall et un Anti-spam

Quelques Fire Wall à la loupe

Wordfence Security 
  • Module WordPress offrant un pare-feu d’application web robuste.
  • Protège contre les attaques par force brute, les injections SQL…
  • Dispose d’un scanner de logiciels malveillants ainsi que d’une surveillance du trafic en direct.
iThemes Security (Solid Security)
  • Authentification à double facteur.
  • Protection contre les attaques par force brute, renforcement de mot de passe et blocage d’adresse IP.
  • Connexion au site obligatoire via SSL
NinjaFirewall 
  • Protection contre les attaques par force brute (l’une des plus rapide et efficace sur WordPress).
  • Détection en temps réel tout accès à un fichier PHP.
  • Surveillance de l’intégralité des fichiers.
  • Surveillance du trafic web du site en temps réel.

Quelques Anti-spam à la loupe

Akismet Anti-Spam 
  • Vérifie et filtre automatiquement les commentaires indésirables.
  • Affiche les liens cachés dans des commentaires indésirables.
  • Bloque les indésirables pour économiser l’espace disque et accélérer votre site.
Cleantalk Spam Protect (essai gratuit, puis 12$ par an)
  • Bloque les commentaires indésirables, les inscriptions spam, les e-mails de contact indésirables, les commandes de spam, les spams dans WooCommerce,
  • Compatible avec les utilisateurs et appareils mobiles.
  • Permet de désactiver les commentaires
  • Permet de bloquer les messages par langues, pays, réseaux et mots vides.
  • Protection des adresses e-mail publié sur le site
WP Bruiser 
  • Permet une protection des formulaires WordPress
  • Protection face aux attaques par force brute
  • Permet un suivi des adresses IP
  • Enregistre les actions effectuées par des robots
  • Compatible avec WordPress multisite
  • Ne dispose pas de Captcha

Cet article peut également vous intéresser : L’impact de l’UX design pour votre site internet

Afin d’assurer la sécurité de votre site WordPress et sécuriser vos données sensibles, contactez un professionnel.
Pour toute demande d’audit sécurité, ou de mise en œuvre complètes des mesures de protection, cliquez sur le bouton ci-dessous.

Contactez-nous !
infographie-comment-securiser-site-wordpress
Image de Gaëtan Marcon - Chef de Projet SEO
Gaëtan Marcon - Chef de Projet SEO
Tous ses articles
Bienvenue sur notre Blog !

Retrouvez toutes les dernières actualités du digital sans plus attendre. Le travail de veille technologique fait au quotidien par notre équipe nous permet de vous guider vers une stratégie de communication efficace, testée et approuvée par nos clients !

Notre objectif commun : développer votre BUSINESS et optimiser votre ROI !

Nos Catégories
Audit de communication OFFERT
N'hésitez pas à nous contacter pour bénéficier d'un audit de communication. Nos spécialistes du digital vous guideront vers les actions à mettre en place pour optimiser votre visibilité sur le web !
Contactez-nous !
Nos Glossaires
Nous contacter
Recevoir notre MAG
Telecharger le Mag Cap Visibilite - Agence digitale en Essonne et a Paris
RECEVOIR MON MAG

Je souhaite m'abonner à la Newsletter et recevoir les dernières actualités du digital !

Ces articles de la même catégorie peuvent vous intéresser...

CAP VISIBILITÉ 
6, rue Claude FACHATTE
91330 – YERRES

Linkedin-in Instagram Facebook-f Youtube Twitter

Nos offres dédiées aux :

Cap Visibilité est une agence de communication web située à Yerres (Essonne) . La société vous accompagne dans votre communication digitale.

logo bati

Découvrez Bâti Visibilité, notre marque dédiée à la communication des métiers du bâtiment.