Comment bien sécuriser WordPress? Le tutoriel complet.

Voltee vous propose la liste complète des réglages à faire pour sécuriser votre site WordPress.

Grâce à elle, vous serez capables de protéger votre business en ligne contre toute tentative de piratage.

C’est préserver votre site web mais c’est aussi mettre à l’abri toutes les données liées à votre site web.

Les perdre serait très pénalisant, n’est-ce pas ?

Grâce à cet article, vous saurez comment bien protéger votre site WordPress.

Introduction à la cybersécurité

La cybersécurité est un sujet passionnant. Mais, force est de constater que peu de gens s’y intéressent. Pourtant, il est essentiel dans les métiers en lien direct avec le digital. Il est même vital pour quiconque construit son business en ligne. 

Si je devais vous citer un chiffre, ce serait celui-ci : Selon IBM, 90% des piratages informatiques sont dus à des erreurs humaines. Il y a donc tout intérêt à savoir comment limiter ces erreurs.

Pourquoi la sécurité est si importante dans la création de sites WordPress

À la base, WordPress n’est pas sécurisé. C’est comme pour les réglages SEO. WordPress n’est pas équipé nativement. Il est nécessaire de lui ajouter des modules en plus. Comme en SEO avec Yoast par exemple, vous allez devoir installer des plugins afin d’optimiser la sécurité de votre WordPress. C’est regrettable mais c’est comme ça. 

Il faut savoir que les pirates ne font pas la distinction entre un gros et un petit site web. En effet, ils se servent généralement d’outils pour hacker les sites. Ce sont souvent des robots qui parcourent le web à la recherche de sites comme proies. Donc ces “bots” se moquent de savoir si votre site web est important ou pas. Ce qui les intéresse, ce sont les failles potentielles pour s’introduire dans votre site.

Et WordPress est un bon client pour ces attaques. Plus de 40% des sites en ligne utilisent WordPress. Donc c’est la même chose avec les virus sur PC : la rançon de la gloire.

Pour quelles raisons voudrait-on pirater votre site WordPress ?

Maintenant, qu’en est-il des motivations de ces hackers ? Pourquoi des personnes malintentionnées voudraient-elles rentrer dans votre site web ?

Les motivations d’un hacker sont nombreuses :

• Juste pour le plaisir, le plaisir de casser ou de mettre un site hors ligne ;
• Pour gagner de l’argent grâce à la publicité, soit en les hébergeant sur votre site soit en le redirigeant vers un site tiers ;
• Pour améliorer le SEO de leurs sites web, en cachant des liens vers leurs propres sites ;
•  Pour intercepter vos données personnelles ce qui, dans le cas d’un site e-commerce, revient à mettre la main sur votre portefeuille clients…
• Pour s’infiltrer dans votre ordinateur, si jamais vous n’avez vraiment pas de chance et que vous tombez sur un pirate aussi doué qu’énervé après votre site ;
• Pour se servir de votre site ou de votre serveur pour lancer une grosse attaque sur une autre cible par déni de service (DDoS)

Les conséquences d’un site piraté

Se faire pirater n’est jamais agréable. Mais, au-delà de ça, les répercussions sur votre business en ligne peuvent être graves :

• Un piratage peut coûter cher, en termes de réparation mais aussi en termes d’indisponibilité si jamais votre business repose entièrement sur votre site web ;
• Votre référencement naturel peut en pâtir. Si votre site reste inaccessible trop longtemps, Google va déclasser des pages voire même en désindexer certaines.
• Votre image de marque est égratignée. Vos visiteurs n’apprécieraient pas de tomber sur une publicité vantant les mérites d’un produit peu recommandable. Tout comme ils apprécieraient encore moins d’être redirigés sur un autre site du même accabit. Enfin, imaginez que vous ayez à contacter vos clients pour leur annoncer que leurs données à caractère personnel sont dans la nature…
• Votre site peut être supprimé par l’hébergeur. C’est très rare mais ça peut arriver si un problème de sécurité menace les autres sites présents sur le serveur mutualisé.

Les étapes pour sécuriser un site WordPress

Vous l’avez bien compris. C’est dans votre intérêt et celui de votre business de faire le nécessaire pour sécuriser votre site web. Pour ce faire, voici comment faire si vous utilisez WordPress.

Faire les bons réglages dès l’installation de WordPress

Une bonne sécurité de votre site démarre dès l’installation de WordPress, voire même un tout petit peu avant.

Installer un certificat SSL pour utiliser le protocole https

Pour commencer, avant même d’installer WordPress, vous allez devoir installer un certificat SSL pour “Secure Socket Layer”. Ce certificat va vous permettre d’afficher votre site avec le protocole https. Vous savez, c’est le petit icône en forme de cadenas situé dans le navigateur web, à gauche de l’adresse du site sur lequel vous êtes.

Le réglage est à effectuer sur le site de votre hébergeur.

La plupart des hébergeurs proposent le certificat gratuit “Let’s Encrypt” qui est très bien. Il n’est pas utile donc d’en acheter un, y compris pour des sites e-commerces.

Je vous recommande l’utilisation de l’extension Really Simple SSL. Celle-ci est même installée d’office avec WordPress par certains hébergeurs (Infomaniak, pour ne citer qu’eux…). Cette très bonne extension vous permettra de faire les réglages nécessaires au niveau du certificat SSL. Entre autres, elle vous permettra de réaliser une redirection automatique de http vers https. Mais elle vous permettra aussi de sécuriser vos en-têtes grâce au HSTS. Mais là, on rentre dans des choses un peu plus compliquées donc revenons à des choses plus simples.

Ne pas utiliser “admin” comme identifiant de votre compte administrateur

Lorsque vous installez WordPress, ne prenez surtout pas “admin” comme identifiant au moment de créer votre compte administrateur.

Sachez que cet identifiant sera testé en tout premier par les robots pour tenter de s’introduire dans votre site web.

C’est même une des règles de base en sécurité qui va bien au-delà de WordPress : l’identifiant “admin” ne doit jamais être utilisé.

NB : Si vous avez pris “admin” comme identifiant, il ne vous sera pas possible de le modifier dans les réglages de votre compte. C’est bloqué et c’est fait exprès. Vous aurez alors à créer un nouveau compte administrateur en prenant soin de choisir un identifiant moins facile à deviner. Toutefois, vous ne pourrez pas reprendre le même mail que celui utilisé par le premier compte administrateur. Vous aurez donc à faire une petite manipulation avant. L’astuce ? Modifier le mail du premier compte admin en utilisant un mail factice et utiliser le bon mail pour créer le nouveau compte. Une fois celui-ci créé, vous n’aurez plus qu’à supprimer le premier compte admin en prenant soin de réattribuer tout son contenu au nouvel administrateur.

Ne pas garder “wp_” comme préfixe de base de données

C’est souvent quelque chose à laquelle on ne pense pas quand on débute avec WordPress. 

Et pourtant, le simple fait de ne pas changer le préfixe de votre base de données est aussi une faille de sécurité.

N’ayez crainte si jamais vous n’avez pas modifié ce préfixe lors de l’installation. Ce n’est pas dramatique. C’est possible aussi que les installateurs automatiques de certains hébergeurs ne vous l’aient pas proposé. 

Malheureusement, le changement de préfixe en “wp_” n’est pas facile à faire quand on débute sur WordPress.

Donc, ne vous tracassez pas avec ce changement. Car, si vous suivez les autres étapes de cet article, il ne sera pas nécessaire.

Protéger la connexion à l’espace d’administration de WordPress 

Une fois que votre WordPress est installé, la première chose à faire consiste à protéger l’URL de connexion à votre espace d’administration.

Renommer ou déplacer votre URL de connexion

La meilleure façon de protéger l’accès à votre espace d’administration WordPress est de déplacer l’URL permettant de s’y connecter. 

En effet, il n’y a rien de plus facile que d’accéder à la page de connexion au backoffice de WordPress. Il suffit juste d’ajouter /wp-admin ou /wp-login.php à l’adresse de la page d’accueil de votre site web et le tour est joué !

Pour rendre cette page strictement confidentielle, il vous suffit d’utiliser un plugin permettant de renommer l’URL de connexion. 

Pour cela, vous pouvez utiliser par exemple WPS Hide Login. 

Mais ce n’est pas la seule extension qui permet de faire ça.

Il y a d’autres extensions “All-in-One” qui font plein de choses très bien mais nous aborderons plutôt le sujet en fin d’article.

Empêcher les attaques par brute force

C’est très bien si votre page de connexion a été déplacée. Mais cela ne suffit pas. Vous devez aussi empêcher les robots de s’introduire dans votre site web. 

Leur méthode est simple : tester très vite plusieurs identifiants et plusieurs mots de passe. 

Cette technique porte un nom : c’est une attaque par brute force.

Pour vous protéger de cela, vous pouvez utiliser par exemple le petit frère de WPS Hide Login : WPS Limit Login. 

Là encore, certaines extensions “All-in-One” font aussi ça très bien.

Utiliser l’authentification à double facteur

L’authentification à double facteur est une couche supplémentaire de sécurité au niveau de la connexion à votre espace d’administration. 

Cela consiste simplement à valider toute tentative de connexion à l’aide d’un code. Dès que quelqu’un cherche à se connecter avec vos identifiants, un code est envoyé soit sur votre adresse mail soit sur votre smartphone. Si vous rentrez le bon, vous accédez à WordPress. Sinon, la tentative est bloquée.

Grâce à cette méthode, vous serez sûr que personne d’autre que vous ne pourra se connecter à votre WordPress avec vos codes d’accès.

Il existe plusieurs extensions pour mettre en place la double authentification, en voici quelques-unes :

• Two Factor Authentification 
• Keyy Two Factor Authentication (like Clef)
• SecSign
• miniOrange’s Google Authenticator

Modifier l’affichage de votre profil public 

Remplacer votre identifiant par un pseudonyme ou le nom et/ou le prénom

Une fois que votre page de connexion est bien sécurisée, vous pouvez vous rendre dans la rubrique “Comptes” du menu latéral gauche. 

Des informations sont à ajouter dans votre profil afin que votre identifiant ne soit pas visible en public sur votre site.

Pour cela, vous avez deux façons de faire : 

1. Soit vous remplissez le champ “pseudonyme” par autre chose que votre identifiant puis vous choisissez d’afficher le pseudo en public (au niveau de “Nom à afficher en public”) ;
2. Soit vous remplissez les champs “prénom” et/ou “nom” et vous choisissez d’afficher l’un, l’autre ou les deux en public ;

Ainsi, votre identifiant ne sera pas visible dans les pages d’articles ou dans les pages d’archives.

Modifier l’URL de l’archive d’auteur avec Edit Author Slug

Néanmoins, même si vous changez l’affichage de votre nom public, cela ne suffit pas à masquer complètement votre identifiant. 

Peu de gens le savent mais, en inspectant le code au niveau du nom public affiché, ton identifiant peut apparaître dans une URL contenant le slug “/author/”. Ce lien permet d’accéder à l’archive d’auteur. Sauf que ce lien est aussi une grosse faille de sécurité puisqu’il affiche votre identifiant en clair dans le code source de la page.

Pour pallier ce problème, il existe une excellente extension : “Edit Author Slug”.

Grâce à elle, vous pourrez modifier cette URL mais aussi le slug “/author/” si vous le souhaitez.

Si jamais vous installez cette extension alors que votre site est en ligne depuis un certain temps, pensez à effectuer une redirection de l’ancienne URL d’archive d’auteur vers la nouvelle. N’oubliez pas : Google déteste les erreurs 404.

Désindexer l’archive d’auteur

Il est possible aussi que l’archive d’auteur se trouve indexée dans Google.

Forcément, c’est plus grave car n’importe qui peut voir votre identifiant dans Google.

Pour empêcher cela, vous allez devoir modifier un réglage dans l’extension SEO que vous utilisez sur votre site. Ça peut être Yoast, RankMath, SEOPress, All-in-One SEO Pack, etc.

Le réglage à faire concerne donc l’archive d’auteur qui est à ne pas indexer et/ou à retirer du sitemap.

Renommer la catégorie d’articles par défaut

Certains sites WordPress n’utilisent pas de blog. C’est leur droit après tout.

Cela signifie aussi que, dans la plupart des cas, ils n’ont aucun article enregistré sur leur site puisqu’ils n’en ont pas besoin.

Par contre, la présence d’une catégorie a minima est obligatoire pour le bon fonctionnement de WordPress. 

Sauf que, bien souvent, celle-ci n’est pas renommée quand aucun blog n’est créé.

Du coup, vous pouvez retrouver très facilement cette archive de catégorie. Pour cela, il suffit d’ajouter à l’adresse de la page d’accueil de votre site web : 

• soit “/non-classe/”
• soit “/uncategorized/”
• soit “/category/non-classe/”
• soit “/category/uncategorized/”

Et, dans cette archive de catégorie par défaut, vous trouverez certainement l’identifiant de l’administrateur. Enfin, sauf si ce dernier a procédé aux réglages expliqués dans les points précédents.

Protéger les fichiers importants de WordPress via le .htaccess (serveur Apache)

Les réglages expliqués jusqu’à présent étaient normalement assez simples à comprendre. Ils étaient aussi assez faciles à effectuer. 

Les réglages qui suivent montent d’un cran au niveau de la difficulté. Je reconnais qu’ils sont moins accessibles pour les débutants sur WordPress. Mais cela ne veut pas dire qu’ils sont moins importants, bien au contraire.

Les réglages qui suivent nécessitent de modifier le fichier .htaccess. Ce fichier est présent à la racine de votre site. Il permet de donner des consignes à votre serveur Apache pour influer sur l’affichage de votre site web.

Mais, attention, ce fichier est très sensible. Vous devez le manipuler avec beaucoup de précaution. Une lettre ou un espace de trop et votre site peut se retrouver inaccessible. Quoi qu’il en soit, vous n’aurez aucun souci si vous respectez les instructions qui suivent.

Empêcher l’accès aux répertoires

De base, WordPress n’empêche pas l’accès aux répertoires et aux fichiers. C’est bien évidemment une faille de sécurité importante. Il est donc impératif de bloquer cet accès pour éviter ce genre de choses ou encore celui-la. 

Pour cela, vous aurez besoin simplement d’ajouter la ligne suivante dans le fichier .htaccess :

Options All -Indexes

NB : Le fichier .htacess est un fichier texte. Pour éditer, vous pouvez utiliser un logiciel d’édition de texte ou de code, tel que Visual Studio Code ou Sublime Text. Mais sachez que vous pouvez même utiliser l’application Bloc Notes sur Windows. Ça fonctionne aussi !

Sécuriser les fichiers sensibles

Certains fichiers biens spécifiques sont également très importants pour le bon fonctionnement de WordPress mais pas seulement. D’autres, comme le fichier licence.txt, situé à la racine de votre site, peuvent livrer des indications compromettantes.

Pour empêcher d’accéder à ces fichiers, vous allez devoir ajouter les lignes suivantes au fichier .htaccess :  

<Files wp-config.php>

order allow,

deny deny from all

</Files>

<Files xmlrpc*= » »>

order deny,allow

deny from all

</Files>

<Files license.txt>

order allow,deny

deny from all

</Files>

Enfin, vous pouvez également ajouter les lignes suivantes pour protéger également votre fichier .htaccess : 

<Files ~ « ^.*\.([Hh][Tt][AaPp]) »>

order allow,deny

deny from all

satisfy all

</Files>

Bonus : Déplacer le fichier wp-config.php

Le fichier wp-config.php contient tous les accès à votre base de données. Il contient également les clés d’authentification. Autant dire que c’est un fichier capital.

Si vous souhaitez être complètement serein par rapport à ce fichier, il est possible de le déplacer dans son dossier parent.

À noter que c’est déjà très bien si vous l’avez sécurisé en ajoutant dans le fichier .htaccess les lignes de code vues au point précédent. 

Par contre, prenez garde. Le fichier wp-config.php doit être placé soit à la racine de WordPress soit dans son dossier parent. Tout autre choix rendrait votre site inutilisable.

Masquer les informations sensibles 

Masquer la version de WordPress

La version de WordPress est un autre talon d’Achille. Il suffit que la version utilisée ne soit pas la dernière pour livrer des indications qui pourraient s’avérer compromettantes pour une personne malintentionnée. En effet, les anciennes versions de WordPress contiennent des failles de sécurité qui sont bien connues de tous. Si les nouvelles versions ont pu les corriger, ce n’est pas le cas des anciennes.

La version de WordPress est très simple à trouver. Elle est présente dans le code source de votre site. Faîtes un clic droit dessus puis cliquer sur “Afficher le code source”. Faîtes Ctrl + F pour ouvrir la barre de recherche et saisissez “generator”.

Vous tomberez rapidement sur une ligne de ce type : 

<meta name=”generator” content=”WordPress X.X.X”>

Les chiffres remplaçant les X correspondent à la version de votre WordPress.

Pour masquer la version de WordPress, il vous suffit de vous rendre dans le dossier du thème installé et d’ouvrir le fichier functions.php pour y ajouter la ligne suivante : 

remove_action(« wp_head », « wp_generator »);

NB : si vous avez des difficultés à trouver ce fichier, le chemin d’accès est le suivant : 

→ wp-content → themes → ”votre_theme” → functions.php

Rappel : Pour éditer ce fichier, vous pouvez utiliser un logiciel d’édition de texte ou de code, tel que Visual Studio Code ou Sublime Text. 

Masquer les erreurs de connexion

Toujours dans le même fichier functions.php, vous pouvez aussi ajouter la ligne suivante : 

add_filter(‘login_errors’,create_function(‘$a’, « return null; »));

Celle-ci vous permettra de masquer certaines informations sensibles en cas d’échec lors des tentatives de connexion à votre backoffice.

Se protéger contre le spam et l’injection de code malicieux 

Les formulaires sont une aubaine pour les hackers. N’importe quel champ de texte à remplir est une porte d’entrée pour pirater votre site. C’est même la façon la plus simple et la plus rapide pour s’introduire dans un site web. L’injection d’un code malicieux peut ouvrir une “backdoor” (ou porte dérobée) dans WordPress. Vous pouvez aussi être victime de spams. Même si ce n’est pas fait dans une volonté de piratage, le spamming reste très pénible pour un administrateur.

Il est donc nécessaire de protéger tous les formulaires présents sur votre site. Cela correspond à tous les formulaires de contact, d’enregistrement (newsletter, inscription, etc.) ou de publication de commentaires.

Protéger les commentaires WordPress

La première question à vous poser, c’est de vous demander si vous avez besoin des commentaires sur votre site web. 

Si vous ne souhaitez pas utiliser les commentaires sur votre site, c’est très simple : installez Disable Comments. Dans les options, bloquez les commentaires sur tous les contenus et le tour est joué. Vous pourrez même remarquer que la rubrique “Commentaires” a disparu du menu latéral gauche dans l’espace d’administration de WordPress.

Par contre, si vous avez pour but de créer un blog, vous allez certainement avoir envie de laisser la parole à vos lecteurs. C’est aussi un excellent levier d’amélioration de vos articles. Dans ce cas, les commentaires vous seront utiles. 

Alors, voici tous les réglages à effectuer pour sécuriser votre WordPress au niveau des commentaires.

Rendez-vous dans les Réglages, dans l’onglet Général et vérifiez que la case “Tout le monde peut s’inscrire” soit bien décochée ;

Rendez-vous ensuite dans les Réglages, dans l’onglet Commentaires et, tout en haut, cocher la case “Autoriser les commentaires sur les nouvelles publications” ;

Toujours sur la même page de Réglages des Commentaires, descendez un peu plus bas et cochez la case “Le commentaire doit être approuvé manuellement”, c’est très important si vous ne voulez pas vous faire spammer. Pour plus de sérénité, vous pouvez aussi cocher les deux cases situées juste au dessus pour être notifié lorsqu’un commentaire est déposé ;

Ensuite, je vous conseille d’installer l’extension Akismet Spam Protection. Très efficace, elle vous permettra de vous prémunir contre le spamming. Si vous ne le faîtes pas, vous allez être très vite débordé par ce fléau sur WordPress. Une version gratuite pour Akismet est disponible. Il y a juste une manipulation à faire lors de son installation.

Avec tous ces réglages, vous serez tranquille au niveau des commentaires sur votre site.

Dans les formulaires de contact

Vos formulaires de contact doivent aussi être sécurisés. Pour cela, c’est très simple. Là aussi, vous aurez le choix entre plusieurs méthodes.

Par exemple, vous pouvez utiliser un Captcha. La plupart du temps, ce service gratuit est disponible dans les réglages de votre formulaire de contact. Vous aurez donc à activer cette option puis à vous laisser guider sur le site de Google reCAPTCHA.

L’autre solution consiste à utiliser un “honeypot” ou pot de miel. Cette technique consiste à attirer les robots dans un champ invisible pour l’humain afin de les neutraliser. Cette méthode très efficace est parfois disponible dans les extensions de formulaire de contact. Sinon, vous aurez à installer un add-on à celui-ci.

Sauvegarder régulièrement vos fichiers et votre base de données 

Malgré toutes les précautions que vous prendrez pour protéger votre site WordPress, il est vivement conseillé de le sauvegarder régulièrement. Vous avez deux choses distinctes à récupérer : les fichiers présents sur votre serveur d’hébergement et la base de données dans phpMyAdmin. Bien sûr, il vous est possible de tout récupérer manuellement en téléchargeant vos fichiers via un logiciel FTP et d’exporter un fichier SQL depuis phpMyAdmin. Mais c’est long et fastidieux. Et pas très pratique non plus. Alors, pour cela, je vous propose deux méthodes différentes avec deux extensions réputées.

Les sauvegardes ponctuelles avec All-in-One WP Migration

All-in-One WP Migration est une des extensions les plus efficaces pour sauvegarder WordPress. En seulement 2 clics (si si je vous assure), vous lancez l’export de tous vos fichiers et de votre base de données. Une fois que le travail d’assemblage est effectué, vous pouvez télécharger un fichier unique. Ce fichier  au format .wpress est à conserver précieusement sur votre ordinateur ou sur votre serveur de sauvegarde.

Puis, le jour où vous aurez besoin de revenir à cette version, vous pourrez importer ce fichier de la même façon. Et, là encore, cela vous demandera seulement 2 clics pour réinstaller la version antérieure.

Seul bémol : la taille du fichier importé est limitée sur la version gratuite. La version illimitée coûte 69$ par an mais, croyez-moi, elle les vaut bien.

Cette extension est très pratique pour lancer des sauvegardes ponctuelles dès que celles-ci s’avèrent nécessaires. Par contre, ce plugin n’est pas adapté pour faire des sauvegardes régulières, à moins de penser à se connecter à chaque fois à son WordPress.

Les sauvegardes automatisées avec Updraft Plus

Updraft Plus est l’extension parfaite pour automatiser les sauvegardes de votre site WordPress. Déjà, parce que sa version gratuite est largement suffisante. Ensuite, elle propose aussi de nombreuses possibilités.

Dans les réglages, vous aurez le choix au niveau de la récurrence des sauvegardes : 

• quotidiennes, 
• hebdomadaires, 
• mensuelles, 
• trimestrielles, 
• etc. 

Vous aurez aussi le choix sur la destination des fichiers de sauvegardes : 

• FTP / SFTP
• Google Drive
• Dropbox
• Amazon S3

La version payante vous donne accès à des sauvegardes sur : 

• Microsoft OneDrive ou Azure, 
• Google Cloud Storage
• SFTP
• WebDAV
• et bien plus encore.

Cinq fichiers zippés distincts composent chacune des sauvegardes : 

• thèmes
• plugins
• dossier uploads
• base de données
• et autres

Outre son automatisation, le gros avantage de l’extension Updraft Plus est de pouvoir accéder à des fichiers spécifiques directement dans la sauvegarde. Supposons que vous ayez effacé par inadvertance des images ou des fichiers, il vous sera très facile de les retrouver dans vos anciennes sauvegardes. Par contre, cela vous sera impossible avec un fichier “assemblé” comme avec All-in-One WP Migration, à moins de tout réinstaller. 

NB : concernant les récurrences des sauvegardes, je vous conseille de faire les réglages en fonction de votre utilisation du site. Si vous publiez un article par jour, planifiez une sauvegarde quotidienne, idéalement en dehors des heures où vous travaillez sur le site. Si vous publiez un article par semaine, alors la bonne récurrence sera hebdomadaire. Et ainsi de suite. Si votre site ne change pas, vous pourrez alors opter pour une sauvegarde trimestrielle.

Mettre à jour régulièrement la version de WordPress, les thèmes et ses extensions

Pendant toute la durée de vie de votre site WordPress, des mises à jour seront à faire régulièrement. Cela concerne les thèmes, les extensions mais aussi la structure de votre WordPress. C’est important pour ne pas laisser sur votre site des anciennes versions contenant des failles de sécurité. 

Toutes les mises à jour à faire sont listées dans une rubrique dédiée à cela qui se trouve dans le “Tableau de bord”, accessible depuis le menu latéral gauche.

Sachez que vous avez la possibilité d’activer les mises à jour automatiques. 

Néanmoins, vous devez être prudent avec les mises à jour automatiques. Certaines pourraient ne pas s’effectuer correctement. Du coup, votre site pourrait afficher des dysfonctionnements plus ou moins graves jusqu’à ce que vous vous en rendiez compte… 

Pour ma part, je vous dirais d’activer les mises à jour automatiques seulement pour les plugins secondaires (par exemple, les petits utilitaires permettant de dupliquer vos pages). Pour les extensions plus importantes, je vous conseille vivement de faire vous-mêmes vos mises à jour, manuellement. 

Selon moi, la bonne marche à suivre consiste à :

• Sauvegarder votre WordPress avec All-in-One WP Migration ;
• Faire la mise à jour d’une première extension ;
• Vérifier que votre site fonctionne correctement ;
• Faire la mise à jour d’une deuxième extension ;
• Vérifier que votre site fonctionne toujours bien ;
• Et ainsi de suite…

Surveiller votre site avec un outil de monitoring

A ce stade de l’article, je pense que vous avez bien saisi que le risque zéro n’existait pas. C’est pour cette raison que je vous propose d’utiliser en plus un service de monitoring. Ce type d’outil permet de surveiller 24h/24 l’état de santé de votre site. Ce système de surveillance vous notifie par mail dès le moment où votre site se retrouve hors ligne. Pratique, n’est-ce pas ?

Alors, pour cela, je vous conseille d’utiliser UptimeRobot. Sa version gratuite vous permet de surveiller jusqu’à 50 URLs. En général, vous n’aurez besoin de surveiller que la page d’accueil de votre site web, mais sait-on jamais !

Quel plugin de sécurité “tout-en-un” choisir pour être plus serein?

WordPress ne devrait pas comporter nativement autant de failles de sécurité. Et il ne devrait pas y avoir autant de réglages à faire ou d’extensions à installer pour protéger un site web. Nous sommes bien d’accord. 

Toutefois, c’était nécessaire de balayer ensemble toutes les failles de sécurité potentielles sur WordPress. Maintenant, vous avez toutes les connaissances pour utiliser des extensions qui rassemblent plusieurs de ces réglages importants.

C’est ce qu’on appelle des plugins “tout-en-un” ou “all-in-one” outre-Manche. En voici trois qui pourraient convenir :

SecuPress

SecuPress est un plugin français. Sa version gratuite est suffisante pour appliquer un maximum de réglages évoqués dans cet article. C’est un plugin très complet, certainement le plus complet de cette liste. 

Je vous recommande de l’utiliser pour bien sécuriser votre WordPress. Toutefois, ses qualités font aussi ses défauts. SecuPress possède de nombreux réglages qui pourraient déstabiliser certains débutants. Heureusement, de nombreuses informations et plusieurs bulles d’aide vous accompagneront au mieux dans sa configuration.

Note : 4,3 étoiles sur 5

Nombre d’avis : 92

Installations actives : plus de 30 000

iThemes Security

iThemes Security est un plugin très simple d’utilisation. Certes, il propose un peu moins d’options que SecuPress pour sécuriser votre WordPress. Mais, iThemes Security protège efficacement l’accès à votre espace d’administration. Pour cela, il propose de déplacer l’URL de connexion, d’empêcher les multiples tentatives de connexion et d’utiliser l’authentification à double facteurs. Son point fort ? Un tableau de bord qui permet de visualiser rapidement l’état de santé de votre site web. Enfin, sachez que d’autres options sont aussi disponibles dans sa version payante.

Note : 4,6 étoiles sur 5

Nombre d’avis : 3 906

Installations actives : plus de 1 million

WordFence

WordFence est plus qu’un pare-feu pour sécuriser WordPress. Son scanner intégré permet aussi de juger de l’état de santé de votre site web. Il intègre de nombreuses fonctionnalités, dont l’authentification par double facteurs. C’est un plugin connu et reconnu dans la communauté, qui a fait ses preuves depuis longtemps.

Note : 4,7 étoiles sur 5

Nombre d’avis : 3 809

Installations actives : plus de 4 millions

Auteur Philippe gelas