Comment sécuriser votre site WordPress ?

Notre première et principale recommandation est de toujours garder WordPress à jour ! WordPress est une plateforme très active est sujette à des mises à jour régulières. Celles-ci comprennent à chaque fois de nouvelles fonctionnalités et des changements dans le back-end, mais aussi de nombreux correctifs de bugs et d’exploits détectés par l’équipe WordPress. L’intérêt des mises à jour régulières ? Etre juste à une ou deux versions derrière peut laisser votre site ouvert aux pirates qui analysent les mises à jour, créent des exploits et vont à la recherche de sites obsolètes sur Internet. Plus vous attendez pour mettre votre site à jour, plus il risque d’être vulnérable et perméable à toute sorte d’exploits. La même règle s’applique à vos thèmes et plugins, ce qui nous amène au deuxième point de notre Checklist !

WordPress est plébiscité parce qu’il propose un large panel de plugins et de thèmes vous permettant de personnaliser votre site et d’y ajouter de nouvelles fonctionnalités. Néanmoins, si ces éléments clés ne sont pas entretenus régulièrement, cela peut entraîner des problèmes de sécurité plus tard. Pour cette raison, nous vous conseillons tout d’abord de supprimer les plugins et les thèmes que vous n’utilisez plus. Certes, il est possible de les désactiver, mais il est plus sûr de les supprimer, car ainsi, ils ne se trouveront plus sur votre serveur. Ensuite, assurez-vous de garder le thème et les plugins que vous employez à jour. Il est également recommandé de visiter le site web de chaque plugin et thème ou même de vérifier les commentaires sur d’autres sites pour s’assurer que leur développement est toujours actif et qu’il n’y a aucune vulnérabilité connue.

Il est vrai que WordPress possède une sécurité générale qui bloque les tentatives d’accès après quelques échecs de connexion, mais si des milliers de robots essaient tous de se connecter et de deviner votre mot de passe, pourquoi leur donner la chance d'essayer ? Par défaut, assurez-vous d'utiliser des mots de passe forts, n'utilisez pas le même nom d'utilisateur et les mêmes mots de passe à plusieurs endroits, et passez en revue vos utilisateurs WordPress pour vous assurer qu'ils sont tous toujours valides. Par exemple, si vous avez donné l'accès à un développeur, il y a des années, il se peut que vous n'ayez pas besoin que cet utilisateur soit encore dans les parages.

Il existe des plugins qui favorisent le blocage de connexions malveillantes, surveillent les activités suspectes et analysent les fichiers du site pour détecter les logiciels malveillants. À ce titre, nous recommandons l’usage d’iThemes Security, car il offre de nombreuses fonctionnalités, mais vous pouvez vérifier sur Internet pour trouver la solution la plus adaptée à votre site. Par exemple, si vous avez un site où les utilisateurs peuvent télécharger des fichiers, analysez ces derniers au fur et à mesure qu'ils sont téléchargés et bloquez ou du moins de signalez tout avertissement déclencheur dans un plugin qui recherche les virus et logiciels malveillants.