• Mon profil professionnel

    Webmarketeur | Webmaster | Community Manager
    Graphiste 2D 3D vidéo | Support informatique
  • Me contacter

    Merci !

    Merci pour votre message !

    Il manque des infos !

5 astuces pour sécuriser votre site WordPress

5 astuces pour sécuriser votre site WordPress

Imaginez une seule seconde ce qui se passerait si votre site WordPress, que ce soit un blog ou une boutique en ligne, se faisait "hacker" par un pirate de web…

Toutes vos données, vos mots de passe, votre base de données clients, vos articles, les commentaires des visiteurs et tout le reste passerait à la trappe.

Le travail de plusieurs mois, ou même de plusieurs années, peut être anéanti en une fraction de seconde. Et cela sans aucune chance de revenir en arrière, car peu d'e-commerçants pensent à souscrire à une option de sauvegarde automatique (backup) quand ils choisissent leur hébergement web.

Alors bien sur, il ne faut pas non plus vous miner le moral en pensant aux menaces potentielles que tous les sites WordPress rencontrent chaque jour (je ne compte plus le nombre de fois que mes sites ont été piratés !).

S'il est vrai que WordPress présente quelques failles de sécurité, notamment via les nombreuses extensions qu'il est possible de lui adjoindre, certaines règles basiques de sécurité permettent d'éviter 90% de ces dangers.

Aucun site ne peut être protégé à 100%, mais en appliquant quelques astuces simples, vous rendrez la tâche des hackers bien plus compliquée. Et plutôt que de perdre du temps avec votre blog, ils passeront au suivant…

Il n'est pas nécessaire d'être ingénieur en informatique ou expert en sécurité pour se protéger. Ces "trucs" sont applicables par tout le monde, pour tout type de site web.

Voici donc 5 astuces pour sécuriser votre site WordPress :

 

1/ Mettez votre blog à jour

WordPress propose des mises à jour automatique, que ce soit pour le moteur du blog ou pour les extensions que vous avez ajoutées.

N'attendez pas trop avant d'accepter ces mises à jour qui vous sont suggérées dans l'interface d'administration ! Elles concernent souvent la sécurité, et augmentent la protection de votre boutique en ligne contre les attaques de hackers.

2/ Sauvegardez

Si on ne peut pas toujours éviter le piratage, il est par contre possible de prévoir une réinstallation rapide et simplifiée en cas de perte de données. Il suffit simplement de mettre en place une solution de backup (sauvegarde) automatique. Une fois configurée, cette solution conservera chaque jour la dernière version de votre site sur un serveur différent, sans aucune intervention de votre part.
Cette méthode est plus fiable que les backups proposés par les hébergeurs web, puisque les données sont stockées sur d'autres serveurs indépendants de celui où réside votre blog.

Après avoir étudié de nombreuses solutions, je trouve qu'Amazon S3 (Amazon Simple Storage Service) propose le meilleur rapport qualité/prix. 0,093 $ par Gigaoctet stocké (+ des frais si vous transférez beaucoup), je n'ai rien trouvé de plus économique.

Vous pouvez même y sauvegarder les données de votre disque dur si ça vous chante, il existe des outils pour ça !

Une fois votre compté créé sur Amazon S3, il ne reste plus qu'à installer le plug in gratuit Automatic WordPress Backup. Sa configuration prend 30 secondes, et votre blog sera sauvegardé automatiquement tous les jours !

3/ Utilisez un mot de passe complexe

Un mot de passe "faible" (facile à devnier) est un cheval de troie dans votre site. Il ne faut jamais utiliser un nom ou une date de naissance comme mot de passe. Les hackers utilisent des outils qui testent les mots les plus communs pour forcer l'entrée des sites victimes.

La meilleure technique pour choisir un mot de passe sécurisé consiste à mixer des lettres, des chiffres, des majuscules, des minuscules et des caractères spéciaux, sur au moins 8 caractères.

Un exemple ? "mArCeL6+&" sera autrement plus sécurisé que "Marcel".

4/ Evitez FTP

J'en vois déjà certains qui rigolent : "Et comment tu transfères tes fichiers, banane ?".

Télécharger des fichiers via FTP est une pratique courante, mais il existe des alternatives bien plus sûres. Il est facile pour un hacker d'intercepter la transmission de données via FTP pendant que vous téléchargez, et donc de s'introduire dans votre site.

Préférez plutôt des protocoles comme SFTP (qui exige toutefois un accès sécurisé SSH à votre serveur).

5/ Soyez raisonnables dans vos choix

Méfiez-vous des menaces de sécurité cachées !

Il peut être tentant d'utiliser un thème WordPress gratuit proposé sur un site russe ou chinois, mais à vos risques et périls ! Certains développeurs de WordPress tombent eux aussi dans le panneau.

La sécurité de votre blog ou boutique peut être compromise avec certains thèmes ou extensions qui comportent des scripts malicieux. Au mieux ils installent des liens cachés sur votre site. Au pire ils laissent la porte ouverte à tous les pirates pour entrer dans vos données.

Choisissez donc toujours des applications issues de sites reconnus, fiables, affichant de nombreux commentaires d'utilisateurs ("reviews" en anglais).

 

A vous de jouer maintenant !

 

Commenter via Facebook

22 thoughts on “5 astuces pour sécuriser votre site WordPress

  1. Les 3 premiers points sont la base de la sécurisation d’un blog WordPress.

    Il est rare de voir parler cependant du SFTP quand on parle de sécurités avec WP, et pourtant c’est une excellente idée. Le seul hic, c’est que c’est bien souvent infaisable en fonction de l’hébergeur que l’on a…

    • Ahhh le choix de son hébergeur, voilà un autre sujet qui mériterait un article complet rien que pour lui.

      Tiens je vais peut être plancher là-dessus et faire un comparatif, car on n’en parle pas souvent dans la « WordPressosphère » (j’accepte les chèques et Western Union au passage !)

  2. Article très intéressant, surtout pour la partie Amazon S3 et la sauvegarde automatique. Je pense que je vais m’y mettre illico. Par contre, c’est 0.093$ par Giga-octet et non par Tera-octet (en fait le prix du Giga-octet diminue à partir du Tera-octet, nuance! ;-) Mais sans avoir fait les comparatifs, je suis sûr que ça reste un très bon rapport qualité/prix.

    • Merci Kyrille pour cette relecture, j’ai corrigé la coquille. Ce sont des Gigaoctets bien sur.

      Ca reste tout de même très intéressant niveau prix. Et j’éspère n’avoir jamais à tester le service de restauration de données, mais il a l’air bien fiable tout de même !

  3. J’ai mis en application la sauvegarde sur Amazon S3 et je tiens à signaler qu’Automatic WordPress Backup n’a pas été concluant pour moi, avec un WordPress à jour. Par exemple, le fichier qui devait contenir la sauvegarde de la base sql était vide et le processus a complètement ignoré le répertoire contenant les photos relatives au plugin Nextgen Gallery (très répandu), se trouvant pourtant dans la hiérarchie classique de WordPress. Aucun message ne m’a prévenu d’un quelconque problème. En creusant un peu plus, il s’avère que le plugin n’a pas été mis à jour depuis plus d’un an alors que je ne suis pas le seul à avoir rencontrer de tels soucis. J’ai donc cherché un remplaçant et il s’avère que BackWPup est vraiment excellent. Les descriptifs ou le site du developpeur ne paient pas de mine mais ce plugin, une fois installé, est une tuerie! Il a d’ailleurs de très bonnes notes. Il vous sera possible d’utiliser un compte Amazon S3 mais aussi Dropbox ou un simple serveur FTP pour vos sauvegardes et tout est paramétrable très facilement. Bref, je vous recommande plutôt cette alternative. Encore merci pour cet article.

    • Merci pour cette information.

      J’utilise aussi AWB et BackWPup sur 2 blogs différents depuis quelques mois.
      Tout me semblait ok puisque les sauvegardes automatiques sont bien effectuées chaque jour.

      Mais je n’avais pas poussé le détail jusqu’à vérifier dans les fichiers zippés que toutes les données sont bien présentes.

      Ton test se révèle donc d’une aide précieuse dans le choix de l’extension à utiliser pour sauvegarder sur Amazon S3.

  4. C’est vrai que passer par SFTP est une très bonne idée, mais il faut que l’hébergeur propose cette solution ce qui n’est pas souvent le cas.

    Concernant les plugins le mieux est carrément de ne pas l’utiliser quand c’est possible. utiliser des plugins a aussi l’inconvénient de devoir les mettre à jour régulièrement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

CommentLuv badge