Faire de votre site un temple de sureté où les internautes pourront surfer en toute sécurité est le rêve de tous les acteurs du web.
Plus qu’un simple rêve, certains d’entre eux ont décidés d’en faire une réalité. Les navigateurs Google et Mozilla bloquent de plus en plus les sites ne disposant pas d’un certificat ssl.

La sécurité sur le web est un enjeu d’une telle importance qu’on a légiféré dessus. Il est interdit à tous les sites marchands d’effectuer des transactions de paiement s’ils ne disposent pas d’un certificat ssl.

Voici 8 étapes sur comment sécuriser son site web ?

1- Choisir le bon hébergeur.

Au delà du critère prix, choisissez votre hébergeur en fonction de ses fonctionnalités :

– Présence d’un serveur SSL sécurisé.
– Un SSH Secure Shell Access,
– Un support sécurisé par courrier électronique,
– Une base de données sécurisée,
– Des sauvegardes régulières, etc.

2- Utiliser le https

Visiter un site web, c’est l’action d’échanger des informations (consulter une page, télécharger un fichier ou remplir un formulaire,..) entre l’internaute et le serveur du site web.

La présence du https sur l’url de votre site, c’est garantir à vos visiteurs que tous ces échanges seront cryptés du début à la fin lors des différentes actions qu’ils réaliseront sur votre site web.

Pourquoi est-il nécessaire d’avoir le https et sécuriser son site web ?

1 – Accroitre la notoriété et la confiance de vos utilisateurs.
De plus en plus de navigateurs bloquent ou affichent des messages d’alerte très dissuasifs sur le manquement des règles de sécurité des sites non sécurisés. Il appartient au visiteur d’accepter la navigation non sécurisée.

2 – Optimiser votre référencement naturel.
Parmi les divers critères à respecter pour que votre site soit optimiser au référencement naturel, le https est aussi important que le responsive, la performance …

Interdiction d’utiliser certains services.
Sans un certificat SSL sur votre site, la loi vous interdit de collecter des données personnelles de vos visiteurs et de réaliser des transactions financières.

3- Effectuer des mises à jour régulières

Faire une mise à jour régulière de vos extensions c’est vous assurer d’avoir la version la plus performante et sécurisé de celles-ci. La majorité des extensions WordPress sont en open source. Cela signifie que le code source de celles-ci est à la disposition de tous.
Avant d’attaquer votre site, les pirates identifient les failles de sécurité de ces extensions qui leur permettront d’accéder à votre site.

4- Changez l’url de connexion à votre site web

Par défaut, l’url de connexion de votre site WordPress est URL/wp-admin. La terminaison wp-admin est connu de tous. Changer cette url c’est permettre à votre site de dresser un premier rempart contre les pirates. 

L’extension Wp Hide login fait très bien le travail. 

5- Installer un login lockdown

Par défaut, lorsque vous essayez de vous connecter à votre site WordPress, vous pourrez faire autant de tentative de connexion que vous souhaitez sans aucun blocage.
Il s’agit donc d’un chemin propice pour les pirates adeptes des attaques de force brute.

Par défaut, lorsque vous essayez de vous connecter à votre site WordPress, vous pourrez faire autant de tentative de connexion que vous souhaitez sans aucun blocage.
Il s’agit donc d’un chemin propice pour les pirates adeptes des attaques de force brute.

Login lockdown permet de limiter le nombre de tentatives infructueuse (3 par défaut mais c’est paramétrable) en fonction d’un laps de temps entre chaque tentative (5 min par défaut mais c’est paramétrable), et le temps de blocage (60 min par défaut mais c’est paramétrable)

Ce n’est pas un blocage par utilisateur mais blocage de l’adresse IP.

6- Masquer le numéro de la version de votre site WordPress

Le numéro de version de votre installation WordPress est une donnée publique. Elle peut compromettre votre sécurité mais surtout faciliter la récolte de statistiques. Masquer cette information, c’est empêcher les hackers de disposer d’une information utile pour détecter les failles potentielles de votre site web.

Pour cela, ajouter la ligne de code ci-dessous dans votre fichier function.php depuis le module Apparence de votre éditeur

7- Masquer les messages erreurs lors du login.

Le problème avec les messages d’erreurs lors du login, c’est le fait qu’elles sont des mines d’or pour les hackers.

Pour plus de sécurité sur votre site web, notre recommandation est de masquer ces messages d’erreur.

Pour cela, ajoutez ces lignes de code dans votre fichier function.php via le module Apparence de votre éditeur.

8- Faire une sauvegarde régulière de votre site et base de donnée

De plus en plus d’hébergements vous propose de faire des sauvegardes de votre site et base de donnée. Cette fonction est très intéressante. Ne vous en privez pas si vous avez la possibilité. Dans le cas inverse, pas d’inquiétude. Des extensions WordPress font très bien le travail tel qu’UpdraftPlus.

Par Karim ALLEK

Consultant et développeur WordPress, Woocommerce et stratégie SEO.
Un projet digital pour développer votre activité ? Contactez-moi

Des conseilles et bons plans pour réussir

Recevez chaque mois des articles écrits pour vous aider à réussir