WordPress est un outil beaucoup utilisé à travers le monde. Comme tout logiciel, il possède des paramètres de base et certaines failles qui le rend plus vulnérable que d’autres outils. Aujourd’hui, je vous liste les différents éléments qui nécessitent une attention toute particulière.
Avant d’installer WordPress
Choisissez un bon hébergeur : OVH, WP Serveur, O2switch, Site ground…
Activer votre certificat SSL pour avoir une URL en https (il me semble que maintenant tous les hébergeurs fournissent le certificat SSL pour l’activer automatiquement). Pour celles qui sont chez OVH, voici comment faire : ici avant de créer son site wordpress. Sinon sur ce blog vous aurez le processus pour passer tout votre site en https.
Petit aparté pour celles et ceux qui veulent avoir un e-commerce sur le site :
Il existe 3 types de certificat SSL. Pour un site vitrine simple, celui qui est fourni avec l’hébergement suffit. Par contre, si vous avez un commerce, il faut prendre le Extended Validation (EV) : le plus exigeant en terme de certification (documents, délai d’émission, budget) mais aussi le plus rassurant pour vos clients et pour lutter contre le phishing, généralement utilisé par les grandes entreprises à cause de son coût élevé, il met clairement en avant votre société dans le navigateur (à côté de la barre d’adresse).
Je recommande également d’installer manuellement WordPress et de ne pas passer par la solution en un clic souvent proposé par les hébergeurs. Pourquoi ? Car avec l’installation en 1 clic, l’hébergeur va installer les paramètres de base comme le nom de la base de données qui est par défaut « wp_». À l’installation il faut donc changer ce paramètre.
Votre identifiant
La base de la base lorsque l’on possède un site wordpress est de changer son identifiant qui est en général « admin » avec quelque chose d’autres qui n’est ni votre nom/prénom ni le nom de votre marque ou de votre site.
Ensuite, sur votre tableau de bord dans la partie “Utilisateur”, il faut également que vous changiez “Nom à afficher publiquement”.
Votre mot de passe
Il faut mettre un mot de passe fort avec des majuscules, des ponctuations, des caractères spéciaux… ET le changer régulièrement. Pour vos mots de passe, vous pouvez très bien écrire des phrases avec les espaces, les majuscules, les ponctuations… Ex : Aujourd’hui, j’ai mangé 3 papillons!
Faire des sauvegardes régulièrement
Pour éviter de perdre tout votre contenu ou pour pouvoir revenir en arrière lors de changements ou de bug lié à des plugins, je vous recommande de sauvegarder tout votre site régulièrement (environ 1 fois par mois).
Pour ce faire, il existe plusieurs plugins sur le marché. Personnellement, j’utilise UpdraftPlus. Vous pouvez retrouver un article complet ici qui vous explique pourquoi sauvegarder un site et comment le faire avec UpdraftPlus.
Mettre à jour votre site (plugins, thème, wordpress) régulièrement
Je vous recommande de faire les mises à jour dès qu’il y en a une qui apparaît dans votre tableau de bord.
N’oubliez pas de faire une sauvegarde avant de faire des mises à jour. Attention cependant a la mise à jour de votre thème, si vous avez apporté une quelconque modification dans le code de votre thème et que vous ne les avez pas faites dans un thème “enfant” vous allez tout perdre en mettant à jour votre thème.
>> Si vous ne savez pas ce qu’est un thème enfant, vous pouvez retrouver toutes les infos sur le site de wpformation.
Supprimez les extensions et les thèmes non utilisés ou inutiles
En laissant des plugins ou des thèmes non utilisés ou inutiles sur votre site, vous vous exposez potentiellement à des failles de sécurité surtout si vous ne maintenez pas ces plugins ou thèmes à jour !
Il n’est pas suffisant de désactiver les thèmes ou les plugins car leur codes sont toujours présents, c’est pour cela qu’il faut les supprimer.
Un plugin pour sécuriser le plus gros
Il y a plein de plugins qui existent pour sécuriser votre site : Wordfence, Secupress, Sucuri,…
Pour ma part, j’utilise principalement Wordfence et/ou SecuPress.
Changer l'url pour accéder à votre dashboard
Vous devez également changer l’adresse de la page de connexion à l’administration car s’adresse par défaut est www.lenomdusite. com/wp-admin.
Si votre plugin de sécurité ne gère pas cette option, vous pouvez utiliser l’extension Move Login.
Attention, avec cet article, je ne vous promets pas que votre site soit protégé à tout jamais contre tous les méchants de l’Internet. Je vous propose seulement quelques solutions pour renforcer sa protection. On peut sécuriser son site à différents niveaux.
Si vous avez envie d’en savoir encore plus à ce sujet, je vous recommande la série de vidéos qu’Alex de Wp Marmite et Julio de Secupress ont réalisés.
