Est-ce que votre site Web est sécurisé?
Selon une étude, plus de 70 % des sites WordPress sont vulnérables aux attaques de hackers.
Certains sont plus susceptibles que d’autres d’être piratés, mais nul n’est à l’abri.
Dominic, notre expert WordPress, vous donne quelques conseils afin de vous assurer de garder votre site sécuritaire et intact.
Comment gérer la sécurité d’un site Web WordPress
Pour s’assurer qu’un site WordPress reste sécuritaire, il faut avant tout effectuer une veille régulière et rapidement faire les mises à jour de thèmes et d’extensions requises.
Plusieurs extensions permettent de surveiller les hostiles et suspectes. Chez Trois-Soixante, nous utilisons principalement Wordfence Security et parfois iTheme Security.
Quotidiennement, ces plugins parcourent le site Web à la recherche de programmes malveillants, de fichiers corrompus ou d’actions frauduleuses. Ils génèrent des alertes s’ils détectent des failles de sécurité et précisent leur niveau d’importance.
Exemples d’alertes :
- Ajout d’un nouvel utilisateur de façon frauduleuse
- Connexion d’un administrateur (permet de vérifier la provenance de la connexion)
- Changement des DNS du site Web
Wordfence génère même une alerte lorsqu’il est désactivé.
De plus, les plugins vérifient si de nouvelles mises à jour sont disponibles et bloquent les adresses IP reconnues comme malveillantes.
Pourquoi s’occuper de la sécurité de son site Web ?
Que vous ayez un site transactionnel ou purement informationnel, il est primordial de le sécuriser.
Sécuriser votre site WordPress peut aider à :
Éviter les vols de données
Que ce soit des données de votre entreprise ou des données confidentielles de vos clients, personne ne veut voir ses informations dérobées. Un simple mot de passe volé peut avoir des conséquences importantes surtout si ce mot de passe est utilisé sur d’autres sites, plateformes et comptes.
Maintenir la confiance de l’utilisateur
Une organisation qui verrait son site aux prises avec des problèmes de sécurité qui se répercuteraient sur les utilisateurs peut voir sa crédibilité touchée. Cette perte de crédibilité influence la confiance des clients et usagers du site Web et occasionne des réticences à faire affaire avec l’entreprise. Maintenir la confiance du consommateur est primordial surtout pour un site transactionnel.
Évitez les dommages au site Web
Les problèmes rencontrés suite à un bris de sécurité d’un site Web risquent de créer des pannes, des dommages au site Web ainsi que des vols de données. De plus, certains pirates informatiques peuvent réaliser des injections SQL, c’est-à-dire qu’ils ajoutent des codes malveillants. Cela peut se traduire, par exemple, par la présence d’un fichier qui enverrait des courriels frauduleux à partir du site Web.
Le site Web peut également se voir dupliqué. Une copie du site Web est créée et les utilisateurs sont redirigés vers ce duplicata. Cette situation occasionne le vol du trafic du site, des mots de passe, des données bancaires, etc.
Quand doit-on s’occuper de la sécurité de son site Web WordPress ?
De façon continuelle. La personne responsable de votre site Web ou votre agence Web devrait effectuer une veille quotidienne pour consulter les mises à jour disponibles, détecter les anomalies, réaliser les mises à jour, etc. Ce qu’il faut retenir, c’est qu’une approche préventive est recommandée pour éviter les problèmes de sécurité.
La sécurité : pour quels types de sites Web ?
Toutes les organisations qui possèdent un ou des sites Web devraient se préoccuper de maintenir à niveau la sécurité de ces derniers. Cependant, pour certains types de sites Web, c’est essentiel, car ils attirent davantage les fraudeurs. Il s’agit de :
- Sites transactionnels (boutique en ligne)
- Sites internationaux
Comment sécuriser un site WordPress
Choisir un hébergeur de qualité
Les failles de sécurité dans les plateformes d’hébergement proviennent souvent, à la base, de problèmes de piratage.
Il faut choisir un hébergeur qui :
- Est doté d’une structure optimisée pour WordPress
- Soutien les dernières versions de PHP et MySQL
- Comporte des pare-feux conçus pour WordPress
- Effectue des sauvegardes quotidiennes et automatiques de votre site
- Réalise une recherche quotidienne des programmes malveillants
- Propose un support presque 24/7
Trois-Soixante travaille avec des hébergeurs Web réputés et fiables.
Effectuer les mises à jour de façon graduelle et continuelle
Vous éviterez ainsi les problèmes liés à des mises à jour en bloc et qui datent d’un certain temps. C’est particulièrement important pour des mises à jour d’extensions demandant des corrections de sécurité.
Bien sélectionner vos informations de connexion
Évitez de choisir un nom d’utilisateur trop simple et qui soit facile à retracer. Il est judicieux d’opter pour un nom d’usager plus compliqué que le terme « admin » et un mot de passe qui soit composé de chiffres, de lettres et de caractères spéciaux. Bref, un mot de passe qui présente une certaine complexité.
Une note concernant les mots de passe : il faut s’abstenir d’utiliser le même mot de passe pour tous vos comptes, même si vous croyez qu’il s’agit d’une plateforme, comme Facebook, qui bloque l’accès après plusieurs tentatives de connexion infructueuses.
Si un hacker réussit à obtenir vos identifiants via un compte un peu moins sécurisé, notamment lorsque vous répondez à des billets de blogue ou à des forums, il pourra les essayer sur d’autres plateformes comme Facebook.
Il existe des sites qui permettent de générer des mots de passe sécuritaire :
Il existe également des applications qui permettent de stocker tous vos mots de passe sur votre ordinateur de façon sécuritaire :
- https://keepass.info/
- Keychain (Mac)
- OnePassword
- Last Pass
Modifier l’URL de connexion WordPress
Changer l’URL de connexion standard de WordPress «/wp-admin» et le remplacer par une URL qui vous conviendra. Cela réduit le nombre d’attaques et de tentatives de connexions provenant de robots.
Ajouter l’extension Wordfence
L’extension Wordfence permet d’activer une sécurité supplémentaire lors de la connexion au site Web grâce à deux validations plutôt qu’une. Au moment de se connecter, l’utilisateur doit s’authentifier avec un mot de passe et un code utilisé avec l’application Google Authenticator qui génère un code unique pour l’utilisateur. Ce code se change aux 30 secondes.
Méfiez-vous des extensions
Près de 50 % des piratages sont dus à un problème de sécurité des extensions dans WordPress. Assurez-vous donc de choisir des extensions :
- Indispensables ;
- Provenant du site officiel. Certaines sources non authentifiées peuvent vous transmettre des plugins contenant du code malveillant ;
- Étant mises à jour régulièrement. La dernière mise à jour ne doit pas remonter à plus de 2 ans ;
- Présentant un haut volume de téléchargement ;
- Ayant beaucoup de commentaires et d’avis positifs.
Autres bonnes pratiques en rafales :
- Installer un certificat SSL et le maintenir à jour
- Modifier le préfixe des tables de la base de données : remplacer « wp_ » par un autre terme
- Limiter le nombre d’utilisateurs ayant un accès Administrateur
Conclusion
Les scandales de Dropbox, Sony, Yahoo, et plus récemment Facebook et Desjardins, permettent de constater que même les géants de l’informatique n’échappent pas aux brèches de sécurité et aux vols de données.
Même si vos abonnés et vos clients ne se comptent pas par millions, les hackers peuvent très bien s’attaquer à votre site Web.
Protégez vos activités et vos informations en sécurisant votre site Web et en effectuant les mises à jour nécessaires.
Chez Trois-Soixante, nous :
- Utilisons des extensions de sécurité fiables ;
- Surveillons les alertes de façon quotidienne ;
- Réagissons rapidement aux alertes pour prendre une décision et prévenir les problèmes ;
- Suivons les tendances et l’évolution des outils ;
- Sommes à l’affût des bonnes pratiques et des changements en matière de sécurité.
