Comment puis-je sécuriser mon site WordPress ?
Conseils et recommandations importants pour protéger votre site web WordPress :
Remarque :
Avec une part de marché de 60 %, WordPress est le système de gestion de contenu (CMS) le plus fréquemment utilisé dans le monde. C'est pourquoi il est malheureusement aussi une cible pour les menaces (logiciels malveillants, spam, etc.).
Augmentez la sécurité de votre installation WordPress grâce aux mesures suivantes !
Mettre à jour tous les éléments installés
Mise à jour de WordPress
WordPress est en constante évolution. Le code est régulièrement révisé pour combler les failles de sécurité et mettre en œuvre de nouvelles fonctions. Il est très important que vous mettiez régulièrement à jour votre Wordpress et que vous utilisiez la dernière version.
Vous avez deux possibilités pour mettre à jour votre WordPress :
- Avec le WordPress-Toolkit de Plesk
- Se connecter à Plesk
- Cliquez sur "WordPress" dans le menu principal à gauche
- Dans l'aperçu, vous trouverez le statut de votre site. Si vous voyez des mises à jour, veuillez installer la dernière version de WordPress
- Dans l'administration WordPress
- Connectez-vous à WordPress
- Dans le menu principal à gauche dans la zone du tableau de bord, cliquez sur Mises à jour
- Installer la dernière version de WordPress
Mise à jour des extensions et des thèmes WordPress
Les thèmes et les extensions sont ajoutés sous forme de code dans Wordpress. Si ces extensions ne sont pas à jour, elles peuvent également contenir des failles de sécurité, qui sont très souvent exploitées pour introduire des logiciels malveillants.
Souvent, les extensions ou les thèmes non-utilisés sont oubliés et ne sont pas mis à jour. Supprimez les extensions inutilisées de votre site pour minimiser les risques de sécurité.
Il est très important que vous gardiez à jour tous les thèmes et extensions installés.
Remarque :
- N'installez que les modules / composants (thèmes, extensions, etc.) dont vous avez réellement besoin.
- Supprimez de votre site toutes les applications, extensions, add-ons et thèmes dont vous n'avez pas besoin (ne vous contentez pas de les désactiver), car ils peuvent contenir des failles de sécurité.
Vous disposez de 2 moyens différents pour mettre à jour vos extensions :
- Avec le WordPress-Toolkit de Plesk
- Se connecter à Plesk
- Cliquez sur "WordPress" dans le menu principal à gauche
- Dans l'aperçu, vous trouverez le statut de votre page. Si vous voyez des mises à jour, veuillez installer la dernière version de WordPress
- Dans l'administration WordPress
- Connectez-vous à WordPress
- Dans le menu principal à gauche, dans la zone du tableau de bord, cliquez sur Mises à jour
- Sélectionnez les extensions et les thèmes à mettre à jour
- Cliquez sur "Mettre à jour les extensions".
Utiliser une version actuelle de PHP
Wordpress est écrit dans le langage de programmation PHP. Si vous utilisez une version obsolète, vous augmentez le risque de failles de sécurité.
La version actuelle de WordPress est depuis longtemps déjà compatible avec les versions actuelles de PHP. Passez dès maintenant à une version PHP actuelle.
→ FAQ : Comment puis-je changer la version PHP dans Plesk ?
Remarque :
Veuillez noter nos messages d'état concernant la mise à jour de la version standard et la désactivation des versions PHP obsolètes :
→ État du réseau : Mise à jour de la version PHP standard
→ État du réseau : Désactivation des versions PHP
Sécuriser la page de connexion WordPress
Page de connexion WordPress
Utilisez un nom d'utilisateur unique avec un mot de passe fort pour vous connecter à WordPress.
Si vous utilisez toujours l'administrateur par défaut "admin", nous vous recommandons vivement de le changer.
Le mot de passe utilisé doit comporter au moins 8 caractères, des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Plus le mot de passe est long et abstrait, plus votre accès à WordPress sera sûr.
Vous pouvez modifier le nom d'utilisateur dans WordPress comme suit :
- Connectez-vous à WordPress
- Dans le menu principal à gauche, cliquez sur Utilisateur
- Cliquez sur le bouton "Ajouter" en haut de la page
- Choisissez un nouveau nom d'utilisateur individuel avec les droits de l'administrateur avec un mot de passe fort
- Cliquez sur Ajouter un utilisateur au bas de la page
- Ensuite, connectez-vous à WordPress avec le nouvel utilisateur pour supprimer l'ancien utilisateur "admin". Au moment de la suppression, vous pouvez attribuer tout votre contenu au nouvel utilisateur.
Le mot de passe peut être modifié dans WordPress comme suit :
- Connectez-vous à WordPress
- Dans le menu principal à gauche, cliquez sur Utilisateur
- Cliquez sur votre utilisateur
- Cliquez sur le bouton "Générer un mot de passe" en bas de la page
Restreindre les tentatives de connexion à WordPress
Dans les attaques par force brute, les pirates informatiques tentent de deviner la combinaison du nom d'utilisateur et du mot de passe. Ils varient les tentatives de connexion et augmentent leur nombre. Avec de suffisamment de temps, il est possible que les attaquants accèdent à votre site web.
Comme ces attaques sont très fréquentes, nous recommandons de limiter le nombre de tentatives de connexion autorisées par WordPress.
Différentes extensions de WordPress permettent de bloquer les attaques automatiques répétées qui proviennent de la même adresse IP. Les attaques par force brute peuvent ainsi être évitées.
Activer SSL
Les certificats SSL sont l'une des mesures de sécurité décisives pour les sites ou les applications web. Dès que des données sensibles sont échangées via votre site web ou votre boutique en ligne, vous devez protéger votre site avec le protocole SSL.
Offrez à vos clients une sécurité à 100%. La protection des données en ligne est très importante, en particulier dans le domaine du commerce électronique. Grâce à un certificat SSL, les données personnelles et les informations relatives aux cartes de crédit sont protégées au plus haut niveau contre toute utilisation abusive par des tiers. Le navigateur du client reconnaît immédiatement votre présence sur le web comme un site sécurisé. Cela crée la confiance.
Les sites web certifiés SSL sont mieux notés par Google et sont mieux placés dans les résultats de recherche. En moyenne, ils obtiennent jusqu'à 5 % de meilleurs résultats. Cela augmente le trafic et fait du certificat SSL une mesure de référencement efficace.
Dans tous nos hébergements, vous pouvez installer gratuitement le certificat SSL de Let's Encrypt. En quelques étapes, le Let's Encrypt peut être installé et activé.
→ FAQ : Comment puis-je utiliser Let's Encrypt (Free SSL) ?
Nous recommandons d'installer et d'utiliser un plug-in tel que "Really Simple SSL" pour rediriger correctement toutes les URL vers https://.
Vous pouvez trouver plus d'informations sur nos certificats SSL ici :
→ Certificats SSL