Sécuriser son WordPress : Découvrez les règles de prévention

WordPress est l’un des outils CMS gratuit les plus utilisés aujourd’hui. C’est aussi l’un des plus hackés !  L’enjeu autour de sa sécurité est donc devenu vital!  Dès lors comment peut-on protéger et sécuriser un site WordPress ?

WordPress est un système de gestion de contenu CMS  (content management system ) gratuit, libre et open-source. L’année dernière il était utilisé par 29% des sites web dans le monde. Effet de causalité, il est désormais victime de son succès et obtient aussi le palmarès de hacking. Or, un seul hack WordPress peut impacter des milliers, voire des millions de sites web. Un véritable enjeu donc, d’autant plus que s’attaquer à la sécurité WordPress est beaucoup plus rentable que s’attaquer à celle d’un site codé à la main. Une brèche est ouverte !

Heureusement certaines règles simples permettent de se prémunir d’attaques et de définir une bonne  hygiène de vie pour sécuriser votre site WordPress. De facto on peut aussi s’interroger sur la rentabilité du faire soi-même ou la nécessité d’externaliser ce travail.

Sécuriser WordPress : Une définition s’impose

La clé pour bien Sécuriser WordPress, c’est d’anticiper le piratage et s’assurer en amont de mettre à jour un écosystème préventif pour pallier au hacking. Pour reprendre du début, WordPress est donc un CMS. Question logique : en quoi cela concerne-t-il la sécurité ? Les systèmes de gestion de contenus se définissent comme «  une famille de logiciels destinés à la conception et à la mise à jour dynamique de sites Web ou d’applications multimédia »  (Source : Wikipedia). Pour simplifier, c’est en fait une base préconçue de travail paramétrable – adaptable et directement utilisable – sans grande connaissance technique en développement web.

Sécurité et CMS : Quelle problématique ?

C’est encore très fréquent d’entendre dire que les hackers vont choisir les sites attaqués. C’est une période complètement révolu ou le piratage était artisanal ! Désormais, quand une faille sécuritaire est identifiée, les doigts du hacker ne servent qu’à coder le robot qui fera le travail à sa place. Il va crawler l’ensemble du site web seul à la recherche des conditions définies par son créateur. Il répliquera ensuite son action malveillante à chaque nouvelle occurrence. Problème : WordPress a l’immense avantage de répliquer ladite occurrence en quantité suffisante pour rentabiliser la conception du robot. Résultat, lorsqu’une faille est exploitable sur des milliers de sites web, c’est évidemment plus intéressant que sur un seul : c’est le principe de l’économie d’échelle.

En sommes gardez en tête qu’un CMS n’est pas plus fragile, il est juste plus exposé. Etant donné que WordPress est le CMS le plus utilisé il est forcément encore plus exposé que les autres !

Comment sécuriser votre site WordPress ?

WordPress a longtemps été considéré comme un simple moteur de blogs. La question de la sécurité n’est donc pas nativement ancrée dans la culture populaire. On considère à mauvais escient que le développement d’un site web sous WordPress va s’arrêter à la livraison du produit fini. Grosse erreur ! C’est à partir de sa mise en ligne qu’un site web commence sa vraie vie. Il va donc falloir s’occuper de garantir cette longévité ! Pour cela,  il vous faut respecter des règles d’hygiène simples :

  • Pensez toujours à sauvegarder ! Faites un backup régulièrement pour éviter de perdre vos données. Plus votre site est dynamique plus vos sauvegardes doivent être régulières
  • Mettez à jour votre WordPress : Le risque de piratage est fonction croissante de l’ancienneté de la version WordPress de votre site
  • Idem pour les thèmes et les plugins : Sachez que de nombreuses failles de sécurité WordPress proviennent ce que vous (ou votre prestataire) avez ajouté.
  • Ne lésinez pas sur la complexité de vos mots de passe : C’est la base de la base !
  • Réduisez au minimum la quantité de comptes utilisateurs : Un utilisateur = 1 risques, x utilisateurs = x risques. CQFD
  • Enfin, optez pour un bon système d’alerte

Quand faut-il externaliser ?

Si vous gérez un site en mode “passe-temps” avec peu de ressources budgétaires, vous opterez naturellement pour le Do It Yourself ! La question de l’externalisation vient à se poser dans les situations suivantes :

  • Quand vous facturez votre temps
  • Lorsque vous gérez différents sites WordPress

Dans ces deux cas, si vous ne manquez pas de travail donc de temps, la logique est alors strictement comptable. Il sera plus avantageux d’externaliser et d’utiliser votre temps là où il rapporte le plus. Au niveau tarifaire, faire sécuriser son site va dépendre des prestations et des prestataires, mais comptez environ 10% du prix du site. Chez Rollingbox nous proposons des contrats de maintenance qui sécurisent vos sites WordPress et qui s’adaptent à vos besoins. N ‘hésitez pas à nous contacter pour toutes demandes d’informations supplémentaires.

Publié le : 8 juin 2018

Articles relatifs