AIOSEO Blog

Tutoriels, astuces et ressources WordPress pour vous aider à développer votre entreprise

Vous voulez savoir comment renforcer la sécurité de votre site Web ? Alors ce post est fait pour vous.

Sécurité du site web : 8 astuces pour sécuriser votre site WordPress

Updated on
Written By: avatar auteur Kato Nkhoma
avatar auteur Kato Nkhoma
Kato is one of those rare unicorns born with a pen in his hand—so the legend says. He’s authored 2 books and produced content for hundreds of brands. When he’s not creating content for AIOSEO, you’ll find him either watching tech videos on YouTube or playing with his kids. And if you can’t find him, he’s probably gone camping.
See Full Bio
Reviewed By: avatar réviseur Ben Rojas
avatar réviseur Ben Rojas
Ben Rojas is an expert WordPress developer and the President of All in One SEO (AIOSEO). With a robust foundation in the IT sector spanning over 25 years, Ben has developed a profound expertise in technology and digital landscapes.
See Full Bio
LinkedIn

Vous vous demandez comment renforcer la sécurité de votre site web ?

La sécurité WordPress est un sujet très important pour chaque propriétaire de site web, car elle a de nombreuses implications pour le succès de votre site. 

Heureusement, WordPress a fait beaucoup pour garantir la sécurité de la plateforme. Cependant, la caractéristique la plus importante de WordPress est aussi son talon d'Achille : le fait qu'il s'agisse d'un système de gestion de contenu (CMS) open-source. Comme tout le monde peut modifier le code source, de nombreux plugins, thèmes et autres outils sont développés pour s'intégrer au code, voire le modifier. Ceux-ci peuvent exposer votre site à différentes vulnérabilités critiques qui peuvent compromettre l'intégrité de votre site.

C'est pourquoi vous devez prendre des mesures pour améliorer la sécurité de votre site web.

Ne vous inquiétez pas. Bien que cela puisse sembler une tâche difficile, sécuriser votre site WordPress est facile si vous prenez les bonnes mesures. 

Pourquoi la sécurité du site web est-elle importante ?

Que vous gériez un site de loisirs, un site d'entreprise, un site de marketing d'affiliation ou tout autre type de site web, le maintenir sécurisé doit toujours être une priorité.

La sécurité Web est importante pour les nombreuses raisons mentionnées ci-dessous.

Voici quatre raisons principales pour lesquelles la sécurité du site web est importante :

  1. Protéger vos informations : Les violations de sécurité peuvent donner aux attaquants l'accès à vos informations précieuses ou à celles de vos clients. Ce sont des informations qu'ils peuvent utiliser pour de nombreuses activités malveillantes qui peuvent nuire.
  2. Protéger votre réputation : Lorsque les gens découvrent que votre site web est vulnérable aux attaques, votre réputation sera compromise. En conséquence, vous pourriez perdre des clients.
  3. Les visiteurs du site web s'y attendent : Les visiteurs du site web sont plus à l'aise pour naviguer sur des sites web dotés d'une bonne sécurité. Par conséquent, si votre site web présente des signes de non-sécurité, cela pourrait entraîner des taux de rebond plus élevés et des conversions plus faibles.
  4. Les moteurs de recherche promeuvent les sites web sécurisés : La sécurité du site web joue un rôle énorme dans votre stratégie de SEO. En effet, les moteurs de recherche préfèrent les sites web sécurisés à ceux qui ne le sont pas.

Maintenant que vous connaissez quelques raisons pour lesquelles la sécurité du site web est importante, examinons quelques problèmes de sécurité du site web dont vous devez être conscient.

Sécurité du site web : 5 types de vulnérabilités et d'attaques de sécurité WordPress à connaître

Pour renforcer la sécurité de votre site web, vous devez connaître les différentes vulnérabilités et attaques pour vous protéger. Voici les cinq plus courantes :

1. Hameçonnage

Le hameçonnage (phishing) consiste pour un attaquant à vous contacter en se faisant passer pour une entreprise ou un fournisseur de services légitime. La raison derrière les tentatives de hameçonnage est de vous inciter à divulguer des informations personnelles, à visiter un site web dangereux ou à télécharger un logiciel malveillant. Si un agent malveillant accède à votre panneau d'administration WordPress, il peut même mener des attaques de hameçonnage contre vos clients en se faisant passer pour vous.

2. Attaques par force brute

Les attaques par force brute sont les types d'attaques les plus simples sur les sites web. Elles impliquent que les attaquants utilisent l'automatisation pour essayer de nombreuses combinaisons de noms d'utilisateur et de mots de passe dans l'espoir de trouver la bonne combinaison.

3. Portes dérobées

Une attaque par porte dérobée est une violation de la sécurité d'un site Web par laquelle des pirates installent des logiciels malveillants qui peuvent contourner votre connexion WordPress standard. Cela permet aux attaquants d'accéder à votre site à tout moment. Pour exécuter une attaque par porte dérobée, les pirates placent une porte dérobée parmi d'autres fichiers sources WordPress qui sont légitimes ou semblent légitimes. Pour réduire le risque de portes dérobées, WordPress restreint et surveille les types de fichiers que les utilisateurs peuvent télécharger. Cependant, il s'agit toujours d'un type d'attaque à connaître.

4. Attaques par déni de service (DoS)

Les attaques DoS sont menées pour empêcher les utilisateurs autorisés d'accéder à un site Web ou à un réseau. Ceci est généralement réalisé en dirigeant une quantité écrasante de trafic vers un site Web, provoquant son crash. Les effets de ce type d'attaque sont aggravés dans le cas d'une attaque par déni de service distribué (DDoS). Une attaque DDoS est menée sur plusieurs ordinateurs compromis à la fois.

Souvent, ce type d'attaque aboutit à ce que les auteurs tiennent votre site Web en otage et exigent une rançon pour mettre fin à la perturbation du service. 

5. Injections SQL et attaques inter-sites (XSS)

Les injections SQL et les attaques XSS impliquent toutes deux l'injection de code malveillant pour voler des informations ou nuire à la fonctionnalité d'un site Web. La différence est que les attaques par injection SQL ciblent directement les bases de données (votre site Web). En revanche, les attaques XSS dirigent les utilisateurs vers des sites Web compromis conçus pour voler les données des visiteurs.

Les bases étant établies, sécurisons votre site Web.

Comment renforcer la sécurité de votre site Web — 8 conseils

Maintenant que nous avons examiné l'importance de la sécurité des sites Web et certains des problèmes de sécurité auxquels il faut se préparer, plongeons dans certaines mesures que vous pouvez prendre pour sécuriser votre site Web WordPress.

1. Investissez dans un fournisseur d'hébergement soucieux de la sécurité

Lorsque vous réfléchissez à la sécurité de votre site Web, l'un des meilleurs endroits pour commencer est votre fournisseur d'hébergement de choix. Optez toujours pour un fournisseur d'hébergement qui donne la priorité à la sécurité et le montre en offrant des fonctionnalités d'amélioration de la sécurité dans le cadre du forfait. Il s'agit de fonctionnalités telles que les pare-feu d'applications Web (WAF), les certificats SSL/TLS et la protection DDoS. Un bon fournisseur d'hébergement fait également :

  • Surveille son réseau pour la sécurité
  • Maintient à jour son matériel, ses versions PHP et son logiciel serveur pour empêcher les pirates d'exploiter les vulnérabilités connues
  • Ajoute des outils et des stratégies de reprise après sinistre à son arsenal d'outils en cas de violation réussie

Outre la sécurité, tenez également compte du support. Avec une bonne équipe de support, votre hébergeur Web peut vous aider à vous remettre rapidement d'une attaque malveillante.

Si vous avez besoin d'un excellent fournisseur d'hébergement soucieux de la sécurité, nous recommandons Bluehost et Siteground pour l'hébergement mutualisé. Pour l'hébergement WordPress géré, vous ne trouverez pas de meilleur fournisseur d'hébergement que WPEngine. Étant dans le secteur depuis toujours (enfin, presque), vous pouvez être assuré que ceux-ci comprennent la cybersécurité et comment garder votre site Web en sécurité.

2. Passez votre site WordPress à SSL/HTTPS

Secure Sockets Layer (SSL) est un protocole de sécurité qui chiffre les données transférées entre votre site Web et le navigateur d'un utilisateur. Le chiffrement rend plus difficile pour les acteurs malveillants de fouiner et de voler des informations sur vous ou sur les visiteurs de votre site Web.

Lorsque vous activez le SSL, votre site Web commencera à utiliser le protocole sécurisé de transfert hypertexte (HTTPS) au lieu du protocole de transfert hypertexte (HTTP). Une fois que vous l'aurez fait, les moteurs de recherche afficheront un cadenas à côté de l'adresse de votre site Web dans le navigateur pour indiquer que vous utilisez la version plus sécurisée.

Déplacer votre site Web vers HTTPS est une bonne étape vers une sécurité Web robuste.

Les certificats SSL sont émis par des autorités de certification et ont un coût, les meilleurs allant de 80 $ à des milliers de dollars par an. En raison de ce coût supplémentaire dans l'exploitation d'un site Web, de nombreux propriétaires de sites Web étaient réticents à passer au protocole plus sécurisé. Heureusement, cependant, il existe maintenant de nombreux fournisseurs de certificats SSL gratuits sur le marché, il n'y a donc aucune excuse pour ne pas passer.

Cependant, les certificats SSL gratuits sont trop limités pour offrir une sécurité suffisante si vous acceptez des paiements sur votre site Web ou si vous traitez des informations clients très sensibles. Si vous souhaitez un certificat SSL plus robuste que celui gratuit fourni avec votre hébergement, envisagez d'en acheter un auprès de Domain.com. Ils ont certaines des meilleures offres SSL sur le marché, d'autant plus que leurs certificats SSL sont accompagnés d'une garantie de sécurité de 10 000 $ et d'un sceau de sécurité TrustLogo.

Si ce n'est pas déjà fait, migrez votre site vers HTTPS.

3. Mettez toujours à jour WordPress, les thèmes et les plugins

Une autre façon de garantir la sécurité de votre site Web est de maintenir WordPress à jour. Bien que WordPress installe automatiquement les mises à jour mineures, vous devez accepter les mises à jour majeures. En plus de vous assurer que WordPress est constamment mis à jour, vous devez également être vigilant dans la mise à jour de vos thèmes et plugins. 

Dans le même ordre d'idées, examinez attentivement les thèmes et les plugins que vous choisissez d'installer sur votre site Web. Assurez-vous qu'ils proviennent de développeurs réputés et qu'ils sont régulièrement mis à jour. 

Garder WordPress, les thèmes et les plugins à jour est une bonne pratique pour la sécurité du site Web.

Ne pas maintenir à jour WordPress, vos thèmes et vos plugins vous exposera à des vulnérabilités de sécurité. Prenez toujours les quelques instants nécessaires pour tout maintenir à jour. Cela peut également inclure la suppression des anciens plugins et thèmes que vous n'utilisez pas.

4. Assurez la sécurité de vos procédures de connexion

Les attaques les plus courantes sur les sites Web impliquent le vol d'identifiants de connexion. C'est pourquoi l'une des étapes les plus importantes pour assurer la sécurité de votre site Web WordPress est de vous assurer que vos procédures de connexion sont infaillibles.

Implémenter l'authentification à deux facteurs est une autre excellente façon de renforcer la sécurité de votre site Web.

Quelques conseils pour vous aider à y parvenir comprennent :

  • Utilisez des mots de passe forts : Assurez-vous toujours que vous et vos utilisateurs utilisez des mots de passe forts. Une façon d'y parvenir est d'utiliser un gestionnaire de mots de passe pour générer et gérer les mots de passe de chacun.
  • Activer l'authentification à deux facteurs (2FA) : La 2FA fait référence à un processus de connexion qui nécessite deux étapes au lieu d'une seule. La deuxième étape implique généralement l'obtention d'un code sur un smartphone ou un autre appareil. Vous devrez installer un outil comme LastPass Authenticator ou Authy pour activer la 2FA.
  • Limiter les tentatives de connexion : Limiter le nombre de fois qu'un utilisateur peut saisir des identifiants de connexion incorrects est un excellent moyen de prévenir les attaques par force brute. Un excellent plugin que vous pouvez utiliser à cette fin est Limit Login Attempts Reloaded.
  • Activer la déconnexion automatique : Bien que la plupart des gens se déconnectent des sites Web lorsqu'ils ont terminé, il peut être facile de l'oublier. Des agents malveillants peuvent accéder à ce compte et le compromettre lorsque cela se produit. L'activation de la déconnexion automatique avec un plugin comme Inactive Logout renforcera la sécurité de votre site Web.
  • Évitez d'utiliser « admin » dans tout nom d'utilisateur : Les comptes administrateurs sont généralement les premières cibles des attaques par force brute. C'est pourquoi vous devriez éviter d'utiliser « admin » dans l'un de vos noms d'utilisateur.

D'autres procédures de connexion à mettre en œuvre peuvent inclure l'utilisation d'un plugin « captcha » et l'évitement d'accorder à de nombreux utilisateurs un accès administrateur.

Rendre le processus de connexion sécurisé rend difficile pour les acteurs malveillants de compromettre votre site Web. 

5. Avoir une solution de sauvegarde WordPress

Peu importe à quel point vous renforcez la sécurité de votre site Web, elle ne peut jamais être à 100 %. C'est pourquoi une partie importante de votre stratégie de sécurité consiste à toujours avoir une sauvegarde de votre site Web.

L'un des meilleurs principes de sécurité de site Web est de sauvegarder régulièrement votre site Web.

Les sauvegardes vous permettent de restaurer rapidement votre site Web si quelque chose lui arrive. L'un des facteurs les plus importants à connaître sur les sauvegardes de sites Web est de sauvegarder régulièrement des sauvegardes complètes du site dans un emplacement distant et non sur votre compte d'hébergement. Nous vous recommandons de stocker vos sauvegardes de site sur des services cloud comme Amazon, Dropbox, ou même un service cloud privé comme Stash.

Heureusement, il existe de nombreux plugins de sauvegarde WordPress que vous pouvez utiliser pour sauvegarder votre site Web, gratuits et payants. Parmi les plus fiables, citons UpdraftPlus et BlogVault. Un avantage supplémentaire de ces deux plugins est qu'ils ne nécessitent pas de code, ce qui les rend adaptés aux débutants.

6. Installer un plugin de sécurité WordPress

Outre les sauvegardes, vous devez également installer et activer un plugin de sécurité WordPress.

Une autre mesure de sécurité de site Web à prendre est d'installer un plugin de sécurité.

Cela aidera à auditer, surveiller et suivre tout ce qui se passe sur votre site Web. Les exemples incluent, entre autres problèmes de sécurité :

  • Surveillance de l'intégrité des fichiers
  • Tentatives de connexion échouées
  • Analyse des logiciels malveillants
  • Prévention du hotlinking (un type de vol de contenu)

L'un des meilleurs plugins de sécurité WordPress gratuits que vous pouvez envisager est Sucuri Scanner. Vous pouvez également passer à leurs plans payants pour une sécurité de site Web plus robuste.

7. Activer un pare-feu d'application Web (WAF)

L'une des meilleures façons de sécuriser votre site WordPress est d'utiliser un pare-feu d'applications Web (WAF). C'est parce qu'un WAF bloque tout le trafic malveillant avant même qu'il n'atteigne votre site Web en filtrant et en surveillant le trafic provenant d'Internet. Les exemples d'attaques que vous pouvez prévenir en utilisant un WAF incluent le XSS, l'injection SQL, le détournement de cookies, et plus encore.

Deux exemples de niveaux de WAF que vous pouvez implémenter sur votre site Web sont :

  1. Pare-feu de site Web au niveau DNS : Ce type de pare-feu acheminera le trafic de votre site Web via des serveurs proxy cloud, puis filtrera le trafic arrivant sur votre site. Ce faisant, les serveurs ne pourront envoyer que du trafic légitime à votre serveur Web.
  2. Pare-feu au niveau de l'application : Contrairement aux pare-feu DNS qui fonctionnent au niveau du serveur, les pare-feu au niveau de l'application examinent le trafic une fois qu'il a passé votre serveur mais avant le chargement de tout script WordPress. 

En raison de leur fonctionnement, les pare-feu sont un excellent moyen d'empêcher les menaces d'atteindre votre site Web. Cependant, ils peuvent et ne doivent pas être utilisés seuls, mais dans le cadre d'un système de mesures de sécurité.

Encore une fois, Sucuri fonctionne bien dans ce domaine et est fortement recommandé comme solution de pare-feu. Mais vous n'obtenez la protection du pare-feu que sur les plans payants. 

8. Verrouillez les autorisations de vos fichiers

La plupart des informations, données et contenus de votre site Web sont stockés dans une série de fichiers et de dossiers. Lesdits fichiers et dossiers sont organisés dans une structure hiérarchique, chacun ayant un niveau d'autorisation qui lui est attribué. Ces autorisations déterminent ce que les utilisateurs peuvent faire avec les fichiers, c'est-à-dire afficher, modifier ou restreindre l'accès à certains utilisateurs. 

Vous pouvez y accéder depuis votre cPanel, dans la section Gestionnaire de fichiers.

Dans WordPress, les autorisations de fichiers sont représentées par un nombre à trois chiffres, chaque chiffre ayant une signification. Un exemple typique est 755.

Un excellent moyen de renforcer la sécurité de votre site Web est de modifier les permissions des fichiers.

Que signifient ces nombres ?

  • Le premier chiffre représente « l'utilisateur » ou la personne responsable du site.
  • Le deuxième chiffre représente le « groupe » (les membres de votre site).
  • Le troisième chiffre représente le « monde » ou tout autre visiteur sans aucun intérêt pour votre site Web.

Voici le code pour vous aider à déchiffrer vos niveaux d'autorisations de fichiers :

0 : Aucun accès au fichier/dossier

1 : Peut uniquement exécuter le fichier/dossier

2 : Peut modifier le fichier/dossier

3 : Peut modifier et exécuter le fichier/dossier

4 : Peut lire le fichier/dossier

5 : Peut lire et exécuter le fichier/dossier

6 : Peut lire et modifier le fichier/dossier

7 : Peut lire, modifier et exécuter le fichier/dossier

Examinons un exemple. Supposons qu'un fichier ait un niveau d'autorisation de 700. Cela signifie que l'utilisateur (propriétaire du site) peut lire, modifier et exécuter le fichier, mais que tout le monde d'autre n'a aucun accès. D'un autre côté, tout le monde peut lire et exécuter un fichier avec le niveau d'autorisation 755, mais seul le propriétaire du site peut le modifier.

Bien que cela puisse sembler compliqué, savoir comment modifier les autorisations est un autre excellent moyen de sécuriser votre site Web. Pour modifier le niveau d'autorisation d'un fichier ou d'un dossier, cliquez dessus, puis cliquez sur l'option d'autorisations dans votre menu cPanel.

Pour renforcer la sécurité de votre site Web en modifiant les permissions des fichiers, vous devez accéder aux fichiers dans cPanel.

Une fenêtre où vous pouvez modifier les autorisations du fichier/dossier s'ouvrira.

S'assurer que chaque personne n'a que le niveau d'accès approprié aux différents fichiers et dossiers de votre site est essentiel pour une sécurité robuste.

En règle générale, WordPress recommande de définir les permissions des dossiers à 755 et celles des fichiers à 644. Cependant, vous pouvez les définir au niveau que vous jugez approprié. Il vous suffit de vous assurer de ne donner à aucun utilisateur plus d'accès que nécessaire. Ceci est particulièrement important pour les fichiers principaux.

Sécurité du site Web — Aucun compromis ne devrait être fait

La sécurité du site Web ne doit jamais être prise à la légère — vous ne devriez jamais faire de compromis dans ce domaine. Après tout, si votre site Web est piraté, vous pourriez passer des jours, voire des semaines, à essayer de réparer les dégâts. Dans le pire des cas, vous pourriez même compromettre les données de vos clients. Bien sûr, cela pourrait vous coûter de l'argent et ruiner votre réputation. 

C'est pourquoi, en matière de sécurité de site Web, vous devriez toujours être proactif et non réactif.

Armé de ces conseils, allez-y et renforcez la sécurité de votre site Web.

En plus de renforcer votre sécurité, un autre élément de succès dont vous avez besoin est d'améliorer votre SEO.

Heureusement, ce n'est pas aussi compliqué que l'aspect sécurité. C'est particulièrement vrai avec un puissant plugin SEO WordPress comme AIOSEO. Avec AIOSEO, vous pouvez améliorer le SEO de votre site Web sans toucher une seule ligne de code. Oui, cela inclut des aspects complexes comme les sitemaps, le balisage schema, les redirections, et plus encore.

Pendant que vous travaillez à améliorer la sécurité de votre site Web, assurez-vous de télécharger AIOSEO et d'augmenter vos classements.  

Envie d'essayer AIOSEO gratuitement ?

Entrez l'URL de votre site Web WordPress pour installer AIOSEO Lite.

Divulgation : Notre contenu est financé par nos lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Nous ne recommandons que les produits qui, selon nous, apporteront de la valeur à nos lecteurs.

avatar auteur
Kato Nkhoma Content Writer
Kato is one of those rare unicorns born with a pen in his hand—so the legend says. He’s authored 2 books and produced content for hundreds of brands. When he’s not creating content for AIOSEO, you’ll find him either watching tech videos on YouTube or playing with his kids. And if you can’t find him, he’s probably gone camping.
See Full Bio
SEO Content Marketing Email Marketing

Ajouter un commentaire

Nous sommes ravis que vous ayez choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre politique de confidentialité, et tous les liens sont nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

5 commentaires sur « Sécurité du site Web : 8 conseils pour sécuriser votre site WordPress »

  2. Excellent post. Je suis confronté à certains de ces problèmes également...

    Reply

    1. Merci beaucoup pour vos aimables paroles. Nous sommes heureux que vous ayez trouvé l'article utile.

      Reply

  3. Excellent article ! Vous avez décomposé la sécurité du site Web en étapes claires et réalisables, de la mise à jour des plugins et de l'utilisation de mots de passe forts à la configuration du SSL et des sauvegardes régulières. Des conseils pratiques et opportuns que tout propriétaire de site Web devrait suivre !

    Reply