WordPress est le système le plus utilisé au monde, ce qui en fait malheureusement une cible privilégiée pour les pirates. La bonne nouvelle, c'est que 90% des piratages exploitent des failles simples que vous pouvez combler vous-même, sans être un expert en informatique.
Voici les 5 règles d'or pour blinder votre site hébergé chez OptionWeb.
1. Les mises à jour : Votre première ligne de défense
C'est la règle la plus importante. Un plugin ou un thème obsolète est comme une fenêtre laissée ouverte chez vous.
-
Mettez tout à jour : Dès que vous voyez une pastille rouge dans votre tableau de bord, faites la mise à jour (Cœur WordPress, Thèmes ET Extensions).
-
Supprimez l'inutile : Désactivez et supprimez les thèmes et extensions que vous n'utilisez pas. Un plugin désactivé mais présent sur le serveur peut toujours contenir une faille de sécurité exploitable.
2. Bannir l'utilisateur "admin" et les mots de passe faibles
Les pirates utilisent des robots qui essaient de se connecter à votre site 24h/24 en testant des milliers de combinaisons (Attaque par "Brute Force").
-
L'identifiant : N'utilisez jamais "admin" comme nom d'utilisateur. Créez un nouvel administrateur avec un nom complexe et supprimez l'ancien compte "admin".
-
Le mot de passe : Utilisez un mot de passe long (plus de 12 caractères) mélangeant chiffres, lettres et symboles.
-
Astuce : Une phrase est souvent plus forte qu'un mot. Ex: "J'aime-Manger-Des-Pommes-Vertes-En-2024!"
-
3. Installer une extension de sécurité (Pare-feu)
WordPress n'a pas de pare-feu intégré par défaut. Nous vous recommandons d'installer une extension dédiée qui surveillera le trafic et bloquera les attaques.
Nos recommandations gratuites :
-
Wordfence Security : Le leader du marché. Il inclut un pare-feu et un scanner de malwares.
-
Solid Security (anciennement iThemes) : Très efficace pour "durcir" la sécurité (masquer l'URL de connexion, etc.).
-
Limit Login Attempts Reloaded : Simple et léger, il bloque l'adresse IP de quiconque se trompe 3 fois de mot de passe.
4. Activer l'Authentification à Double Facteur (2FA)
C'est l'arme absolue. Même si un pirate vole votre mot de passe, il ne pourra pas entrer sans le code généré par votre téléphone. La plupart des plugins de sécurité (comme Wordfence ou Solid Security) proposent cette option gratuitement.
-
Installez l'application Google Authenticator sur votre smartphone.
-
Activez l'option "2FA" dans votre plugin de sécurité WordPress.
-
Scannez le QR Code affiché à l'écran.
-
Désormais, un code temporaire vous sera demandé à chaque connexion.
5. Vérifier votre version PHP
Utiliser une vieille version de PHP (comme 5.6 ou 7.0) est dangereux car elles ne reçoivent plus de correctifs de sécurité. Assurez-vous d'utiliser une version supportée (8.0, 8.1 ou supérieure) via votre cPanel.
[Lien vers l'article] : Voir notre guide : Quelle est la version PHP utilisée et comment la changer ?
En cas de doute : Les sauvegardes !
La sécurité absolue n'existe pas. Si malgré tout votre site est compromis, votre meilleure sécurité reste une sauvegarde récente et saine. Grâce à notre outil Backuply, vous pouvez restaurer votre site tel qu'il était hier ou avant-hier en quelques clics.
