Ne négligez pas la sécurité WordPress : le guide complet

La sécurité WordPress est un sujet d’une importance capitale pour chaque propriétaire de site Web. Chaque semaine, Google blackliste des milliers de sites. Si vous êtes consciencieux, vous devez mettre en place les bonnes pratiques en termes de sécurité et de maintenance WordPress.

Dans ce guide ultime dédié à la sécurité WordPress, nous allons partager tous nos meilleurs conseils pour vous aider à protéger votre site contre le piratage et les logiciels malveillants.

Alors que le cœur de WordPress est très sécurisé et qu’il est audité régulièrement par des centaines de développeurs, chez WeAreWP, nous sommes convaincus que la sécurité de votre site web ne concerne pas seulement l’élimination des risques, mais qu’elle passe aussi par la prévention des risques.

Nous allons voir tout cela en détail dans cet article. Voici le programme :

n°1 – Les notions de base de la sécurité WordPress

  • 1.1 – Pourquoi la sécurité d’un site WordPress est-elle capitale ?
  • 1.2 – L’importance des mises à jour et de la maintenance de votre site WordPress
  • 1.3 – Le rôle de l’hébergement de votre site WordPress
  • 1.4 – L’importance des sauvegardes

n°2 – La sécurité WordPress passe par la connexion

  • 2.1 – Changez le nom d’utilisateur « admin » par défaut
  • 2.2 – Les utilisateurs et leur mot de passe
  • 2.3 – Désactivez l’éditeur de fichiers
  • 2.4 – Désactivez l’exécution du fichier PHP
  • 2.5 – Limitez les tentatives de connexion
  • 2.6 – Déconnectez automatiquement les utilisateurs inactifs

n°3 – La sécurité WordPress au-delà de votre site

  • 3.1 – Modifiez le préfixe de votre base de données WordPress
  • 3.2 – Désactivez l’indexation et la navigation dans le répertoire
  • 3.3 – Désactivez XML-RPC dans WordPress
  • 3.4 – Utilisez un environnement sain

n°4 – Comment reconnaitre un site WordPress Piraté ?

n°5 – Que faire après un piratage ?

n°6 – Les meilleurs plugins de sécurité WordPress

  • 6.1 – Les plugins de sécurité WordPress multi-fonctions
  • 6.2 – Les plugins dédiés au login WordPress
  • 6.3 – Les plugins pour sauvegarder WordPress

 

n°1 : les notions de base de la sécurité WordPress

Comme on dit, « un site internet sécurisé à 99% n’est pas un site sécurisé », c’est pour cela qu’il faut partir sur de bonnes bases avant d’ajouter des fonctionnalités de sécurité avancées. Dans ce chapitre, rappelons-nous de la « base » et de pourquoi la sécurité de nos sites WordPress est si importante.

1.1 – Pourquoi la sécurité d’un site Web est-elle capitale ?

Un site WordPress piraté peut causer de sérieux dommages au Chiffre d’Affaires et à la réputation d’une entreprise. Les pirates informatiques peuvent voler des informations sur les utilisateurs, des mots de passe, installer des logiciels malveillants… Pire, vous pourriez être confronté à du chantage et à devoir payer des rançongiciels pour retrouver l’accès à votre site Web.

Savez-vous qu’en 2016, déjà, Google avait averti plus de 50 millions d’internautes, par « une alerte », que le site visité pouvait contenir des logiciels malveillants ou dérober des informations ? Êtes-vous déjà tombé sur ce genre de messages en visitant un site internet ? Avez-vous continué la navigation en sachant cela ?

Alerte Google site piraté
Alerte Google site piraté

 

Alors imaginez si votre site Web est l’une de vos principales sources de revenus et que cette mésaventure vous arrive. Ne pensez-vous pas alors que la sécurité de votre site WordPress est capitale ?

1.2 – L’importance des mises à jour et de la maintenance de votre site WordPress

WordPress est un CMS « open source » qui lance de nombreuses mises à jour mineures chaque année, sans oublier les mises à jour dites « majeures ». Si le CMS propose les mises à jour mineures de manière automatique, les mises à jour majeures, quant à elles, devront être faites par la personne en charge de la maintenance du site ou bien par le biais de plugins qui proposent cette fonctionnalité.

mise à jour WordPress et maintenance
mise à jour WordPress et maintenance

 

De plus, il en va de même pour vos extensions et vos thèmes. Ces mises à jour sont cruciales pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que le cœur de WordPress (le CMS lui-même), vos plugins et vos thèmes sont à jour. Ces bonnes pratiques sont déjà un bon moyen d’éviter certains piratages ou bugs et font partie intégrante d’une bonne maintenance WordPress.

Attention : notez que tous vos plugins et thèmes doivent être mis à jour, MÊME ceux qui sont qui ne sont PAS ACTIVÉS. Dans ce cas, si votre site WordPress contient un grand nombre de plugins et de thèmes désactivés dont vous ne vous servez pas, il est fortement recommandé de les supprimer.

1.3 – Le rôle de l’hébergement de votre site WordPress

Votre hébergeur joue l’un des rôles les plus importants dans la sécurisation de votre site WordPress. Un bon fournisseur d’hébergement prend doit prendre des mesures supplémentaires pour protéger votre site contre les menaces courantes.

Dans le cas des hébergements mutualisés, vous partagez un serveur avec d’autres sites qui peuvent potentiellement représenter une menace pour le vôtre : cela augmente alors les risques de contaminations ou d’usurpation si votre « voisin » est du genre malveillant !

Veillez alors à choisir des hébergeurs de qualité qui offrent des fonctionnalités supplémentaires comme les sauvegardes automatiques, les mises à jour automatiques de WordPress ainsi que des configurations de sécurisation avancées (anti DDoS, firewall …).

Les hébergeurs spécialisés en WordPress sont également une bonne option à envisager :

1.4 – L’importance des sauvegardes

Ce n’est pas directement lié à des aspects de sécurité, mais effectivement, sauvegarder son site WordPress reste la base, c’est le minimum pour garantir la pérennité de votre site en cas de coup dur. Nous vous conseillons alors d’effectuer diverses sauvegardes de manière régulière. Vous pouvez utiliser des plugins spécialisés et même en utiliser deux différents histoire d’avoir des sauvegardes différentes (BackupBuddy, UpdraftPlus, BackWPUp, VaultPress…). Vous pouvez également effectuer des sauvegardes manuelles et enfin, il ne faudra pas oublier de sauvegarder votre base de données.

Ensuite, nous vous conseillons de conserver vos sauvegardes dans des lieux sûrs comme un disque dur externe, des clés USB ou encore dans le « cloud » via des services comme DropBox ou Amazon S3. Au plus vous multipliez vos sauvegardes, au plus vous augmentez vos chances de réussite.

Veillez également à vérifier la validité de vos sauvegardes, car une sauvegarde c’est bien, une sauvegarde qui fonctionne, c’est mieux !

n°2 – La sécurité WordPress passe par la connexion

Protéger la page de connexion WordPress
Sécurisation et protection de la page de connexion WordPress

 

La page de connexion n’est bien évidemment pas le seul point d’entrée pour pirater un site, mais vous devez y prêter une attention particulière. En effet, c’est certainement le minimum que vous pouvez faire niveau sécurité. Voici nos recommandations :

2.1 – Changez le nom d’utilisateur « admin » par défaut

Limiter les tentatives de piratage de votre administration WordPress. Autrefois, le nom d’utilisateur par défaut de WordPress était « admin » et les pirates informatiques le savent bien ! Cela représente alors l’un des risques potentiels pour les attaques depuis la page de connexion.

Lors de l’installation de WordPress sur votre hébergement, vous devez choisir un nom d’utilisateur, veillez alors à ne pas utiliser « admin ». Attention toutefois aux hébergeurs qui proposent des « installations en 1 clic » et qui peuvent proposer par défaut ce fameux « admin » comme identifiant de connexion (même si la majorité des hébergeurs vous laisse le choix).

Si vous vous rendez compte, en lisant ceci, que c’est votre cas, nous vous recommandons de vous rendre dans la partie administration de votre site à l’onglet Utilisateurs > Tous les utilisateurs puis :

  1. de créer un nouvel utilisateur avec un rôle « Administrateur » en cliquant sur « Ajouter »
  2. de vous déconnecter de votre session utilisant l’identifiant « Admin »
  3. de vous connecter à nouveau sur votre site, cette fois avec votre nouvel identifiant fraîchement créé
  4. de supprimer l’ancien utilisateur utilisant Admin comme identifiant

Une autre astuce consiste à conserver cet utilisateur admin, sans lui donner de rôle dans WordPress, tout en lui ajoutant un mot de passe très complexe. Couplé à un système de protection de connexion (login lockDown), c’est redoutable pour blacklister les adresses IP des pirates. Voir point 2.5 ;)

2.2 – Les utilisateurs et leur mot de passe

Les tentatives de piratage WordPress les plus courantes utilisent des mots de passe volés, il est donc recommandé d’utiliser des mots de passe dits « forts » et qui sont uniques pour votre site Web. Pensez également aux autres mots de passe, ceux utilisés pour vos comptes FTP, la base de données, l’accès à votre hébergeur et même celui pour votre adresse email professionnelle.

Si vous êtes plusieurs personnes à gérer le site WordPress, vous devez établir une liste et ne donner que les droits nécessaires. Par exemple, si certains contributeurs se connectent à votre site seulement pour publier des articles, veillez alors à leur créer un rôle d’auteur par exemple. Évitez donc de créer des utilisateurs avec le rôle d’administrateur à tout-va, cela réduira les risques.

Si votre site utilise WooCommerce, il est possible que les internautes doivent créer leur propre compte afin d’accéder à leurs achats en ligne, leurs factures ect. Dans ce cas, il faudra étudier une solution pour éviter que ces personnes utilisent des noms d’utilisateurs non recommandés ou bien des mots de passe faibles, même s’ils n’ont qu’un « rôle d’abonné ». Certains plugins permettent de faire cela, comme SécuPress.

Pour conserver tous vos mots de passe, nous vous suggérons d’utiliser ce que nous appelons un coffre fort numérique pour les stocker : OnePassword, Dashlane, KeePass…

2.3 – Désactivez l’éditeur de fichiers

C’est un principe de base en matière de sécurité, qui devrait être appliqué sur tous vos sites WordPress. De base, WordPress est livré avec un éditeur de code intégré qui vous permet d’éditer les fichiers de vos thèmes et plugins à partir de votre zone d’administration à l’onglet Apparence > Éditeur. Entre de mauvaises mains, cette fonctionnalité peut constituer un risque de sécurité, c’est pourquoi nous recommandons de la désactiver.

Bien évidemment, la plupart des plugins de sécurité proposent cela dans leurs options, mais vous pouvez également ajouter une petite ligne de code dans le fichier wp-config.php situé à la racine de votre site (si vous n’êtes pas à l’aise, il vaudra mieux passer par l’utilisation d’un plugin) :

// Disalow file edit
define( 'DISALLOW_FILE_EDIT' , true );

 

2.4 – Désactivez l’exécution de fichiers PHP dans certains répertoires WordPress

Une autre façon de renforcer la sécurité de votre site WordPress est de désactiver l’exécution de PHP dans des répertoires où il n’est pas nécessaire de le faire comme le /wp-content/uploads/ par exemple. Vous devrez alors créer un fichier nommé .htaccess que vous placerez à la racine de votre répertoire /wp-content/uploads/ via FTP et qui contiendra ces lignes de code :

<Files *.php>
deny from all
</Files>

Toutefois, cette fonctionnalité est également proposée par certains plugins de sécurité comme Sucuri, Wordfenc ou SécuPress.

2.5 – Limitez le nombre de tentatives de connexion

Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent via la page de connexion et cela est une vraie opportunité pour les attaques par force brute. Les pirates peuvent alors tenter de se connecter en essayant plusieurs combinaisons de mots de passe.

La bonne pratique alors est d’instaurer une limitation à ces tentatives de connexion grâce à des plugins qui proposent cette fonctionnalité. Ainsi et selon vos configurations, un utilisateur qui se trompe 3 ou 5 fois à la suite sera automatiquement banni pendant plusieurs minutes et devra attendre pour essayer de se connecter à nouveau.

Attention, tout le monde est logé à la même enseigne : vous pouvez très bien être banni de votre propre site si vous effectuez trop de tentatives erronées, veillez alors à bien noter vos identifiants de connexion.

2.6 – Déconnectez automatiquement les utilisateurs inactifs dans WordPress

Les utilisateurs connectés peuvent parfois s’éloigner de leur écran, ce qui présente un risque de sécurité : quelqu’un pourrait pirater leur session, changer les mots de passe ou apporter des modifications à leur compte. Vous pouvez alors envisager d’implémenter une fonctionnalité permettant de déconnecter automatiquement tout utilisateur restant inactif durant un temps imparti.

n°3 – La sécurité WordPress au-delà de votre site

La sécurité de votre site WordPress
La sécurité de votre site WordPress

 

La sécurité d’un site WordPress ne se situe pas uniquement au niveau de celui-ci. En effet, les diverses attaques peuvent provenir au-delà des frontières de votre site et notamment du côté du serveur, de la base de données, de certaines API voire même depuis un navigateur ou même depuis votre ordinateur.

3.1 – Modifiez le préfixe de votre base de données WordPress

Par défaut, le préfixe des tables de la base de données d’un site WordPress est « wp_« . Si vous laissez ces préfixes en l’état, il sera alors aisé aux hackers de le deviner, ceci est une faille de sécurité WordPress plutôt courante.

Si vous installez WordPress de manière manuelle, vous pouvez facilement définir vos préfixes de base de données, changez donc cela avec un préfixe personnalisé lors de la procédure d’installation.

Par contre, si vous installez WordPress avec la « méthode en 1 clic » proposée par certains hébergeurs, il est possible que vous n’ayez pas la possibilité de choisir ces préfixes. De ce fait, la base de données de votre site est susceptible de contenir le préfixe proposé par défaut (wp_) et vous devrez le changer ultérieurement, soit de manière manuelle, soit à l’aide d’un plugin (Change Table Prefix).

Attention : notez que toutes modifications effectuées en base de données peuvent entrainer des bugs et même la perte de toutes vos données (articles, pages, paramétrages etc.). Il est recommandé d’effectuer une sauvegarde de votre base de données avant de procéder à des changements et/ou de faire appel à des professionnels expérimentés.

3.2 – Désactivez l’indexation et la navigation dans le répertoire parent

La navigation dans les répertoires peut être utilisée par les pirates pour savoir si votre site contient des fichiers avec des vulnérabilités connues ou par d’autres personnes pour consulter vos fichiers, copier vos images, connaître la structure de votre répertoire et d’autres informations. C’est pourquoi il est fortement recommandé de désactiver l’indexation et la navigation dans les répertoires de votre site WordPress.

Certains plugins de sécurité permettent aisément de désactiver cette navigation dans les répertoires, mais vous pouvez également ajouter ce petit bout de code dans le fichier .htaccess situé à la racine de votre site :

Options -Indexes

Cela empêchera les curieux d’aller plus loin dans leur navigation et renverra tout simplement une page 403 : L’accès au fichier requiert une autorisation.

3.3 – Désactiver l’API Rest et le XML-RPC dans WordPress

Dans certains cas, votre site n’a pas besoin de la Rest API et du protocole XML-RPC qui sont fournis et activés par défaut dans WordPress. Ce sont des « ponts » qui permettent à certaines applications mobiles de se connecter à votre site WordPress et vice-versa.

Il y a déjà eu quelques failles de sécurité qui ont été découvertes puis corrigées, mais nous ne sommes pas à l’abri de nouvelles vulnérabilités, c’est pourquoi nous recommandons de les désactiver si vous ne les utilisez pas. Il existe deux manières de le faire :

  • à l’aide d’un plugin
  • via le .htaccess

Encore une fois, il est conseillé de ne pas toucher à ce genre de fonctionnalités si vous n’êtes pas développeur.

Attention, avec la prochaine version 5 de WordPress et l’intégration de Gutenberg, la Rest API sera nécessaire pour faire fonctionner votre site.

3.4 – Utilisez un environnement sain

La sécurité, c’est aussi au bureau, à la maison ou en mobilité. On parle des vulnérabilités sur le web et du côté serveur, mais avez-vous pensé qu’un environnement sain est également une manière efficace de se protéger contre des piratages ?

Lorsque vous vous connectez à l’administration de votre site, veillez à :

  • utiliser un ordinateur récent et mis à jour : en effet, il n’y a pas que votre site qui doit être mis à jour, votre ordinateur et vos applications doivent l’être également.
  • utiliser un antivirus performant.
  • vous connecter depuis un navigateur de qualité et également mis à jour dans sa dernière version : il est plutôt recommandé d’utiliser des navigateurs comme Chrome ou Firefox par exemple.
  • attention lorsque vous vous connectez depuis un lieu public ou une connexion mal sécurisée.
  • ne jamais faire confiance à des emails douteux ni à des fichiers/applications que vous téléchargeriez de manière illégale et qui comporteraient certains virus.

 

n°4 : comment reconnaitre un site WordPress piraté ?

Vous devez absolument relier votre site WordPress à la Google Search Console : c’est le carnet de santé de votre site. Grâce à Google Search Console couplée à Google Analytics, vous allez obtenir divers chiffres et tendances qui pourront vous indiquer si votre site a été piraté ou non.

En effet, lors d’un piratage, les propriétaires des sites sont souvent les derniers au courant !

Pour éviter cela, voici quelques indicateurs qui peuvent vous mettre la puce à l’oreille :

  1. Le trafic de votre site chute brutalement : il peut y avoir plusieurs raisons à cela comme un serveur inaccessible, un bug lors d’une mise à jour, une pénalité de la part de Google, mais également un piratage. C’est pourquoi il est important de suivre votre trafic au jour le jour.
  2. Votre site change d’aspect : c’est plutôt flagrant au premier coup d’œil. Si votre site change subitement d’aspect, vous devriez vous connecter à votre administration pour voir cela de plus près. Vous pouvez également vous rendre sur la Search Console pour voir si certaines informations peuvent vous être données.
  3. Un message apparait dans les résultats de Google lors de la recherche de votre site (« il est possible que ce site ait été piraté ») : si un tel message est associé à votre résultat de recherche, il est évident que la première des choses à faire est de se rendre dans la Search Console et de suivre les recommandations de Google.
  4. Les liens cliquables sur votre site mènent l’internaute sur des sites qui vous sont inconnus : c’est l’un des piratages les plus communs. Un pirate se sert de votre site pour en détourner son trafic et l’utiliser sur des sites spammy (viagra, pornographie etc.). Si cela vous arrive, il n’y a pas de doutes, votre site a été piraté !
  5. Le scanner de votre plugin de sécurité WordPress vous informe d’un piratage : cela n’est pas si explicite malheureusement. Les scanners sont souvent là pour vous informer de modifications ou d’ajouts de fichiers, de connexions suspectes etc. À vous d’y prêter la plus grande des attentions.
  6. Vous découvrez un utilisateur suspect : on n’y pense pas toujours, mais il est important de se rendre de temps en temps dans l’onglet Utilisateurs > Tous les utilisateurs pour surveiller si de nouveaux utilisateurs surgissent de nulle part. En effet, c’est un hack assez connu : un pirate s’infiltre discrètement et crée un nouvel Administrateur. Si c’est votre cas, essayez de le supprimer et cherchez d’où vient la faille (s’il est entré une fois, il pourra revenir).
  7. Vous n’arrivez plus à vous connecter : encore une fois, cela peut provenir de diverses sources. Il se peut que l’un de vos plugins de sécurité émette un bug, que vous ayez simplement oublié votre mot de passe et/ou identifiant de connexion ou alors, il se pourrait qu’une personne malveillante soit parvenue à infiltrer votre backoffice et à supprimer votre utilisateur. Si c’est le cas, il sera plus délicat de vous connecter et vous devrez créer un nouvel utilisateur depuis votre serveur afin de récupérer la main et éliminer les intrus (utilisateurs + code malveillant).

Il existe encore plusieurs cas qui peuvent vous indiquer un piratage de votre site WordPress, mais le plus souvent, ce sont les utilisateurs (les visiteurs de votre site) qui peuvent vous en informer, car leur navigateur les a prévenus (c’est souvent le cas de Chrome). Dans ce cas, si on vous signale régulièrement ce genre d’alertes, ne prenez pas cela à la légère et effectuez un audit de sécurité WordPress sans plus tarder.

n°5 : que faire après un piratage WordPress ?

De nombreux utilisateurs de WordPress ne réalisent pas l’importance des sauvegardes et de la sécurité du site jusqu’à ce qu’il soit piraté.

Le nettoyage d’un site WordPress peut être délicat, prend du temps et doit être effectué dans les règles de l’art. C’est pourquoi nous vous recommandons de faire appel à des professionnels expérimentés (WP Assistance) qui connaissent les bonnes pratiques pour nettoyer, mais aussi pour remettre en état votre site et faire en sorte que la faille / source du problème soit résolue.

Dans certains cas, il faudra également envisager de soumettre à nouveau votre site dans la Search Console afin que Google le reconsidère comme étant un site sain. Enfin, il faudra peut-être contacter les entreprises d’antivirus pour qu’elles vous suppriment de leur blacklist, si c’était votre cas. On n’oublie souvent ces étapes, mais les pros, quant à eux, effectuent généralement ces opérations après un nettoyage complet de votre site.

n°6 – les meilleurs plugins de sécurité WordPress

Les plugins de sécurité WordPress
Les plugins de sécurité WordPress

 

Nous avons vu tout au long de ce guide que vous pouvez utiliser des plugins dédiés à la sécurité WordPress en fonction des fonctionnalités que vous souhaitez mettre en place. Nous avons alors sélectionné pour vous le TOP 10 des plugins de sécurité pour 2018 :

6.1 – Les plugins de sécurité WordPress « multi-fonctions » :

Si vous cherchez des plugins qui offrent tout un panel de fonctionnalités en un seul endroit, vous devrez vous tourner vers ces plugins freemiums, les meilleurs du marché actuellement. Ils offrent de nombreuses fonctionnalités, mais pour les activer toutes, vous devrez passer en version premium, sinon, vous devrez les compléter avec d’autres plugins spécifiques afin de couvrir l’ensemble des points sécurité à mettre en place :

  • Secupress : ce plugin français est facile d’utilisation, son tableau de bord est plutôt bien expliqué et il remplit déjà pas mal de points sécurité dans sa version gratuite. Il propose également un scanner de fichier et un backup intégré.
  • iTheme Security : l’un des leader du marché, son utilisation est plutôt simple. Il se découpe en plusieurs modules que vous pouvez activer ou non selon vos besoins. Son interface n’est pas totalement traduite en français (voire pas du tout). Il reste assez complexe à configurer.
  • WordFence : ses deux millions d’installations actives en disent long sur ce plugin de sécurité qui propose un firewall ainsi qu’un scanner de malware. Il propose aussi d’autres fonctionnalités comme la comparaison des fichiers du cœur de WordPress, de vos thèmes et de vos plugins, le changement ou la réécriture des fichiers etc. Son interface est compliquée à prendre en main.
  • Sucuri : ce plugin est aussi très prisé avec ses 300000 installations actives. C’est un scanner de virus qui propose également un WAF (FireWall). Son administration est plutôt simple, mais tout en anglais.

 

6.2 – Les plugins dédiés au login WordPress :

Nous l’avons vu précédemment, la page de connexion est une partie vulnérable de votre site. Vous pouvez alors ajouter des fonctionnalités pour en renforcer sa sécurité.

  • WPS Hide Login et Move login : ces 2 plugins français sont déconcertant tellement ils sont simples d’utilisation. Grâce à eux, vous allez pouvoir changer l’URL de connexion à l’administration de votre site. Ainsi, lorsque les personnes malveillantes tenteront d’accéder à votre administration via /wp-admin/ ou wp-login.php, une erreur s’affichera.
  • WP Security Question : ce plugin va ajouter une question de sécurité à la page de connexion de votre site. Encore une couche supplémentaire pour éviter les connexions malveillantes. Une question vous sera posée, vous devrez y répondre correctement afin d’accéder à votre backoffice, par exemple : Quel est le nom de votre chien ? (ceci est paramétrable).
  • Inactive Logout : ce plugin permet de paramétrer le temps d’inactivité à partir duquel l’utilisateur sera automatiquement déconnecté du backoffice. Cela peut être intéressant si les administrateurs de votre site travaillent dans des open-spaces ou des co-workings… On n’est jamais trop prudent !
  • WP Limit Login Attempt : ce plugin est facile à paramétrer et il verrouillera la connexion à votre backoffice après plusieurs tentatives infructueuses. Ainsi, si un attaquant essaie de deviner votre mot de passe, il sera mis en « quarantaine » avant de pouvoir essayer à nouveau de se connecter. Il permet aussi d’ajouter une vérification par CAPTCHA.

 

6.3 – Les plugins pour sauvegarder WordPress :

  • Updraft Plus : ce plugin est simplissime. En moins de temps qu’il n’en faut pour le dire, vous aurez déjà configuré ses paramètres et effectué votre première sauvegarde. Celle-ci pourra venir se stocker au sein de vos fichiers, sur votre hébergement, ou bien vous pourrez le configurer afin que les sauvegardes aillent sur un stockage distant parmi ceux proposés par le plugin.
  • Backup & Restore DropBox : tout comme Updraft Plus, vous pourrez effectuer vos sauvegardes à la différence que celles-ci ne pourront qu’être stockées dans votre compte DropBox.
  • BackWPup : un autre plugin de sauvegarde, tout aussi efficace que les deux autres. Peut-être que la marche à suivre est un peu moins intuitive et la sauvegarde un peu plus lente.

 

En conclusion…

Vous l’aurez compris, la sécurité WordPress passe avant tout par de la prévention et par du bon sens. Vous devez mettre en place divers boucliers, car les attaques peuvent provenir de toute part. Pour récapituler, prenez en compte l’aspect technique et les bonnes pratiques, mais surtout n’oubliez pas l’aspect humain et les erreurs qui peuvent être effectuées. Faites de bonnes sauvegardes et effectuez vos mises à jour.

Si vous n’avez pas le temps de faire tout cela, vous pouvez toujours nous sous-traiter la maintenance de votre site afin de dormir sur vos deux oreilles !