L’IMPORTANCE DE BIEN SECURISER WORDPRESS : TOUT CE QU’IL FAUT SAVOIR.
Construire un site web de nos jours ne nécessite pas plus de compétences qu’il y a quelques années notamment avec l’avènement de WordPress qui vous permet de faire des sites web professionnels et le tout sans devoir forcément passer de longues heures sur des lignes de code.
Bien que cela soit un avantage certain de la plateforme, sa popularité a également été à la base de nombreux cafouillages observés au niveau de nombreux sites WordPress. Chaque année des milliers de sites WordPress se font piratés et cela fait actuellement l’objet de nombreuses plaintes émises par les victimes de cette fraude.
Dis comme ça cela paraît désolant n’est-ce pas ? En réalité…Pas tout à fait ! car dites-vous bien qu’il y a également de bonnes nouvelles dont nous allons d’ailleurs vous parler dans cet article.
Les informations utiles à savoir
Les détenteurs de sites WordPress font partis des cibles préférés pour les pirates. Ils se doivent donc de veiller à bien sécuriser leur CMS (Content Management System). Ce qu’il y a à retenir c’est que l’amélioration des sites d’E-commerce prend souvent du temps et donc le déploiement des correctifs arrive un peu plus tard mais trop tard car il y aura déjà eu des victimes.
Comme vous pouvez l’observer sur ce graphe, environ 90% de tous les CMS piratés que Sucuri a étudiés et aidés à corriger en 2018 étaient tous des sites WordPress. Contrairement aux autres plateformes tels que Magento, Joomla et Modx qui sont très loin derrière.
D’après des analyses de la société de sécurité, la cause de tous ces piratages provient de vulnérabilités dans des plugins et des thèmes mais aussi d’erreurs de configuration et d’un manque de maintenance par les webmasters qui négligent la plupart du temps la mise à jour CMS, thèmes et des extensions. Il existe bien évidemment d’autres éléments qui favorisent le piratage de tous ces sites mais nous y reviendrons plus tard dans l’article.
De tous les sites basés sur un CMS, selon Sucuri, seulement 56% utilisaient un CMS à jour avant d’être victime d’une attaque. Ce que vous devez comprendre c’est qu’un système à jour est nécessaire mais cela ne vous garantit pas une protection à 100% des intrusions.
Sucuri nous signale également que 36% des sites WordPress piratés n’utilisaient pas une version à jour du CMS. D’autre part, les Content Management System comme OpenCart, Magento ou encore Joomla lorsqu’ils se faisaient pirater, fonctionnaient presque tout le temps sur une version obsolète.
Malgré le fait que certains sites utilisent des versions plus anciennes d’un CMS, la principale cause d’infection provient des vulnérabilités des composants. On peut citer notamment les extensions populaires mais rarement les mises à jour qui elles ne représentent qu’une infime partie de ces causes.
Les pirates sont constamment à la recherche de la moindre faille pouvant compromettre votre sécurité puis s’en servent par la suite pour s’en prendre directement à vos données personnelles.Bien qu’il soit moins important de mettre à jour son CMS que toute autre action sécuritaire, vous devez tout de même vous conformer à la dernière version de votre CMS afin de ne pas vous laisser surprendre.
Comme nous vous l’avons dit précédemment, les thèmes font également partie de la liste des éléments responsables des attaques par les pirates sur votre site WordPress. Voici pour vous 10 thèmes WordPress les plus vulnérables : Navré de vous décevoir mais DIVI est bel et bien dans cette liste !
Cependant, l’on peut noter que le nombre de vulnérabilités est beaucoup moins élevé pour les thèmes que pour les plugins.
En effet, les thèmes ont beaucoup moins de fonctions que les extensions. Alors que la plupart des plugins gèrent et manipulent des données, les thèmes changent principalement l’apparence des sites WordPress.
UTILISER LA DERNIÈRE VERSION DE PHP
PHP est ici comme la colonne vertébrale de votre site WordPress et pour ce faire, il est donc très important voir primordial d’utiliser la dernière version sur votre serveur. Chaque version majeure de PHP est entièrement prise en charge pendant deux ans après sa sortie. Cela permet aux développeurs de corriger les bugs et les problèmes liés à la sécurité de façon régulière.
En ce moment si vous utilisez la version 7.1 de PHP ou inférieure à celle-ci, vous n’avez aucun support de sécurité et vous êtes donc exposé à des vulnérabilités de sécurité non corrigées. Le plus fou dans tout c’est que jusqu’à ce jour, WordPress Stats nous montre que plus de 57% des utilisateurs WordPress sont encore en version 5.6 de PHP ou inférieur. Lorsqu’on combine cela avec PHP 7.0, on peut se rendre compte qu’environ 77,5% des utilisateurs utilisent actuellement des versions de PHP qui ne sont plus supportées.
C’est vraiment effrayant lorsqu’on voit tous ces chiffres. Il faut parfois du temps aux entreprises et aux développeurs pour tester et assurer la compatibilité avec leur code, mais cela n’est en aucun cas une excuse pour exécuter quelque chose sans aucun support de sécurité.
Utilisation de HTTPS pour des connexions chiffrées
Beaucoup ne le savent pas mais l’un des moyens les plus efficaces pour renforcer votre sécurité WordPress est l’installation d’un certificat SSL et de l’exécuter sur votre site sur HTTPS. L’HYPER TEXT TRANSFER PROTOCOL SECURE(HTTPS) est tout simplement un mécanisme qui va permettre à votre navigateur ou votre application Web de se connecter de manière sécurisée avec un site Web.
Nous allons vous expliquer maintenant pourquoi HTTPS est important au-delà de tout.
1. La Sécurité
La plus grande raison que vous avez d’utiliser HTTPS est la sécurité supplémentaire qu’il vous apporte. Cependant qu’elle est l’importance de vos informations de connexion ? Pour vous qui exploitez des sites Web WordPress à auteurs multiples, si vous utilisez HTTP, chaque fois qu’une personne se connecte, cette information sera transmise au serveur en texte clair.
HTTPS est donc absolument vital pour maintenir une connexion sécurisée entre un site web et un navigateur. De cette façon vous pourrez mieux empêcher les pirates ou un intermédiaire d’accéder à votre site web.
2. SEO
Dans une déclaration officielle, Google a officiellement déclaré que le HTTPS est un facteur de classement. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous prendraient probablement n’importe quel avantage que vous pouvez obtenir dans les SERPs pour battre vos concurrents.
3. Données référées
Beaucoup ne le savent pas mais les données référées de HTTPS vers http sont bloquées dans Google Analytics. Que deviennent donc ces données ?
Eh bien, la plus grande partie est tout simplement regroupée avec la section Trafic direct.
4. Avertissement Chrome
Depuis le 24 juillet 2018, les versions de Chrome 68 et supérieures ont commencé à marquer tous les sites non-HTTPS comme Not Secure et cela qu’ils recueillent ou non des données. Pour cette raison le HTTPS est plus important que jamais !
Il est très important que votre site web reçoive la majorité de son trafic de Chrome et pour cela il vous faut une connexion sécurisée.
5- Thème/plugin
Mis à part le fait que vous devez régulièrement mettre à jour WordPress, il est également très important de mettre à jour le thème ainsi que les plugins que vous utilisez.
Voici quelques bonnes actions à mettre en place pour vous protéger
- Supprimer les thèmes et les plugins inactifs
- Utiliser seulement les plugins dignes de confiance
- Télécharger vos plugins uniquement sur des sites fiables
- Installer un plugin pour éviter les spams dans les commentaires, comme Askimet
- Installer un plugin comme Wordfence Security ou All In One WP Security & Firewall, qui pourront vous prévenir s’il y a des modifications suspectes dans les fichiers de votre site
- Améliorer la sécurité via les fichiers .htaccess et wp-config.php
Le rôle de l’hébergement de votre site WordPress
L’un des rôles les plus importants dans le processus de sécurisation de votre site WordPress est joué par votre hébergeur. Un bon fournisseur d’hébergement doit prendre des mesures supplémentaires afin de protéger votre site WordPress contre les menaces qui surviennent.
Il est donc important que vous choisissiez des hébergeurs de qualité qui offrent des fonctionnalités supplémentaires comme des sauvegardes automatiques, des mises à jour automatiques de WordPress mais aussi des configurations de sécurisation avancées de type anti DDos, firewall, etc).
Pour ce faire, vous pouvez louer chez https://pandiheberge.com/ qui vous offre un hébergement web dédié de qualité (la ram, le cœur et l’espace disque est dédié). De plus vous aurez à votre disposition un Support qualifiés qui est entièrement à votre disposition, réactif par téléphone et via l’espace membre.
Cacher votre version WordPress. Cacher votre version WordPress touche à nouveau au sujet de la sécurité de WordPress par l’obscurité. Moins les autres personnes en savent sur la configuration de votre site WordPress, mieux c’est.
Si les autres utilisateurs remarquent que vous exécuter une installation WordPress obsolète, cela pourrait être un signe de bienvenue pour les intrus. Par défaut, la version WordPress apparaît dans l’en-tête du code source de votre site. Il est donc important que nous vous rappelions l’importance de mettre à jour votre installation WordPress afin de ne pas vous soucier d’un quelconque problème.
Tout cela peut vous sembler beaucoup d’informations d’un coup mais sachez que vous n’avez là que quelques causes responsables des différentes attaques WordPress. Il en existe encore d’autres telles qu’un manque de vérifications des permissions de fichiers et du serveur ou encore une non-sauvegarde qui vous permettra juste en un clic de restaurer votre site.
Bien qu’il existe des solutions pour faire face à toutes ces menaces, aucune de ses mesures ne sera jamais sûres à 100 pourcents. Vous pouvez cependant faire appel à des experts de la sécurité Web afin d’avoir un réel suivi de votre site web afin de ne laisser aucun Malware si introduire.
Il est important de maintenir son site régulièrement à jour de sorte à ce qu’aucun pirate ne puisse nuire à vos données. Vous pourriez sans doute ne pas avoir de temps pour ce qui touche à la maintenance de votre site mais ne vous en faites pas, vous pouvez passer par notre agence PandiWeb pour s’occuper de la maintenance de votre site internet durant toute l’année.
Un webmastering de 12 heures aura lieu sur l’année (le nombre d’heures est défini suivant vos besoins (forfait 12h minimum par an).
Nos services de maintenance comprennent :
- La création et la modification de votre site web
- L’administration de votre site
- L’ajout de plugins + la configuration de ces derniers
- La mise à jour de votre CMS
- La mise à jour de vos extensions
- La mise à jour du thème de votre site Web
- Un accompagnement et des conseils pour un suivi complet
- Une intervention sous 24h pour répondre à toutes vos demandes
- La sauvegarde de votre base de données
- Une sauvegarde complète de votre site Web
- Une optimisation des performances – un nettoyage de votre corbeille et vos spams
En Résumé…
Somme toute, la sécurité de votre Site WordPress passe avant tout par une prévention et ensuite par du bon vouloir. Il est donc très important que vous vous protégez des différentes attaques qui peuvent survenir à tout moment et de n’importe où.
Afin de ne pas paraître trop long dans ce mini résumé, vous avez à votre disposition l’essentiel de ce qu’il faut savoir pour éviter toute attaque sur votre site WordPress en passant par de bonnes sauvegardes ou encore des mises à jour régulières. Si vous manquez cependant de temps pour faire tout cela, notre agence PandiWeb se chargera de tout pour vous.