Rubrique¬
Site
Date de publication¬
14 Jui. 2021
Rédaction¬
Ariane Rubio
14 Jui. 2021

Sites WordPress : « La sécurité d’un site WordPress passe d’abord par la maintenance. »

Par Ariane Rubio

Temps de lecture : 2"

Largement prisé par les entreprises comme par les particuliers, WordPress est devenu un outil web incontournable, qui représente aujourd’hui 40 % des sites existants. Mais comment protéger efficacement son site WordPress ?

Responsable client web chez Eliott & Markus et spécialiste WordPress, Alexis Chagnon nous donne quelques bonnes pratiques pour optimiser la sécurité de ces sites.

Comment garantir aujourd’hui la sécurité de mon site WordPress ?

La sécurité d’un site WordPress passe d’abord par la maintenance. Comme sur n’importe quel outil informatique, il faut effectuer des mises à jour en continu pour qu’il fonctionne normalement. Mais la maintenance permet aussi de renforcer le niveau de sécurité. WordPress est un logiciel open source, c’est-à-dire que tout le monde peut l’utiliser, car son code est facilement accessible en ligne. Donc la faille principale du système, c’est le logiciel en lui-même et les extensions (également appelées plug-in) qui y sont installées. Contrairement à ce que vous pouvez penser, la majeure partie des attaques qui visent des sites WordPress basiques ne sont pas des attaques ciblées mais des scripts automatiques. Ces scripts vont exploiter les failles de WordPress en profitant des extensions non mises à jour, et donc, du logiciel WordPress.

Maintenir mon site WordPress à jour offre donc une protection optimale ?

Dans l’absolu, non. La maintenance permet de relever le niveau de sécurité du site et d’avoir un environnement « sain », mais ça ne fait pas tout. Nous menons aussi des actions de sécurité. WordFence et d’autres services WordPress permettent de parer un grand nombre de tentatives d’intrusion, grâce à un monitoring constant : WordFence répertorie et classifie toutes les connexions au site WordPress, qu’elles soient normales ou suspectes. Cela permet de pallier de nombreuses faiblesses et d’être automatiquement prévenu en cas de failles.

Au-delà du site WordPress en lui-même, il y a des exigences techniques au niveau de l’infrastructure du code et de l’hébergement. Une fois que le site est en ligne (ou en production), et que l’infrastructure est posée, avec un hébergement de qualité, le WordPress doit être monitoré pour être protégé.

Quelles sont les pratiques à adopter pour protéger efficacement un site WordPress ?

Avant tout, limitez le nombre de comptes utilisateurs de votre WordPress. Vous réduirez ainsi vos chances d’être victime de tentatives de connexions malveillantes : moins il y a de comptes utilisateurs, moins il y a de possibilité d’entrer. Dans le cas où il est nécessaire d’avoir plusieurs comptes, il faut être vigilant concernant la transmission des accès à votre site. Aujourd’hui, même les emails cryptés ne sont pas infaillibles. Il est donc préférable d’envoyer l’identifiant et le mot de passe séparément. Au mieux, il faut utiliser des plateformes comme Privnote ou OneTimeSecret quipermettent d’envoyer des messages protégés par mots de passe et accessibles une seule fois.

Il y aussi des bonnes pratiques à adopter en matière d’intégration de contenu, notamment concernant le copier-coller. Nous avons eu le cas d’un client dont le site a cessé de fonctionner après une intégration de contenus récupérés sur un autre site web. J’ai constaté par la suite qu’en faisant son copier-coller, il avait également copié du code HTML caché au sein du contenu. Ce code contenait un script de publicité propre au site sur lequel il avait pris ce texte, raison pour laquelle son site WordPress a rejeté le contenu et a fait crasher le site. En plus des scripts de publicité, on trouve souvent dans le code des éléments de mise en forme, comme la police ou les couleurs, et ces éléments peuvent poser des problèmes d’affichage sur votre site.

Donc, si vous devez copier-coller des contenus d’un site web vers le vôtre, je vous conseille vivement de commencer par le coller dans un logiciel de traitement de texte comme SublimText. C’est un logiciel de traitement de texte qui comprend le HTML, contrairement aux logiciels de la suite Office comme Word. Ça vous permettra de voir s’il y a du code rattaché au contenu que vous souhaitez récupérer, et de l’éliminer le cas échéant.

Digital SEO - Référencement
Avocats, experts-comptables,… quelle stratégie de référencement ?

Temps de lecture : 4’00 Hors de la première, voire de la deuxième page Google, point de salut. ...

17 Avr. 2018 Par Anne-Laure Joubaire
Digital
Cabinets d’avocats : la cible idéale des cyber-attaques

Temps de lecture : 2″30 Dernière en date d’une longue série de cyber-attaques contre des administrations et entreprises, ...

11 Sep. 2020 Par Anne-Laure Joubaire
Digital
RGPD : une occasion en or de renforcer sa cybersécurité

Temps de lecture : 2’50 Alors qu’il ne reste plus qu’un mois pour se mettre en conformité avec ...

24 Avr. 2018 Par Anne-Laure Joubaire
Digital
RGPD et emailing : quid du B to B ?

Temps de lecture : 1’30 Mesures de sécurité, registre de traitement, alerte en cas de fuite des données, mise ...

26 Jui. 2018 Par Anne-Laure Joubaire
Ouverture de cabinets
Avocats et entrepreneuriat : « toute la réussite d’un lancement repose sur la viabilité globale du projet. »

Temps de lecture : 3″ (Re)conquérir son indépendance, réaliser ses ambitions ou relever de nouveaux défis : l’aventure entrepreneuriale tente ...

07 Jui. 2021 Par Kevin Hoffschir
Métiers
9 conseils pour ouvrir son cabinet et réussir

Temps de lecture : 2″ Beaucoup de jeunes avocats et d’experts-comptables rêvent d’ouvrir leur propre cabinet, synonyme de ...

21 Mai. 2020 Par Anne-Laure Joubaire
wilo
Rechercher
Informations