45

consultants et experts

800

Références

4

Continents

« La satisfaction de nos clients est notre engagement ultime  »

Gwénaëlle Henri
Gwénaëlle Henri

« Votre marque commence ici  »

Ilias Meslohi
Ilias Meslohi
EM BG
22:00
jeudi 26 janvier

paris

Europe

22:00
jeudi 26 janvier

casablanca

africa

Blanche BG
Blanche BG Hover
Mirovia BG
Mirovia BG Hover
Welawcare BG
We lawcare BG Hover
Desk
Desk Soon

Middle East Africa

Close Icon
14 Juin. 2021

Ariane Rubio

Site »La sécurité d’un site WordPress passe d’abord par la maintenance. »

Site »La sécurité d’un site WordPress passe d’abord par la maintenance. »
  • Cybersécurité
  • rgpd
  • sécurité
  • siteweb
  • wordpress

Largement prisé par les entreprises comme par les particuliers, WordPress est devenu un outil web incontournable, qui représente aujourd’hui 40 % des sites existants. Mais comment protéger efficacement son site WordPress ?

Temps de lecture : 2″

Largement prisé par les entreprises comme par les particuliers, WordPress est devenu un outil web incontournable, qui représente aujourd’hui 40 % des sites existants. Mais comment protéger efficacement son site WordPress ?

Responsable client web chez Eliott & Markus et spécialiste WordPress, Alexis Chagnon nous donne quelques bonnes pratiques pour optimiser la sécurité de ces sites.

Comment garantir aujourd’hui la sécurité de mon site WordPress ?

La sécurité d’un site WordPress passe d’abord par la maintenance. Comme sur n’importe quel outil informatique, il faut effectuer des mises à jour en continu pour qu’il fonctionne normalement. Mais la maintenance permet aussi de renforcer le niveau de sécurité. WordPress est un logiciel open source, c’est-à-dire que tout le monde peut l’utiliser, car son code est facilement accessible en ligne. Donc la faille principale du système, c’est le logiciel en lui-même et les extensions (également appelées plug-in) qui y sont installées. Contrairement à ce que vous pouvez penser, la majeure partie des attaques qui visent des sites WordPress basiques ne sont pas des attaques ciblées mais des scripts automatiques. Ces scripts vont exploiter les failles de WordPress en profitant des extensions non mises à jour, et donc, du logiciel WordPress.

Maintenir mon site WordPress à jour offre donc une protection optimale ?

Dans l’absolu, non. La maintenance permet de relever le niveau de sécurité du site et d’avoir un environnement « sain », mais ça ne fait pas tout. Nous menons aussi des actions de sécurité. WordFence et d’autres services WordPress permettent de parer un grand nombre de tentatives d’intrusion, grâce à un monitoring constant : WordFence répertorie et classifie toutes les connexions au site WordPress, qu’elles soient normales ou suspectes. Cela permet de pallier de nombreuses faiblesses et d’être automatiquement prévenu en cas de failles.

Au-delà du site WordPress en lui-même, il y a des exigences techniques au niveau de l’infrastructure du code et de l’hébergement. Une fois que le site est en ligne (ou en production), et que l’infrastructure est posée, avec un hébergement de qualité, le WordPress doit être monitoré pour être protégé.

Quelles sont les pratiques à adopter pour protéger efficacement un site WordPress ?

Avant tout, limitez le nombre de comptes utilisateurs de votre WordPress. Vous réduirez ainsi vos chances d’être victime de tentatives de connexions malveillantes : moins il y a de comptes utilisateurs, moins il y a de possibilité d’entrer. Dans le cas où il est nécessaire d’avoir plusieurs comptes, il faut être vigilant concernant la transmission des accès à votre site. Aujourd’hui, même les emails cryptés ne sont pas infaillibles. Il est donc préférable d’envoyer l’identifiant et le mot de passe séparément. Au mieux, il faut utiliser des plateformes comme Privnote ou OneTimeSecret quipermettent d’envoyer des messages protégés par mots de passe et accessibles une seule fois.

Il y aussi des bonnes pratiques à adopter en matière d’intégration de contenu, notamment concernant le copier-coller. Nous avons eu le cas d’un client dont le site a cessé de fonctionner après une intégration de contenus récupérés sur un autre site web. J’ai constaté par la suite qu’en faisant son copier-coller, il avait également copié du code HTML caché au sein du contenu. Ce code contenait un script de publicité propre au site sur lequel il avait pris ce texte, raison pour laquelle son site WordPress a rejeté le contenu et a fait crasher le site. En plus des scripts de publicité, on trouve souvent dans le code des éléments de mise en forme, comme la police ou les couleurs, et ces éléments peuvent poser des problèmes d’affichage sur votre site.

Donc, si vous devez copier-coller des contenus d’un site web vers le vôtre, je vous conseille vivement de commencer par le coller dans un logiciel de traitement de texte comme SublimText. C’est un logiciel de traitement de texte qui comprend le HTML, contrairement aux logiciels de la suite Office comme Word. Ça vous permettra de voir s’il y a du code rattaché au contenu que vous souhaitez récupérer, et de l’éliminer le cas échéant.