En 2024, la part de marché de WordPress est estimée à 65,20% au niveau mondial. Cela signifie que la majorité des sites sur lesquels vous naviguez sont des sites WordPress. Bonne nouvelle : vous êtes sur le CMS le plus populaire du marché et vous avez la chance de profiter d’une communauté forte et engagée. Cela signifie que vous pouvez profiter de quantité d’extensions et de ressources, mais aussi que votre site peut être la cible d’attaques cybercriminelles.
90% des sites piratés dans le monde sont des sites WordPress. Conséquence de la Covid, le piratage a fortement augmenté depuis 2020 et, selon les rapports d’études faits par IBM et le Ponemon Institute, le coût total moyen des violations de données a augmenté de 10% avec le télétravail. D’un autre côté, 60% des gérants de petites et moyennes entreprises placent la cybersécurité en bas de leur liste d’investissement, selon un rapport Keeper Security.
Êtes-vous impuissants face à l’armée de bots malveillants qui crawlent la Toile ?
Pas de panique : ce risque existe et existera toujours, quelle que soit la ressource que vous utilisez. Le simple fait d’avoir un site Internet vous expose au risque de piratage. C’est comme pour votre logement. Le risque zéro de cambriolage n’existe pas, que vous soyez en centre-ville ou en lisière de forêt.
Nous allons le voir : il y a plein de manières de protéger votre site WordPress. Des bonnes pratiques aux bons outils, nous allons passer en revue les choses à faire et à ne surtout pas faire pour sécuriser efficacement un site WordPress.
Sélectionnez vos extensions avec soin
Restons sur notre allégorie de la maison. Imaginez que vous venez de faire l’acquisition d’un terrain et que vous faites construire votre propre nid douillet. Vous allez être d’accord avec moi : si vous choisissez du matériel de mauvaise qualité, vous risquez de vivre des déboires. Vous n’allez pas faire d’économies sur le vitrage de vos fenêtres ou la qualité de votre porte d’entrée, car vous savez sinon que le moindre caillou lancé risquerait de vous condamner à faire appel à un menuisier.
Ici, c’est pareil. Le code de votre site et les extensions qui s’y ajoutent sont la construction, la bâtisse. Si vous sélectionnez n’importe quel plugin sans vérifier ni sa provenance, ni sa durabilité, vous allez avoir des déconvenues. Bugs, problèmes de compatibilité, ralentissements, brèches massives de sécurité voire, dans le pire des cas, code malveillant imbriqué dans l’extension.
Ma première recommandation, et l’une des plus importantes, est donc de sélectionner des plugins qui sont officiellement répertoriés dans la base de données WordPress.org.
WordPress étant un CMS Open Source, beaucoup des extensions proposées sont gratuites ou ont une version gratuite. Vous pouvez généralement vous contenter de leur version gratuites à condition de vérifier qu’elles soient bien régulièrement mises à jour et compatibles avec votre version de WordPress.
Je vous recommande d’opter pour des extensions premium pour les fonctionnalités essentielles de votre site WordPress, comme l’installation d’un système de vente en ligne, de billetterie ou d’espace membres.
Choisir des extensions reconnues pour vos fonctionnalités importantes
N’ayez pas peur de mettre un peu de budget et acheter des licences d’extensions professionnelles quand il s’agit d’ajouts importants pour votre site WordPress, comme le e-commerce, la gestion d’évènements, de formations, ou même de formulaires avancés.
Avant de procéder à l’achat, faites quelques recherches sur la société qui les développe et les avis d’autres développeurs ou professionnels de WordPress. Vous aurez ainsi une idée de l’efficacité, de la popularité et de la régularité des mises à jour de l’extension qui vous intéresse. Si vous trouvez une extension intéressante sur un site tiers, assurez vous qu’elle est bien référencée sur WordPress.org pour garantir sa fiabilité.
Prenez soin de votre WordPress : mettez à jour le Core et les plugins
Si vous avez acheté des extensions, vous avez fait l’acquisition d’une licence. La plupart du temps, vous l’achetez pour une durée d’un an et devez la renouveler une fois l’année écoulée.
Ce sont des frais, je suis d’accord, mais c’est indispensable ! Le travail des développeurs est très important et les mises à jour produites sont essentielles pour que votre extension reste cohérente avec les évolutions de WordPress.
En renouvelant votre licence chaque année, vous contribuez non seulement à la sécurité de votre site, mais aussi à celle de la communauté WordPress. De plus, cela vous évite d’éventuels frais de dépannage en cas de piratage.
Bien sûr, au delà du renouvellement de licence, il est indispensable de vérifier régulièrement les mises à jour disponibles depuis votre interface d’administration WordPress et de les mettre à jour. Vous pouvez activer les mises à jour automatiques depuis votre WordPress ou votre hébergeur, mais je vous recommande toutefois une surveillance supplémentaire.
Optez pour un thème professionnel
Si vous avez un site WordPress, vous avez forcément un thème graphique. WordPress en propose certains de base lors de son installation, mais il y en a des milliers disponibles sur la Toile.
Je recommande vivement de choisir un thème populaire et payant
Pourquoi ? Parce qu’ils sont mieux optimisés et mieux sécurisés, qu’ils bénéficient des retours d’une communauté active et que l’équipe de développement est bien payée pour les maintenir.
Choisir un thème obscur récupéré gratuitement sur un site tiers, c’est comme ouvrir en grand votre porte et vos fenêtres alors que vous avez installé du matériel solide. Là aussi, il y a risque de piratage.
Personnellement, j’utilise Astra Pro, qui est léger et offre de bons compromis en matière de personnalisation et de fonctionnalités ajoutées. Il dispose d’une version gratuite déjà très intéressante si vous voulez un site de qualité.
Il existe d’autres thèmes comme Kadence ou GeneratePress, mais nous pourrons y consacrer un article dédié.
Installer des extensions de sécurité
J’ai beaucoup utilisé cette méthode, mais j’en reviens aujourd’hui pour des raisons que j’expliquerai plus bas. Néanmoins, installer des plugins de sécurité tels que WordFence Security, All In One WP Security & Firewall ou encore Sucury Security n’est pas une mauvaise pratique, surtout si vous avez des doutes sur la qualité de votre hébergeur.
La plupart de ses extensions proposent un scanner de sécurité pour vérifier l’état de votre base de données et de vos fichiers, ou encore un scanner de malwares. J’ai beaucoup utilisé All In One WP qui propose plein de fonctionnalités pour vous protéger contre le Brut Force (pratique qui consiste à forcer avec des bots votre panel de connexion jusqu’à réussir à trouver un identifiant admin et introduire du code malveillant) et diverses infiltrations.
Ce sont de bons cadenas à ajouter à votre porte si vous n’êtes pas sûr de son blindage. 😉
Quelques inconvénients aux extensions de sécurité
Il faut savoir que les extensions de sécurité peuvent entraîner des baisses de performance pour votre site WordPress. En effet, beaucoup de ces extensions tournent en fond et lancent des scans réguliers, ce qui peut impacter le temps de chargement de votre site Internet. Aussi, ces plugins ont tendance à envoyer de nombreux mails qui peuvent être usant à la longue (modifications de fichiers lors des mises à jour, résultats de scans, etc.).
Il est possible de configurer ces envois de mail et la fréquence des scans pour alléger l’impact, mais certaines configurations peuvent être un peu plus obscures quand on ne s’y connait pas trop en sécurité. Ce n’est donc pas une solution que je recommanderai d’emblée à un débutant.
Configurer des sauvegardes automatiques
Le plus gros risque dans un piratage, c’est la perte de données. Anticiper ces pertes avant qu’elles ne surviennent est essentiel.
L’une des premières choses à faire lors du lancement de votre site Internet, c’est de mettre en place un système de sauvegarde, idéalement journalier, voire plus si vous faites du e-commerce.
Il existe des extensions efficaces pour ça, comme UpdraftPlus, qui propose des services gratuites et des fonctionnalités plus poussées en version premium. Si vous optez pour un hébergeur spécialisé, vous ne devriez même pas avoir à vous soucier de ça via une extension, car votre hébergeur mettra automatiquement une sauvegarde quotidienne en place, dans la plupart des cas.
Updraft peut cependant servir de sécurité supplémentaire. On a déjà vu des serveurs brûler dans un incendie, alors deux boucliers valent mieux qu’un lorsqu’il s’agit de données.
Choisir un hébergeur spécialisé WordPress
Revenons à notre histoire de maison. Quand vous avez sélectionné le terrain à bâtir, vous n’avez pas choisi n’importe quel terrain. Vous avez choisi celui qui correspond à votre projet et qui vous offrira le plus d’assurances possibles.
Votre hébergeur, c’est votre terrain à bâtir. Ne prenez pas le moins cher, car vos économies seront de courte durée.
Un bon hébergeur peut vous épargner beaucoup de travail d’optimisation et de sécurisation, mais il doit aussi être armé pour vous protéger en cas de menace avérée. Comme WordPress a des besoins spécifiques, je vous recommande vivement d’opter pour un hébergeur qui propose des fonctionnalités dédiées à la création de site WordPress.
Après avoir testé plusieurs hébergeurs, j’ai opté pour Hostinger, qui est devenu ma recommandation principale pour la gestion de sites WordPress. Il est rapide, intuitif, parfait pour les débutants sur WordPress et pour les plus avancés.
Enfin, Hostinger vous permet de vous passer de plugins supplémentaires pour la sécurité, car il propose déjà tout un tas d’outils de surveillance, d’optimisation et d’antivirus pour WordPress.
A mes yeux, choisir un hébergeur adapté à la gestion quotidienne d’un site WordPress, avec des options d’optimisation et de sécurité intégrées, est la première bonne pratique à adopter pour sécuriser votre site web.
SiteGround, WP Engine et O2switch sont d’autres alternatives pertinentes pour héberger un site WordPress, mais je n’ai pas de retour à vous faire pour ne pas les avoir testé moi-même en profondeur. Je trouve l’interface d’O2switch beaucoup moins intuitive et je n’ai pas trouvé la rapidité de chargement que j’ai trouvé sur Hostinger.
Pour finir sur le sujet, voici ce que je vous recommande de faire dès la mise en place de votre projet WordPress :
- Choisissez un hébergeur adapté à la création de site WordPress, comme Hostinger.
- Choisissez un thème graphique professionnel et populaire
- Sélectionnez des extensions uniquement sur WordPress.org et veillez à leur maintien à jour
- Pour les grosses extensions transformant l’expérience utilisateur, privilégiez des plugins professionnels
- Configurez des sauvegardes automatiques
- Renouvelez vos licences chaque année
- Paramétrez des mises à jour automatiques et surveillez régulièrement
D’autres pratiques plus techniques peuvent être mises en place, mais le but ici est de vous présenter ce que vous pouvez faire en amateur pour prolonger la vie de votre site WordPress sans que cela devienne un casse-tête chinois ! 😉
Vous avez d’autres idées ou des questions sur le sujet ? N’hésitez pas à me les partager en commentaires !
Ping : Maintenance technique WordPress : 5 clés - Armand Web