Découvrez les trois étapes indispensables à suivre immédiatement après l’installation de WordPress pour garantir la sécurité de votre site et éviter les erreurs graves que font souvent les débutants. Suivez ces astuces simples pour configurer votre site comme un pro et démarrer sur les bonnes bases, sans risquer la vulnérabilité de votre site ou compromettre l’intégrité de vos données sensibles.
- Rendre le site invisible aux moteurs de recherche (le temps du développement)
- Mettre en place des sauvegardes régulières, sur un serveur distant
- Sécuriser un minimum
Rendre le site invisible aux moteurs de recherche (le temps du développement)
Votre site va être en construction pendant un moment avant d’être mis en ligne. Vous pouvez choisir de bloquer sa consultation à l’aide d’un plugin comme Coming Soon qui affichera une page “Site en construction”.
Mais il convient surtout de demander aux moteurs de recherche de ne pas indexer (référencer) ce site, du moins tant qu’il n’est pas prêt.
Pour ce faire, rendez-vous dans le menu du backoffice (Menu latéral de gauche, une fois connecté) :
- Réglages
- Lecture
- (cocher la case) “Demander aux moteurs de recherche de ne pas indexer ce site”
Mettre en place des sauvegardes régulières, sur un serveur distant
Imaginez. Vous travaillez sur votre site, et là … ça plante complètement. Vous essayez de passer par les fichiers du site pour supprimer « à la bourrin » le dossier du plugin sur lequel vous étiez en train de travailler … ça ne résout rien. Vous commencez à avoir envie d’hurler …
Ça arrive, et le plus souvent en pleine phase de dev ! Justemment.
C’est pour ça qu’il faut dès maintenant s’occuper des sauvegardes automatiques.
Je vous recommande le plugin gratuit updraftplus.
En ce qui concerne la régularité des sauvegardes (ce qui se passe dans les réglages d’updraftplus), voici ce que je vous recommande :
Pendant le développement du site :
- une sauvegarde des fichiers ET de la base de données
- tous les jours
- garder 15 sauvegardes (soit 15 jours)
- penser à venir faire une sauvegarde manuelle après chaque journée (ou demi-journée) de travail.
- sur un emplacement distant comme DropBox ou Google DRIVE
Pendant la vie du site (plus tard) :
- Si vous avez une boutique en ligne ou que, d’une manière ou d’une autre, votre base de données est beaucoup utilisée :
1 sauvegarde de la base de données tous les jours (plus souvent si c’est une grosse boutique) - Si ce n’est pas le cas, comme pour un petit site vitrine « simple » : au moins une sauvegarde avant et après chaque fois que vous ajoutez du contenu au site (photos, évènements, articles, …) + une sauvegarde par mois
La règle la plus importante est : il faut garder des sauvegardes sur au moins 1 mois de plus que ce que garde votre hébergeur.
En effet, lorsqu’un pirate met la main sur votre site, ça se passe souvent comme ça :
- Il passe par une faille de sécurité (plugin ou thème non mis à jour) pour se créer un accès aux fichiers de l’hébergement
- il attends 3 mois (si votre hébergeur a une politique de sauvegarde sur 3 mois, en moyenne c’est ce que j’ai constaté)
- là il change tout votre site pour mettre le sien à la place
- et vous ne pouvez plus rien faire car vous n’aviez pas pensé à garder des sauvegardes sur 3 mois … et votre hébergeur non plus ! (c’est là le piège).
Si ça vous arrive, vous avez le choix entre :
- Faire appel à des pros, comme ceux de SecuPress, pour nettoyer votre site infecté
- Faire refaire votre site à zéro (Si une refonte était de toutes façons prévue et que ce n’est qu’un site vitrine, par exemple).
Sécuriser un minimum
Pourquoi sécuriser WordPress alors qu’en principe il l’est déjà ? C’est une bonne question, à laquelle je compte bien répondre dans un article futur.
Pour le moment, partez du principe qu’un site WordPress qui ne respecte au minimum les conseils ci-dessous se fera pirater. C’est 100% certain.
Du coup, comment faire pour corriger les failles de sécurité les plus critiques de WordPress ?
Tout d’abord, installez le plugin gratuit Secupress
Déplacer la page de connexion
Utilisez le module “comptes et connexion” pour déplacer la page de connexion.
Remplacez ainsi /wp-login par ce que vous voulez.
Protégez la connexion par un captcha
Pour ce faire, restez sur cette page, et allez chercher un peu plus bas la section “Utiliser un captcha pour tout le monde” et cochez la case “Oui, utiliser un captcha”, puis sauvegardez.
Protégez le compte “admin”
Si votre site internet accepte les inscriptions (Réglages > général > “tout le monde peut s’inscrire”), vous devez créer un compte utilisateur ayant pour identifiant “admin” avec le rôle “abonné”.
Une fois créé, revenez modifiez ce profil et sélectionnez le nouveau rôle qui vient d’apparaître : “aucun rôle sur ce site”.
Si votre site n’accepte pas les inscriptions (la case n’est pas cochée, donc), vous pouvez passer cette étape. Si le compte existe déjà (il est souvent créé par défaut) alors supprimez-le OU protégez le comme décrit plus haut.
N’oubliez pas de sauvegarder en cliquant, tout en bas de la page, sur le bouton bleu “Enregistrer les nodifications”.
A propos du mot de passe
Vous le savez, tout le monde vous le demande, il faut utiliser un mot de passe fort et unique… et ça vous embête (autant que moi, je vous avoue).
Oui mais voilà, là il s’agit de votre site à vous, votre petit bébé …
Si quelqu’un arrive à mettre la main sur VOTRE compte admin, il pourra complètement supprimer votre site, et peut-être même vos sauvegardes si elles sont supprimables depuis le back-office de WordPress (ce qui est le cas d’updraftplus, par exemple).
Ça fait tout de suite un peu plus peur, hein ?
Pensez à ça :
Combien de sites internets vous disent « vos données sont sécurisées avec nous » ?
Et à votre avis, combien parmi eux ont alloué un budget à la sécurisation de leur site ?
Vous pouvez essayer de deviner, mais voici mon expérience… si je ne le fais pas gratuitement, aucun client n’a jamais de budget pour ça.
Sauf, bien sur, ceux qui se sont déjà fait pirater par le passé …
Voici donc quelques conseils pour sécuriser votre mot de passe :
- être unique, au moins sur ce site
- ne pas être un mot du dictionnaire
- ne pas comporter votre nom ou votre date de naissance (ou autre donnée facile à trouver)
- ne pas comporter le symbole « @ » (arobase)
- ne pas être composé de mots qu’on peut trouver facilement sur votre site
Et si vous voulez, vous pouvez mettre des caractères spéciaux, des majuscules et des symboles.
C’est mieux, mais pas obligatoire. La longueur c’est vraiment le plus important.
Je vous invite à tester combien de temps votre mot de passe tiendrait face à une attaque de BRUTEFORCE, sur :
https://www.security.org/how-secure-is-my-password/
- ma date de naissance (05121991) : 2 millisecondes
- 12 fois la lettre « a » en minuscule (aaaaaaaaaaaa) : 3 semaines
- idem mais avec le premier « a » en majsucule (Aaaaaaaaaaaa) : 300 ans
En bonus : l’e-mail rattaché à votre compte admin ne doit pas être trouvable dans votre site (pensez à vos mentions légales).
Désactiver les commentaires
Les robots mal intentionnés sont très nombreux à tenter de « spammer » vos commentaires.
Deux menaces existent :
- des sites peu scrupuleux veulent améliorer leur référencement en se rajoutant des « liens externes » dans vos commentaires
- des centaines de nouveaux commentaires inutiles sont ajoutés chaque jour, jusqu’à atteindre la limite de taille de la base de données, imposée par votre hébergeur. Dans ce cas, votre site plante totalement et vous n’aurez plus accès à votre back-office.
Comment désactiver les commentaires sur WordPress ?
Dans réglages > commentaires : décochez les trois premières cases à cocher, en haut de l’écran.
Il y aurait tout un tas d’autres choses importantes à faire, mais déjà, avec ça, vous êtes prêt à travailler.
Si votre site plante en cours de développement, au moins, vous pourrez le récupérer. Ouf.
C’est bon, vous êtes prêt à travailler sur votre site, l’esprit tranquille.