Sécurité

La maintenance d’un site web WordPress Concrètement ça sert à quoi ? Au sein de l’océan concurrentiel des CMS existants, WordPress se hisse toujours à la première place. Pourquoi ? Son système open source qui vous rend propriétaire de votre site et non locataire via un système de paiement chaque mois Ses possibilités de fonctionnalités et de design quasiment illimitées Cependant la maintenance est quelque chose d’absolument essentiel sur WordPress là où d’autres CMS se chargent de faire les mises à jours à votre place. Zoom sur WordPress WordPress c’est plus de 55 000 extensions (ou plugins) et plus de 13 000 thèmes. Et ici, je ne parle que des chiffres qui concernent le repertoire officiel de WordPress puisqu’une bonne partie des plugins et themes sont développés par des entreprises qui les proposes en téléchargement et à l’achat depuis d’autres sites comme code canyon ou Envato market. Autant de choix ça peut donner le tournis mais ça vous assure également de trouver votre bonheur pour concevoir le site de vos rêves. Si cependant il est important de comprendre que les plugins deviendront vos meilleurs amis, sans une bonne maintenance de votre site web, ils pourraient devenir vos pires cauchemars ! La sécurité sur WordPress Configurer la sécurité de son site, c’est faire en sorte que sa plateforme ne succombe pas sous les assauts de hackers. Non seulement, perdre son site au profit d’un hacker n’est pas une bonne nouvelle mais si, en plus, vous avez un système de paiement sur votre site web, les données bancaires de vos clients pourraient être volés et les fonds détournés. Et ça, c’est vraiment pas drôle. La sécurité tiens en quelques grandes étapes absolument indispensables pour maintenir votre site hors de portée de ces attaques : le certificat SSL, un bon antivirus, une modification de l’url de connexion admin de wordpress, des identifiants hypercomplexes, des mises à jours et sauvegardes régulières. Le certificat SSL C’est quoi ce truc ? Un genre de brevet ? Pas tout à faitUn certificat SSL (pour secure sockets layer) est un petit fichier électronique qui permet de sécuriser la connexion entre un site web et ses visiteurs. Concrètement, il : chiffre les données échangées (comme les mots de passe, infos bancaires, etc.) affiche le petit cadenas dans la barre d’adresse du navigateur change l’adresse du site de http:// en https:// (le s pour « secure ») Si tu t’est déjà trouvé face à l’alerte de sécurité suivante, c’est que tu as tenter d’accéder à un site web qui ne possède pas de certificat de sécurité. Un site qui ne possède pas ce certificat n’est pas forcément là pour voler vos données mais sachez que vous encourez un risque en accédant quand même à ce site malgré la mise en garde de votre navigateur. Techniquement, le certificat n’est pas obligatoire pour un site façade et sans aucun formulaire de contact (bien qu’indispensable pour des questions de confiance de vos visiteurs). En revanche, le certificat SSL est obligatoire pour respecter les normes de sécurité (ex : PCI-DSS) à partir du moment où ton site propose un système de paiement en ligne ou un formulaire de contact. Google favorise les sites en https dans les résultats de recherche. Un site sans SSL peut perdre en visibilité. C’est donc également un bon point côté référencement. En somme, le certificat SSL c’est l’outil qui protège tes utilisateurs plutôt que ton site directement mais au final c’est sensiblement la même chose. Où le trouver ? La plupart des hebergements web incluent le certificant SSL de ton site web dans leur offre (c’est le cas notamment d’o2switch qui propose autant de certificat SSL disponibles pour chacun de tes domaines ou sous domaines). Anti virus, URL et identifiants complexes Sur internet, on le sait déjà très bien mais il est déconseillé d’utiliser des mots de passe trop simples, voir toujours le même mot de passe partout. Sur wordpress aussi, utiliser un identifiant admin comme « admin » ou encore ton nom et prénom revient à utiliser un code de téléphone comme 0000. Pour les hackeurs, ça leur facilite la tâche et ça ne leur prendra pas longtemps pour prendre possession de ton site web. Mon conseil : utilise des identifiants correspondant à un « eternuement de clavier » quelques chose de très compliqué qui n’a absolument aucun sens, aucune signification. Fais attention car si tu affiche par défaut le nom d’utilisateur d’un compte sur tes articles de blog comme auteur, tu risque de te retrouver avec la mention « rédigé par iyguliooji ». Il te faudra repasser dans les réglages WordPress pour choisir un nom plutôt que l’identifiant du compte. Restreint le nombre de comptes admin sur ton site. Plus de comptes différents, c’est toujours plus de chance pour un hackeur de trouver une faille. L’url de connexion de wordpress par défaut est toujours le même, il devient ainsi facile comme bonjour d’accéder à l’URL de connexion d’un site wordpress et ça, autant dire que ce n’est pas une bonne idée. Un plugin simple et gratuit comme WPD hide login te permet de modifier l’URL afin de restreindre les attaques. Les anti-virus, comme partout, sont des logiciels qui te permettent de protéger davantage tes biens et tes informations. Ici, tu peux ajouter et configuré un plugin d’anti-virus depuis la bibliothèque WordPress mais également profiter de l’anti virus de ton hebergement web (O2switch propose notamment Imunify Av un excellent couplet à un scanner de virus) La maintenance réelle : les mises à jours Passé cette introduction, attaquons le problème majeur de création de failles de sécurité sur WordPress : Une mauvaise maintenance de ton site web. Les plugins On a évoqués plus de 55 000 plugins sur wordpress. Première chose, les collectionner comme des pokemons ne saura que te desservir (en termes de sécurité mais aussi en termes de rapidité de ton site web). Essai de te restreindre et de choisir les fonctionnalités dont tu as spéciquement besoin sur ton site pour ne pas dépasser environ 15-20 plugins sur ton site web (certains sont plus