maintenance d'un site web sécurité wordpress

La maintenance d'un site web WordPress

Concrètement ça sert à quoi ?

Au sein de l’océan concurrentiel des CMS existants, WordPress se hisse toujours à la première place. Pourquoi ?

  • Son système open source qui vous rend propriétaire de votre site et non locataire via un système de paiement chaque mois
  • Ses possibilités de fonctionnalités et de design quasiment illimitées

Cependant la maintenance d’un site web est quelque chose d’absolument essentiel sur WordPress là où d’autres CMS se chargent de faire les mises à jours à votre place.

Zoom sur WordPress

WordPress c’est plus de 55 000 extensions (ou plugins) et plus de 13 000 thèmes. Et ici, je ne parle que des chiffres qui concernent le repertoire officiel de WordPress puisqu’une bonne partie des plugins et themes sont développés par des entreprises qui les proposes en téléchargement et à l’achat depuis d’autres sites comme code canyon ou Envato market.

Autant de choix ça peut donner le tournis mais ça vous assure également de trouver votre bonheur pour concevoir le site de vos rêves.

Si cependant il est important de comprendre que les plugins deviendront vos meilleurs amis, sans une bonne maintenance de votre site web, ils pourraient devenir vos pires cauchemars !

La sécurité sur WordPress

Configurer la sécurité de son site, c’est faire en sorte que sa plateforme ne succombe pas sous les assauts de hackers. Non seulement, perdre son site au profit d’un hacker n’est pas une bonne nouvelle mais si, en plus, vous avez un système de paiement sur votre site web, les données bancaires de vos clients pourraient être volés et les fonds détournés. Et ça, c’est vraiment pas drôle.

La sécurité sur WordPress tiens en quelques grandes étapes absolument indispensables pour maintenir votre site hors de portée de ces attaques : le certificat SSL, un bon antivirus, une modification de l’url de connexion admin de wordpress, des identifiants hypercomplexes, des mises à jours et sauvegardes régulières.

Le certificat SSL

C’est quoi ce truc ? Un genre de brevet ? Pas tout à fait
Un certificat SSL (pour secure sockets layer) est un petit fichier électronique qui permet de sécuriser la connexion entre un site web et ses visiteurs. Concrètement, il :

  • chiffre les données échangées (comme les mots de passe, infos bancaires, etc.)
  • affiche le petit cadenas dans la barre d’adresse du navigateur
  • change l’adresse du site de http:// en https:// (le s pour « secure »)

Si tu t’est déjà trouvé face à l’alerte de sécurité suivante, c’est que tu as tenter d’accéder à un site web qui ne possède pas de certificat de sécurité.

Un site qui ne possède pas ce certificat n’est pas forcément là pour voler vos données mais sachez que vous encourez un risque en accédant quand même à ce site malgré la mise en garde de votre navigateur. Techniquement, le certificat n’est pas obligatoire pour un site façade et sans aucun formulaire de contact (bien qu’indispensable pour des questions de confiance de vos visiteurs).

En revanche, le certificat SSL est obligatoire pour respecter les normes de sécurité (ex : PCI-DSS) à partir du moment où ton site propose un système de paiement en ligne ou un formulaire de contact.

Google favorise les sites en https dans les résultats de recherche. Un site sans SSL peut perdre en visibilité. C’est donc également un bon point côté référencement.

En somme, le certificat SSL c’est l’outil qui protège tes utilisateurs plutôt que ton site directement mais au final c’est sensiblement la même chose.

Où le trouver ? La plupart des hebergements web incluent le certificant SSL de ton site web dans leur offre (c’est le cas notamment d’o2switch qui propose autant de certificat SSL disponibles pour chacun de tes domaines ou sous domaines).

Anti virus, URL et identifiants complexes

Sur internet, on le sait déjà très bien mais il est déconseillé d’utiliser des mots de passe trop simples, voir toujours le même mot de passe partout. Sur wordpress aussi, utiliser un identifiant admin comme « admin » ou encore ton nom et prénom revient à utiliser un code de téléphone comme 0000. Pour les hackeurs, ça leur facilite la tâche et ça ne leur prendra pas longtemps pour prendre possession de ton site web. Mon conseil : utilise des identifiants correspondant à un « eternuement de clavier » quelques chose de très compliqué qui n’a absolument aucun sens, aucune signification. Fais attention car si tu affiche par défaut le nom d’utilisateur d’un compte sur tes articles de blog comme auteur, tu risque de te retrouver avec la mention « rédigé par iyguliooji ». Il te faudra repasser dans les réglages WordPress pour choisir un nom plutôt que l’identifiant du compte.

Restreint le nombre de comptes admin sur ton site. Plus de comptes différents, c’est toujours plus de chance pour un hackeur de trouver une faille.

L’url de connexion de wordpress par défaut est toujours le même, il devient ainsi facile comme bonjour d’accéder à l’URL de connexion d’un site wordpress et ça, autant dire que ce n’est pas une bonne idée. Un plugin simple et gratuit comme WPD hide login te permet de modifier l’URL afin de restreindre les attaques.

Les anti-virus, comme partout, sont des logiciels qui te permettent de protéger davantage tes biens et tes informations. Ici, tu peux ajouter et configuré un plugin d’anti-virus depuis la bibliothèque WordPress mais également profiter de l’anti virus de ton hebergement web (O2switch propose notamment Imunify Av un excellent couplet à un scanner de virus)

La maintenance d'un site web réelle : les mises à jours

Passé cette introduction, attaquons le problème majeur de création de failles de sécurité sur WordPress : Une mauvaise maintenance de ton site web.

  1. Les plugins

On a évoqués plus de 55 000 plugins sur wordpress. Première chose, les collectionner comme des pokemons ne saura que te desservir (en termes de sécurité mais aussi en termes de rapidité de ton site web). Essai de te restreindre et de choisir les fonctionnalités dont tu as spéciquement besoin sur ton site pour ne pas dépasser environ 15-20 plugins sur ton site web (certains sont plus gourmands que d’autres).

Ce qu’il faut comprendre avec les plugins, c’est qu’ils sont développés par différentes sociétés, certains, après leur mise à jour, pourraient ne pas s’entendre entre eux et poser des problèmes (souvent de design) sur ton site. Prend bien le reflexe d’effectuer une sauvegarde complète de ton site avant d’effectuer les mises à jour de tes plugins par précaution.

Un plugin qui n’a pas été mis à jour depuis longtemps, c’est une grosse faille de sécurité. Comme conserver window 7 sur son ordinateur en espérant qu’on sera protégé par l’anti virus natif de son pc de la même façon.

Les mises à jours sont réalisés dans deux objectifs : parfaire l’outil en lui ajoutant des fonctionnalités et corriger d’eventuelles failles de sécurité. Si on laisse traîner les mises à jours en procrastinant on risque de se retrouver avec de nombreuses failles de sécurités parmi tous nos plugins et l’une d’entre elle pourrait finir par être exploiter par un hacker.

Le plugin Slider révolution (très populaire) a eu une faille de sécurité en 2014. Résultat : des milliers de sites WordPress ont été piratés car leurs propriétaires ne faisaient pas régulièrement leurs mises à jour

On a bien compris les mises à jour de plugins, pour le theme que tu utilise sur ton site, c’est la même chose et pour la version WordPress aussi. Pour résumer, en faisant régulièrement tes mises à jour

  • Tu gagnes souvent en performances (rapidité et donc référencement)
  • Tu règles des bugs
  • Tu te protège contre les failles de sécurité
  • Tu restes compatible avec les dernières versions de WordPress

L'intérêt de passer par un professionnel WordPress pour la maintenance

Confier la gestion de son site web à un professionnel c’est ainsi s’assurer d’avoir un site sécurisé, en bonne santé, rapide et bien référencé. Concentrez vous sur votre coeur de métier et confiez-moi la gestion de votre site web, j’en prendrais soin comme si c’était le mien. En savoir plus sur les services de gestion et maintenance.

La gestion et maintenance d’un site web inclue :

  • La sécurité
  • Les sauvegardes
  • Les mises à jour (theme, plugins et version WordPress)
  • La mise en ligne de nouveau contenu
  • Le suivi des liens morts
  • Le suivi du trafic
  • L’adaptation du référencement
  • Les mises à jours de design
  • L’ajout de nouvelles pages
Contacter moi pour me confier la maintenance de votre site !
maintenance d'un site web sécurité wordpress

Conclusion :

En conclusion, la sécurité d’un site sous WordPress passe par beaucoup de petites choses indispensables à la fois pour assurer la sécurité des informations de vos visiteurs et pour vous prémunir de toutes tentatives de hacking. Votre site est à vous, prenez-en soin !

Vous existez, montrez-le !

Me contacter pour un contrat de gestion

À lire également

Retour en haut