Sécurité et maintenance technique

Pourquoi sécuriser un site WordPress ?

Pour qu’il continue à fonctionner correctement

Un site WordPress est constitué d’un ensemble de petits programmes informatiques.

illustration d'une grue devant un ordinateur et une femme tenant des outils

La structure (le cœur de WordPress)

WordPress sort des mises à jour régulièrement, toutes les quelques semaines ou mois. Les mises à jour dites “mineures” servent généralement à corriger des bugs ou des failles de sécurité. Les mises à jour dites “majeures” apportent des améliorations significatives, dans le but de faciliter la vie des utilisateurs, mais peuvent provoquer des problèmes de compatibilité avec les thèmes et extensions qui n’ont pas anticipé et sorti eux-même leur mise à jour.

L’aspect visuel (le thème)

Le développeur d’un thème peut décider de ne pas continuer à l’adapter aux nouvelles versions WordPress et ne pas sortir de mise à jour. Il se peut aussi que votre licence soit expirée, et que vous deviez re-payer votre thème pour pouvoir le mettre à jour. Si le thème n’est pas mis à jour, mais que WordPress et les extensions le sont, votre site finira par ne plus fonctionner correctement.

Des fonctionnalités supplémentaires (les extensions)

Les extensions sont souvent utilisées pour créer des formulaires de contact, aider à travailler son référencement, bloquer le spam, générer des sauvegardes automatiques… bref, plein de fonctionnalités utiles – ou parfois inutiles. Si c’est mieux de limiter leur nombre au maximum, il est très difficile de s’en passer totalement. Or, comme pour le thème, chaque extension dépend d’un développeur qui doit la mettre à jour régulièrement pour qu’elle continue à fonctionner avec le reste du site.

Pour limiter les risques de piratage

WordPress est le système de gestion de contenus le plus utilisé sur Internet. C’est donc aussi le plus attaqué par les pirates. Si le cœur de WordPress comporte rarement des failles, il en va différemment pour les thèmes et les extensions. Ces dernières constituent une porte d’entrée privilégiée pour les pirates car chaque mise à jour qui sort révèle les failles corrigées. Si vous n’effectuez pas les mises à jour régulièrement, il est plus facile de savoir exactement comment s’introduire sur votre site.

Quelles sont les conséquences ?

Les conséquences principales peuvent comprendre la disparition pure et simple de votre site, vos pages disparaissant au profit de nouvelles qui vendent des contrefaçons, du viagra… mais aussi l’envoi discret de spam en utilisant votre site.

Un piratage passe souvent inaperçu les premiers temps. En effet, plus vous mettez de temps à vous en rendre compte, plus votre site peut être exploité longtemps. Ce qui fait qu’il est très fastidieux de “nettoyer” le site pour s’en débarrasser, voire impossible si vous n’avez pas fait de sauvegardes régulières.

Pour protéger ses données et celles de ses clients

Un piratage de votre site peut inclure la fuite de vos données ou celles de vos clients notamment dans le cas d’un site e-commerce (nom, prénom, adresse, mail, téléphone…).

Mais il existe aussi un risque d’interception des données lors de la navigation. Votre site est stocké sur un serveur (celui de votre hébergeur), qui envoie des données au navigateur de votre visiteur pour qu’il s’affiche sur son écran. Le chemin se fait en sens inverse si votre visiteur envoie des données, par exemple en remplissant un formulaire de contact ou en effectuant une commande. Sur un site en http au lieu de https, ces données peuvent être interceptées et lues par des personnes malveillantes. C’est pourquoi les navigateurs préviennent désormais leurs utilisateurs grâce au petit cadenas ou à des alertes signalant que le site n’est pas sécurisé. Outre le risque réel, c’est du plus mauvais effet pour votre image ! Qui osera visiter un site voire entrer ses coordonnées de carte bancaire sur un site qui apparaît en rouge comme dangereux ?!

Pour ne pas être blacklisté par les moteurs de recherche

Si votre site commence à être considéré comme spammeur, non fiable voire dangereux, il va être pénalisé. Dans le pire des cas, les moteurs de recherche finiront par le mettre sur leur liste noire, avec parfois la quasi impossibilité de revenir sur cette décision. La confiance est rompue définitivement. Vous n’aurez plus qu’à recommencer de zéro, avec un nouveau site et un nouveau nom de domaine.

Comment savoir si mon site est sécurisé ?

Vous avez réalisé votre site vous-même : vous devez pouvoir répondre à cette question. Si ce n’est pas le cas, c’est qu’il n’est pas sécurisé.

Vous avez confié la création de votre site à un prestataire : il doit pouvoir vous dire ce qu’il a mis en place si vous lui posez la question.

Vous n’êtes pas sûr : vous pouvez demander à un professionnel de vérifier. Un audit rapide permet de se faire une idée.

Les points à vérifier sont par exemple :

  • Le site est-il en https ?
  • Les fichiers sont-ils accessibles facilement ?
  • Est-ce facile de trouver le login ?

Mais il y en a beaucoup d’autres.

Comment conserver un site sécurisé ?

  • En mettant à jour régulièrement* les extensions, thème et cœur de WordPress.
  • En gardant un œil sur les rapports de son extension de sécurité.
  • En faisant des sauvegardes régulières* de la base de données et des fichiers du site.
  • En ayant un mot de passe fort et en ne le partageant avec personne.
  • En confiant la maintenance à un prestataire.

*régulièrement signifie plutôt une fois par semaine qu’une fois tous les ans 😉

Vous vous demandez si votre site WordPress est sécurisé ? Demandez-moi de jeter un œil et vous serez fixés !

Blogodenn

Création de sites web à Nantes et dans la région

Portfolio

A propos

Contacter

Rejoignez-moi

Newsletter

Rejoignez la liste de diffusion pour ne manquer aucune nouveauté et astuce.