Introduction.
WordPress a historiquement eu une mauvaise réputation en matière de sécurité. Cependant, un peu de contexte est nécessaire pour aider à cadrer l’image avec précision. Car en effet même si elle n’est pas forcément compliqué la maintenance de site WordPress demandes quelques connaissances.
WordPress se situe actuellement confortablement au sommet du paysage CMS avec une part de marché de 64,7% en avril 2021. La deuxième place revient actuellement à Shopify avec 5,4%. En fait, WordPress a presque le double de la part de marché des 90 prochaines plateformes populaires combinées. Il existe de nombreux sites WordPress et cela signifie en fin de compte qu’il existe de nombreux sites Web WordPress qui intéressent les pirates informatique.
Il existe également un grand nombre de sites WordPress à l’état sauvage qui s’appuient sur des thèmes ou des plugins prêts à l’emploi pour alimenter des parties clés, ou la totalité, du site Web.
Souvent, c’est là qu’une situation problématique peut survenir. En compromettant un thème ou un plugin largement utilisé, un attaquant peut potentiellement obtenir les clés d’un certain nombre de sites, c’est pourquoi ces thèmes et plugins peuvent être une cible attrayante. Nous abordons dans un article les mesures de sécurité mise en place pour notre blog WordPress.
L’autre côté de cette histoire est qu’il existe un grand nombre de développeurs dans la communauté WordPress et que WordPress étant un logiciel open source, les correctifs de sécurité sont déployés extrêmement rapidement dès la découverte de vulnérabilités. La dernière version de WordPress au moment de la rédaction comptait 481 contributeurs individuels pour cette seule version.
Mettez régulièrement à jour WordPress et les Plug-In de votre site
Une partie de l’avantage de WordPress est qu’il existe des dizaines de milliers de plugins et de thèmes qui peuvent être utilisés pour personnaliser votre site Web. Mais avec tant de gens autour, il n’est pas étonnant que certains soient développés par des personnes qui ne sont pas dignes de confiance, inexpérimentées ou enclines à voler des raccourcis.
Assurez-vous d’utiliser uniquement des thèmes et des plugins gérés de manière proactive avec un support fiable et des mises à jour régulières. Tout le monde veut réduire les coûts, mais les plugins ou thèmes gratuits qui ne sont pas répertoriés dans le référentiel officiel des plugins WordPress ne valent pas le risque.
On ne peut pas sous-estimer à quel point il est important de maintenir à jour tout logiciel exécuté sur votre site Web. Une fois qu’une vulnérabilité est dans la nature, il est important de s’assurer que vous êtes protégé. Heureusement, WordPress et les plugins les plus réputés sont bien entretenus et corrigés et tant que vous avez un bon calendrier de mise à jour en place, par exemple toutes les deux semaines, vous pouvez considérablement réduire le risque d’être compromis.
Le principal point à retenir est que si vous créez un site Web basé sur WordPress en utilisant un frontend sur mesure et en gardant WordPress lui-même et tous les plugins à jour, vous êtes entre de bonnes mains. Cependant, il y a d’autres choses à surveiller et voici donc une liste des meilleurs conseils pour la maintenance d’un site Web WordPress :
1. Utilisez un pare-feu d’application Web (WAF).
Tout comme vous pourriez avoir un logiciel antivirus sur votre ordinateur, c’est une bonne idée d’avoir une sorte de pare-feu sur votre serveur. La plupart des hôtes gérés, tels que WP Engine ou OVH, proposent une sorte d’offre WAF. Si vous gérez vos propres serveurs, vous pouvez utiliser une solution comme Cloudflare ou Sucuri pour gérer votre pare-feu avant que les demandes n’atteignent votre serveur (ils ont tous deux une offre spécifique à WordPress) ou si vous modifiez vos paramètres DNS pour qu’ils s’exécutent via l’un des ces services sont un problème, une alternative côté serveur telle que WordFence peut toujours être efficace.
Les pare-feu WAF ou applications Web aident à protéger les applications Web en filtrant et en surveillant le trafic HTTP entre les applications Web et Internet. Il protège généralement les applications Web contre les attaques telles que la falsification intersites, les scripts intersites (XSS), l’inclusion de fichiers et l’injection SQL.
WAF est la septième couche du protocole (dans le modèle OSI) et n’est pas conçu pour se défendre contre tous les types d’attaques. Cette méthode d’atténuation des attaques fait généralement partie d’un ensemble d’outils qui créent ensemble une défense globale contre une série de vecteurs d’attaque.
2. Pensez à changer les chemins par défaut
Bien que le concept général de sécurité par l’obscurité ne rende pas votre logiciel plus sûr, il peut aider à vous protéger contre les attaques automatisées. Bien que nous considérions le piratage de sites Web comme une personne sur un ordinateur sélectionnant un site Web particulier et se mettant ensuite au travail pour le compromettre, la vérité est que la grande majorité des attaques sont automatisées.
Des outils et des robots analysent Internet à la recherche de sites Web exécutant des logiciels présentant des vulnérabilités connues, puis une fois ces sites identifiés, des outils automatisés peuvent être exécutés pour les compromettre.
De simples modifications telles que la modification de l’URL de connexion par défaut, l’installation de WordPress dans un sous-répertoire afin que les chemins d’accès au backend soient un niveau plus profond qu’une installation standard ou le déplacement du fichier de configuration principal de WordPress peuvent souvent signifier que les outils automatisés n’identifient tout simplement pas le site comme en cours WordPress ou ne parviennent pas à exécuter les outils d’analyse car ils attendent des chemins différents.
3. Utilisez une version de PHP à jour !
PHP avait historiquement un calendrier de publication lent. Les choses ont changé au cours des dernières années et maintenant, les versions PHP arrivent en masse et rapidement, apportent vitesse, stabilité et, surtout, des améliorations de sécurité en cours de route. C’est généralement une tâche assez simple de s’assurer que vous utilisez une version récente de PHP et cela vaut bien l’investissement en temps pour la tranquillité d’esprit.
4. Implémentez l’authentification à deux facteurs (2FA).
2FA est le processus de confirmation d’une tentative de connexion en envoyant un code (généralement à une adresse e-mail ou un appareil mobile) ou en générant un code via une application d’authentification telle que Google Authenticator lorsqu’une tentative de connexion est effectuée. Il s’agit d’une couche de sécurité supplémentaire pour un nom d’utilisateur et un mot de passe et garantit que même si un nom d’utilisateur et un mot de passe sont volés ou compromis ailleurs, un attaquant aura également besoin d’accéder à votre adresse e-mail ou à votre appareil mobile.
Il existe un certain nombre de solutions 2FA disponibles pour WordPress en fonction d’exigences spécifiques.
5. Limitez les tentatives de connexion.
En limitant le nombre de fois qu’un utilisateur peut tenter de se connecter, vous pouvez considérablement ralentir les efforts d’un attaquant. Limiter le nombre de tentatives de connexion à environ 3 à 5 par heure est généralement un bon équilibre entre sécurité et prise en compte des erreurs humaines.
6. Utilisez HTTPS et appliquez son utilisation partout.
En ayant un certificat SSL valide installé sur le serveur de votre site, vous pouvez servir votre site en toute sécurité via une connexion HTTPS. Cela garantit que toutes les données envoyées entre le site Web et l’utilisateur sont cryptées, protégeant ainsi contre les attaques de l’ homme du milieu qui peuvent conduire au vol de mot de passe ou de données de formulaire.
Un avantage supplémentaire d’une connexion HTTPS est que vous pouvez également servir le site Web et ses actifs via une connexion HTTP/2 , fournissant des actifs plus rapidement et plus efficacement au navigateur de l’utilisateur et, à son tour, améliorant la vitesse du site Web.
HTTPS est également un facteur de classement confirmé dans l’algorithme de score de page de Google.
Il est important de s’assurer qu’une connexion HTTPS est forcée sur le site Web une fois que vous avez un certificat SSL en place. Ceci est généralement configuré via votre serveur Web (NGINX ou Apache généralement).
7. Désactivez l’éditeur de fichiers intégré disponible pour les administrateurs connectés.
WordPress est livré avec un éditeur intégré qui permet aux administrateurs de modifier les fichiers de thème. En autorisant l’utilisation de cet éditeur, si quelqu’un a accès au compte administrateur, il peut ajouter son code au site dans le tableau de bord de l’administrateur WordPress sans avoir à accéder au serveur lui-même. Il doit toujours être désactivé.
De plus, la plupart des sites Web devraient utiliser une sorte de contrôle de version, tel que Git. Autoriser l’édition de fichiers directement sur le serveur Web serait en conflit avec le site à version contrôlée, ce qui entraînerait des problèmes lors du déploiement de nouvelles versions du site.
Un mot sur la sécurité et son impact sur le référencement.
Un effet néfaste souvent négligé d’un site compromis c’est qu’il peut être un très gros problème pour votre référencement . Cela peut arriver pour plusieurs raisons :
- Un serveur compromis est utilisé pour envoyer des courriers indésirables, ce qui entraîne la mise sur liste noire de l’adresse IP du serveur Web
- Les logiciels cachés, tels que les mineurs de crypto-monnaie, s’exécutent en arrière-plan, ralentissant le site Web
- Des scripts supplémentaires sont inclus lors du chargement du site Web, affectant le score Core Web Vitals du site Web
- Le site Web est dégradé ou autrement supprimé, ce qui conduit Google à indexer un contenu incorrect ou à arrêter l’indexation du site du tout
- La détection des logiciels malveillants de Google est déclenchée, ce qui marque à son tour le site comme infecté, empêchant les utilisateurs d’accéder au site. Cela peut être un processus difficile et long à rectifier
La maintenance de votre site WordPress est cruciale. WordPress est le premier système de gestion de contenu (CMS) au monde et alimente environ 25% de tous les sites Web sur Internet. Quelle que soit la plate-forme d’hébergement utilisée, il est impératif de maintenir l’installation principale à jour avec tous les modules complémentaires qui peuvent également être utilisés.
WordPress dispose de 3 zones qui devraient être mises à jour régulièrement: la plate-forme de base, les thèmes et les plug-ins. La mise à jour de WordPress est importante pour protéger votre site Web contre les attaques potentielles et pour assurer le bon fonctionnement de votre site Web.
Dans cet article de blog, nous partagerons avec vous l’importance de maintenir votre site Web WordPress à jour et comment vous pouvez vérifier si votre site doit être mis à jour.
Maintenance WordPress : La sécurité
La principale raison pour laquelle vous devez mettre à jour votre site WordPress actuel est la sécurité . Avec des millions de sites Web hébergés à l’aide de WordPress, il n’est pas surprenant que ce soit une cible de choix pour les pirates informatiques.
Les failles de sécurité sont identifiés régulièrement par l’équipe de sécurité de WordPress et ils publieront des mises à jour ou des correctifs pour corriger ces risques de sécurité. Il est plus probable que votre site Web soit piraté si vous utilisez une ancienne version de WordPress ou des plug-ins. Si votre site Web était piraté, cela pourrait avoir un impact sérieux sur votre entreprise, comme la perte de données client et la mise hors ligne de votre site.
Réparer votre site Web après une faille de sécurité risque de coûter beaucoup de temps, d’efforts et d’argent. C’est pourquoi il est impératif de garder votre site WordPress à jour et sécurisé.
Nouvelles fonctionnalités
Comme pour tous les logiciels, une nouvelle version apporte généralement de nouvelles fonctionnalités, et ce n’est pas différent avec WordPress. Chaque version de WordPress est livrée avec de nouvelles fonctionnalités qui peuvent être une expérience d’administration plus intuitive ou un nouveau module pour aider les développeurs à programmer de nouvelles fonctionnalités supplémentaires.
Cependant, ce sont souvent des plug-ins où vous verrez les améliorations majeures. Les développeurs mettent souvent à jour leur produit pour améliorer les performances et maintenir les téléchargements et les achats à venir. La plupart des plug-ins introduisent régulièrement de nouvelles fonctionnalités dans les mises à jour.
En vous assurant que votre installation, votre thème et vos plug-ins WordPress utilisent tous les dernières versions, vous aurez toujours accès aux dernières fonctionnalités.
Maintenance WordPress : Corrections de bogues
Avant qu’une nouvelle version de WordPress ne soit rendue publique, elle subit des tests rigoureux. Une version majeure aura tendance à être très stable et sans bogue en raison du cycle de développement rigoureux et du grand nombre de personnes qui aideront aux tests.
Cependant, quelques petits bugs passent entre les mailles du filet. Des mises à jour régulières de WordPress sont publiées pour corriger ces bogues. Habituellement, une nouvelle version mineure de WordPress peut corriger jusqu’à dix petits bugs, garantissant à nouveau la meilleure expérience pour vous et les visiteurs de votre site Web tout en utilisant votre site Web.
Compatibilité
Suite à une mise à jour majeure de WordPress, de nombreux plugins recevront également une mise à jour pour assurer la compatibilité avec la nouvelle version, ou pour utiliser de nouvelles fonctionnalités.
Parfois, vous pouvez constater qu’une mise à jour de WordPress ou d’un plugin entraîne des problèmes de compatibilité avec un autre aspect de WordPress. Par exemple, un autre plugin n’est plus compatible. Par conséquent, il est important d’effectuer une sauvegarde de votre site avant la mise à jour.
Maintenance WordPress : Sauvegarder avant la mise à jour
La plupart des propriétaires de sites Web cliqueront simplement sur ce bouton de mise à jour, croiseront les doigts et espéreront le meilleur. Cependant, cliquer sur Mettre à jour sans une préparation appropriée est risqué pour votre site. L’exécution incorrecte des mises à jour peut facilement endommager votre site Web et vous poser un problème de site Web à long terme.
Avant de commencer à effectuer la maintenance et les mises à jour du site Web, exécutez une sauvegarde. L’utilisation de l’un des plugins de sauvegarde WordPress disponibles facilite l’automatisation des sauvegardes quotidiennes de vos thèmes, téléchargements, plugins et base de données. Si vous ne l’avez pas encore fait, c’est important.
Les sociétés d’hébergement vous permettent normalement de sauvegarder votre base de données et les fichiers de votre site Web. Assurez-vous que vous pourrez restaurer n’importe laquelle de vos sauvegardes des 30 derniers jours.
Comment savez-vous quand vous avez des mises à jour en attente?
Recherchez les cercles rouges avec des chiffres qui vous indiquent le nombre de mises à jour que vous avez sur n’importe quel écran dans la zone d’administration, y compris le tableau de bord. Dans la page des mises à jour, elle vous indiquera s’il y a une nouvelle version de WordPress à installer et la liste des plugins et des thèmes qui ont également des mises à jour.
Comment faire vos mises à jour sur WordPress ?
N’oubliez pas de toujours sauvegarder votre site Web avant d’effectuer des mises à jour. Ensuite, lorsque vous cliquez sur l’élément de menu de la mise à jour ou sur l’élément de menu de l’icône Mises à jour du haut, vous serez redirigé vers l’écran Mises à jour WordPress suivant:
- Si votre version de WordPress doit être mise à jour, une notification apparaît juste au-dessus de la section Plugins.
- C’est là que tous les plugins et thèmes qui ont des mises à jour sont répertoriés
- Vous pouvez sélectionner les plugins que vous souhaitez mettre à jour, puis cliquer sur Mettre à jour, mais nous vous recommandons de les mettre à jour individuellement à partir de la fenêtre des plugins.
Pour la maintenance de votre site WordPress, prenez le temps de vous assurer de mettre à jour une chose à la fois et assurez-vous que votre site Web est sauvegardé et que votre version de WordPress est à jour en premier. Vérifiez ensuite si quelque chose sur votre site Web est cassé ou changé depuis les mises à jour.
À quelle fréquence devez-vous mettre à jour votre site Web WordPress ?
Le site Web WordPress moyen aura 5 à 10 mises à jour (ou plus) disponibles pour s’exécuter chaque mois, certaines de ces mises à jour peuvent inclure des correctifs de sécurité et de bogues critiques, nous vous recommandons donc généralement de respecter un calendrier de mise à jour mensuel.
Les mises à jour hebdomadaires sont souvent trop fréquentes car exécuter les mises à jour avec soin prend un peu de temps, vous pouvez finir par passer beaucoup de temps à travailler sur vos mises à jour.
Cependant, les mises à jour trimestrielles ou annuelles sont beaucoup trop rares, car si vous laissez de grands intervalles entre les mises à jour, vous risquez fort de voir un problème de sécurité connu exploité de manière malveillante avant l’exécution de la prochaine mise à jour.
Chez Osmova pour la maintenance WordPress, nous vous recommandons de vérifier les mises à jour tous les mois pour garder votre site Web sûr et à jour.
Nous construisons des sites Web WordPress et pouvons les maintenir à jour pour votre entreprise.
Si vous avez besoin d’un site Web pour votre entreprise, L’agence digitale Osmova peut aider votre entreprise à se positionner correctement sur le marché.
Conclusion sur la maintenance des sites Web WordPress .
En prenant une poignée de mesures, WordPress peut être un système de gestion de contenu très sécurisé et fiable. Nous avons beaucoup de sites WordPress à notre actif et nous nous sentons extrêmement confiants vis à vis de notre plate-forme et WordPress en général.
Si vous gérez un site Web et pensez que la sécurité pourrait être un problème, nous vous suggérons de travailler avec une agence qui peut faire ce travail de maintenance des sites Web WordPress en votre nom. En tant qu’experts en développement WordPress, nous sommes bien placés pour faire des recommandations sur l’environnement le plus adapté à votre projet.