Sélectionner une page
maintenance des sites Web WordPress
La maintenance des sites Web WordPress

Introduction.

WordPress a historiquement eu une mauvaise réputation en matière de sécurité. Cependant, un peu de contexte est nécessaire pour aider à cadrer l’image avec précision. Car en effet même si elle n’est pas forcément compliqué la maintenance de site WordPress demandes quelques connaissances.

 WordPress se situe actuellement confortablement au sommet du paysage CMS avec une part de marché de 64,7% en avril 2021. La deuxième place revient actuellement à Shopify avec 5,4%. En fait, WordPress a presque le double de la part de marché des 90 prochaines plateformes populaires combinées. Il existe de nombreux sites WordPress et cela signifie en fin de compte qu’il existe de nombreux sites Web WordPress qui intéressent les pirates informatique.

Il existe également un grand nombre de sites WordPress à l’état sauvage qui s’appuient sur des thèmes ou des plugins prêts à l’emploi pour alimenter des parties clés, ou la totalité, du site Web. 

Souvent, c’est là qu’une situation problématique peut survenir. En compromettant un thème ou un plugin largement utilisé, un attaquant peut potentiellement obtenir les clés d’un certain nombre de sites, c’est pourquoi ces thèmes et plugins peuvent être une cible attrayante. Nous abordons dans un article les mesures de sécurité mise en place pour notre blog WordPress.

La maintenance des sites Web WordPress

L’autre côté de cette histoire est qu’il existe un grand nombre de développeurs dans la communauté WordPress et que WordPress étant un logiciel open source, les correctifs de sécurité sont déployés extrêmement rapidement dès la découverte de vulnérabilités. La dernière version de WordPress au moment de la rédaction comptait 481 contributeurs individuels pour cette seule version.

Le principal point à retenir est que si vous créez un site Web basé sur WordPress en utilisant un frontend sur mesure et en gardant WordPress lui-même et tous les plugins à jour, vous êtes entre de bonnes mains. Cependant, il y a d’autres choses à surveiller et voici donc une liste des meilleurs conseils pour la maintenance d’un site Web WordPress :

1. Utilisez un pare-feu d’application Web (WAF).

La maintenance des sites Web WordPress

Tout comme vous pourriez avoir un logiciel antivirus sur votre ordinateur, c’est une bonne idée d’avoir une sorte de pare-feu sur votre serveur. La plupart des hôtes gérés, tels que WP Engine ou OVH, proposent une sorte d’offre WAF. Si vous gérez vos propres serveurs, vous pouvez utiliser une solution comme Cloudflare ou Sucuri pour gérer votre pare-feu avant que les demandes n’atteignent votre serveur (ils ont tous deux une offre spécifique à WordPress) ou si vous modifiez vos paramètres DNS pour qu’ils s’exécutent via l’un des ces services sont un problème, une alternative côté serveur telle que WordFence peut toujours être efficace.

2. Modification des chemins par défaut.

La maintenance des sites Web WordPress

Bien que le concept général de sécurité par l’obscurité ne rende pas votre logiciel plus sûr, il peut aider à vous protéger contre les attaques automatisées. Bien que nous considérions le piratage de sites Web comme une personne sur un ordinateur sélectionnant un site Web particulier et se mettant ensuite au travail pour le compromettre, la vérité est que la grande majorité des attaques sont automatisées.

Des outils et des robots analysent Internet à la recherche de sites Web exécutant des logiciels présentant des vulnérabilités connues, puis une fois ces sites identifiés, des outils automatisés peuvent être exécutés pour les compromettre. 

De simples modifications telles que la modification de l’URL de connexion par défaut, l’installation de WordPress dans un sous-répertoire afin que les chemins d’accès au backend soient un niveau plus profond qu’une installation standard ou le déplacement du fichier de configuration principal de WordPress peuvent souvent signifier que les outils automatisés n’identifient tout simplement pas le site comme en cours WordPress ou ne parviennent pas à exécuter les outils d’analyse car ils attendent des chemins différents.

3. Exécuter des versions à jour de PHP.

PHP avait historiquement un calendrier de publication lent. Les choses ont changé au cours des dernières années et maintenant, les versions PHP arrivent en masse et rapidement, apportent vitesse, stabilité et, surtout, des améliorations de sécurité en cours de route. C’est généralement une tâche assez simple de s’assurer que vous utilisez une version récente de PHP et cela vaut bien l’investissement en temps pour la tranquillité d’esprit.

4. Implémentez l’authentification à deux facteurs (2FA).

La maintenance des sites Web WordPress

2FA est le processus de confirmation d’une tentative de connexion en envoyant un code (généralement à une adresse e-mail ou un appareil mobile) ou en générant un code via une application d’authentification telle que Google Authenticator lorsqu’une tentative de connexion est effectuée. Il s’agit d’une couche de sécurité supplémentaire pour un nom d’utilisateur et un mot de passe et garantit que même si un nom d’utilisateur et un mot de passe sont volés ou compromis ailleurs, un attaquant aura également besoin d’accéder à votre adresse e-mail ou à votre appareil mobile.

Il existe un certain nombre de solutions 2FA disponibles pour WordPress en fonction d’exigences spécifiques.

5. Limitez les tentatives de connexion.

La maintenance des sites Web WordPress

En limitant le nombre de fois qu’un utilisateur peut tenter de se connecter, vous pouvez considérablement ralentir les efforts d’un attaquant. Limiter le nombre de tentatives de connexion à environ 3 à 5 par heure est généralement un bon équilibre entre sécurité et prise en compte des erreurs humaines.

6. Utilisez HTTPS et appliquez son utilisation partout.

En ayant un certificat SSL valide installé sur le serveur de votre site, vous pouvez servir votre site en toute sécurité via une connexion HTTPS. Cela garantit que toutes les données envoyées entre le site Web et l’utilisateur sont cryptées, protégeant ainsi contre les attaques de l’ homme du milieu qui peuvent conduire au vol de mot de passe ou de données de formulaire.

Un avantage supplémentaire d’une connexion HTTPS est que vous pouvez également servir le site Web et ses actifs via une connexion HTTP/2 , fournissant des actifs plus rapidement et plus efficacement au navigateur de l’utilisateur et, à son tour, améliorant la vitesse du site Web.

HTTPS est également un facteur de classement confirmé dans l’algorithme de score de page de Google.

Il est important de s’assurer qu’une connexion HTTPS est forcée sur le site Web une fois que vous avez un certificat SSL en place. Ceci est généralement configuré via votre serveur Web (NGINX ou Apache généralement).

7. Désactivez l’éditeur de fichiers intégré disponible pour les administrateurs connectés.

WordPress est livré avec un éditeur intégré qui permet aux administrateurs de modifier les fichiers de thème. En autorisant l’utilisation de cet éditeur, si quelqu’un accède à un compte administrateur, il peut ajouter son propre code au site dans le tableau de bord de l’administrateur WordPress sans jamais avoir à accéder au serveur lui-même. Cela devrait toujours être désactivé. 

De plus, la plupart des sites Web devraient utiliser une sorte de contrôle de version, tel que Git. Autoriser l’édition de fichiers directement sur le serveur Web serait en conflit avec le site à version contrôlée, ce qui entraînerait des problèmes lors du déploiement de nouvelles versions du site.

8. Gardez WordPress et tous les plugins à jour.

On ne peut pas sous-estimer à quel point il est important de maintenir à jour tout logiciel exécuté sur votre site Web. Une fois qu’une vulnérabilité est dans la nature, il est important de s’assurer que vous êtes protégé. Heureusement, WordPress et les plugins les plus réputés sont bien entretenus et corrigés et tant que vous avez un bon calendrier de mise à jour en place, par exemple toutes les deux semaines, vous pouvez considérablement réduire le risque d’être compromis.

Un mot sur la sécurité et son impact sur le référencement.

La maintenance des sites Web WordPress

Un effet néfaste souvent négligé d’un site compromis c’est qu’il peut être un très gros problème pour votre référencement . Cela peut arriver pour plusieurs raisons :

  • Un serveur compromis est utilisé pour envoyer des courriers indésirables, ce qui entraîne la mise sur liste noire de l’adresse IP du serveur Web
  • Les logiciels cachés, tels que les mineurs de crypto-monnaie, s’exécutent en arrière-plan, ralentissant le site Web
  • Des scripts supplémentaires sont inclus lors du chargement du site Web, affectant le score Core Web Vitals du site Web
  • Le site Web est dégradé ou autrement supprimé, ce qui conduit Google à indexer un contenu incorrect ou à arrêter l’indexation du site du tout
  • La détection des logiciels malveillants de Google est déclenchée, ce qui marque à son tour le site comme infecté, empêchant les utilisateurs d’accéder au site. Cela peut être un processus difficile et long à rectifier

Conclusion sur la maintenance des sites Web WordPress .

En prenant une poignée de mesures, WordPress peut être un système de gestion de contenu très sécurisé et fiable. Nous avons beaucoup de sites WordPress à notre actif et nous nous sentons extrêmement confiants vis à vis de notre plate-forme et WordPress en général.

Si vous gérez un site Web et pensez que la sécurité pourrait être un problème, nous vous suggérons de travailler avec une agence qui peut faire ce travail en votre nom. En tant qu’experts en développement WordPress, nous sommes bien placés pour faire des recommandations sur l’environnement le plus adapté à votre projet.

Pour tout renseignement sur nos services d’agence digitale à Montpellier. Contactez-nous via le chat de notre site web du lundi au vendredi de 9h00 à 18h00

Demander un devis Solutions Développement I Solutions Design Graphique I Solutions Marketing Digital I Blog