Assurer la sécurité de votre site WordPress est un processus continu, comme prendre soin de sa santé. Bien que WordPress soit conçu dans un souci de sécurité, des problèmes peuvent toujours survenir. Ces problèmes peuvent être causés par des extensions obsolètes, des mots de passe faibles ou même des paramètres de votre hébergement web.
Chez WPBeginner, nous considérons les audits de sécurité WordPress comme des bilans de santé du site. Ils vous aident à trouver et à corriger les faiblesses avant que quelqu’un ne puisse en profiter. Ils maintiennent votre site en bonne santé et protègent les informations qu’il contient.
Cet article vous montrera comment vérifier si votre site WordPress présente des problèmes de sécurité sans causer de problèmes ou d’interruptions.
Qu’est-ce qu’un audit de sécurité WordPress ?
Effectuer un audit de sécurité sur votre site WordPress consiste à vérifier que votre site ne présente pas de signes d’une faille de sécurité. Vous pouvez effectuer un contrôle WordPress pour rechercher des activités suspectes, des codes malveillants ou une baisse inhabituelle des performances.
Nous allons vous afficher comment effectuer un audit de sécurité de base en suivant des étapes simples que vous pouvez effectuer manuellement. Nous vous afficherons également comment utiliser les outils et services d’audit de sécurité WordPress pour effectuer les contrôles de sécurité automatiquement.
Si vous trouvez quelque chose de suspect, vous pouvez l’isoler, le retirer et le corriger.
Quand réaliser un audit de sécurité de WordPress ?
Vous devriez effectuer un audit de sécurité WordPress au moins une fois par trimestre. Cela vous permet de rester au courant de tout et de combler les failles de sécurité avant même qu’elles ne causent des problèmes.
Cependant, vous devez effectuer un audit de sécurité immédiatement si vous remarquez quoi que ce soit de suspect, comme par exemple :
- Votre site est soudainement lent et léthargique.
- Vous constatez une Avancée du trafic sur votre site.
- Il y a des nouveaux comptes suspects, des demandes de mot de passe oublié ou des tentatives de connexion sur votre site.
- Vous voyez apparaître des liens suspects sur votre site.
Ceci étant dit, voyons comment réaliser facilement un audit de sécurité WordPress.
Effectuer un audit manuel de base de la sécurité de WordPress
Voici une liste de contrôle de certaines étapes que vous pouvez suivre pour réaliser un audit de sécurité WordPress manuel de base sur votre site.
1. Mettre à jour le cœur, les extensions et les thèmes de WordPress
Les mises à jour de WordPress sont vraiment importantes pour la sécurité et la stabilité de votre site. Elles corrigent les failles de sécurité, apportent de nouvelles fonctionnalités et améliorent les performances.
Confirmez que votre logiciel cœur WordPress, toutes les extensions et tous les thèmes sont à jour. Vous pouvez facilement le faire en visitant la page Tableau de bord » Mises à jour dans la zone d’administration de WordPress.
WordPress vérifiera si des mises à jour sont disponibles et les listera pour que vous puissiez les installer. Si vous avez besoin de plus d’aide, consultez nos guides sur la façon de mettre à jour correctement WordPress et sur la façon de mettre à jour correctement les extensions WordPress.
2. Vérifier les comptes utilisateurs et les mots de passe
Ensuite, vous devez passer en revue les comptes d’utilisateurs de WordPress en visitant la page Utilisateurs » Tous les utilisateurs. Recherchez les comptes utilisateurs suspects qui ne devraient pas s’y trouver.
Si vous gérez une boutique en ligne, un site d’adhésion ou si vous vendez des cours en ligne, il se peut que vous disposiez de comptes utilisateurs permettant à vos clients de se connecter.
Toutefois, si vous gérez un blog ou un site professionnel, vous devriez uniquement voir les comptes utilisateurs de vous-même ou de tout autre utilisateur que vous avez ajouté manuellement.
Si vous voyez des comptes utilisateurs/utilisatrices suspects, vous devez les supprimer.
Si votre site n’exige pas que les utilisateurs/utilisatrices créent un compte, vous devez vous rendre sur la page Réglages » Général et vous assurer que la case située à côté de la faculté « Tout le monde peut s’inscrire » n’est pas cochée.
Par mesure de précaution supplémentaire, vous devez modifier votre mot de passe d’administrateur WordPress. Nous vous recommandons vivement d’ajouter une authentification à deux facteurs pour renforcer la sécurité des mots de passe sur votre site.
3. Lancer une analyse de sécurité de WordPress
L’étape suivante consiste à vérifier que votre site ne présente pas de failles de sécurité. Heureusement, il existe plusieurs scanners de sécurité en ligne que vous pouvez utiliser pour vérifier la présence de logiciels malveillants.
Nous vous recommandons d’utiliser le scanner de sécurité IsItWP, qui vérifie la présence de logiciels malveillants et d’autres failles de sécurité sur votre site.
Ces outils sont bons, mais ils peuvent uniquement analyser les pages de votre site qui font face au public. Nous vous afficherons comment effectuer des audits plus approfondis ultérieurement dans cet article.
4. Vérifier les statistiques de votre site
Les statistiques de sites web vous aident à suivre le trafic sur votre site. Elles constituent également un bon indicateur de la santé de votre site.
Si votre site a été mis sur liste noire par les moteurs de recherche, vous constaterez une Avancée soudaine du trafic sur votre site. Si votre site est lent ou peu réactif, le nombre total de pages vues diminuera.
Nous vous recommandons d’utiliser MonsterInsights pour suivre le trafic de votre site. Il affiche uniquement vos pages vues globales, mais vous pouvez également l’utiliser pour suivre les utilisateurs/utilisatrices inscrits, vos clients/clientes WooCommerce, les conversions de formulaires, et plus encore.
5. Configurer et vérifier les sauvegardes de WordPress
Si vous ne l’avez pas encore fait, alors vous devez immédiatement configurer une extension de sauvegarde WordPress. Cela vous permettra de toujours disposer d’une copie de sauvegarde de votre site en cas de problème.
De nombreux débutants oublient leur extension de sauvegarde WordPress après l’avoir configurée. Parfois, les extensions de sauvegarde peuvent cesser de fonctionner sans aucune notification. C’est une bonne idée de s’assurer que votre extension de sauvegarde fonctionne toujours et enregistre des sauvegardes.
Effectuer un audit automatique de la sécurité de WordPress
La liste de contrôle ci-dessus vous permet de passer en revue les aspects les plus importants d’un audit de sécurité. Toutefois, il ne s’agit pas d’un processus très approfondi, ce qui signifie que votre site peut encore être vulnérable.
Par exemple, il est difficile de garder un enregistrement manuel de toutes les activités des utilisateurs/utilisatrices, des différences de fichiers, des codes suspects, et plus encore. C’est là que vous avez besoin d’une extension pour automatiser l’audit de sécurité et garder un enregistrement de tout.
Vous pouvez automatiser ce processus à l’aide de quelques extensions de sécurité WordPress.
1. Activer automatiquement un audit de sécurité avec le journal d’activité de WP
WP Activity Log est la meilleure extension de suivi d’activité WordPress sur le marché.
Il vous permet de suivre toutes les activités des utilisateurs/utilisatrices sur votre site. Vous pouvez voir toutes les connexions des utilisateurs/utilisatrices, leurs adresses IP et ce qu’ils ont fait sur votre site.
Vous pouvez suivre les utilisateurs/utilisatrices WooCommerce, les éditeurs/éditrices, les auteurs/autrices et les autres membres qui ont un compte sur votre site.
Vous pouvez également activer les évènements que vous souhaitez suivre et désactiver les évènements que vous ne souhaitez pas surveiller.
Le plugin affiche également une vue directe de tous les utilisateurs/utilisatrices connectés à votre site. Si vous voyez un compte suspect, vous pouvez immédiatement mettre fin à sa session et le bloquer.
Vous pouvez en savoir plus dans notre guide sur la façon de surveiller l’activité des comptes utilisateurs dans WordPress en utilisant WP Activity Log.
2. Réaliser automatiquement un audit de sécurité avec Sucuri
Sucuri est la meilleure extension de pare-feu WordPress sur le marché, et c’est aussi la meilleure solution de sécurité WordPress tout-en-un que vous pouvez obtenir pour votre site.
Il offre une protection en temps réel contre les attaques DDoS en bloquant les activités suspectes avant même qu’elles n’atteignent votre site. Cela retire la charge de votre serveur et améliore la vitesse/performance de votre site.
Il est livré avec une extension de sécurité intégrée qui vérifie que vos fichiers WordPress ne contiennent pas de code suspect. Vous obtenez également un aperçu détaillé de l’activité des utilisateurs/utilisatrices sur l’ensemble de votre site.
Plus important encore, Sucuri offre la suppression des logiciels malveillants gratuitement avec toutes leurs offres payantes. Cela signifie que même si votre site est déjà affecté, leurs experts en sécurité le nettoieront pour vous.
Bonus : Faire appel à un service de maintenance WordPress
Gérer soi-même la sécurité d’un site peut s’avérer chronophage et compliqué, en particulier pour les utilisateurs non techniciens. Vous pouvez donc envisager de faire appel à un service de maintenance WordPress qui assure une surveillance de la sécurité 24 heures sur 24 et 7 jours sur 7 afin de gagner du temps et d’alléger votre charge de travail.
WPBeginner Pro Services offre des services de maintenance WordPress fiables à des prix abordables. Il comprend la surveillance de la sécurité, les sauvegardes de routine, les mises à jour, la surveillance du temps de fonctionnement, et bien plus encore.
Il vous suffit de choisir un forfait de maintenance mensuel et vous pouvez vous détendre en sachant que la sécurité de votre site est prise en charge par des experts.
Guides d’experts sur la sécurité de WordPress
Nous espérons que cet article vous a aidé à apprendre comment effectuer un audit de sécurité WordPress sur votre site. Vous pouvez également consulter d’autres guides liés à la sécurité de WordPress :
- Comment forcer les utilisateurs/utilisatrices à utiliser des mots de passe forts dans WordPress
- Comment protéger votre site WordPress des attaques par force brute (Brute Force)
- Principales raisons pour lesquelles les sites WordPress sont piratés (et comment les éviter)
- Signes de piratage de votre site WordPress (Astuces d’experts)
- Comment analyser votre site WordPress à la recherche de codes potentiellement malveillants ?
- Comment trouver une porte dérobée dans un site WordPress piraté et la corriger ?
- Comment élaborer une offre de récupération après sinistre pour WordPress ?
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Eva
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Administrateur
Eva
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW
Yeah, doing the login URI really doesn’t do much. It’s a technique known as « security by obscurity » – basically security by « hiding ».
If someone is determined to get into your website, using these « Security by obscurity » techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.