Ce n’est un secret pour personne, aujourd’hui, la communication d’entreprise s’est profondément digitalisée. Avec la pandémie de Covid-19 et la découverte de l’application Zoom, ce qui restait de rencontres professionnelles en personne s’est également fortement numérisé. Maintenant, on parle plus souvent dans le milieu professionnel de webinaire, de télétravail, de visioconférence, etc.
Dans ces nouveaux modes d’expression, de communication, le site Web professionnel a pris une place prépondérante. La plupart des professionnels, les métiers de services, notamment, en possèdent pour présenter leurs offres et pour se faire référencer dans les résultats organiques des moteurs de recherche.
Posséder un site Web optimisé dans les SERP rassure. Le site Web est le pendant d’une adresse physique du professionnel sur la Toile. Du fait de la crédibilité qu’il confère, il permet d’attirer et de capter plus de visiteurs et de clients. C’est donc un puissant outil pour le professionnel qui sait l’exploiter dans sa communication.
Cela dit, posséder un site Web peut présenter des défis en termes de sécurité. De plus en plus de pirates informatiques, en quête de glorioles ou de gains faciles, s’adonnent au hacking de sites Web. Il faut dès lors prendre des mesures de sécurité pour les contrer. Mais, pour sécuriser votre site Web, il faut d’abord savoir avec quelle technologie a-t-il été créé.
Il faut comprendre qu’un site Web peut être créé de plusieurs manières.
On peut développer un site Web par codage manuel en utilisant des langages de programmation tels que PHP, JavaScript, Ruby, etc., auxquels l’on va associer d’autres langages comme CSS3, SQL, entre autres. On peut, également, utiliser des frameworks. Il y a aussi l’option des Sites Builders tels que Wix qui permettent de créer des sites en utilisant des modèles prédéfinis. Il y a, comme ce qui se pratique le plus en ce moment, l’utilisation d’un système de gestion de contenu (Content Management System en anglais (CMS)) pour en réaliser.
Dans ce billet, nous allons plutôt nous intéresser à la sécurité d’un site sous CMS. Mais nos recommandations, à quelques éléments près, restent valables pour les autres modes de réalisation de site Web.
De tous les CMS que nous connaissons, WordPress est le plus populaire pour la création de site Web et de blog. Il est à la base du fonctionnement de plus de 40% de sites Web dans le monde selon la W3Techs. Des institutions comme la Maison Blanche l’utilisent pour faire fonctionner leur site Web.
Un site WordPress a cette particularité d’être robuste et relativement facile pour l’utilisateur, quel que soit son profil, de le gérer. La variété des thèmes et des plugins ainsi que sa flexibilité et son extensibilité ont séduit ses utilisateurs.
Cela dit, son code étant open source, certains petits malins essaient de le détourner pour corrompre certains sites Web. Il faut donc s’assurer d’une bonne sécurité sur son site Web. Il est certes connu qu’aucune sécurité n’est totalement infaillible, mais les mesures que je vous propose vous garantiront une relative tranquillité avec vos données en ligne.
Mettre à jour régulièrement WordPress
La mise à jour régulière du logiciel WordPress est l’une des mesures de sécurité les plus importantes que vous pouvez prendre. Les mises à jour de WordPress contiennent souvent des correctifs de sécurité qui corrigent les vulnérabilités découvertes dans les versions précédentes. Il est donc important de s’assurer que votre site WordPress est toujours à jour dans sa version actuelle.
Utiliser des mots de passe forts
Les mots de passe sont la première ligne de défense contre les attaques par force brute. Il faut vous assurer que vos mots de passe sont forts et complexes, avec une combinaison de lettres, de chiffres et de caractères spéciaux. Utilisez un mot de passe complexe d’au moins sept (7) caractères alphanumériques. Et évitez d’utiliser des mots courants ou des informations personnelles évidentes comme votre date de naissance ou votre nom de famille.
Installer des plugins de sécurité
Il existe de nombreux plugins de sécurité disponibles pour WordPress. Ces plugins peuvent vous aider à détecter les vulnérabilités de sécurité, à bloquer les attaques par force brute et à renforcer la sécurité de votre site. De nombreux plugins existent pour renforcer efficacement la sécurité de votre site WordPress. Vous en trouverez dans le répertoire de plugin de votre WordPress.
Par ailleurs, il serait utile de réduire le nombre de plugins sur votre site pour limiter les vulnérabilités. Certains plugins sont mal codés et présentent d’énormes failles. Choisissez ceux qui ont le plus d’avis favorables et qui sont régulièrement maintenus par l’équipe de développeurs.
Mettre en place une authentification à deux facteurs
L’authentification à double facteur (ou 2FA) est un processus de sécurité qui permet de renforcer l’authentification traditionnelle basée sur un seul facteur (le mot de passe). Avec l’authentification à double facteur, l’utilisateur doit fournir deux preuves d’identité distinctes pour accéder à un compte ou à une application.
Concrètement, lorsqu’un utilisateur tente de se connecter à un compte protégé par une authentification à double facteur, il sera invité à fournir son nom d’utilisateur et son mot de passe, puis à fournir une deuxième preuve d’identité. Cela peut prendre la forme d’un code de vérification envoyé par SMS ou par une application mobile, etc.
Configurer des sauvegardes régulières
Il est essentiel de sauvegarder régulièrement une copie de votre site WordPress. En cas de piratage ou de perte de données due notamment à une manipulation hasardeuse, vous pourrez le récupérer plus facilement. Les sauvegardes vous permettent de restaurer rapidement votre site en cas de problème. Il existe également de nombreux plugins de sauvegarde disponibles pour WordPress. Certains hébergeurs Web planifient également des sauvegardes des sites. Il faut regarder ce que vous offre votre hébergeur Web en termes de sauvegarde.
Restreindre l’accès au fichier wp-admin
Le fichier wp-admin (c’est un peu technique, j’en conviens, mais c’est très simple à mettre en place.) est l’endroit où les administrateurs se connectent pour gérer leurs sites WordPress. Vous pouvez restreindre l’accès à ce fichier en limitant les connexions aux adresses IP approuvées ou en utilisant des plugins de sécurité qui bloquent les adresses IP suspectes.
Limitez les tentatives de connexion
Les attaques par force brute tentent de deviner votre nom d’utilisateur et votre mot de passe en essayant plusieurs combinaisons. Vous pouvez limiter le nombre de tentatives de connexion en utilisant également un plugin. Il faut noter qu’un plugin est un module, une extension qui ajoute une fonctionnalité à votre site initial.
Utilisez un certificat SSL
Un certificat SSL chiffre les données envoyées entre votre site et vos visiteurs, protégeant ainsi les informations sensibles telles que les noms d’utilisateur et les mots de passe. Il est donc important d’utiliser un certificat SSL pour sécuriser votre site Web. En plus, les navigateurs Web ont tendance à privilégier les sites utilisant un certificat SSL dans leurs résultats organiques. C’est donc essentiel pour votre référencement naturel.
En définitive, en suivant ces sept (7) mesures, vous pouvez renforcer la sécurité de votre site WordPress et réduire les risques d’attaques malveillantes. Il est important de prendre des mesures proactives pour protéger votre site WordPress, car les attaques sont de plus en plus fréquentes et sophistiquées, notamment avec l’Intelligence Artificielle. D’ailleurs, de plus en plus, de grandes voix de la Tech nous alertent sur le fait que l’un des défis majeurs du futur sera la cybersécurité.