Il semblerait que mon article sur la partouze de plugins ait plu, alors je poursuis dans cette voie avec une série de 10 conseils de base (enfin 12 en fait) lorsqu’on utilise WordPress.
Sommaire:
- Un bon hébergeur tu choisiras
- Un identifiant personnalisé tu utiliseras
- Un mot de passe suffisamment compliqué tu choisiras
- Wordfence ou iThemes Security tu installeras et paramétreras
- Le moins de plugins possible tu installeras
- Les mises à jour de sécurité tu feras
- Des sauvegardes régulières tu feras
- Les thèmes et plugins inactifs tu supprimeras
- Ton thème et éventuellement tes extensions tu traduiras
- Pour tes lecteurs tu rédigeras
- Contre les spams ton blogue tu protégeras efficacement sans polluer ta base de données
- Ta base de données régulièrement tu entretiendras
- Quelques chiffres sur la sécurité WordPress
Un bon hébergeur tu choisiras
Commençons par le commencement, c’est-à-dire le choix de l’hébergeur puisque personnellement je crée toujours mes sites directement en ligne et non en local (sur mon ordinateur).
Je ne suis pas en train de vous dire que c’est mieux de procéder ainsi, mais c’est ce que je préfère et c’est surtout la méthode utilisée par la très grande majorité des non initiés que vous êtes pour la plupart.
Je n’ai pas encore rédigé d’article sur les critères à retenir pour bien choisir son hébergeur, mais cela va venir et en attendant, je vais vous en conseiller deux qui remplissent ces conditions, à savoir Archive-Host le moins cher des deux & Monarobase plus sophistiqué et plus sécurisé.
Si vous voulez vous simplifier la vie, si vous ne comptez pas faire plusieurs sites sur le même hébergement, si la sécurité est vraiment importante pour vous et si dépenser 36€ HT par an pour héberger votre site (sans le nom de domaine), alors optez pour Monarobase chez qui est hébergé ce site.
Par contre, si vous voulez héberger plusieurs sites sans trop dépenser et que vous vous disciplinez (vous faites des sauvegardes régulières) pour pallier aux risques de sécurité liés au non cloisonnement entre vos sites et que vous souhaitez bénéficier sans supplément de l’application antispam de mails BoxTrapper, alors optez pour Archive-Host.
Ces deux hébergeurs français ont un service après-vente digne de ce nom (courtoisie, conseils, puis rapidité de réponse et de résolution des problèmes), même lorsque le problème ne vient pas d’eux, ils vous proposeront l’installation automatique de votre WordPress avec paramétrage des mises à jour automatiques (wordpress, extensions et/ou thèmes) et paramétrage des sauvegardes automatiques.
Sachez que je ne gagne absolument rien à vous conseiller ces deux hébergeurs, puisqu’aucun d’entre eux n’a de programme d’affiliation, contrairement à certains de leurs confrères nettement moins qualitatifs pour lesquels je regrette aujourd’hui d’avoir fait de la publicité dans le passé.
Un identifiant personnalisé tu utiliseras
La sécurisation de votre WordPress commence par le choix d’un identifiant qui ne sera pas facile à trouver par le quidam, oubliez donc le sempiternel « admin », votre prénom ou tout autre élément facilement identifiable.
Une fois qu’un pirate connaît votre identifiant et l’adresse de connexion à l’administration de votre WordPress, il ne lui reste plus qu’à lancer un programme qui va tester tous les mots de passe possibles et imaginables.
Ce ne sera donc plus qu’une question de temps avant que votre site ne se fasse hacker, d’où l’importance de ne pas négliger ce point précis, ainsi que le suivant.
Comme vous pouvez le voir dans la vidéo ci-dessus, il est facile de retrouver votre identifiant si vous gardez l’identifiant 1, alors pour y remédier, créez-vous un nouveau profil administrateur et supprimez le premier.
Je vous renvoie à la lecture de mon article dédié au paramétrage d’un bon identifiant sécurisé pour savoir comment faire.
Vous pouvez également suivre ce tutoriel sur comment facilement trouver un bon identifiant et un bon mot de passe.
Un mot de passe suffisamment compliqué tu choisiras
Comme pour votre identifiant, il en va de la vie de votre WordPress de choisir un mot de passe qui ne sera pas facilement identifiable, ne prenez donc pas ces éléments à la légère ou vous finirez tôt ou tard par vous en mordre les doigts.
Un bon mot de passe comprend au minimum 8 caractères (je recommande même 10), des chiffres, des symboles et des lettres mélangeant minuscules et majuscules, exemple: $Gd27xwK32/.
Si vous ne voulez pas vous prendre la tête pour choisir votre MDP, alors faites comme moi : utilisez un générateur de mot de passe comme https://www.generateurdemotdepasse.com/.
Wordfence ou iThemes Security tu installeras et paramétreras
Tout comme Windows, le succès de WordPress en fait une cible largement privilégiée des pirates du web, non pas parce qu’il est moins sécurisé que les autres solutions, mais parce que les victimes potentielles sont bien plus nombreuses puisque les parts de marchés mondiales détenues par WordPress ont largement dépassé les 25% depuis plusieurs années.
Il est donc crucial de se préoccuper de la sécurité de toute installation sous WordPress et cela commence par un identifiant et un mot de passe assez forts (voir les deux précédents paragraphes), puis pas l’installation d’une extension de sécurisation de votre site comme Wordfence ou iThemes Security.
Attention, n’installez qu’un seul des deux plugins cités ci-avant (même si chacun apporte des fonctionnalités que ne présente pas l’autre), sinon ils feront double emploi et risquent de créer des conflits, sans compter que cela alourdira inutilement votre base de données.
Je vais tenter de rédiger prochainement un article pour vous aider à choisir entre Wordfence et iThemes Security, mais voici tout de même quelques éléments pour vous aider à vous décider.
Wordfence vous apportera en plus ces fonctionnalités intéressantes:
- vous êtes notifié lorsque des mises à jour sont disponibles sur votre site ou blogue
- système de cache pour améliorer la vitesse de chargement des pages (limité toutefois)
- possibilité d’exporter vos réglages d’un site pour les importer sur un autre, ce qui vous fera gagner énormément de temps en paramétrage
iTheme Security vous apportera en plus ces fonctionnalités que j’aime tout particulièrement, car elles rendront votre WordPress encore plus sur:
- possibilité de modifier l’adresse de connexion à l’administration de votre WordPress – je préconise ce changement d’adresse, même si vous choisissez Wordfence qui ne la propose pas (on fait alors autrement)
- possibilité de changer le nom du répertoire « wp-content », ce qui limitera les risques d’injection de code malicieux dans ce répertoire
- possibilité d’interdire le téléversement de fichiers .php dans le dossier « wp-content/uploads » qui est celui dans lequel sont enregistrés vos médias
- possibilité de programmer l’impossibilité de se connecter à l’administration de votre site pendant certaines plages horaires (exemple: pendant que vous dormez)
- possibilité de programmer des sauvegardes automatiques et de vous les faire envoyer par mail (une sauvegarde conservée sur votre hébergement n’a pas beaucoup d’intérêt si ce dernier se fait pirater)
- j’ai réalisé pour vous un tutoriel vidéo de paramétrage de l’extension iTheme Security
Le moins de plugins possible tu installeras
Ne rigolez pas, mais dernièrement je suis intervenu sur un WordPress sur lequel étaient installés pas moins de 41 plugins!
Et le pire dans tout cela, c’est que la plupart étaient installés sans vraiment savoir à quoi ils servaient et que bon nombre d’entre faisaient double ou triple emploi!
A moins que vous ayez une bonne raison qui m’échappe totalement, vous ne mettez jamais 3 strings ou 3 caleçons en même temps, alors par pitié n’installez pas 3 extensions ayant plus ou moins les mêmes fonctions.
En effet, cela ne vous apportera absolument rien de positif, bien au contraire puisque vous allez multiplier inutilement vos « chances » d’être un jour piraté, ainsi que le temps de chargement de vos pages.
Je ne vais pas rentrer dans les détails du pourquoi et du comment ici, puisque j’ai dernièrement rédigé un article détaillé sur les raisons pour lesquelles vous devez à tout prix éviter d’installer trop de plugins sur votre WordPress et je vous invite vivement à lire ce dernier.
Pour faire court, n’installez uniquement que les extensions dont vous avez réellement besoin et pour lesquelles la somme des avantages apportés est nettement supérieure à celle des inconvénients.
Les mises à jour de sécurité tu feras
Je ne sais pas si vous avez remarqué, mais depuis le début je ne cesse de vous parler de sécurité et je vais continuer jusqu’à la fin de l’article, ou presque.
Loin de moi l’idée de vous effrayer, mais en tant que professionnel du web, mon devoir est de vous conseiller et de vous avertir sur les risques encourus par votre blogue ou site internet si vous ne prenez pas les précautions d’usage.
Et figurez-vous que l’installation des mises à jour de sécurité fait partie des règles de base de l’utilisation de WordPress, car ces mises à jour sont des correctifs apportés suite à la découverte de failles de sécurité.
Il est donc absolument impératif de les faire, ou alors ne venez pas vous plaindre le jour où …
Des sauvegardes régulières tu feras
Les sauvegardes, si elles sont faites régulièrement, vous serviront à pallier à deux types de problèmes: le piratage de votre site (eh oui, encore cette maudite sécurité) et les erreurs de manipulation de votre part ou de celle d’un prestataire peu consciencieux (ne rigolez pas, j’ai récupéré un client en début d’année parce qu’un confrère avait supprimé tout son contenu suite à une mauvaise manipulation et il n’avait bien évidemment pas pris la précaution de lui-même faire une sauvegarde du site avant d’intervenir dessus).
Même si votre hébergeur fait lui-même régulièrement des sauvegardes, cela ne vous dispense pas d’en faire vous-même, car:
- certains hébergeurs font des sauvegardes de votre hébergement en un seul bloc, mais sans possibilité de distinguer un site parmi d’autres, ce qui peut être gênant si vous avez apporté des modifications à plusieurs sites entre deux sauvegardes (c’est notamment le cas d’Archive-Host que je vous ai conseillé au chapitre hébergement)
- certains hébergeurs comme 1and1 vous répondront qu’ils n’ont pas pu faire de sauvegarde parce que vos dossiers étaient trop volumineux, et ceci alors même qu’ils vous ont vendu un hébergement « illimité »
- la récupération de la sauvegarde pourra vous sembler parfois compliqué
- deux précautions valent mieux qu’une
Pensez également à faire des sauvegardes éventuellement avant de faire vos mises à jour, surtout si vous avez publié des textes et/ou médias depuis la dernière sauvegarde.
Certains thèmes (voire même quelques plugins) vous permettent de faire une sauvegarde de leurs réglages, alors pensez à utiliser cette fonctionnalité avant de mettre à jour le thème ou l’extension concernée.
Je vous proposerai prochainement une série d’articles et tutoriels vidéos sur les sauvegardes et WordPress, alors restez attentifs et profitez-en pour vous abonner à ma newsletter ci-dessous et/ou découvrir WP Tutoriel.
Les thèmes et plugins inactifs tu supprimeras
Vous avez désactivés un ou plusieurs thèmes et/ou plugins parce que vous avez décidé d’en changer, parce que vous avez trouvé mieux ou tout simplement parce vous n’en avez plus l’utilité, alors allez jusqu’au bout: supprimez-le(s).
Il est totalement inutile de conserver des thèmes et/ou des extensions que vous n’utilisez plus, cela encombre inutilement votre hébergement et éventuellement votre base de données, cela vous obligera (sécurité, quand tu nous tiens) à régulièrement les mettre à jour alors que vous ne vous en servez plus (à quoi bon) et surtout c’est vraiment faire courir un risque inutile à votre WordPress.
En effet, il faut savoir que même inactivé un thème ou un plugin installé sur un site peut présenter une faille de sécurité qui permettra aux vilains pirates de faire ce qu’ils veulent avec votre bébé.
Pensez donc à faire régulièrement le ménage, mais surtout faites-le bien, notamment en ce qui concerne les extensions, faites-le via l’administration de WordPress afin que votre base de données profite de ce nettoyage tout en limitant les éventuels risques de bogue.
Pour ce qui est de la suppression de thèmes, je vous invite à visionner le tutoriel vidéo ci-dessus dont vous trouverez la transcription sur WP Tutoriel.
Ton thème et éventuellement tes extensions tu traduiras
WordPress étant universel et le plus gros de son marché étant anglophone, la quasi totalité des thèmes et extensions sont livrées en anglais et rarement traduit(e)s en français.
C’est notamment la raison pour laquelle un certain nombre d’expressions s’afficheront en anglais sur votre site côté visiteur comments au lieu de commentaires, search au lieu de chercher …etc…), quand bien même vous avez installé votre WordPress en français.
Vous avouerez tout de même que ce n’est pas très « user friendly » d’afficher des expressions en anglais sur un site français et surtout, ça ne fait pas très pro le cas échéant.
La seconde raison pour laquelle vous devriez traduire vos thèmes et plugins WordPress, c’est que cela vous aidera à mieux vous y retrouver dans leurs réglages et surtout à mieux comprendre ces derniers, surtout pour les applications/fonctionnalités les plus techniques/sophistiquées.
Pour tes lecteurs tu rédigeras
Ce commandement peut vous paraître quelque peu stupide, mais je peux vous assurer que non, car trop de blogueurs et de pseudos référenceurs ont la fâcheuse tendance de rédiger en pensant trop à Google/aux moteurs de recherche.
Ainsi, ils nous pondent des textes assez indigestes, pas très professionnels et qui au final ne riment pas à grand chose.
Contre les spams ton blogue tu protégeras efficacement sans polluer ta base de données
Les spams ou pourriels en bon français, n’en déplaise à Najat Valaud Bécassine comme dirait Jacques Mailhot, nous pourissent la vie, surtout si vous laisser les commentaires ouverts sur votre blog.
Il est donc très important de lutter efficacement contre ce fléau et pour cela, vous n’aurez malheureusement pas d’autre choix que d’installer un bon plugin anti-spam comme NoSpamNx ou WP Spamshield.
Si vous utilisez le premier, choisissez de supprimer automatiquement les spams, cela évitera d’encombrer inutilement votre base de données, comme peu le faire Akismet (l’antispam installé par défaut avec WordPress) que je déconseille d’utiliser, d’autant que ce plugin ne donne jamais de faux positif, toujours contrairement à Akismet.
Pensez également à ne pas autoriser les notification par ping ou rétrolien, car cela ne vous apporte rien, si ce n’est éventuellement du spam.
Ta base de données régulièrement tu entretiendras
Eh oui, je suis certain que je vais ici en laisser bouche bée plus d’un, mais il faut savoir qu’une base de données s’entretient: elle a besoin d’être plus ou moins régulièrement nettoyée et optimisée.
En effet, sachez que lorsque vous rédigez de longs articles comme celui-ci, sur lesquels vous allez revenir plusieurs fois pour les compléter, les corriger et/ou les améliorer, de nombreuses révisions de cet article vont être enregistrées dans votre base de données (cet article en a actuellement 37, rien que ça).
Or ces révisions finissent par devenir inutiles, mais elles ne s’autodétruisent pas et vous devez soit les supprimer manuellement ou paramétrer une extension comme WP Optimize pour qu’elle le fasse automatiquement.
Il faut savoir également qu’au fur et à mesure que vous allez modifiez vos paramètres WordPress et que vous allez installer, puis désinstaller des thèmes et/ou des extensions, votre base de données va emmagasiner des données qui vont devenir obsolètes, alors autant faire le ménage pour l’alléger et la rendre plus performante et réactive.
Une alternative existe à l’installation et à l’utilisation de WP Optimize, c’est de le faire directement via phpMyAdmin, comme je vous le montre dans le tutoriel vidéo ci-dessus.
Quelques chiffres sur la sécurité WordPress
D’après une infographie publiée sur http://yourescapefrom9to5.com/wordpress-security-infographic et relayée par arobasenet.com qui l’a traduite en français, voici quelques chiffres concernant le piratage de sites sous WordPress.
Nous allons commencer par la source du piratage:
- 41% par l’hébergement
- 29% par un thème (activé ou non)
- 22% par une extension (activée ou non)
- 8% par le crackage du mot de passe
En suite, voici trois chiffres qui devraient vous faire froid dans le dos et surtout vous faire prendre conscience qu’il ne faut pas prendre la sécurité de votre WordPress à la légère:
- 83% des sites sous WordPress hackés n’étaient pas mis à jour vers leur dernière version, que ce soit au niveau du coeur du logiciel, d’un thème ou d’une extension
- 30000 sites internet se font hacker chaque jour (imaginez le nombre de tentatives)
- toutes les 5 secondes un site se fait hacker dans le monde
Alors ne prenez vraiment pas la sécurité de votre WP à légère, d’autant qu’en suivant les 12 principes de base énumérés dans cet article et relativement simples à mettre en place, il sera déjà bien plus sécurisé que la moyenne.
Conclusion
Si vous suivez ces 12 commandements, on peut dire que l’aventure WordPress partira sur de bonnes bases pour vous, mais soyez conscient que ce ne sont que des bases et que d’autres principes sont à suivre.
Cet article approche des 2500 mots et je vous propose de voir cela dans un prochain article.
Et si jamais certains points abordés ici vous semblent confus ou trop compliqués à mettre en application, vous pouvez toujours faire appel à mes services de consultant ou de coach WordPress.
Si vous avez trouvé une faute d’orthographe ou une coquille, vous pouvez m’en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée. Je vous en remercie par avance.
Un article très complet avec tout ce qu’il faut pour aider à comprendre les erreurs récurrentes ! Je ne peux que recommander ta prestation aux débutants sur wordpress. Lorsque l’on pond un article aussi riche, derrière il n’y a pas seulement l’aspect commercial, il y a aussi la passion qui transpire 🙂
Salut JP,
Merci pour ton appréciation et tes encouragements, cela fait toujours plaisir que son travail soit apprécié 😉
Ça faisait longtemps que je l’avais en tête cet article, à force de travailler sur des WordPress que je n’ai pas installés et qui sont de vraies …calamités/appels au piratage.
J’espère surtout qu’il servira à tous ceux qui l’auront lu, même s’ils ne me commandent pas forcément de prestation.
+++
Bruno
Excellent article, et très complet.
Je ne savais pas que toutes les versions et corrections de pages étaient conservées à l’infini. Quelle idée !
J’ai un soucié sur le point 8.
J’ai bien voulu supprimer les thèmes que j’avais essayé dans « changer de Thèmes ». Je n’ai vu aucun bouton pour les supprimer.
Pour les extensions, oui. Mais pas pour ces thèmes.
Y a-t-il une méthode pour les supprimer ?
Merci
Bonjour Patrick,
En effet, il n’est pas possible de supprimer les thèmes via l’administration de WordPress, pour ce faire, il faut obligatoirement passer par le FTP (chose qu’il vaut mieux éviter pour les extensions).
J’ai réalisé un tuto vidéo pour vous montrer comment faire, vous le trouverez en cliquant sur ce lien: http://wp-tutoriel.com/supprimer-theme-wordpress/.
Cordialement,
Bruno
Bonjour, je vous remercie pour cet bon article,
bonne continuation.
Bonjour les amis,
Je reviens vers vous car un membre du forum RankSeo.fr m’a fait remarquer qu’il était finalement possible de supprimer un thème via l’administration de WordPress, alors si cela vous intéresse, voici un tutoriel vidéo qui vous montre comment procéder: https://youtu.be/qCqcHZDZ9W0