Votre site Web d’entreprise réagira comme n’importe quel objet. Au démarrage tout fonctionne bien, puis avec le temps il se peut que vous rencontriez des problèmes.
Avoir un site web 100% opérationnel garantit que vos visiteurs (ou Google bots) ne chercheront pas leur bonheur ailleurs. Cela réduit à son tour votre capacité à gagner de nouveaux clients sur Internet.
J’ajoute que le RGPD 2018 exige également la protection de toutes les données personnelles que vous demandez à vos visiteurs. Par conséquent, vous risquez également des amendes en cas de vol de données, alors mieux vaut maintenir une bonne réputation dans vos activités professionnelles !
De nombreuses entreprises comme Uber et même Apple ont été piratées. Aucune entreprise n’est vraiment sécurisée, mais je vais vous donner quelques actions pour rendre le site Web de votre entreprise aussi sécurisé que possible.
Évidemment, je vais me concentrer sur WordPress, le système de gestion de contenu (CMS) que je connais le mieux.
En fait, les sites WordPress constituent la majorité de nos clients. Ce n’est pas surprenant puisque WordPress domine les CMS avec 44% de part de marché (source Le Blog du Modérateur).
Cela dit, si vous utilisez d’autres CMS comme Drupal, Joomla… les règles décrites ci-dessous s’appliquent également.
1. Choisir un hébergeur sécurisé
La sécurité est un critère de sélection important pour le choix de votre hébergement web.
Pourquoi ?
Parce que votre site Web et vos données sont hébergés par ce fournisseur.
Les pirates continuent de faire appel à leur imagination pour lancer des attaques :
- DDOS (ou Distributed Denial of Service Attack) est conçu pour détruire l’état de votre site Web, voire le faire mal fonctionner,
- Un ransomware prend vos données en otage et demande une rançon pour les libérer…
Malheureusement, il n’y a pas une seule fonctionnalité qui protège la plate-forme d’hébergement. Au lieu de cela, plusieurs « barrages » contribuent à la sécurité globale de l’hébergement Web.
Outils de sécurité
Les outils de sécurité les plus couramment utilisés par les hébergeurs sont :
- pare-feu ou firewall,
- Défense contre les attaques DDos,
- Antiviral,
- filtre anti-spam,
- Certificat de sécurité SSL…
Alors, pour protéger au mieux votre site web, autant choisir un hébergeur qui possède toutes ces fonctionnalités.
De cette façon, toutes les barrières sont en place avant que les pirates puissent atteindre votre serveur.
Basé à Clermont-Ferrand, o2switch met en place des outils de protection pour stopper les pirates avant qu’ils n’atteignent votre site web… Pour les curieux, tout est détaillé dans leur infrastructure et page web de manière très transparente .
Mon conseil : vérifiez que votre hébergeur dispose de tous les moyens pour se protéger des attaques.
2. Installer les dernières versions de WordPress et de vos extensions
Comme vous le savez, WordPress est un excellent choix pour publier le site Web de votre entreprise.
En effet, cet outil propose des milliers d’extensions, souvent gratuites, capables d’adapter votre site web à vos besoins de communication sur Internet.
Mais WordPress et toutes ces extensions sont avant tout des logiciels. Comme tout logiciel, ils sont mis à jour régulièrement.
La version mise à jour a de nouvelles fonctionnalités avec de meilleures performances. Mais certaines mises à jour incluent également des correctifs pour les failles de sécurité.
C’est pourquoi mon deuxième conseil de sécurité est simplement de mettre à jour tous ces logiciels dès qu’une nouvelle version est disponible.
Mon conseil : Mettez à jour l’ensemble de ces logiciels rapidement et régulièrement pour renforcer la sécurité et les performances de votre site web.
Comment installer les dernières mises à jour
Fini le temps où vous deviez utiliser une disquette ou un CD pour mettre à jour une nouvelle version du logiciel. Aujourd’hui, tout se passe directement en ligne.
A cet effet, WordPress dispose d’un système d’alerte standard indiquant les mises à jour disponibles. Le système affiche des notifications lorsque des mises à jour sont disponibles pour vos plugins, thèmes et logiciels de base WordPress.
Accédez simplement à votre console d’administration et dans la colonne de gauche, cliquez sur Tableau de bord > Mises à jour.
Mettre à jour une extension
Depuis votre console d’administration WordPress :
- Rendez-vous dans la rubrique « Extensions »,
- Cliquez ensuite sur « Mettre à jour maintenant » pour chaque extension qui doit être mise à jour.
Mon conseil : Avant de mettre à jour un plugin, je vous recommande de cliquer sur le lien « Afficher les détails de la version » pour connaître les modifications apportées par l’auteur du plugin.
Si les instructions de mise à jour mettent en évidence un correctif de sécurité, installez-le maintenant. Sinon, merci de patienter quelques jours avant de mettre à jour l’extension, le temps que les bugs apportés par cette version soient signalés et corrigés.
Mettre à jour WordPress dans les règles de l’art
Pour savoir quelle version de WordPress est utilisée sur votre site Web, consultez le tableau de bord de votre administrateur WordPress.
Remarque : à la date de rédaction de cet article, la dernière version de WordPress est la 5.8.1.
Habituellement, les mises à jour dites mineures de WordPress sont installées automatiquement. Il est peu probable qu’ils interfèrent avec le fonctionnement du site Web de votre entreprise.
Mais ce n’est pas forcément le cas pour les versions majeures de WordPress.
Dans ce cas, de nombreux problèmes peuvent survenir lors du processus de mise à jour.
Donc, autant appliquer certains programmes avant d’appuyer sur le bouton « Mettre à jour maintenant ».
- faire une sauvegarde complète de votre site web ,
- Copiez votre site Web sur un serveur dédié au développement. Il peut être hébergé sur le même serveur mais avec une URL comme beta.votresite.com,
- Mettez d’abord à jour votre site sur le serveur de développement pour tester et résoudre les problèmes.
- Après avoir validé cette build sur le serveur de développement, déployez-la sur l’URL publique.
De cette façon et avec des tests minutieux, vous n’aurez aucun problème.
Sinon, vous prenez des raccourcis à vos risques et périls.
Autres conseils
- Mettre à jour toutes les extensions avant d’installer une nouvelle version du CMS,
- Vérifiez que la nouvelle version de WordPress est compatible avec la version PHP installée sur votre serveur. En fait, WordPress nécessite PHP pour fonctionner,
- Le cas échéant, assurez-vous que votre thème WordPress est compatible avec la nouvelle version de PHP requise pour les mises à jour de WordPress.
3. Migrer votre site sous https pour le sécuriser
Chaque jour, nous partageons nos informations personnelles sur différents sites Web, que ce soit pour faire des achats ou se connecter.
Pour protéger la transmission des données, une connexion sécurisée doit être créée. C’est là que le protocole HTTPS entre en jeu.
HTTPS est une méthode de cryptage qui protège la connexion entre le navigateur d’un utilisateur et votre serveur. En conséquence, les pirates ont plus de mal à surveiller les connexions.
Compte tenu des restrictions imposées par le RGPD depuis mai 2018, il vaut mieux éviter les violations de données.
De plus, Google a annoncé l’utilisation de HTTPS et SSL comme critères de classement dans ses résultats de recherche. Cela signifie que l’utilisation de HTTPS et SSL peut aider à améliorer le référencement de votre site Web.
La migration de votre site Web vers HTTPS n’est pas très exigeante. Tout ce que vous avez à faire est d’obtenir un certificat SSL.Il est même généralement offert gratuitement par votre hébergeur.
Ensuite, pour mettre en place ce certificat et gagner du temps sur le plan technique, veuillez contacter votre développeur pour assurer une migration en douceur.
Pour en savoir plus, lisez mon article : Migrer vers HTTPS, un must pour la sécurité de votre site web.
4. Sécuriser l’accès à l’administration du site Web de votre entreprise
La page de connexion de l’administrateur de votre site Web est une cible de choix pour les pirates.
Il faut faire très attention à ne pas compliquer la vie d’un hacker.
Voici 3 actions simples à mettre en place sur votre page de connexion WordPress :
- Choisissez un mot de passe fort,
- modifier l’identifiant de connexion,
- Modifiez l’URL de connexion.
Choisir un mot de passe robuste
Pour protéger votre connexion, veillez à choisir un mot de passe fort et unique pour toutes vos plateformes.
Ce serait bête qu’une personne bienveillante puisse accéder non seulement à votre site sous WordPress, mais aussi à votre liste d’abonnés sous MailChimp, vos prospects dans HubSpot…
Au final, vous aurez du mal à vous souvenir de tous ces mots de passe. Puisqu’il est également déconseillé de les noter sur papier ou sur votre téléphone, voici comment procéder :
- Commencez par choisir un mot de passe « maître » facile à retenir.
- Créez ensuite une règle pour « adapter » ce mot de passe à chaque outil que vous utilisez.
Concrètement, choisissez votre mot de passe « maître »:
- La séquence de caractères dans le titre de votre film préféré (Kill Bill),
- Ajoutez des informations personnelles que les pirates ne peuvent pas deviner, comme l’anniversaire de votre fils aîné (23 ans),
- Ajoutez des caractères spéciaux (£).
Exemple : Kill2£5Bill
Ensuite, pour définir un mot de passe différent pour chaque outil, ajoutez simplement des caractères au nom de l’outil auquel vous essayez de vous connecter.
Par exemple, prenez la deuxième lettre de l’outil et insérez-la en majuscules en troisième position du mot de passe principal. Donné dans mon exemple et WordPress : KiOll2£5Bill
Pas clair? Lisez mes 3 conseils pour choisir un mot de passe !
Et si vous partagez l’accès à votre site WordPress avec votre équipe ?
Mais vous pouvez partager l’accès à la console d’administration de votre site avec votre équipe.
En fait, le marketing de contenu, les références organiques (SEO) et toutes les autres activités de marketing numérique dépendent de la capacité de votre équipe à mettre à jour facilement votre site Web.
Assurez-vous donc que tous les utilisateurs avec lesquels vous partagez l’accès connaissent l’importance d’avoir des mots de passe « forts ».
Demandez également à vos utilisateurs de changer régulièrement leur mot de passe.
Pour changer votre mot de passe ou le mot de passe d’un de vos utilisateurs, connectez-vous à votre console d’administration WordPress :
- Dans la colonne de gauche, cliquez sur « Utilisateurs » pour afficher la liste de vos utilisateurs,
- passez la souris sur un utilisateur et cliquez sur le lien Modifier pour afficher les fichiers de cet utilisateur,
- Faites défiler vers le bas pour voir le bouton « Générer le mot de passe », cliquez dessus, puis après l’avoir généré ou saisi, n’oubliez pas d’utiliser le bouton « Mettre à jour le profil » en bas de la page.
Astuce : Utilisez un générateur de mot de passe comme LastPass ou Dashlane. Ils génèrent des mots de passe forts, mais les stockent également dans votre navigateur afin que vous n’ayez pas à vous en souvenir.
Changer l’identifiant de connexion “admin” par défaut de WordPress
Lors de l’installation, WordPress ajoute le premier administrateur, dont le nom est « admin ».
Bien sûr, les pirates le savent. Ainsi, si vous autorisez vos utilisateurs à utiliser le login « admin », il leur suffit de connaître votre mot de passe.
Suivez les instructions ci-dessous pour supprimer immédiatement cet utilisateur « admin ».
Créer un nouvel utilisateur avec le rôle d’administrateur
- Connectez-vous à votre administrateur WordPress,
- Allez dans l’onglet « Utilisateurs » et cliquez sur « Ajouter »,
- Remplissez les informations de l’utilisateur,
- Cliquez sur « Ajouter un utilisateur ».
Commentaire :
- WordPress nécessitera une adresse e-mail différente de celle de l’utilisateur « admin »,
- Sélectionnez « Administrateur » comme rôle pour ce nouvel utilisateur,
- Choisissez un nom d’utilisateur difficile à deviner. Par exemple, je n’utilise pas « audrey » ou « toto »,
- Choisissez un mot de passe fort comme décrit précédemment.
Ensuite, quittez WordPress.
Supprimer l’administrateur « Admin »
- Connectez-vous à nouveau avec les informations d’identification d’administrateur que vous venez de créer,
- Cliquez sur « Utilisateurs » dans le menu de gauche,
- Passez la souris sur « Administrateur ». Les liens d’action Modifier et Supprimer s’affichent. Cliquez sur « Supprimer ».
- Pour ne pas supprimer tout ce qui est attribué à « Administrateur », sélectionnez l’option « Tout affecter à » sur l’écran suivant et choisissez un nom dans la liste,
- Cliquez sur le bouton « Confirmer la suppression ».
‘C’est fait!
Passons à la connexion de l’URL.
Modifier l’URL de connexion à l’administration de WordPress
Une faille de sécurité dans WordPress est le lien de connexion, qui par défaut :
www.lesite.com/wp-admin
En laissant ce lien par défaut, vous pouvez simplifier le travail du pirate.
Changer ce lien depuis votre page de connexion WordPress met immédiatement une barrière supplémentaire à la sécurisation de votre site.
Donc, pour changer votre URL de connexion, je vous recommande l’extension de connexion cachée WPS gratuite.
Après avoir installé et activé WPS Hidden Login :
- Allez dans « Paramètres » dans la colonne de gauche de la console d’administration,
- Cliquez sur « Général »
- Au bas de la page, vous trouverez le champ « URL de connexion », dans lequel vous saisirez un terme de création facile à retenir et difficile à deviner.
Consultez notre article « Sécuriser WordPress avec une URL de connexion alternative ! » pour plus de détails.
Évidemment, partagez cette URL avec le reste de l’équipe.
Limiter le nombre de tentatives de connexion à votre administration
Malheureusement, si un pirate informatique devine l’URL de votre page de connexion, il essaiera de se connecter en bouclant la combinaison nom d’utilisateur et mot de passe.
Les experts en sécurité parlent d’attaques par force brute.
Ainsi, pour protéger davantage votre site Web, installez une extension qui bloque l’accès après quelques tentatives infructueuses.
Un peu comme si votre carte de crédit était bloquée après avoir saisi votre code PIN de manière incorrecte à quelques reprises.
Encore une fois, sans appeler le développeur, il existe une extension WordPress gratuite : Limit Reload Login Attempts.
Comme son nom l’indique, il limite les tentatives de connexion. Mais ne vous inquiétez pas, cette extension est également disponible en français.
Après avoir installé et activé Recharger les tentatives de connexion restreintes, vous trouverez ses paramètres sous Paramètres.
- Cochez l’option pour rendre l’extension conforme au RGPD,
Défaut :
- Après 4 tentatives de connexion, l’utilisateur ne peut pas se connecter pendant encore 20 minutes,
- Et après 4 blocages de 20 minutes, c’est bloqué 24h.
Si ces valeurs ne fonctionnent pas pour vous, c’est à vous de les configurer.
Ci-dessous, vous pouvez également filtrer par adresses IP et/ou noms d’utilisateur pour lesquels les extensions ne sont pas activées ou bloquées par défaut.
En fait, un moyen simple d’empêcher les personnes de s’introduire dans votre serveur d’administration ou d’hébergement WordPress consiste à bloquer toutes les adresses IP, à l’exception de celles utilisées par votre équipe.
Personne n’est infaillible.
C’est pourquoi ces ajustements d’accès supplémentaires peuvent réellement renforcer la sécurité globale de votre site.
Il existe des conseils plus techniques, comme masquer les balises HTML qui indiquent votre version de WordPress. Pour cela, je vous recommande de lire l’article sur la sécurisation de WordPress sur wpchannel.
Mais ce n’est pas encore fait.
5. Sauvegarder régulièrement tout votre site Web
De nombreux entrepreneurs imaginent que leur hébergeur sauvegarde leurs fichiers.
De plus, les sauvegardes fournies par l’hébergement sont généralement conservées sur votre serveur. Donc si votre serveur « plante », vous perdez tout.
Voici 2 cas particuliers :
- Un virus s’est installé sur votre serveur et ne peut être éliminé,
- Votre site Web est hébergé sur un serveur mutualisé. Le site Web qui partage votre serveur a été piraté. Une telle attaque peut affecter négativement l’ensemble du serveur.
Quoi qu’il en soit, avoir une stratégie de redondance de sécurité fonctionne toujours.
Ma suggestion : Installez le plugin WordPress « UpdraftPlus ». Ensuite, configurez-le pour effectuer des sauvegardes quotidiennes et sauvegarder sur des services externes tels que Google Drive.
Vérifiez régulièrement vos sauvegardes pour vous assurer qu’elles fonctionnent correctement.Vérifiez régulièrement vos sauvegardes pour vous assurer qu’elles fonctionnent correctement. Il n’y a rien de plus effrayant que de réaliser que vos sauvegardes ne sont pas correctement configurées le jour où vous en avez réellement besoin.
La redondance contribue à la continuité du site. La continuité signifie la disponibilité, ce qui signifie plus d’opportunités pour gagner de nouveaux clients.
Conclusion sur les 5 “assurances” pour sécuriser le site Web de votre entreprise
Voici 5 « assurances » pour éviter tout sinistre :
- Choisissez un hébergeur sécurisé,
- Installez la dernière version de WordPress et votre extension,
- migrer votre site web en HTTPS,
- Administration des accès sécurisés au site de votre entreprise,
- Sauvegardez régulièrement votre site Web…
Ces 5 choses pour protéger vos données et votre activité sur Internet peuvent être mises en place en quelques heures. Ensuite, vous pouvez dormir paisiblement.
Évidemment, en matière de sécurité, aucune méthode n’est infaillible.Mais avec ces 5 mesures de sécurité, les pirates seront plus enclins à visiter des sites plus faciles à attaquer.
Maintenant que votre site est sécurisé, prenez le temps de consulter régulièrement les recommandations postées par Google Search Console.
Non seulement votre console de recherche vous avertira des risques de sécurité possibles, mais elle fournira également une radiographie complète de votre site, telle que Google la voit.
Votre site web est la pierre angulaire de votre communication avec vos clients et prospects.
Prenez-en soin comme le bijou dans votre paume. Votre succès en marketing numérique en dépend !
Mettez-vous ces barrières en place pour protéger votre site Web ? connaissez-vous quelqu’un d’autre?