Guide de sécurité WordPress pour les indépendants occupés (2024)

Bien que WordPress soit conçu pour être sécurisé, il n’est pas entièrement sécurisé. Cela nécessite une maintenance régulière, et votre responsabilité augmente encore plus lorsque vous gérez le WordPress de vos clients.

Ce guide de sécurité WordPress répertorie les moyens efficaces de configuration et d'oubli permettant aux indépendants et aux agences d'automatiser la sécurité des sites WordPress de leurs clients. Pour chaque nouveau client que vous intégrez, suivez cette liste de contrôle pour vous protéger contre les menaces futures.

Prêt? Commençons.

16 stratégies de sécurité WordPress pour protéger les sites WordPress

Autant la sécurité de WordPress consiste à suivre les meilleures pratiques, autant il est tout aussi important d’utiliser des outils fiables et dignes de confiance que vous pouvez configurer et oublier. Cela dit, voici les stratégies de sécurité WordPress, ainsi que les bons outils et les étapes concrètes pour les mettre en œuvre correctement.

1. Choisissez un hébergement sécurisé pour les sites clients

Il est crucial de mettre en place une base solide. Pour les sites WordPress, cela commence par choisir un hébergement Web sécurisé et optimisé pour WordPress. Toutes les données du site de vos clients seront stockées dans un hébergement Web, il est donc crucial d'utiliser un hébergeur digne de confiance, tel que SiteGround.

Choisir le plan d'hébergement optimisé pour WordPress de SiteGround est parfait car il offre une sécurité totale : il prendra en charge la plupart des stratégies dont nous parlerons dans cet article.

Par exemple, avec SiteGround, vous obtenez gratuitement les plugins Security Optimizer et Speed ​​Optimizer , vous n'avez donc pas besoin d'acheter d'options tierces. Il installe et met à jour automatiquement la version de WordPress pour la maintenir à jour. Enfin, il comprend des solutions de mise en cache avancées, un pare-feu d'application Web (WAF), des sauvegardes quotidiennes et des certificats CDN et SSL gratuits.

SiteGround est connu pour son support client primé 24h/24 et 7j/7, vous n'aurez donc pas besoin d'être disponible pour vos clients 24h/24 et 7j/7. Vous pouvez tirer parti du support de SiteGround pour répondre à vos clients lorsque vous n'êtes pas disponible. Pour simplifier les choses puisque vous gérerez plusieurs clients, opter pour un hébergement Web qui s'occupe de la plupart des choses à votre place est intelligent et logique.

Obtenir SiteGround

SiteGround offre bien plus que ce dont nous avons discuté. Lisez cet article pour en savoir plus sur les fonctionnalités d'hébergement optimisées pour WordPress de SiteGround afin que vous puissiez les utiliser à leur plein potentiel.

2. Utilisez un thème WordPress de confiance

De même, l’utilisation d’un thème WordPress réputé, sécurisé et digne de confiance réduit le risque de piratage ou de problèmes de performances susceptibles de perturber les sites Web de vos clients. Un thème de bonne qualité comme Divi vous offre également de nombreux avantages comme des mises à jour régulières, la sécurité HTTPS, la compatibilité avec les plugins et la protection contre les vulnérabilités.

Divi est un thème WordPress sécurisé auquel plus d'un million de propriétaires de sites font confiance. Il s'agit d'un thème hautement personnalisable qui vous permet de concevoir n'importe quel type de site Web et d'en modifier chaque recoin grâce à sa suite d'outils premium :

• Un générateur visuel par glisser-déposer pour concevoir un site en déplaçant des éléments
• Divi Quick Sites pour générer un site entièrement fonctionnel en moins de deux minutes
• Divi AI pour laisser l'IA créer un site Web pour vous
• Et de nombreux outils, tels que des tests fractionnés intégrés, des milliers de mises en page prédéfinies et des centaines d'éléments de contenu, pour créer un site unique.

Mais ce qui distingue vraiment Divi, c’est l’accent mis sur la sécurité. Voici comment nous nous assurons que Divi est un thème sûr pour les utilisateurs de Divi :

• Mises à jour régulières : nous mettons à jour Divi et corrigeons les erreurs pour le rendre sécurisé et optimisé pour des performances optimales.
• Compatibilité avec les plugins de sécurité : Divi est conçu pour être compatible avec les plugins de sécurité WordPress populaires afin que vous puissiez facilement améliorer la sécurité du site de vos clients.
• Documentation et assistance complètes : vous pouvez accéder à notre documentation détaillée et à notre assistance dédiée pour configurer le thème en toute sécurité et répondre à tout problème de sécurité.
• Authentification des utilisateurs et contrôle d'accès : Le module Divi Login Form vous permet de limiter l'accès aux membres autorisés uniquement.
• Minimiser les dépendances tierces : Divi minimise les risques de sécurité potentiels liés au code externe en réduisant le recours aux scripts et bibliothèques tiers.
• Optimisation des performances : des performances améliorées réduisent le risque d'attaques par déni de service (DoS), contribuant indirectement à la sécurité globale des sites Web utilisant Divi.

Ce n’est peut-être pas le cas de vos clients, mais vous connaissez l’importance de la sécurité, alors utilisez un thème sécurisé comme Divi pour tous leurs sites. Divi est non seulement sûr mais également parfait pour les agences et les indépendants. Avec l'abonnement annuel de Divi de 89 $, vous bénéficiez de téléchargements et d'installations illimités, il n'est donc pas nécessaire d'acheter des licences distinctes pour chaque client : un abonnement Divi suffit pour gérer vos sites de portefeuille.

Obtenez Divi

3. Suivez tous les sites dans un seul tableau de bord

La gestion manuelle de plusieurs sites WordPress sans outil de suivi peut rapidement devenir incontrôlable. Se connecter à différents tableaux de bord WordPress, mémoriser les noms d'utilisateur et les mots de passe et suivre les mises à jour peut devenir écrasant. C'est pourquoi vous devriez utiliser un gestionnaire de site WordPress comme Divi Dash.

Divi Dash est un gestionnaire de site WordPress qui vous permet de garantir que les sites de vos clients sont toujours à jour. Vous pouvez suivre les mises à jour de WordPress, des plugins et des thèmes de vos clients dans un seul tableau de bord. Il vous montre également des rapports sur l'état du site, la base de données et WordPress afin que vous puissiez optimiser tous les sites Web en un seul endroit sans vous connecter à des sites individuels. Vous pouvez utiliser Divi Dash pour ces tâches :

• Mise à jour groupée de WordPress, des plugins et des thèmes
• Planifiez des mises à jour automatiques pour les plugins, les thèmes et WordPress
• Connectez-vous en un clic aux tableaux de bord WordPress de vos clients
• Optimisez la base de données WordPress en supprimant les commentaires indésirables, les publications supprimées, etc.
• Surveiller et résoudre les problèmes de santé du site à l'avance
• Collaborer et attribuer des rôles d'utilisateur aux membres de l'équipe

Un tableau de bord de gestion WordPress simplifie le maintien de la sécurité de nombreux sites en un seul endroit. Avec Divi Dash, vous pouvez l’optimiser encore davantage en automatisant les mises à jour pour éviter les risques d’oubli, qui pourraient entraîner des menaces dans le futur.

Le meilleur, c’est que Divi Dash est entièrement gratuit avec votre abonnement Divi. Lorsque vous achetez votre abonnement Divi pour 89 $, vous avez accès à Divi Dash dans votre zone d'adhésion Elegant Themes. Il n'est donc pas nécessaire de payer séparément pour un gestionnaire de site WordPress.

Obtenez Divi Dash (gratuit avec Divi)

4. Gardez WordPress, les thèmes et les plugins à jour

Laisser WordPress, les plugins et les thèmes non mis à jour revient à laisser les portes ouvertes aux menaces. Sans mises à jour régulières, les sites de vos clients deviennent vulnérables, car ces mises à jour résolvent généralement des problèmes de sécurité critiques. Ainsi, la chose la plus essentielle à faire pour sécuriser les sites de vos clients est de maintenir WordPress, les thèmes et les plugins à jour.

Cependant, c'est plus facile à dire qu'à faire, notamment pour les indépendants et les agences gérant un portefeuille de sites. C'est un défi manuel, sauf que ce n'est pas le cas, avec Divi Dash, qui vous permet de mettre à jour en masse et de planifier des mises à jour automatisées pour différents sites WordPress en quelques clics et dans un seul tableau de bord.

Vous pouvez tout mettre à jour à l'aide du bouton Mettre à jour tout en haut à droite de la section Mises à jour . Vous pouvez consulter des plugins, des thèmes ou des sites Web individuels en visitant Sites Web, Thèmes et Plugins. Vous pouvez également automatiser les mises à jour à un jour et une heure spécifiques afin de pouvoir les définir et les oublier.

Prenez pour règle de garder WordPress, les thèmes et les plugins à jour. Divi Dash (gratuit avec votre abonnement Divi) facilite la gestion de WordPress. Vous pouvez effectuer des mises à jour groupées ou planifier des mises à jour automatiques pour éviter de tout suivre.

5. Renforcez la sécurité avec une sécurité solide

La mise à jour de WordPress, des plugins et des thèmes ne suffit pas à augmenter la sécurité du site. Vous avez besoin d'un plugin de sécurité WordPress dédié comme Solid Security pour activer les paramètres nécessaires et protéger automatiquement les sites de vos clients.

Principales caractéristiques d’une sécurité solide

• Analyse des logiciels malveillants
• Prévention des attaques par force brute
• Authentification à deux facteurs (2FA)
• Limiter les tentatives de connexion
• Application rigoureuse des mots de passe
• Vérifications des autorisations de fichiers
• Désactivez XML-RPC (pour les attaques DDoS et les tentatives de force brute)
• Modifier l'URL de connexion WordPress par défaut
• Désactiver l'indexation des répertoires
• Liste blanche IP pour wp-admin
• Sauvegardes automatiques de bases de données
• En-têtes de sécurité HTTP
• Journalisation et surveillance de l'activité des utilisateurs
• Détection et alertes de modifications de fichiers

En utilisant Solid Security, vous pouvez automatiser de nombreuses tâches de sécurité cruciales, minimisant le risque d'erreur humaine tout en garantissant que les sites WordPress de vos clients sont surveillés et protégés en permanence.

La plupart des tâches mentionnées dans cet article peuvent être gérées avec ce plugin seul !

Bénéficiez d'une sécurité solide

Cependant, il ne suffit pas d’installer le plugin. Vous devez configurer les paramètres corrects pour déployer la meilleure sécurité. Voici notre didacticiel détaillé sur la configuration de Solid Security.

6. Activez 2FA et limitez les tentatives de connexion

Plusieurs utilisateurs se connectant et se déconnectant de WordPress peuvent compromettre la sécurité. Par conséquent, vous devez garder une trace des connexions des utilisateurs WordPress. Vous pouvez faire plusieurs choses, comme configurer 2FA, limiter les tentatives de connexion et masquer l'URL de connexion WordPress.

Premièrement, la configuration de 2FA permet uniquement aux utilisateurs autorisés, tels que votre client, vous et les membres de votre équipe, d'accéder à WordPress. Pour configurer 2FA, vous pouvez installer le plugin Solid Security, qui permet une connexion réussie uniquement si l'utilisateur saisit le code d'authentification correct.

Ensuite, vous devez limiter les tentatives de connexion. Les pirates tentent plusieurs combinaisons de mots de passe pour obtenir un accès non autorisé. En fixant une limite, vous réduisez le risque de ces attaques et protégez les données sensibles. Solid Security vous permet également de configurer une protection contre la force brute.

Enfin, vous devez masquer les URL de connexion WordPress de vos clients, ce qui rend difficile aux pirates informatiques de deviner les noms d'utilisateur et les mots de passe. Utilisez le paramètre Masquer le backend de Solid Security pour modifier l'URL de connexion et masquer celle par défaut. C'est l'un des meilleurs plugins de sécurité, mais vous pouvez également consulter JetPack pour plus de fonctionnalités.

Bénéficiez d'une sécurité solide

7. Attribuer les autorisations des utilisateurs requises

Vous devez également vous assurer que seules les autorisations nécessaires sont attribuées aux membres de l'équipe dotés de rôles d'utilisateur spécifiques afin que des personnes limitées aient un accès complet au site. Idéalement, votre client devrait avoir un accès administrateur, mais il ne gère peut-être pas son site aussi souvent. Dans ces situations, vous pouvez attribuer l’accès aux membres de l’équipe de confiance.

Contrairement à l’éditeur de rôles WordPress, Divi Dash et Divi Role Editor vous permettent de gérer facilement l’accès des utilisateurs à un niveau granulaire.

Ajoutez plus d'utilisateurs, supprimez un utilisateur et connectez-vous à un site en un seul clic. Divi Teams fonctionne également avec Divi Dash, afin que tous les membres de votre équipe puissent accéder gratuitement à Divi Dash. Ils n'ont pas besoin de retrouver les noms d'utilisateur et les mots de passe de tous vos clients : Divi Dash les stockera avec chaque client et profil utilisateur.

À l'aide de Divi Role Editor, vous pouvez modifier les autorisations d'accès pour différents rôles d'utilisateur pour chaque client en fonction de leurs demandes spécifiques. Par exemple, pour restreindre l’accès des responsables de boutique à Divi Page Builder, désactivez les paramètres Page Builder pour le responsable de boutique.

Utilisez Divi Dash et Divi Role Editor pour surveiller les accès des utilisateurs et protéger vos sites clients contre les accès non autorisés. En accordant aux membres de l'équipe uniquement les autorisations nécessaires, vous pouvez également protéger les pages critiques telles que les paramètres d'administrateur.

Pour plus de sécurité, vous devez également surveiller régulièrement l'activité des utilisateurs sur les sites de vos clients. Pour automatiser cette étape, installez le plugin WP Activity Log, qui suit et vous avertit des activités suspectes.

Obtenir le journal d'activité WP

8. Bloquer automatiquement le spam

À mesure que les sites Web de vos clients se développent, le risque de commentaires indésirables et de soumissions de formulaires augmente. Pour éviter de nettoyer manuellement le spam, utilisez Solid Security pour une protection automatisée :

• Fonctionnalités de la liste noire : bloquez les adresses IP de spam connues ou des plages entières pour empêcher l'accès.
• Intégration reCAPTCHA : intégrez Google reCAPTCHA pour protéger les formulaires de courrier électronique, de commentaires et de contact, garantissant ainsi que seuls les vrais utilisateurs peuvent soumettre des entrées.
• Blocage des robots : empêchez les robots de spammer via les sections de commentaires, les formulaires de contact et les formulaires d'inscription.

Bien que Solid Security offre une protection générale solide, vous pouvez renforcer encore votre défense en ajoutant un plugin anti-spam spécialisé comme CleanTalk, qui offre un filtrage anti-spam en temps réel dans les commentaires, les formulaires et les pages WooCommerce.

De temps en temps, vous pouvez optimiser manuellement la base de données WordPress de votre client à l'aide de Divi Dash. Pour le site Web d'un client, faites défiler jusqu'à la section Optimisation et cliquez sur Supprimer tout. Cela nettoiera les commentaires indésirables et les éléments de la corbeille.

En combinant Solid Security, CleanTalk et Divi Dash, vous pouvez protéger efficacement les sites de vos clients contre le spam tout en rationalisant le processus de nettoyage.

9. Automatisez les sauvegardes WordPress

Les sites WordPress doivent être sauvegardés régulièrement afin que lorsqu'un pirate informatique endommage votre site, vous puissiez rapidement restaurer la version intacte et restaurer votre site. En tant qu'indépendant ou agence, sauvegarder manuellement chaque site peut s'avérer difficile, surtout lorsque vous devez le faire quotidiennement.

Vous pouvez automatiser des sauvegardes régulières de sorte que la dernière version du site de votre client soit téléchargée et stockée automatiquement chaque jour dans le stockage cloud sans votre implication. Avec UpdraftPlus, c'est possible.

Il crée des sauvegardes quotidiennes, les stocke sur le stockage cloud et protège les données stockées en les cryptant.

UpdraftPlus comprend également un outil de migration facile à utiliser qui vous permet de copier l'intégralité de votre site Web ou de le déplacer vers un nouvel hôte en quelques clics. Cela accélère la mise à jour de votre site, réduit les temps d'arrêt et supprime les tracas habituels liés au transfert d'un site Web.

Lisez notre examen approfondi d'UpdraftPlus pour le configurer correctement et activer davantage de paramètres pour augmenter la sécurité de votre site.

Obtenez UpdraftPlus

10. Configurer des analyses automatiques de logiciels malveillants

Ignorer les analyses régulières de logiciels malveillants peut faire des sites Web de vos clients des cibles faciles pour les pirates. Cela peut entraîner le vol d’informations, un classement inférieur dans les recherches et une perte de confiance des clients.

Cependant, la vérification manuelle de chaque site prend du temps et vous risquez de manquer certaines menaces. Pour faciliter les choses, utilisez JetPack, qui recherche automatiquement les problèmes de sécurité et détecte les menaces en temps réel, assurant ainsi la sécurité des sites sans que vous ayez besoin de les surveiller en permanence.

Une autre excellente option est Solid Security, qui offre également une analyse robuste des logiciels malveillants et une surveillance automatisée.

De cette façon, vous automatisez les analyses de logiciels malveillants pour tous vos sites clients et les protégez contre les menaces en ligne. Vous ne le faites pas manuellement ; le plugin le fait. Vous êtes simplement averti de toute activité suspecte afin que vous puissiez agir rapidement et éviter les incidents.

Obtenez JetPack

11. Protégez-vous contre les attaques DDoS avec un CDN

Les attaques DDoS, abréviation de déni de service distribué, consistent à inonder votre site de trafic de spam pour le rendre inaccessible aux utilisateurs réels. Plus votre site est populaire, plus il est facile d’être affecté par les attaques DDoS.

Sans CDN, les sites WordPress peuvent facilement être submergés par des attaques DDoS, où un trafic trop important pourrait ralentir ou même planter le site. Un réseau de diffusion de contenu (CDN) comme Cloudflare aide à protéger votre site en répartissant le trafic sur de nombreux serveurs dans le monde. Cela permet au site de fonctionner correctement en cas de trafic élevé et accélère le chargement des pages pour les visiteurs.

Si vous utilisez Siteground, vous obtiendrez Cloudflare avec ses plans d'hébergement WordPress. Puisque Cloudflare et Siteground sont intégrés, l'activation de Cloudflare sur votre site WordPress et la configuration des enregistrements DNS deviennent faciles.

Obtenez Cloudflare

12. Installer les certificats SSL

Les clients oublient souvent d'installer un certificat SSL, mais ils ne savent pas que cela affecte considérablement la sécurité de leur site. Sans cryptage HTTPS, les données entre les utilisateurs et le site peuvent être falsifiées, ce qui pourrait exposer des informations sensibles.

Ce n'est pas un problème si vous utilisez des services d'hébergement WordPress fiables et sécurisés. Des hébergeurs comme Siteground facilitent l'activation d'un certificat SSL. Accédez à SSL Manager et entrez le domaine dans lequel vous souhaitez crypter HTTPS.

Obtenir SiteGround

13. Supprimer les thèmes et plugins inutilisés

Vous vous demandez quel est le mal à conserver des thèmes ou des plugins inutilisés. Le problème est que, lorsqu’ils ne sont pas mis à jour, ces thèmes et plugins peuvent rendre les sites vulnérables aux attaques.

Il est aussi important que de garder tout à jour de supprimer les thèmes et plugins inutilisés. Pour ce faire, vous pouvez utiliser Divi Dash pour examiner chaque site client individuellement. Les thèmes et plugins inactifs sont marqués Inactifs. Sélectionnez-les et désinstallez-les.

Il s'agit d'une pratique ponctuelle, mais faites-en un exercice régulier pour supprimer les thèmes et plugins indésirables afin de maintenir votre site sécurisé et optimisé pour des performances rapides.

Obtenez Divi Dash gratuitement avec le thème Divi

14. Déconnectez-vous automatiquement des utilisateurs inactifs

Certains membres de votre équipe laissent leur WordPress connecté après avoir terminé leur travail de la journée. Cela pourrait amener des pirates informatiques à détourner les sites de vos clients après avoir piraté les appareils des membres de votre équipe. C'est pourquoi vous devez vous déconnecter automatiquement des utilisateurs WordPress une fois qu'ils sont devenus inactifs.

Pour résoudre ce problème, installez le plugin Inactive Logout, qui déconnecte automatiquement les utilisateurs inactifs après un certain temps. Définissez l'heure à laquelle vous souhaitez vous déconnecter des utilisateurs après une inactivité, et c'est tout.

15. Activer un pare-feu d'application Web (WAF)

Un pare-feu d'application Web (WAF) est un outil de sécurité qui surveille et filtre le trafic entrant pour protéger les sites WordPress contre les attaques malveillantes telles que les injections SQL, les scripts intersites (XSS) et les attaques DDoS. L'activation d'un WAF est cruciale car elle ajoute une couche de protection essentielle aux sites de vos clients et empêche l'exploitation des vulnérabilités.

La bonne nouvelle est que Cloudflare propose un WAF intégré dans le cadre de son service, vous permettant de protéger les sites Web de vos clients contre diverses cybermenaces sans avoir besoin de configurer un système WAF séparément.

Obtenez Cloudflare

16. Externalisation du support pour les sites clients

Même après avoir tout fait correctement, les sites de vos clients connaîtront des bugs ou des erreurs mineurs qui pourraient donner aux pirates informatiques un coffre-fort dans lequel accéder. C'est pourquoi vous devez surveiller régulièrement les sites et corriger tous les bugs et problèmes dès qu'ils apparaissent.

Le problème est que, avec de nombreux sites, comment faites-vous pour suivre le rythme ? Si vous êtes un utilisateur Divi et avez opté pour Divi VIP, vous pouvez étendre un support premium à vos clients sans frais supplémentaires.

Cela signifie que vous et votre client bénéficiez d'une assistance 24h/24 et 7j/7 avec un temps de réponse de 30 minutes ou moins. Chaque fois qu’il y a un problème, les experts Divi sont là pour le résoudre sans votre intervention. Sans oublier qu’avec Divi VIP, vous bénéficiez de réductions exclusives sur Divi Marketplace.

Commencez avec la bonne fondation

La sécurité des sites WordPress de vos clients dépend de bases solides. Avec le bon hébergeur WordPress et un thème puissant, vous pouvez protéger vos clients contre de nombreuses menaces. Siteground et Divi est une combinaison sécurisée aux avantages irrésistibles :

• Siteground propose un hébergement optimisé pour WordPress avec des fonctionnalités de sécurité intégrées telles que Cloudflare, des plugins de sécurité, des sauvegardes quotidiennes, des solutions de mise en cache et une assistance de premier ordre pour les problèmes de site.
• Divi est un générateur de thèmes et de pages WordPress tout-en-un et hautement personnalisable (qui fonctionne également sur un thème tiers) avec des fonctionnalités uniques telles que des tests fractionnés, des conditions, un générateur de thèmes, etc., pour vous aider à créer de superbes sites Web pour vos clients.
• Divi en inclut plus. Par exemple, l'accès à des plugins premium (Bloom et Monarch) pour les réseaux sociaux et les e-mails, Divi Quick Sites pour générer des sites Web en quelques minutes, des installations et des téléchargements illimités et une assistance premium pour vous offrir des solutions complètes pour gérer efficacement les sites des clients.
• Divi Dash est gratuit avec votre abonnement Divi, qui ne coûte que 89 $/an. Vous n'avez pas besoin de payer pour un gestionnaire de site WordPress distinct pour gérer les sites clients.

Obtenez Divi

FAQ sur la sécurité WordPress pour les indépendants qui gèrent des clients