Bonjour à tous !

Je suis actuellement en train de travailler sur un site WordPress et je réalise à quel point la sécurité est cruciale. J'aimerais obtenir des conseils, des avis, voire des recommandations sur la manière de renforcer la sécurité de mon site.

Est-ce que quelqu'un aurait des cours en ligne à me suggérer spécifiquement axés sur la sécurité WordPress ? Ou peut-être des articles, des tutoriels ou des vidéos qui ont vraiment fait la différence pour vous ?

J'ai déjà fait quelques recherches, mais je préfère m'appuyer sur l'expérience de chacuns. Si vous avez des ressources fiables et pertinentes à partager, je suis preneur !

Merci d'avance pour vos réponses !

Alors pour avoir fait quelques WordPress, en tant que freelance ou en agence, voici mes conseils :

- Faire un thème custom et ne pas acheter (ou télécharger) un thème tout fait. Ces thèmes viennent souvent avec 60% de fonctionnalités que tu n'utiliseras pas et donc ça fait 60% de problèmes en plus à gérer. Ils vont installer des plugins venant de plusieurs sources.

- En lien avec le point précédent : ne pas utiliser Elementor ou Divi. C'est pas plus long ni plus chiant si tu t'y connais un peu en HTML/CSS/JS, la raison c'est simplement que ces plugins vont vite te montrer leurs limites et te demander de passer à la caisse avec un abo à l'année pour débloquer 100% des fonctionnalités. De plus, le design de ton site pourrait casser après chaque mise à jour d'un plugin ou bien être ralenti parce qu'il va y avoir 100 requêtes HTTP à chaque chargement de page.

- Faire attention quand tu utilises un plugin, bien vérifier qu'il répond à ton problème, ne pas hésiter à tester et supprimer si ça ne va pas. Fais une liste des plugins "field-tested" càd dans lequel tu as confiances (par exemple Woocommerce, Yoast, ACF, etc).

- Désactiver les mises à jour auto et faire les updates manuellement, tu peux te mettre un rappel par exemple de passer une fois par mois pour faire les updates. Tu fais un backup avant, tu updates, tu vérifies que rien n'est pété, si c'est le cas tu remets le backup. Oui c'est long et chiant, 9 fois sur 10 t'auras aucun problème et la 10éme fois tu vas voir que ton site est pété parce qu'une fonction de WP est dépréciée.

- Ne pas hésiter à faire désactiver un maximum de fonctionnalités que tu n'utilises pas, par exemple les commentaires WordPress via ce plugin : https://wpdeveloper.com/plugins/disable-comments/
Il y a moyen de désactiver le flux RSS, l'intégration Jquery de base, etc. ça dépend ce que tu utilises ou pas. Bien souvent je m'embête pas avec des plugins et j'utilise les hook pour faire ça dans le code.

Ces conseils sont basés sur du vécu. J'ai dû faire de tout avec WordPress, les thèmes custom sont toujours en ligne avec 0 problème alors que tout les WP avec un thème tout-fait sont buggés ou lents. Un des sites s'est même fait hacké parce qu'un plugin avait une faille qui permettait d'accéder au serveur.

Le 13 février 2024 à 14:19:25 :
Alors pour avoir fait quelques WordPress, en tant que freelance ou en agence, voici mes conseils :
- Désactiver les mises à jour auto et faire les updates manuellement, tu peux te mettre un rappel par exemple de passer une fois par mois pour faire les updates. Tu fais un backup avant, tu updates, tu vérifies que rien n'est pété, si c'est le cas tu remets le backup. Oui c'est long et chiant, 9 fois sur 10 t'auras aucun problème et la 10éme fois tu vas voir que ton site est pété parce qu'une fonction de WP est dépréciée.

Une justification à ça ? Wordpress conseille l'exact inverse ( https://fr.wordpress.org/about/security/ )

Les propriétaires de sites individuels peuvent opter pour le retrait des mises à jour automatiques en arrière-plan en modifiant simplement leur fichier de configuration, mais conserver cette fonctionnalité est fortement recommandé par l’équipe chargée du cœur WP, de même que l’utilisation de la dernière version stable de WordPress.

à moins d'avoir surchargé les fichiers core comme un cochon, ce qui pourrait provoquer des conflits/incompatibilités. Les mises à jour mineurs (qui contiennent les correctifs de sécurité) ne doivent pas poser de problème de stabilité. Le délais d'un mois que tu proposes est énorme, quand une vuln est trouvé en quelques heures tu n'es déjà plus tout seul sur ton serveur, alors 1 mois ...

Le 13 février 2024 à 14:58:58 :

Le 13 février 2024 à 14:19:25 :
Alors pour avoir fait quelques WordPress, en tant que freelance ou en agence, voici mes conseils :
- Désactiver les mises à jour auto et faire les updates manuellement, tu peux te mettre un rappel par exemple de passer une fois par mois pour faire les updates. Tu fais un backup avant, tu updates, tu vérifies que rien n'est pété, si c'est le cas tu remets le backup. Oui c'est long et chiant, 9 fois sur 10 t'auras aucun problème et la 10éme fois tu vas voir que ton site est pété parce qu'une fonction de WP est dépréciée.

Une justification à ça ? Wordpress conseille l'exact inverse ( https://fr.wordpress.org/about/security/ )

Les propriétaires de sites individuels peuvent opter pour le retrait des mises à jour automatiques en arrière-plan en modifiant simplement leur fichier de configuration, mais conserver cette fonctionnalité est fortement recommandé par l’équipe chargée du cœur WP, de même que l’utilisation de la dernière version stable de WordPress.

à moins d'avoir surchargé les fichiers core comme un cochon, ce qui pourrait provoquer des conflits/incompatibilités. Les mises à jour mineurs (qui contiennent les correctifs de sécurité) ne doivent pas poser de problème de stabilité. Le délais d'un mois que tu proposes est énorme, quand une vuln est trouvé en quelques heures tu n'es déjà plus tout seul sur ton serveur, alors 1 mois ...

C'est juste histoire d'éviter les problèmes de compatibilités entre chaque plugins et thèmes. J'ai eu plus souvent des problèmes d'incompatibilité que des des hack venant d'une faille SpoilAfficherMasquer(c'est arrivé qu'une fois et ça venait d'un WP avec un thème tout fait via themeforest, sans rien touché, auto-update et tout) . Je ne fais plus confiance aux mises à jour auto, malheureusement il n'y a pas moyen de filtrer entre les petites updates de sécurité et les grosses updates qui changent le fonctionnement d'un plugin ou d'un thème.

Le 13 février 2024 à 16:41:39 :

Le 13 février 2024 à 14:58:58 :

Le 13 février 2024 à 14:19:25 :
Alors pour avoir fait quelques WordPress, en tant que freelance ou en agence, voici mes conseils :
- Désactiver les mises à jour auto et faire les updates manuellement, tu peux te mettre un rappel par exemple de passer une fois par mois pour faire les updates. Tu fais un backup avant, tu updates, tu vérifies que rien n'est pété, si c'est le cas tu remets le backup. Oui c'est long et chiant, 9 fois sur 10 t'auras aucun problème et la 10éme fois tu vas voir que ton site est pété parce qu'une fonction de WP est dépréciée.

Une justification à ça ? Wordpress conseille l'exact inverse ( https://fr.wordpress.org/about/security/ )

Les propriétaires de sites individuels peuvent opter pour le retrait des mises à jour automatiques en arrière-plan en modifiant simplement leur fichier de configuration, mais conserver cette fonctionnalité est fortement recommandé par l’équipe chargée du cœur WP, de même que l’utilisation de la dernière version stable de WordPress.

à moins d'avoir surchargé les fichiers core comme un cochon, ce qui pourrait provoquer des conflits/incompatibilités. Les mises à jour mineurs (qui contiennent les correctifs de sécurité) ne doivent pas poser de problème de stabilité. Le délais d'un mois que tu proposes est énorme, quand une vuln est trouvé en quelques heures tu n'es déjà plus tout seul sur ton serveur, alors 1 mois ...

C'est juste histoire d'éviter les problèmes de compatibilités entre chaque plugins et thèmes. J'ai eu plus souvent des problèmes d'incompatibilité que des des hack venant d'une faille SpoilAfficherMasquer(c'est arrivé qu'une fois et ça venait d'un WP avec un thème tout fait via themeforest, sans rien touché, auto-update et tout) . Je ne fais plus confiance aux mises à jour auto, malheureusement il n'y a pas moyen de filtrer entre les petites updates de sécurité et les grosses updates qui changent le fonctionnement d'un plugin ou d'un thème.

Et installe absolument un plug-in de sécurité, type Wordfence. Le nombre d'attaques des sites wordpress est sidérant !
Pour plus de conseils, je te recommande les deux sites suivants qui regorgent d'infos utiles : WPMarmite et CaptainWP.

Le 13 février 2024 à 01:35:15 Flocross07 a écrit :
Je suis actuellement en train de travailler sur un site WordPress et je réalise à quel point la sécurité est cruciale. J'aimerais obtenir des conseils, des avis, voire des recommandations sur la manière de renforcer la sécurité de mon site.

N'utilisez pas wordpress, lourd, faillible et incohérent pour un site internet.

Bonjour !

Pour renforcer la sécurité de ton site WordPress, commence par utiliser des mots de passe forts et assure-toi de mettre à jour régulièrement WordPress, les thèmes et les plugins. Ensuite, utilise un plugin de sécurité comme Wordfence ou Sucuri pour surveiller les activités suspectes et protéger ton site contre les attaques malveillantes. Pense également à sauvegarder régulièrement ton site pour pouvoir le restaurer en cas de problème.

Bonne sécurisation !