Cet article vous montre comment protéger votre site web plus efficacement grâce à huit conseils concrets – même sans connaissances techniques approfondies. La plupart de ces mesures peuvent être appliquées à différents CMS, comme Joomla, TYPO3 ou Drupal. Pour chaque conseil, nous vous montrons la mise en œuvre à l’aide d’un exemple basé sur WordPress, le système de gestion de contenu le plus utilisé au monde.
1. Mises à jour logicielles régulières
2. Désactiver et supprimer les extensions obsolètes
3. Sécuriser la page de connexion admin
4. Utiliser un scanner de malwares
5. Restreindre les téléchargements de fichiers
6. Automatiser les sauvegardes
7. Activer un certificat SSL
8. Mots de passe forts & authentification à deux facteurs (2FA)
1. Mises à jour logicielles régulières
Vous gérez un petit blog et avez installé le plugin « Contact Form 7 ». Une nouvelle version corrige une faille de sécurité liée au téléchargement de fichiers. Si vous ne mettez pas le plugin à jour, des pirates pourraient utiliser votre formulaire de contact pour envoyer des fichiers malveillants – une simple mise à jour aurait suffi pour éviter cela.
Les logiciels obsolètes sont l’un des points d’entrée les plus courants pour les attaques. Que ce soit WordPress lui-même, ses plugins ou ses thèmes – dès qu’une vulnérabilité est rendue publique, il ne faut souvent que quelques heures pour que des bots automatisés parcourent le web à la recherche de sites non sécurisés. C’est pourquoi les mises à jour régulières sont indispensables pour protéger votre site web.
Les versions à jour corrigent non seulement les failles connues, mais améliorent aussi les performances et la compatibilité de votre site.
- Vérifier la version de Wordpress et mettre à jour :
- Dans le tableau de bord WordPress, cliquez en haut à gauche sur « Mises à jour » pour voir les versions disponibles
- Créez une sauvegarde avant de cliquer sur « Mettre à jour maintenant »
- Activer les mises à jour automatiques (recommandé pour les petits sites) :
- Allez dans « Extensions > Extensions installées » et cochez les extensions souhaitées
- Sélectionnez « Activer les mises à jour automatiques » dans le menu déroulant
- Cliquez sur « Appliquer » pour valider l’activation
2. Désactiver et supprimer les extensions obsolètes
Vous avez installé une extension de galerie Instagram il y a plusieurs années, mais vous ne l’utilisez plus. Le développeur ne propose plus de mises à jour, et une faille de sécurité a été découverte entre-temps. Des pirates profitent précisément de cette faille pour injecter du code malveillant sur votre site. Si vous aviez supprimé cette extension, votre site serait resté protégé.
Remarque importante
Même les extensions désactivées peuvent représenter un risque ! Leur code reste présent sur le serveur. Si une vulnérabilité connue existe, elle peut souvent être exploitée directement via certaines URL ou chemins spécifiques – même si l’extension n’est pas activement utilisée.
- Identifier et supprimer les extensions inutiles :
- Allez dans le tableau de bord sous « Extensions > Extensions installées »
- Désactivez toutes celles que vous n’utilisez plus
- Supprimez ensuite les extensions désactivées
- Vérifier régulièrement les extensions :
- Quand a-t-elle été mise à jour pour la dernière fois ?
- Combien d’installations actives compte-t-elle ?
- Est-elle compatible avec votre version actuelle de WordPress ?
- Trouver de meilleures alternatives :
- Recherchez des extensions populaires, bien notées et régulièrement mises à jour
- Par exemple, au lieu d’un ancien plugin SEO, vous pouvez passer à Yoast SEO
3. Sécuriser la page de connexion admin
Votre site utilise l’URL standard « votresite.ch/wp-admin » pour se connecter – comme des millions d’autres. Les bots automatisés scannent précisément ce type d’adresse pour lancer des attaques. En créant une URL de connexion personnalisée et en limitant les tentatives de connexion, vous empêchez ces robots d’accéder au formulaire – ou du moins de tenter leur chance à répétition.
La zone de connexion est accessible publiquement sur tous les sites WordPress – et c’est exactement ce que de nombreux attaquants exploitent. Avec quelques mesures simples, vous pouvez rendre la tâche beaucoup plus difficile aux pirates – et protéger efficacement votre site web.
1. Modifier l’URL de connexion :
De nombreux sites WordPress utilisent encore l’URL par défaut « wp-login.php ». Grâce à une extension comme WPS Hide Login , vous pouvez facilement la changer – par exemple en « mon-espace-login ». Cela complique l’accès des bots automatisés et contribue à mieux sécuriser votre site.
2. Limiter le nombre de tentatives de connexion :
Il est également recommandé de limiter le nombre de tentatives de connexion. Des plugins comme Limit Login Attempts Reloaded permettent de bloquer les adresses IP après plusieurs échecs. C’est une mesure simple mais très efficace contre les attaques par force brute.
3. Éviter le nom d’utilisateur « admin » :
Enfin, évitez d’utiliser « admin » comme nom d’utilisateur. Ce nom est généralement le premier testé par les attaques automatisées. Choisissez plutôt un identifiant unique et difficile à deviner.
Alternative pour utilisateurs avancés :
Si vous ou votre équipe utilisez une adresse IP statique, vous pouvez restreindre l’accès à la page de connexion à certaines IP uniquement – soit via le panneau d’administration de votre hébergeur, soit directement via le fichier .htaccess. Cette méthode est très efficace, mais ne convient que si les adresses IP sont fixes.
4. Utiliser un scanner de malwares
Votre site est soudainement signalé comme « non sécurisé » dans le navigateur – alors que vous n’avez rien modifié. Un pirate a discrètement injecté du code malveillant, par exemple via une extension obsolète. Un scan antivirus régulier aurait permis de détecter ce code à temps et d’empêcher l’attaque avant qu’elle ne devienne visible.
Les malwares peuvent paralyser votre site, mettre vos visiteurs en danger ou entraîner une exclusion de l’index de Google. Malheureusement, ces infections passent souvent inaperçues – jusqu’à ce qu’il soit trop tard.
Un scanner de malwares analyse régulièrement votre site à la recherche de modifications suspectes et contribue ainsi à protéger votre site web.
Avec nos hébergements, un scanner de malwares automatique est déjà inclus. Votre site est analysé régulièrement – sans plugin supplémentaire ni action manuelle de votre part.
5. Restreindre les téléchargements de fichiers
Votre site propose un formulaire de contact avec une option de téléchargement de fichiers – par exemple pour les candidatures ou les demandes de projet. Un pirate exploite ce champ pour envoyer un fichier .php, qui s’exécute sur le serveur et lui donne un accès direct à votre site. Une simple restriction des types de fichiers autorisés aurait suffi à empêcher cela.
Les téléchargements de fichiers permettent d’envoyer des données directement sur votre serveur – et potentiellement du code malveillant. Cela concerne particulièrement les formulaires, les espaces clients ou les médiathèques. Les fichiers non désirés ou mal contrôlés figurent parmi les causes les plus fréquentes de failles de sécurité.
1. Vérifier les types de fichiers autorisés :
Par défaut, WordPress n’autorise que des formats comme JPG, PNG ou PDF. Si vous avez activé d’autres types, il est important de les évaluer attentivement. Des plugins comme File Upload Types ou certaines solutions de sécurité avec filtres de téléchargement permettent de gérer précisément les fichiers autorisés.
2. Sécuriser les champs de téléchargement dans les formulaires :
Si vous utilisez des formulaires avec fonction de téléchargement, comme WPForms, Contact Form 7 ou Gravity Forms, vous pouvez généralement définir quels types de fichiers sont acceptés (par exemple uniquement des PDF). Il est aussi possible de fixer une taille maximale de fichier pour limiter les risques d’abus.
3. Stocker les fichiers dans des répertoires non publics :
Certains formulaires permettent d’enregistrer les fichiers téléchargés dans des dossiers protégés, qui ne sont pas accessibles publiquement. C’est particulièrement recommandé si vous collectez des données sensibles – comme dans un formulaire de candidature, par exemple.
6. Automatiser les sauvegardes
Vous installez une nouvelle extension – et soudain, votre site ne fonctionne plus. Panique ! Heureusement, vous disposez d’une sauvegarde automatique et vous pouvez restaurer l’état précédent en quelques clics. Sans sauvegarde, vous auriez peut-être perdu des heures – voire dû tout reconstruire.
Les erreurs peuvent arriver – à la suite d’une mise à jour, d’une attaque ou d’une mauvaise manipulation. Une sauvegarde à jour vous permet de restaurer rapidement votre site. L’essentiel : les sauvegardes doivent être automatiques et régulières.
1. Sauvegardes automatiques par KreativMedia :
Nous effectuons une sauvegarde complète de votre site chaque jour, automatiquement. Chaque version est conservée pendant 30 jours. En cas de besoin, il vous suffit de nous contacter : Nous restaurons gratuitement et facilement une version antérieure de votre site.
2. Gérer vos propres sauvegardes via Plesk :
Vous avez également la possibilité de créer vos propres sauvegardes dans l’interface Plesk – manuellement ou automatiquement. Cela peut être utile, par exemple, avant une mise à jour importante ou une modification technique.
Comment puis-je utiliser le gestionnaire de sauvegardes dans Plesk ?
7. Activer un certificat SSL
Vous saisissez l’adresse d’un site dans votre navigateur et recevez un avertissement : « Cette connexion n’est pas sécurisée. » De nombreux visiteurs quittent aussitôt la page et cherchent une alternative. Et cet avertissement n’est pas seulement dissuasif – il est justifié : sans certificat SSL valide, l’identité du site ne peut pas être vérifiée de manière fiable, et le serveur est considéré comme non digne de confiance. Avec un certificat SSL actif, votre site est chargé en toute sécurité via https:// – ce qui inspire confiance.
Sans SSL, des tiers – par exemple sur des réseaux Wi-Fi publics – peuvent intercepter les données saisies dans des formulaires ou des pages de connexion. Cela concerne aussi les formulaires simples, comme les inscriptions à une newsletter ou les demandes de contact.
En plus de la sécurité, SSL est un signal de confiance visible. Les navigateurs modernes affichent clairement les sites non protégés comme non sécurisés. Cela peut nuire à votre image – surtout dans un contexte professionnel ou auprès de nouveaux visiteurs, peu importe la qualité de vos contenus.
Et enfin : Google favorise les sites en https:// dans les résultats de recherche.
Comment puis-je installer et utiliser le certificat SSL gratuit de Let's Encrypt ?
8. Mots de passe forts & authentification à deux facteurs (2FA)
Vous utilisez le mot de passe par défaut « admin123 » pour vous connecter à WordPress. Un pirate essaie automatiquement les combinaisons les plus courantes – et accède à votre site en quelques secondes. Avec un mot de passe sécurisé et une authentification à deux facteurs (2FA), cette attaque aurait échoué.
Les comptes utilisateurs – surtout ceux avec des droits d’administration – sont des cibles privilégiées pour les pirates. Un mot de passe faible suffit pour prendre le contrôle complet de votre site. En ajoutant une couche de sécurité via la 2FA, vous protégez votre connexion deux fois : l’attaquant a alors besoin de votre mot de passe et d’un code temporaire envoyé sur votre smartphone.
1. Utiliser des mots de passe sécurisés :
2. Activer l’authentification à deux facteurs (2FA) :
Ajoutez une deuxième étape à votre connexion. Des plugins comme WP 2FA ou Wordfence Login Security vous permettent de protéger votre accès avec une application comme Google Authenticator. Lors de la connexion, un code temporaire unique vous est demandé – il change toutes les 30 secondes.
La sécurité n’a pas besoin d’être compliquée. Avec quelques mesures ciblées, vous pouvez renforcer considérablement la protection de votre site web – même sans connaissances techniques. Les huit conseils de cet article peuvent être mis en œuvre progressivement, et ils vous aident à garantir non seulement la stabilité de votre site, mais aussi la confiance de vos visiteurs.
Si vous avez des doutes sur le niveau de sécurité actuel de votre site ou si vous avez besoin d’aide pour mettre en place ces mesures, notre support se tient volontiers à votre disposition.
