Aller au contenu
aymeric filliot

Sécurité & sauvegarde

Protéger votre site WordPress avant qu'il ne soit trop tard

Sécuriser et sauvegarder, ce sont les deux faces d'une même tranquillité. La première empêche l'incident d'arriver. La seconde le rattrape s'il arrive quand même. Un site bien protégé ne vous met jamais dans la situation de tout perdre, ni de payer dans l'urgence pour réparer ce qu'on aurait pu prévenir. Ma logique est de prévenir plutôt que réparer, parce qu'un incident empêché coûte toujours moins cher qu'un incident subi.

Réserver un audit gratuit audit de sécurité offert, sans engagement

Prévenir

Sécuriser : les mesures qui comptent vraiment

Avant de parler d'outils, il faut comprendre une chose que les éditeurs de plugins ne disent pas volontiers : aucune extension seule ne rend un site sûr. La sécurité n'est pas un bouton qu'on installe, c'est un empilement de couches. Chaque couche bloque un type d'attaque, et c'est leur addition qui rend votre site difficile à forcer. Voici celles qui comptent vraiment.

  • Les mises à jour régulières

    La première cause d'intrusion, de loin, n'est pas un pirate génial : c'est une extension ou un thème pas à jour, dont la faille est publiquement connue et exploitée en masse par des robots. Tenir WordPress, ses extensions et son thème à jour ferme la grande majorité des portes avant même qu'on tente de les ouvrir.

  • Des mots de passe forts et la double authentification (2FA)

    Un mot de passe court ou réutilisé se devine ou se force en quelques minutes. Un mot de passe long et unique, complété par une double authentification (un code sur votre téléphone en plus du mot de passe), rend l'accès à votre administration hors de portée d'une attaque automatisée. C'est la mesure au meilleur rapport effort/protection.

  • Limiter les comptes admin et les droits

    Chaque compte administrateur est une clé de la maison. Moins il y en a, moins il y a de clés à perdre. Donnez à chaque personne le niveau de droits dont elle a réellement besoin, pas davantage, et supprimez les comptes qui ne servent plus.

  • Un pare-feu applicatif

    Il inspecte les requêtes qui arrivent sur votre site et bloque les attaques déjà identifiées, y compris, parfois, l'exploitation d'une faille que vous n'avez pas encore corrigée. Mais un pare-feu ne bloque que ce qu'il connaît : il apprend une attaque après qu'elle a été observée ailleurs. Il court donc toujours derrière. La seule mesure qui prend de l'avance, c'est le correctif appliqué vite, avant que la faille ne soit exploitée en masse. Voyez le pare-feu comme un filet de sécurité : indispensable, mais ce n'est pas lui qui vous protège, ce sont vos mises à jour.

  • Réduire les points d'entrée

    Un site accumule avec le temps des extensions inutilisées, de vieux fichiers, des accès oubliés. Chacun est une porte potentielle. Faire le ménage régulièrement, c'est réduire mécaniquement la surface exposée.

Le filet

Sauvegarder : une sauvegarde qui vaut vraiment quelque chose

Même le site le mieux protégé peut connaître un incident : une erreur de manipulation, une panne d'hébergement, une attaque qui passe. C'est là que la sauvegarde prend le relais. Mais toutes les sauvegardes ne se valent pas, et beaucoup de gens découvrent qu'ils n'en avaient pas de vraie le jour précis où ils en ont besoin. Une bonne sauvegarde répond à trois critères.

  • Elle est régulière et automatique

    Une sauvegarde faite « quand j'y pense » est une sauvegarde qu'on ne fait pas. Elle doit se déclencher toute seule, à une fréquence adaptée à votre rythme de publication, pour qu'à tout moment vous ayez une copie récente à restaurer.

  • Elle est externalisée

    Une sauvegarde stockée sur le même serveur que votre site disparaît avec lui en cas de panne ou de piratage du serveur. Une vraie sauvegarde vit ailleurs : sur un espace de stockage distant, séparé de l'hébergement.

  • Elle est testée et restaurable

    C'est le critère le plus négligé, et le plus important. Une sauvegarde qu'on ne peut pas restaurer ne vaut rien. Un fichier corrompu, une sauvegarde incomplète, une procédure qui échoue au moment critique : cela ne se voit qu'en testant réellement la restauration, à froid, avant d'en avoir besoin. Tant qu'on n'a pas remonté le site à partir d'une sauvegarde, on ne sait pas si elle fonctionne.

Soi-même ou déléguer

Le faire soi-même ou le déléguer

Une bonne partie de tout cela, vous pouvez le mettre en place vous-même. Activer la double authentification, choisir de vrais mots de passe, installer une solution de sauvegarde : ce sont des gestes accessibles, et je préfère vous le dire honnêtement plutôt que de vous vendre de la complexité.

La vraie difficulté n'est pas de le faire une fois. C'est de le tenir dans la durée. Les mises à jour reviennent chaque semaine et demandent d'être vérifiées, parce qu'une mise à jour peut aussi casser quelque chose. Les sauvegardes doivent être contrôlées, et leur restauration testée de temps en temps. La sécurité n'est pas un état qu'on atteint, c'est une routine qu'on entretient.

C'est exactement là qu'un contrat de maintenance prend son sens : un contrat de maintenance garde tout ça à jour et surveillé, pour que vous n'ayez plus à y penser.

Un site bien tenu est aussi un site qui reste rapide : si le vôtre s'essouffle, je détaille pourquoi un site WordPress ralentit et comment le corriger.

Questions fréquentes

Questions fréquentes

Comment savoir si mon site WordPress est piraté ?

Plusieurs signes doivent alerter : un ralentissement soudain, des redirections vers des sites douteux, l'apparition de pages ou de spam que vous n'avez pas publiés, un avertissement de Google dans les résultats de recherche, ou une alerte de votre pare-feu de sécurité. Au moindre doute, mieux vaut faire vérifier le site : une infection non traitée s'étend et finit sur la liste noire de Google.

À quelle fréquence faut-il sauvegarder WordPress ?

Cela dépend de la fréquence à laquelle votre site change. Un site vitrine qui évolue peu se contente d'une sauvegarde hebdomadaire. Un site mis à jour souvent, et surtout une boutique en ligne où chaque commande compte, a besoin d'une sauvegarde quotidienne. La règle : ne jamais risquer de perdre plus de contenu que vous n'êtes prêt à en refaire à la main.

Une sauvegarde suffit-elle à être en sécurité ?

Non. Sécurité et sauvegarde sont deux piliers distincts et complémentaires. La sécurité empêche l'incident d'arriver ; la sauvegarde le rattrape s'il arrive quand même. Une sauvegarde ne bloque pas une intrusion, et une bonne sécurité ne vous rend pas votre site après une erreur de manipulation ou une panne d'hébergement. Il faut les deux.

Que faire en premier si mon site est piraté ?

Ne paniquez pas et n'effacez rien dans la précipitation. Mettez le site en maintenance pour couper l'exposition aux visiteurs, puis sauvegardez l'état actuel, infecté compris : cette copie servira à comprendre la faille et à éviter la rechute. C'est seulement ensuite qu'on identifie et nettoie l'infection, qu'on restaure une sauvegarde saine, et qu'on change tous les accès.

Où faut-il stocker les sauvegardes ?

Hors du serveur qui héberge votre site. Une sauvegarde posée sur le même hébergement disparaît avec lui en cas de panne ou de piratage du serveur. Une vraie sauvegarde vit ailleurs : un espace de stockage distant, un cloud type Drive, séparé de l'hébergement, avec une rétention suffisante pour remonter à une version antérieure si besoin.

Audit gratuit

Un audit de sécurité offert

Vous n'êtes pas sûr de l'état réel de votre site ? Je vous propose un audit de sécurité gratuit, sans rien avoir à m'ouvrir. Vu de l'extérieur, je repère déjà beaucoup : WordPress et extensions en retard, points d'entrée laissés ouverts, identifiants exposés, en-têtes de sécurité manquants. Vous repartez avec un état des lieux clair et les priorités à traiter. Si vous préférez me donner un accès à votre administration, l'audit va plus loin : état réel des sauvegardes, comptes et droits, extensions oubliées. Dans les deux cas sans engagement, que vous décidiez ensuite de vous en occuper vous-même ou de me le confier.

audit de sécurité offert, sans engagement