Les extensions incontournables pour WordPress – Partie 1

Toutes les extensions incontournables pour WordPress en un clin d'oeil !

Gardez toujours la liste des plugins incontournables WordPress avec vous ! Grâce à ce plan, il vous suffit d’un clic pour accéder à la liste de votre choix.

  • Les extensions incontournables pour WordPress – 1ère partie (Sécurité)
  • La création de votre site avec WordPress en 15 étapes – 2ème partie
  • La création de votre site avec WordPress en 15 étapes – 3ème partie
  • La création de votre site avec WordPress en 15 étapes – 4ème partie
  • La création de votre site avec WordPress en 15 étapes – 5ème partie 
  • La création de votre site avec WordPress en 15 étapes – 6ème partie 

Bienvenue dans la première partie de ce nouvel article par Walk The Line !
Cette fois-ci, nous parlerons des extensions incontournables pour WordPress. En effet, il en existe des centaines, mais  quelles sont celles qui sont vraiment indispensables ? Walk the Line vous dit tout !

La première partie de cet article a pour but de vous présenter les extension WordPress incontournables en matière de sécurité. Voici donc les différents points abordés :

Introduction

Aujourd’hui, de nombreuses entreprises possèdent un site web wordpress pour promouvoir leur activité. Cependant, nombre d’entre eux ne sont pas assez sécurisés, rendant simple les attaques pirates. D’autres ne sont pas optimisés et offrent une expérience utilisateur plus que moyenne. Enfin, il y a ceux qui ne sont pas au courant des mesures RGPD (Règlement Général sur la Protection des Données), pourtant obligatoires depuis mai 2018.

Walk The Line a pour objectif de toujours mieux accompagner les professionnels dans la gestion de leur site web. C’est pourquoi nous vous proposons aujourd’hui un article dédié aux extensions incontournables de WordPress.
Nous allons voir ensemble comment renforcer la sécurité de votre site web sous WordPress, améliorer ses performances et le rendre conforme aux exigences RGPD.

Avant de poursuivre votre lecture, nous vous proposons de réaliser un test rapide.
Il s’agit de tester le niveau de sécurité de votre site web. Ce test va relever les points défaillants en termes de sécurité et vous donner un aperçu global du niveau de sécurité de votre site. Seront mises en lumière les éventuelles failles de sécurité détectées. C’est Sucuri Sitecheck qui nous permettra de constater cela.

Securichek Tester Securite Site
De gauche à droite, une jauge estime la sécurité globale de notre site web. Comme la plupart des outils web, les résultats restent des indicateurs et ne doivent pas être pris pour argent comptant.
Vous êtes fin prêts ? On y va !

La sécurité sur son site WordPress

Qu’advient-il de tous vos efforts pour créer votre site web sous WordPress si celui-ci n’est pas sécurisé ? Ce n’est pas parce que vous ne proposez pas de vente en ligne ou d’espace client que tout ceci n’est pas utile pour vous.

Ne serait-il pas dommage que votre site se retrouve hacké en un tour de main ? Que vous perdiez l’intégralité de vos données, de votre travail ?

Si vous ne souhaitez pas perdre des mois, voire des années de dur labeur en quelques instants, nous vous conseillons fortement de poursuivre votre lecture. Et spoiler alert, cela ne se limite pas à un certificat SSL.
Découvrez avec Walk The Line si votre site web sous WordPress est suffisamment protégé contre les menaces et, dans le cas contraire, comment pallier cela !

Pourquoi protéger son site WordPress ?

C’est vrai, après tout. Pourquoi protéger son site WordPress ? Avec un peu plus de 37% des parts de marché, soit plus de trois sites sur dix, WordPress est le CMS (Système de Gestion de Contenus) le plus répandu dans le monde.

Imaginez qu’une faille de sécurité soit découverte. C’est potentiellement plus de trois sites sur dix qui se retrouveraient impactés. Aujourd’hui, nous allons voir ensemble comment pallier plusieurs d’entre elles. Bien entendu, nous vous rappelons que le risque zéro n’existe pas. Votre agence web Walk The Line est là pour vous aider à vous prémunir des plus communes des attaques pirates.

Really Simple SSL

La première chose qui peut venir à l’esprit pour sécuriser son site web, quel qu’il soit, est de mettre en place le certificat SSL. Il sert à chiffrer les échanges entre le client (vous) et le serveur (là où est hébergé votre site WordPress).
Aujourd’hui, on peut simplement voir si le site web que l’on visite est bien sécurisé ou non.

Cadenas Securite Navigateur Web
Le certificat SSL est bien actif sur le site web de Walk The Line
Demandez-vous : comment réagissez-vous lorsque vous visitez un site web ne possédant pas le fameux petit cadenas ? La plupart des internautes accordent plus de confiance et de crédit à un site web en https au lieu de http. Cependant, l’installation de Really Simple SSL ne doit pas être systématique ! Really Simple SSL est une extension permettant de rediriger vos pages en http vers le https et d’appeler vos ressources en https. Elle ne vous fournit pas de certificat SSL. Ceci est le rôle de votre service d’hébergement. Plusieurs services d’hébergement proposent d’installer automatiquement votre certificat SSL (version gratuite par Let’s Encrypt). Walk The Line vous conseille de consulter le cPanel de votre service d’hébergement web pour savoir si vous y êtes éligible. La plupart des hébergeurs les plus répandus le proposent, parmi eux, O2Switch et OVH par exemple. En quelques clics, il est ainsi possible de mettre en place votre certificat SSL directement depuis votre cPanel. Dans le cas contraire, cette extension vous aidera à rediriger vos pages du http au https en deux temps, trois mouvements.

1/ Télécharger l'extension Really simple SSL

Pour cela, rendez-vous dans votre back office WordPress (tableau d’administration) puis dans Extensions > Ajouter, via le menu latéral, à gauche. Recherchez ensuite “Really Simple SSL”.
Telecharger Really Simple Ssl WordPress

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “Really Simple SSL” et cliquez sur “Activer”.

3/ Réglages

Le plugin va alors chercher à trouver lui-même votre certificat SSL. Il vous affichera un message vous proposant d’activer votre certificat SSL une fois cela fait. Il ne vous reste plus qu’à accepter et patienter quelques instants. Après activation, nous vous recommandons fortement de faire un tour complet de votre site (pages, articles, etc) pour vérifier que vous ne possédez pas de contenu mixte, c’est-à-dire, des pages en http et d’autres en https.

Si votre certificat SSL n’est pas détecté, cliquez sur la proposition de rechargement de la page en https, cela devrait résoudre votre problème.

Si du contenu mixte est présent sur votre site, vous pourrez à la fois le voir dans votre navigateur (présence de http sur certaines pages au lieu de https) mais aussi depuis votre back office, depuis l’interface de l’extension. Celle-ci vous propose alors plusieurs marches à suivre pour éliminer le contenu mixte, et c’est plutôt efficace.

Une fois les éventuels soucis réglés, votre site affiche des pages en https.. C’est une première étape vers un site web plus sécurisé !

SF Move Login

Comme nous vous l’expliquions plus haut, WordPress représente plus de trois sites sur dix dans le monde. Autant vous dire qu’une faille de sécurité présente sur autant de sites peut faire des dégâts…
Pour vous prémunir simplement de l’une des plus communes d’entre elles, il existe SF Move Login.

L’extension WordPress SF Move Login va vous permettre de changer vos urls de connexion au back office, de déconnexion, de mot de passe oublié, etc. Par défaut, WordPress vous définit plusieurs adresses par défaut. Ainsi, votre adresse de connexion à votre tableau d’administration ressemble à ceci : https://www.monsupersite.fr/wp-login.

C’est cette dernière partie qui nous pose problème. En effet, en connaissant cette URL générique, des personnes malveillantes pourraient forcer la connexion à votre site web. C’est bien plus simple une fois que l’on connaît l’url de connexion. Pour cela, plusieurs requêtes sont émises rapidement, on parle alors de “brute force attack”, mais nous y reviendrons un peu plus bas (voir “WP Limit Login Attempts”). Il ne faut pas très longtemps pour forcer l’accès à votre site web.

1/ Télécharger l'extension SF Move Login

Rendez-vous dans votre back office puis dans Extensions > Ajouter, via le menu latéral, à gauche. Cherchez alors “SF Move login”

Sf Move Login Telecharger

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “SF Move Login” et cliquez sur “Activer”.

3/ Réglages

Régler les paramètres de SF Move Login est très simple. Puisque vous modifiez toutes vos urls de connexion, déconnexion, etc, veillez à bien noter ces urls quelque part. En effet, il serait regrettable de ne plus pouvoir vous connecter à votre back office, n’est-ce pas ?

Reglages Sf Move Login WordPress

Pour changer vos urls de connexion, remplissez simplement chaque champ avec une nouvelle valeur. Par exemple, si l’url de connexion au back office de mon site était jusqu’alors “https://www.monsite.fr/wp-login”, je peux choisir de remplir le champ “connexion” du suffixe “msite-login”. Mon url de connexion deviendra alors https://www.monsite.fr/msite-login. Procédez de la sorte pour tous les champs listés. Cette action simple rend plus complexe l’accès à votre page de connexion et donc plus difficilement trouvable par des personnes malveillantes.

Laissez les deux paramètres réglés sur “page d’accueil”. Cela permettra de renvoyer tous les utilisateurs rentrant une url de base en “wp-xxxx” vers la page d’accueil. Ainsi, vous ne perdez pas de trafic.

Akismet anti-spam

Avoir un blog sur son site WordPress est à la fois un bon moyen de communication (saviez-vous que 70% des consommateurs préfèrent apprendre sur une entreprise par son blog que par les publicités ?) mais également un excellent outil pour renforcer son SEO.

Cependant, des commentaires indésirables peuvent vite venir gâcher le tout. Publicités, liens dangereux et plus encore s’immiscent dans les commentaires de vos utilisateurs ? Ne les exposez pas davantage à ces menaces !

Akismet anti-spam est, comme son nom l’indique, un anti-spam. En quelques clics, il protège efficacement, durablement et gratuitement votre site web. Que demander de plus ?

1/ Télécharger l'extension Akismet anti-spam

Rendez-vous dans vorre back office puis dans Extensions > Ajouter, via le menu latéral, à gauche. Recherchez ensuite “Akismet anti-spam”.

Telecharger Akismet Anti Spam 01

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “Akismet anti-spam” et cliquez sur “Activer”.

3/ Réglages

Reglages Akismet Anti Spam

Akismet anti-spam requiert une clé API pour pouvoir fonctionner. Cette clé API est gratuite et permet à votre site WordPress de communiquer avec les serveurs d’Akismet. Pour faire l’analogie, lorsque vous regardez la télévision, la télécommande est votre API pour communiquer avec votre téléviseur.

Bien que votre plugin soit déjà actif à cet instant, vous serez ensuite redirigé vers l’interface de réglages d’Akismet anti-spam. En quelques clics, votre extension sera paramétrée selon vos préférences. Il vous faudra simplement sélectionner les paramètres suivants :
Sévérité : permet d’éliminer automatiquement les commentaires de type SPAM les plus répandus
Confidentialité : permet d’afficher un message sous les formulaires de commentaire à l’attention de vos utilisateurs.

Disable REST API

WordPress possède sa propre API, de type REST. Comme nous l’avons vu précédemment, avec Akismet Anti-Spam, une API est une interface qui sert à établir une communication entre deux parties.

Pour WordPress, il s’agit d’un accès qui permet d’accéder à du contenu de la base de données, par exemple, mais aussi d’exécuter des fonctionnalités à distance.

Pour éviter que des personnes malveillantes n’aillent capter cette API, nous pouvons la désactiver très simplement avec Disable Rest API.

1/ Télécharger l'extension Disable REST API

Pour cela, rendez-vous dans votre back office WordPress (tableau d’administration) puis dans Extensions > Ajouter, via le menu latéral, à gauche. Recherchez ensuite “Disable Rest API”.

Telecharger Disable Rest Api WordPress

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “Disable Rest API” et cliquez sur “Activer”.

Et c’est terminé ! En effet, Disable Rest API ne nécessite aucun réglage supplémentaire. Il vous suffit donc d’activer cette extension depuis votre back office WordPress, rien de plus.

BBQ : Block Bad Queries

BBQ : Block Bad Queries (ou BBQ) est un plugin aussi efficace que simple d’utilisation. Il a pour but de protéger les URL de votre site des injections malicieuses.

1/ Télécharger l'extension BBQ : Block Bad Queries

Pour cela, rendez-vous dans votre back office WordPress (tableau d’administration) puis dans Extensions > Ajouter, via le menu latéral, à gauche. Recherchez ensuite “BBQ : Block Bad Queries”.
Telecharger Block Bad Queries WordPress 01

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “BBQ : Block Bad Queries” et cliquez sur “Activer”.

A l’instar du plugin Disable Rest Api, BBQ s’active en un clic et ne nécessite aucun paramétrage. Dès son activation, il protège votre site.

WP Limit Login Attempts Reloaded

WP Limit Login Attempts Reloaded est une extension WordPress qui va empêcher les attaques par brute force. Si vous vous demandez ce que c’est, imaginez que l’on tente d’accéder à votre site WordPress en entrant des millions de combinaisons d’identifiant et de mots de passe à la minute. Les brute force attacks, c’est ça !

Et comme rien n’est dû au hasard, vous pouvez réduire les attaques par force brute en changeant vos urls de connexion au back office WordPress.

Bien entendu, consolider ces bases ne peut être que bénéfique pour la sécurité de votre site.

1 / Télécharger l’extension WP Limit Login Attempts Reloaded

Pour cela, rendez-vous dans votre back office WordPress (tableau d’administration) puis dans Extensions > Ajouter, via le menu latéral, à gauche. Recherchez ensuite “WP Limit Login Attempts Reloaded”.
Telecharger Wp Limit Login Attempts 01

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “WP Limit Login Attempts Reloaded” et cliquez sur “Activer”.

3/ Réglages

Reglages Wp Limit Login

Depuis votre back office, ouvrez les réglages de WP Limit Login Attempts Reloaded. Rendez-vous ensuite dans l’onglet “Paramètres”.

Les réglages sont simples. “Conformité RGPD” rend, comme son nom l’indique, l’extension conforme à la norme RGPD. “Notifier au verrouillage” vous permet de recevoir une notification par mail après un nombre défini de tentatives de connexion échouées.

Les paramètres “Local Worker”, vont nous permettre de définir le nombre de tentatives de connexion autorisées notamment.

Reglages Verrouillage Wp Limit Login
  • La première case correspond au nombre de tentatives autorisées avant verrouillage. Pour des questions de sécurité, n’autorisez pas un nombre trop élevé de tentatives. Si un utilisateur venait à oublier son mot de passe, il aura toujours la possibilité d’en demander un nouveau depuis son interface de connexion.
  • La seconde case détermine combien de temps un utilisateur voit ses tentatives de connexion bloquées.
  • La troisième case vient apporter une couche de sécurité supplémentaire en augmentant la durée de gel des tentatives après un nouveau nombre de tentatives échouées.
    Par exemple, si vous avez défini votre nombre de tentatives autorisées sur 4, alors vos utilisateurs auront droit à 4 essais avant de voir leurs tentatives bloquées pour 20 minutes,  selon la durée que vous avez déterminée en case n°2.

Si après ces vingt minutes de blocage, si vos utilisateurs ne parviennent toujours pas à se connecter après 2 nouvelles tentatives, alors cette fois-ci le temps de verrouillage est augmenté et passe à 24 heures.

Une fois vos paramètres définis, n’oubliez pas d’enregistrer vos modifications.

En conclusion, si WP Limit Login Attempts Reloaded permet de limiter les attaques Brute Force émises par des robots, il ne faut pas en oublier vos utilisateurs pour autant.
En effet, si ces derniers ont oublié leur mot de passe ou identifiant, ou s’ils font une faute de frappe, voir leurs possibilités de se connecter gelées pendant un certain temps pourrait créer en eux un sentiment de frustration.
L’un des points importants de ce paramétrage va donc être de trouver votre équilibre entre protection et limitation. Evitez par exemple de laisser 50 tentatives de connexion à vos utilisateurs, mais ne leur en offrez pas qu’une seule non plus.

Disable XML-RPC

Saviez vous que 80% des attaques de sites WordPress se produisent via le fichier xmlrpc.php ? Mieux vaut donc vous prémunir dès que possible !
La spécification XML-RPC WordPress rend possible la communication entre différents systèmes. Par conséquent, des applications extérieures à WordPress peuvent interagir avec.

Si ce fichier a donc permis à WordPress de ne pas rester isolé du reste du web, il permet également certaines vulnérabilités. Il a donc été remplacé par l’API Rest WordPress.
Comme il n’est plus utilisé, mieux vaut donc le désactiver pour contrer toute tentative maline !

1 / Télécharger l’extension Disable XML-RPC

Vous utilisez SEO Press ?

Avant toute chose, sachez que l’installation de ce plugin n’est utile que si vous n’utilisez pas le plugin de référencement naturel SEO Press.
Dans le cas contraire, depuis le Back office de votre site WordPress, accédez aux réglages de SEO Press via Seo Press > Avancé.
De là, vous pouvez cocher la case “Retirer les balises méta RSD”. Cela va désactiver le fichier xmlrpc.php de votre site WordPress.

Parametres Avances Seo Press 3 01
Vous n'utilisez pas SEO Press ?

Il vous faudra donc télécharger le plugin Disable XML-RPC.
Pour cela, rendez-vous dans votre back office WordPress (tableau d’administration) puis dans Extensions > Ajouter, via le menu latéral, à gauche. Recherchez ensuite “Disable XML-RPC”.

Telecharger Disable Xmlrpc WordPress 01

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “Disable XML-RPC” et cliquez sur “Activer”.

C’est tout ! Disable XML-RPC fait partie de ces plugins ne nécessitant aucun réglage. Dès l’instant où il est activé, il désactive votre fichier XML-RPC et renforce la sécurité de votre site web.

HTTP Headers

Lorsque vous naviguez sur un site web, votre navigateur envoie des demandes, appelées requêtes, à un serveur. Celles-ci contiennent des informations supplémentaires telles que la date, la longueur du contenu, la réponse du serveur, l’encodage utilisé, etc. Elles sont regroupées dans l’en-tête HTTP.

Ces en-têtes HTTP sont multiples. Le problème, c’est que l’on ne peut pas toujours s’y fier. En effet, comme le dit l’adage, “Never trust foreign data” ! On ne peut jamais se fier entièrement à des données venant de l’extérieur. Imaginez qu’une personne mal intentionnée envoie volontairement une en-tête HTTP malveillante ?
Mieux vaut se prémunir autant que possible pour éviter les mauvaises surprises, donc.

1 / Télécharger l’extension HTTP Headers

Pour cela, rendez-vous dans votre back office WordPress (tableau d’administration) puis dans Extensions > Ajouter, via le menu latéral, à gauche. Recherchez ensuite “HTTPS Headers”.

Telecharger Http Headers WordPress 01

2/ Activez l'extension

Rendez-vous dans vos extensions ajoutées via Extensions > Extensions installées. Ici, cherchez “HTTPS Headers” et cliquez sur “Activer”.

3/ Réglages

Reglages Generaux Http Headers

Depuis votre back office, ouvrez les réglages de HTTP Headers.
Cliquez sur la première partie “Security”.
Là, vous pouvez activer les quatre premiers paramètres de sécurité, ainsi que “X-DNS-Prefetch-Control”

Reglages Http Headers Xframe 01

X-Frame-Options
Cliquez sur “Edit”. Là, passez le paramètre sur “ON” puis choisissez “SAMEORIGIN”.

Reglages Http Headers Xssprotection

X-XSS-Protection
Cliquez sur “Edit”. Passez le paramètre sur “ON” puis choisissez “mode=block”.

Reglages Http Headers Xcontent 01

X-Content-Type-Options
Cliquez sur “Edit”. Passez le paramètre sur “ON” puis laissez le paramètre “nosniff”.

Reglages Http Headers Sts 01

Strict-Transport-Security
Cliquez sur “Edit”. Passez le paramètre sur “ON” et définissez max-age sur “2 years”. Cochez les deux paramètres suivants.

Reglages Http Headers Xdns 01

X-DNS-Prefetch-Control
Cliquez sur “Edit”. Passez ensuite le paramètre sur “ON”. Définissez le choix suivant sur “on”.

Ces paramètres viennent rajouter une couche de sécurité supplémentaire à votre site WordPress. Ce n’est pas tout : vous améliorez également vos performances.

Conclusion sur la sécurité

Pour résumer ce que nous venons de voir concernant les plugins de sécurité WordPress, gardez toujours à l’esprit qu’il existe des millions de sites WordPress dans le monde. Aussi, lorsqu’une faille de sécurité est découverte, ce sont donc des millions de sites qui sont exposés au danger.

En plus de ces extensions très utiles, nous vous invitons à mettre régulièrement à jour vos thèmes, extensions et solution WordPress.
Ces mises à jour corrigent non seulement d’éventuels dysfonctionnements mais renforcent également la sécurité.

Grâce à ces plugins, vous augmenterez significativement le niveau de sécurité de votre site web vitrine ou e-commerce. Cependant, n’oubliez pas que le risque zéro n’existe pas !

Conservez donc toujours, par sécurité, une copie de votre site WordPress. On ne sait jamais quand un pépin peut survenir, mieux vaut donc rester prévoyant. Cela ne coûte rien et ne prend que quelques instants !
Enfin, avez-vous pensé à tester à nouveau votre site sur le site Sitechek Securi ? Un seul scan par tranche de vingt-quatre heures est possible. Vous pouvez cependant forcer l’analyse en cliquant sur le lien présent en bas de page, dans la phrase “Scanned 22 hours ago. Force a Re-scan to clear the cache.”

Nous nous retrouverons prochainement pour la suite de cet article en plusieurs partie sur les extensions incontournable pour WordPress. La prochaine fois, nous verrons quelles sont les extensions indispensables en matière d’optimisation SEO et de sauvegarde de son site web.

D’ici là, si vous avez la moindre question, n’hésitez pas à nous les poser en cliquant du le bouton ci-dessous !

Des questions au sujet de notre article ?

Partager sur facebook
Facebook
Partager sur email
Email
Partager sur twitter
Twitter
Pas de Réponse

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Vous souhaitez lire plus d’articles ?