5 choses à dire à vos clients sur la sécurité de WordPress

Construire et sécuriser un site WordPress est toujours un défi. Les développeurs prennent grand soin d'écrire du code solide et d'implémenter des fonctionnalités telles que des plugins de sécurité pour atténuer les attaques inévitables.

Même ainsi, nous ne sommes pas tirés d'affaire. Pour paraphraser le vieil adage : un site Web est aussi sûr que son maillon le plus faible. Au-delà des exploits potentiels dus au code, le maillon le plus faible a tendance à être un utilisateur non informé. Quelqu'un qui, sans faute de sa part, fait un mauvais choix qui rend son site Web vulnérable.

Pour utiliser un autre cliché : la meilleure défense est une bonne attaque. Dans ce cas, cela signifie être proactif lorsqu'il s'agit d'enseigner aux clients les meilleures pratiques de sécurité. Certaines choses (comme les mots de passe forts) sont universelles, tandis que d'autres sont plus spécifiques à WordPress lui-même. Et c'est notre objectif pour aujourd'hui.

Sur ce, passons en revue cinq choses que vos clients doivent savoir sur la sécurité de WordPress.

N'installez pas un plugin WordPress sans consulter un professionnel

On l'a compris : la tentation d'installer des plugins est réelle. Ils ne sont, après tout, qu'à quelques clics de souris.

Mais le risque est aussi réel. Les plugins WordPress varient considérablement en termes de qualité et donc de sécurité. Il n'est pas rare de trouver un plugin dans le référentiel officiel qui n'a pas été mis à jour depuis un an ou plus. C'est peut-être inoffensif; peut-être pas.

Pour cette raison, les concepteurs de sites Web devraient encourager les clients à effectuer une consultation rapide avant d'installer un plugin. Proposez de jeter un coup d'œil et d'examiner les détails. Cette seule étape pourrait éviter un scénario cauchemardesque en matière de sécurité et de stabilité du site.

Il y a plusieurs avantages. Tout d'abord, cela vous tient au courant de ce qui se passe sur le site. De plus, cela vous permet de diriger les clients vers de bons plugins réputés. Sans oublier que cela entraîne les clients à réfléchir avant de cliquer. Cela profite à tout le monde.

Créer de nouveaux comptes d'utilisateurs, plutôt que d'en partager un seul

De nombreuses organisations ont plus d'une personne qui a besoin d'accéder au tableau de bord WordPress. Trop souvent, ces utilisateurs partagent un seul compte.

À première vue, cela peut sembler être une simple question de confiance. Et il y a certainement un élément de cela. Si un membre de l'équipe quitte l'organisation, il est possible qu'il ait encore accès si le mot de passe n'a pas été changé. Et une personne malveillante pourrait faire des dégâts.

L'autre véritable préoccupation ici concerne la sécurité des appareils. Si vous avez, disons, cinq personnes partageant un compte administrateur WordPress, il suffit qu'un de leurs appareils soit exploité. Par exemple, un enregistreur de frappe sur le PC d'un utilisateur pourrait compromettre le compte.

Par conséquent, il est recommandé que chaque utilisateur ait son propre compte. C'est facile à faire dans WordPress, et nous pouvons même créer des rôles d'utilisateur personnalisés qui limitent ce que quelqu'un peut et ne peut pas faire.

Gardez le noyau, les plugins et les thèmes de WordPress à jour

Idéalement, vos clients passeront un contrat avec vous pour gérer les mises à jour logicielles. Mais si ce sont eux qui assument la responsabilité, il est important qu'ils traitent le problème très sérieusement.

En tant que développeur, il y a peu de choses plus irritantes que de dépanner un site Web compromis, seulement pour se connecter à WordPress et voir que les choses sont plusieurs versions obsolètes. C'est comme si vous laissiez la porte d'entrée de votre maison grande ouverte, 24h/24 et 7j/7. Vous ne devriez pas être trop surpris quand quelqu'un entre et prend votre nouveau téléviseur de fantaisie.

L'importance de maintenir à jour le noyau, les plugins et les thèmes de WordPress ne peut être surestimée. Sachant que cela peut encore dépasser le niveau de confort de certains clients. C'est bon. Soit ils peuvent vous embaucher pour vous en occuper, soit, à tout le moins, activer les mises à jour automatiques lorsque cela est possible.

Quelle que soit la manière dont les mises à jour sont implémentées, elles doivent être prises en charge. Bien que cela ne garantisse pas la sécurité, c'est bien mieux que l'alternative.

L'authentification à deux facteurs peut faire une grande différence

L'ajout d'une authentification à deux facteurs à WordPress est assez simple. Mais cela ne vaut que si les parties prenantes l'utilisent réellement.

C'est vrai que ce n'est pas très pratique. Devoir vérifier un e-mail, un SMS ou vérifier une application mobile pour se connecter peut être une douleur majeure. Mais cette étape supplémentaire est vitale. Il met en place une énorme barrière entre un acteur malveillant et l'accès au back-end de votre site Web.

Et l'expérience utilisateur s'améliore. Certaines implémentations combinent désormais la reconnaissance des appareils avec 2FA. Cela signifie que, tant que l'appareil d'un utilisateur est reconnu, il n'est pas nécessaire de vérifier une connexion pendant une durée spécifiée.

De plus, 2FA est devenu la norme dans de nombreux endroits. Certaines applications bancaires en ligne ne vous permettront pas de vous connecter sans cela. Il n'y a aucune raison pour que votre site Web ne profite pas également de cette technologie.

Ce qui est sécurisé aujourd'hui ne le sera peut-être pas demain

Quelle que soit la plate-forme sur laquelle il s'exécute, un site Web n'est pas une affaire unique. Cela nécessite une attention fréquente (sinon constante) – la sécurité jouant un rôle majeur.

Le web est en constante évolution. Les nouvelles technologies vieillissent très rapidement. Et ce qui était autrefois considéré comme une bonne pratique de sécurité peut parfois être prouvé autrement.

Pour cette raison, la sécurité des sites Web est un défi qui n'a vraiment pas de fin. C'est un combat quotidien pour les petites comme pour les grandes entreprises.

Le résultat est que les sites Web doivent changer avec le temps. En ce qui concerne WordPress, cela peut signifier remplacer les anciens plugins de sécurité par quelque chose de mieux. Ou supprimer les thèmes et plugins abandonnés pour resserrer les choses. Cela peut également nécessiter un changement d'hôtes ou d'environnements de serveur.

Il est important de comprendre que ce n'est pas parce que vous avez investi dans la sécurité aujourd'hui que vous n'aurez pas à le refaire demain.

Éduquer les clients aujourd'hui pour un site Web WordPress plus sécurisé

Nos clients comptent souvent sur nous pour leur fournir des connaissances ainsi qu'un site Web qui tue. Et la sécurité est peut-être le sujet le plus important sur lequel nous pouvons les éduquer.

Faire un effort pour le faire dès le début peut rapporter des dividendes à long terme. Un client qui comprend comment sécuriser son site Web WordPress est moins susceptible de commettre l'une de ces erreurs cruciales. Cela seul peut faire la différence entre nettoyer un site piraté et naviguer en douceur.