/Sécurité WordPress : 14 astuces pour bien sécuriser son site WordPress

Sécurité WordPress : 14 astuces pour bien sécuriser son site WordPress

Vous cherchez à améliorer la sécurité de votre site Web WordPress ?

Ici, je partage tous les conseils et les stratégies que j’ai appris en dirigeant ce blog WordPress primé.

Juste pour te le faire savoir,

Ces derniers temps, WordPress a été très ciblé par les pirates informatiques. Beaucoup d’utilisateurs ont demandé, “WordPress est-il sécurisé ?”

et voici ma réponse :

Oui, WordPress est sécurisé.

Cependant, lorsque nous utilisons différents plugins, thèmes et parfois c’est l’hébergement qui suit les pires pratiques de sécurité et rend ainsi notre site WordPress vulnérable à différents types d’attaques et de hacks.

Fait : WordPress alimente environ 33% des sites Web dans le monde, ce qui en fait non seulement la plate-forme CMS la plus populaire mais aussi la plus vulnérable au piratage.

En tant qu’utilisateur final, il y a quelques choses que vous pouvez faire pour sécuriser votre blog WordPress.

Lisez aussi : Meilleurs plugins de sécurité WordPress (Ouvre dans un nouvel onglet)

Mon site a été piraté près de 2 fois dans le passé par des pirates arabes et turcs (du moins c’est ce qu’ils disent). Ils ont infiltré mon site et l’ont laissé avec un horrible fond noir avec des images GIF de crânes et de corbeaux. C’est ce qui m’a fait découvrir comment renforcer la sécurité de WordPress.

Au cours des 10 dernières années, j’ai appris de nombreuses astuces que je partage avec vous aujourd’hui afin que vous n’ayez pas à affronter les tracas de la perte de votre site WordPress dans les mains de pirates.

Si WordPress est sûr, pourquoi la sécurité de WordPress est-elle cruciale ?

Comme je l’ai mentionné plus haut, WordPress est sécurisé par défaut mais lorsque vous l’hébergez sur un serveur non sécurisé ou lorsque vous ajoutez de nouveaux codes sous forme de thèmes et de plugins, vous augmentez les possibilités de vous faire pirater.

Comme cette page d’aide sur le durcissement de WordPress ajoute

“Les vulnérabilités qui affectent le plus les propriétaires de sites Web WordPress proviennent des parties extensibles de la plate-forme, en particulier les plugins et les thèmes. Ce sont le vecteur d’attaque #1 exploité par les cybercriminels pour pirater et utiliser les sites WordPress.

Ces vulnérabilités ne sont généralement pas introduites intentionnellement, elles sont le résultat d’erreurs et d’omissions pendant le développement. De nombreux développeurs de plugins et de thèmes ne sont pas très versés dans la sécurité, et sont donc enclins à écrire par inadvertance du code vulnérable. Au fur et à mesure que des vulnérabilités sont découvertes, les développeurs y remédient généralement en publiant des mises à jour”.

Les pirates piratent habituellement un site WordPress pour le gain personnel, qui est généralement sous la forme d’ajouter des backlinks à certains sites de spam ou de rediriger un site WordPress vers d’autres sites. Parfois, c’est tellement sophistiqué que vous ne sauriez même pas que vous êtes piraté ou qu’il y a une porte dérobée installée sur votre site Web.

Toutefois, le propriétaire commence à perdre le trafic au fil du temps (SEO pénalité) et au moment où ils réalisent le vrai problème, les choses sont loin de leurs mains. Un autre pire qui pourrait se produire est d’être mis sur liste noire par une autorité éminente en matière de listes noires. Cela vous coûtera beaucoup de temps et d’argent pour sortir votre site de la liste noire.

Selon la société de sécurité Sucuri, de tous les CMS nettoyés en 2018, WordPress arrive en tête des CMS infectés avec 90%.

wordpress securite

Voici quelques chiffres effrayants pour tout propriétaire de WordPress et c’est pourquoi il est très important pour vous de retrousser vos manches et de suivre ces meilleures pratiques pour améliorer la sécurité de WordPress.

14 conseils éprouvés pour sécuriser votre blog WordPress

1. Configuration des sauvegardes WordPress

Même si j’ai donné beaucoup de conseils éprouvés ci-dessous pour sécuriser votre blog WordPress, vous devez vous assurer que si quelque chose arrive, vous ne perdrez rien.

Ne pas avoir une solution de sauvegarde WordPress en place est la plus grosse erreur que vous puissiez faire. Quand un grand site comme Sony ou Dropbox peut être piraté, votre blog WordPress sera relativement facile à pirater par un pirate.

La première chose à faire est donc de vous assurer de faire une sauvegarde quotidienne de votre blog.

Vous pouvez utiliser le système de sauvegarde offert par votre hébergeur ou utiliser un système de sauvegarde tiers tel que VaultPress ou Updraftplus. Vous pouvez trouver une liste de plugins de sauvegarde WordPress ici.

Si votre hébergeur offre des sauvegardes, assurez-vous qu’il stocke la sauvegarde sur un serveur différent.

2. Faites appel à une société d’hébergement fiable et sécurisée

Votre installation WordPress n’est qu’un logiciel installé sur un serveur. Le fondement d’un site Web sécurisé est un serveur qui a suffisamment de protections pour s’assurer que votre site Web est protégé contre les pirates informatiques.

Un hébergement WordPress sécurisé l’a généralement :

Pare-feu au niveau du serveur pour atténuer les attaques DDOS.
Utilise le matériel le plus récent et un centre de données de premier ordre pour la sécurité physique
Mettre à jour régulièrement le système d’exploitation et appliquer les derniers correctifs de sécurité
A des systèmes de détection d’intrusion pour les activités malveillantes ou les violations de politiques

Je comprends qu’il est difficile de savoir quelle société d’hébergement est fiable contre les pirates et c’est pourquoi j’ai créé cette liste de sociétés d’hébergement WordPress sécurisé :

SiteGround : Un hébergement primé qui utilise un système d’IA anti-bot pour prévenir certaines attaques bien connues.
Bluehost : Un des hôtes les mieux notés qui offre une grande sécurité.WPEngine : Une société d’hébergement WordPress gérée qui est recommandée pour les sites WordPress professionnels. Ils offrent des sauvegardes et une sécurité à plusieurs niveaux.
Kinsta hosting : Celui-ci est parfait pour les blogs WordPress à fort trafic.

Si votre hébergeur actuel n’est pas sécurisé et ne fournit aucune assistance en matière de sécurité, passer à l’un des hébergements susmentionnés fera une énorme différence.

3. Utilisez la dernière version de WordPress

Garder votre logiciel WordPress à jour est le conseil de sécurité le plus élémentaire pour tout blogueur WordPress. C’est quelque chose que vous ne voulez jamais manquer.

Chaque fois que WordPress envoie une mise à jour, cela signifie qu’il a corrigé des bogues, ajouté des fonctionnalités et, surtout, ajouté des fonctions de sécurité et des corrections.

Quand vous verrez le message : “WordPress x.x.x.x est disponible !”

Mettez-le à jour.

De nos jours, avec des mises à jour en un clic, il est très facile de mettre à jour votre blog.

Assurez-vous que votre thème et vos plugins sont compatibles avec cette dernière version de WordPress. Si une mise à jour a été déployée et qu’il ne s’agit pas d’une mise à jour de sécurité, je vous suggère d’attendre 5-6 jours avant que d’autres utilisateurs cessent de signaler des bogues dans la dernière version.

4. Mise à jour des plugins WordPress

Comme je l’ai mentionné ci-dessus, WordPress publie une mise à jour pour corriger les bogues et les failles de sécurité, et il en va de même pour les plugins.

Souvent, un plugin vulnérable ou un script tiers peut créer une faille de sécurité dans votre site Web WordPress.

L’un de ces problèmes que nous avons pu observer dans le passé est celui de la vulnérabilité de Timthumb. C’était à cause d’un script, et beaucoup de plugins qui utilisaient ce script sont devenus vulnérables aussi. Ce genre de vulnérabilité Zero-day est difficile à éviter, mais en limitant le nombre de plugins, de scripts et de thèmes, vous pouvez rendre le site WordPress plus sûr.

Utilisez toujours des plugins qui sont continuellement mis à jour et ont un bon support. Si vous utilisez un plugin qui n’a pas été mis à jour depuis un certain temps, trouvez une alternative.

5. Utiliser la dernière version de PHP

PHP est l’épine dorsale de WordPress et actuellement, la 7.3 est la dernière version de PHP. Selon la page officielle des statistiques PHP, ils offrent un support de sécurité à toute version stable de PHP pendant 2 ans seulement.

wordpress version

Cela signifie que si vous utilisez quelque chose en dessous de PHP 7.1, vous n’aurez pas de mises à jour de sécurité.

Voici une statistique intéressante de WordPress.org, environ 71,8% du site WordPress utilisent du PHP périmé.

php version

Selon l’environnement d’hébergement que vous utilisez, vous pouvez rapidement changer votre version PHP. Je vous recommande fortement de créer d’abord un environnement de staging puis de tester la dernière version de PHP. Ceci afin d’assurer la compatibilité car parfois, un plugin et un thème obsolètes peuvent causer un problème.

Vous pouvez vérifier la version PHP de WordPress depuis le tableau de bord et demander à votre hébergeur de tester et mettre à jour votre version PHP. Les utilisateurs de Bluehost peuvent suivre ce tutoriel pour mettre à jour la version PHP sur cPanel.

6. Utiliser un pare-feu d’application Web (WAF)

Un pare-feu existe entre votre serveur d’hébergement et le trafic réseau. Le rôle du pare-feu est de filtrer les menaces les plus courantes avant qu’elles n’atteignent la machine sur laquelle votre site Web WordPress est hébergé.

Il existe trois types de pare-feu les plus courants que vous pouvez utiliser sur WordPress :

Au niveau du réseau : Il est généralement stocké au niveau du réseau ou de la machine et fonctionne lorsque vous hébergez WordPress dans un centre de données qui vous appartient. Il s’agit de l’option la plus coûteuse et généralement utilisée par un site Web d’entreprise qui contrôle l’espace physique où le serveur est installé.
Au niveau de l’hôte : Celle-ci est hébergée au niveau de l’application web, dans notre cas c’est WordPress. Ceci n’est pas recommandé car éventuellement, votre hôte doit faire le gros du travail de filtrage du trafic. C’est nettement mieux qu’un WAF en réseau, mais les ressources du serveur local dont il a besoin, ce n’est pas la meilleure option.
WAF basé sur le Cloud : Les WAF basés sur le Cloud sont généralement implémentés au niveau DNS et filtrent le type de menaces le plus courant avant même qu’elles n’atteignent votre serveur WordPress. C’est le plus facile à mettre en œuvre et le plus économique dans son sens. Le seul inconvénient est qu’il se peut que vous deviez changer le DNS.

Certains types courants de menaces qui sont détectées et protégées par WAF sont : Attaques XSS (Cross-site scripting), attaques par injection SQL, détournement de session et débordements de tampon. Il s’agit d’une défense de protocole de niveau 7 dans le modèle OSI.

Il existe deux services recommandés que vous pouvez utiliser pour implémenter WAF :

Une éruption de nuages : À partir de 20 $/mois
Sucuri : À partir de 9,99 $/mois

Il s’agit d’une fonction de sécurité WordPress fortement recommandée pour WooCommerce et autres sites Web WordPress qui est faite pour les entreprises.

7. Masquer la version WordPress

Supposons que vous n’avez pas ces 2 minutes pour mettre à jour vos fichiers WordPress. La version listée de WP peut déclencher une idée pour qu’un pirate informatique s’introduise. Si vous utilisez une ancienne version de WP et que tout le monde le sait, croyez-moi, vous êtes condamné.

La plupart des concepteurs de thèmes de nos jours s’en débarrassent pour vous, mais juste pour être sûr, allez dans votre functions.php et ajoutez cette ligne :

<?php remove_action(‘wp_head’,’wp_generator’) ; ?>

8. Utiliser un mot de passe de connexion complexe

Je ne devrais pas avoir à le mentionner, mais je connais trop de gens qui utilisent des mots de passe ingénieux et incroyablement complexes comme :

mot de passe
ilovejesus
123123

Brillant.

Veuillez rendre vos mots de passe complexes, ajouter quelques caractères spéciaux (%&*#), et continuer à les changer tous les 5 ou 6 mois.

Je voudrais également recommander un plugin appelé Login Lockdown. Ce plugin enregistrera toutes les adresses IP et les horodatages des tentatives de connexion échouées. Après un certain nombre de tentatives infructueuses d’une adresse IP particulière, celle-ci sera mise sur liste noire. Cela aide beaucoup à prévenir toute attaque par la force brute.

De votre côté, vous devriez également commencer à utiliser un gestionnaire de mots de passe comme Dashlane qui vous aidera à améliorer encore la sécurité de votre mot de passe.

Aussi, lisez :

Comment les pirates informatiques piratent votre mot de passe
Créez un mot de passe fort et intelligent

9. Modifier l’URL de connexion WordPress :

En changeant la page d’URL de connexion de WordPress, vous empêchez beaucoup d’attaques et de tentatives de piratage. En particulier, si vous êtes quelqu’un qui a une poignée de personnes ou si vous avez juste besoin de vous connecter au tableau de bord WordPress, changer la page de connexion vous offrira beaucoup d’aide. Il y a quelques avantages supplémentaires qui le trouvent dans mon tutoriel précédent sur la façon de changer l’URL de connexion administrateur de WordPress.

10. Définir une alerte Google pour les pages indexées

C’est l’un des trucs les moins connus que vous pouvez utiliser tout de suite. Vous pouvez utiliser les alertes Google pour vous envoyer une alerte lorsque Google indexe une nouvelle page sur votre nom de domaine. Beaucoup de temps, les hackers de WordPress ajoutent de nouvelles pages et messages qui ne sont pas affichés dans le backend ou le frontend, mais qui sont indexés dans Google.

Lorsque vous définissez une alerte de ce type, vous sauriez si quelque chose se passe sans que vous en soyez averti. Comme c’est gratuit et qu’il ne faut que 2 à 3 minutes pour l’installer, cela en vaut la peine.

Voici comment vous pouvez le faire

Rendez-vous sur les alertes Google
Dans le champ “créer une alerte à propos”, ajoutez site:domain.com

Changer Combien de fois par “comme il arrive”, langue par “n’importe quelle langue” et combien par “tous les résultats”.

Maintenant, vous recevrez des notifications instantanées lorsqu’une nouvelle page est indexée dans le moteur de recherche.

11. Vérifier les permissions de fichiers des dossiers WordPress

wordpress securite ftp

Allez dans le Gestionnaire de fichiers dans votre cPanel, ou connectez-vous à votre logiciel FTP, et vérifiez les attributs de fichier de votre dossier WordPress.

C’est bon si c’est 744 (lecture seule). Si vous trouvez qu’il s’agit d’un 777, considérez-vous extrêmement chanceux de ne pas avoir encore été piraté.

Lorsque la plupart des blogueurs changent d’hébergement, ils ne réalisent pas comment leurs permissions de fichiers sont également modifiées. Assurez-vous de vérifier toutes les permissions des fichiers après la migration de votre hébergement.

12. Supprimer l’utilisateur Admin par défaut

C’est l’un des conseils les plus importants pour les personnes qui cherchent à créer un blog WordPress sécurisé. Le nom d’utilisateur par défaut “admin” est sujet aux attaques par force brute parce que la plupart des gens ne le changent jamais.

Lorsque vous installez WordPress, assurez-vous d’utiliser un nom d’utilisateur personnalisé et n’utilisez pas “admin”.

Vous pouvez créer un nouvel utilisateur avec les droits “Administrateur”, et donner à ce nouvel administrateur un surnom qui sera affiché publiquement au cas où il écrirait un message. Maintenant, déconnectez-vous et reconnectez-vous au compte administrateur nouvellement créé et supprimez l’ancien utilisateur “admin”.

Assurez-vous d’attribuer tous les noms d’utilisateur et liens au nouvel utilisateur que vous avez créé.

Voici une autre façon de changer le nom d’utilisateur par défaut :

Lire : Comment changer le nom d’utilisateur par défaut de WordPress

13. Masquer le répertoire des plugins

Le dossier des plugins /wp-content/plugins/ ne doit pas afficher la liste des dossiers et fichiers qu’ils contiennent.

Essayez de visiter votre dossier plugins (remplacez domain.com par votre nom de domaine) :

domain.com/wp-contenu/plugins/plugins/

Si vous voyez une liste de dossiers et de fichiers, vous devez les masquer.

Pour masquer ces dossiers, vous devez créer un nouveau fichier.htaccess et le déposer dans votre répertoire plugins.

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME}{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME}{REQUEST_FILENAME} !-d
RéécrireRègle . /index.php[L]
# Empêche l’inscription dans l’annuaire
IndexIgnore *
# END WordPress

Si vous avez déjà un fichier.htaccess bien écrit dans votre répertoire racine, ajouter un fichier.htaccess séparé dans un dossier individuel ne causera aucun dommage.

Aussi, jetez un coup d’oeil à ce message pour mieux comprendre comment éditer le fichier.htaccess.

14. Désactiver les erreurs de base de données

Dans les anciennes versions de WordPress, s’il y avait des erreurs dans la base de données MySQL, il montrerait l’erreur exacte sur le navigateur lui-même donnant au pirate des informations précieuses sur votre base de données.

Pour éviter cela, vous devez mettre à jour votre WordPress à la dernière version, afin qu’il n’affiche qu’un message d’erreur général comme “Database connection error” au lieu de montrer exactement ce qui ne va pas.

Connectez-vous à votre tableau de bord WP et mettez à jour vos fichiers WordPress.
Sécurité WordPress : A vous de jouer

Eh bien, j’espère que ce guide vous a aidé à comprendre l’importance de la sécurité de WordPress et vous a aidé à la renforcer.

Lisez : Plugins de sécurité WordPress utiles

Encore une fois, c’est une bonne idée de faire des sauvegardes automatiques de votre blog WordPress à intervalles réguliers pour vous assurer que vous pouvez toujours remettre votre blog dans un état sain.

Faites-nous savoir quels autres conseils de sécurité vous aimeriez donner à d’autres blogueurs pour garder leur blog WordPress sécurisé. Partagez vos astuces dans les commentaires ci-dessous !

N’oubliez pas de partager ce message !

Voici quelques articles triés sur le volet pour que vous puissiez les lire plus tard :

12 meilleurs plugins WordPress pour les blogs et sites Web professionnels
Les sociétés d’hébergement WordPress les mieux gérées