22 méthodes pour protéger votre site web

Cherchez-vous comment protéger votre site web ? Alors continuez cette lecture.

WordPress est le système de gestion de contenu (CMS) le plus populaire, avec 43,2 % de tous les sites web fonctionnant avec son logiciel. Malheureusement, sa popularité attire toutes sortes de cybercriminels qui exploitent les failles de sécurité de la plateforme.

Cela ne signifie pas que WordPress dispose d’un système de sécurité épouvantable – des failles de sécurité peuvent également se produire en raison du manque de sensibilisation des utilisateurs à la sécurité. Il est donc préférable d’appliquer des mesures de sécurité préventives avant que votre site web ne devienne la cible de pirates informatiques.

Nous allons examiner 22 méthodes pour améliorer la sécurité de WordPress et protéger votre site web contre diverses cyberattaques.

L’article proposera les meilleures pratiques et des conseils – avec ou sans plugins WordPress. Certaines méthodes sont également applicables à d’autres plateformes que WordPress.

Pourquoi faut-il protéger votre site web WordPress ?

Si votre site web WordPress est piraté, vous risquez de perdre des données importantes, des actifs et votre crédibilité. En outre, ces problèmes de sécurité peuvent mettre en péril les données personnelles et les informations de facturation de vos clients.

Le coût des dommages causés par la cybercriminalité pourrait atteindre 10 500 milliards de dollars par an d’ici à 2025. Vous ne voulez certainement pas devenir la cible de pirates informatiques et contribuer à ce coût.

D’après la base de données de WPScan, voici quelques-uns des types les plus courants de failles de sécurité de WordPress :

• Falsification des requêtes intersites (CSRF) – force l’utilisateur à exécuter des actions non désirées dans une application web de confiance.
• Attaque par déni de service distribué (DDoS) – incapacité des services en ligne en les inondant de connexions non désirées, rendant ainsi un site inaccessible.
• Contournement de l’authentification – permet aux pirates d’accéder aux ressources de votre site web sans vérifier leur authenticité.
• Injection SQL (SQLi) – force le système à exécuter des requêtes SQL malveillantes et à manipuler des données dans la base de données.
• Cross-site scripting (XSS) – injecte un code malveillant qui transforme le site en transporteur de logiciels malveillants.
• Inclusion de fichiers locaux (LFI) – force le site à traiter des fichiers malveillants placés sur le serveur web.

Meilleures pratiques générales pour améliorer la sécurité des sites web

Dans cette section, nous allons passer en revue six conseils généraux de sécurité pour WordPress qui ne nécessitent pas de connaissances techniques avancées ni d’investissements à haut risque. Même un débutant sera en mesure d’effectuer ces tâches simples, comme la mise à jour du logiciel WordPress et la suppression des thèmes inutilisés.

Mettre à jour régulièrement la version de WordPress

WordPress publie régulièrement des mises à jour logicielles pour améliorer les performances et la sécurité. Ces mises à jour protègent également votre site contre les cybermenaces.

La mise à jour de la version de WordPress est l’un des moyens les plus simples d’améliorer la sécurité de votre site. Cependant, près de 50 % des sites WordPress utilisent une version plus ancienne, ce qui les rend plus vulnérables.

Pour vérifier si vous disposez de la dernière version de WordPress, connectez-vous à votre zone d’administration WordPress et accédez à Tableau de bord → Mises à jour dans le panneau de menu de gauche. Si votre version n’est pas à jour, nous vous recommandons de la mettre à jour dès que possible.

Gardez un œil sur les dates de publication des futures mises à jour pour vous assurer que votre site ne fonctionne pas avec une version obsolète de WordPress.

Nous vous conseillons également de mettre à jour les thèmes et les plugins installés sur votre site WordPress. Les thèmes et les plugins obsolètes peuvent entrer en conflit avec le logiciel de base de WordPress nouvellement mis à jour, provoquant des erreurs et étant sujets à des menaces de sécurité.

Suivez ces étapes pour vous débarrasser des thèmes et des plugins obsolètes :

1. Accédez à votre panneau d’administration WordPress et allez dans Tableau de bord → Mises à jour.
2. Faites défiler vers le bas jusqu’aux sections Plugins et Thèmes, et vérifiez la liste des thèmes et des plugins prêts à être mis à jour. Notez qu’ils peuvent être mis à jour tous en même temps ou séparément.
3. Cliquez sur Mettre à jour les plugins.

Conseil d’expert
L’activation des mises à jour automatiques allège votre charge de travail, mais elle peut entraîner une panne de votre site web en raison d’une incompatibilité avec des plugins ou des thèmes plus anciens. Si vous activez cette option, assurez-vous que votre site web est sauvegardé régulièrement afin de pouvoir revenir à la version précédente en cas d’erreur.

Utiliser des identifiants de connexion sécurisés pour WP-Admin

L’une des erreurs les plus courantes commises par les utilisateurs est d’utiliser des noms d’utilisateur faciles à deviner, tels que “admin”, “administrator” ou “test”. Cela expose votre site à un risque accru d’attaques par force brute. De plus, les attaquants utilisent également ce type d’attaque pour cibler les sites WordPress qui n’ont pas de mots de passe forts.

C’est pourquoi nous vous recommandons de rendre votre nom d’utilisateur et votre mot de passe uniques et plus complexes.

Sinon, suivez ces étapes pour créer un nouveau compte administrateur WordPress avec un nouveau nom d’utilisateur :

1. Depuis votre tableau de bord WordPress, naviguez vers Utilisateurs → Ajouter un nouveau.

2. Créez un nouvel utilisateur et attribuez-lui le rôle d‘administrateur. Ajoutez un mot de passe et cliquez sur le bouton Ajouter un nouvel utilisateur une fois que vous avez terminé.

Incorporez des chiffres, des symboles et des lettres majuscules et minuscules dans votre mot de passe. Nous vous recommandons également d’utiliser plus de 12 caractères, car les mots de passe plus longs sont plus difficiles à décrypter.

Conseil d’expert

Plus le mot de passe est long, plus il est sûr. Toutefois, il n’est pas nécessaire que les mots de passe soient longs et complexes. Utilisez des symboles spéciaux et des chiffres à la place des lettres connues. Par exemple, 41@bAm@ ! au lieu de Alabama ! est facile à mémoriser et plus difficile à déchiffrer.

Vous pouvez également utiliser un motif sur le clavier au lieu de mots réels, comme qpzmwoxn. En outre, vous pouvez mélanger ces deux types de mots de passe pour créer un mot de passe plus fort.

Si vous avez besoin d’aide pour créer un mot de passe fort, utilisez des outils en ligne tels que LastPass et 1Password. Vous pouvez également utiliser leurs services de gestion des mots de passe pour stocker vos mots de passe forts en toute sécurité. Ainsi, vous n’aurez pas à les mémoriser.

Après avoir créé un nouveau nom d’utilisateur pour l’administration de WordPress, vous devrez supprimer votre ancien nom d’utilisateur. Voici les étapes à suivre :

1. Connectez-vous avec vos identifiants WordPress nouvellement créés.
2. Naviguez vers Utilisateurs → Tous les utilisateurs.

3. Sélectionnez l’ancien compte d’administrateur que vous souhaitez supprimer. Dans le menu déroulant Actions en bloc, sélectionnez Supprimer, puis cliquez sur Appliquer.

Pour assurer la sécurité de votre site, il est également important de vérifier le réseau avant de vous connecter. Si vous êtes connecté sans le savoir à un Hotspot Honeypot, un réseau exploité par des pirates informatiques, vous risquez de divulguer vos identifiants de connexion aux opérateurs.

Même les réseaux publics, tels que le réseau WiFi d’une bibliothèque scolaire, peuvent ne pas être aussi sûrs qu’il n’y paraît. Les pirates peuvent intercepter votre connexion et voler des données non cryptées, y compris les identifiants de connexion.

C’est pourquoi nous vous recommandons d’utiliser un VPN lorsque vous vous connectez à un réseau public. Il fournit une couche de cryptage à la connexion, ce qui rend plus difficile l’interception des données et protège vos activités en ligne.

Configuration de la liste de sécurité et de la liste de blocage pour la page d’administration

L’activation du verrouillage de l’URL protège votre page de connexion contre les adresses IP non autorisées et les attaques par force brute. Pour ce faire, vous avez besoin d’un service de pare-feu d’application web (WAF) tel que Cloudflare ou Sucuri.

Avec Cloudflare, il est possible de configurer une règle de verrouillage de zone. Elle spécifie les URL que vous souhaitez verrouiller et la plage d’IP autorisée à accéder à ces URL. Toute personne se trouvant en dehors de la plage d’adresses IP spécifiée ne pourra pas y accéder.

Sucuri dispose d’une fonction similaire appelée liste noire des chemins d’accès aux URL. Tout d’abord, vous ajoutez l’URL de la page de connexion à la liste noire afin que personne ne puisse y accéder. Ensuite, vous établissez une liste d’adresses IP autorisées à accéder à la page de connexion.

Vous pouvez également restreindre l’accès à votre page de connexion en configurant le fichier .htaccess de votre site. Naviguez jusqu’à votre répertoire racine pour accéder à ce fichier.

Important ! Avant d’effectuer toute modification, nous vous conseillons vivement de sauvegarder l’ancien fichier .htaccess. En cas de problème, vous pourrez facilement restaurer votre site.

L’ajout de cette règle à votre .htaccess limitera l’accès à votre wp-login.php à une seule IP. Ainsi, les attaquants ne pourront pas accéder à votre page de connexion depuis d’autres endroits.

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>

Cette règle doit être placée après les déclarations # BEGIN WordPress et # END WordPress, comme indiqué ci-dessous.

Cette règle s’applique même si vous n’avez pas d’IP statique, puisque vous pouvez limiter les connexions à la plage commune de votre FAI.

Vous pouvez également utiliser cette règle pour restreindre d’autres URLs authentifiées, telles que /wp-admin.

Conseil d’expert

Notez que les listes de blocage ne sont efficaces que contre les menaces connues. Les pirates peuvent concevoir des logiciels malveillants spécialement pour éviter d’être détectés par les outils qui utilisent un système de liste de blocage.

Si la mise en liste de sécurité offre une sécurité plus robuste, elle peut également être plus complexe à mettre en œuvre, en particulier si vous souhaitez qu’une tierce partie s’en charge – elle aura besoin d’informations sur toutes les applications que vous utilisez.

Utiliser des thèmes WordPress fiables

Les thèmes WordPress Nulled sont des versions non autorisées des thèmes premium originaux. Dans la plupart des cas, ces thèmes sont vendus à un prix inférieur pour attirer les utilisateurs. Cependant, ils présentent généralement de nombreux problèmes de sécurité.

Souvent, les fournisseurs de thèmes nulled sont des hackers qui ont piraté le thème premium original et y ont inséré du code malveillant, notamment des logiciels malveillants et des liens de spam. De plus, ces thèmes peuvent être des portes dérobées vers d’autres exploits qui peuvent mettre en danger votre site WordPress.

Les thèmes nulled étant distribués illégalement, leurs utilisateurs ne bénéficient d’aucune assistance de la part des développeurs. Cela signifie que si votre site présente des problèmes, vous devrez trouver vous-même comment les résoudre et protéger votre site web WordPress.

Pour éviter de devenir la cible de pirates informatiques, nous vous recommandons de choisir un thème WordPress provenant d’un dépôt officiel ou de développeurs de confiance. Vous pouvez également consulter des thèmes tiers sur des marketplaces officielles telles que ThemeForest, où des milliers de thèmes premium sont disponibles.

Installer un certificat SSL

Secure Sockets Layer (SSL) est un protocole de transfert de données qui crypte les données échangées entre le site web et ses visiteurs, ce qui rend plus difficile le vol d’informations importantes par des pirates.

En outre, les certificats SSL améliorent également l’optimisation du site WordPress pour les moteurs de recherche (SEO), ce qui lui permet d’attirer davantage de visiteurs.

Les sites web dotés d’un certificat SSL utilisent le protocole HTTPS au lieu du protocole HTTP, ce qui permet de les identifier facilement.

La plupart des sociétés d’hébergement incluent le SSL dans leurs offres.

Une fois que vous avez installé un certificat SSL sur votre compte d’hébergement, activez-le sur votre site WordPress.

Des plugins comme Really Simple SSL ou SSL Insecure Content Fixer peuvent gérer les aspects techniques et l’activation du SSL en quelques clics. La version premium de Really Simple SSL peut activer les en-têtes HTTP Strict Transport Security qui imposent l’utilisation de HTTPS lors de l’accès au site.

Une fois cela fait, changez l’URL de votre site de HTTP à HTTPS. Pour ce faire, allez dans Réglages → Général et trouvez le champ Adresse du site (URL) pour modifier son URL.

Supprimer les plugins et thèmes WordPress inutilisés

Conserver des plugins et des thèmes inutilisés sur le site peut être préjudiciable, en particulier si ces plugins et thèmes n’ont pas été mis à jour. Les plugins et les thèmes obsolètes augmentent le risque de cyberattaque, car les pirates peuvent les utiliser pour accéder à votre site.

Suivez ces étapes pour supprimer un plugin WordPress inutilisé :

1. Naviguez vers Plugins → Plugins installés.
2. Vous verrez la liste de tous les plugins installés. Cliquez sur Supprimer sous le nom du plugin.

Notez que le bouton de suppression ne sera disponible qu’après la désactivation du plugin.

En attendant, voici la marche à suivre pour supprimer un thème inutilisé :

1. Depuis votre tableau de bord d’administration WordPress, allez dans Apparence → Thèmes.
2. Cliquez sur le thème que vous souhaitez supprimer.
3. Une fenêtre pop-up apparaît, affichant les détails du thème. Cliquez sur le bouton Supprimer dans le coin inférieur droit.

Conseil d’expert

Lorsque vous supprimez un thème ou un plugin WordPress populaire de votre tableau de bord WordPress, il se peut que vous n’ayez pas la possibilité d’utiliser un désinstalleur personnalisé, où vous pouvez choisir de supprimer complètement toutes les données relatives à ce thème ou à ce plugin.

Dans ce cas, vous devrez le faire via un client FTP en accédant à votre base de données et en supprimant manuellement les entrées du plugin ou du thème.

Comment utiliser les plugins WordPress de sécurité

La méthode suivante pour améliorer la sécurité de WordPress consiste à utiliser des plugins WordPress.

C’est un moyen pratique de protéger votre site web, mais n’oubliez pas de ne pas installer tous ces plugins en même temps sans réfléchir, car un trop grand nombre de plugins peut ralentir votre site.

Commencez par identifier vos besoins afin de choisir les plugins les plus efficaces pour votre site web.

Activer l’authentification à deux facteurs pour WP-Admin

Activez l’authentification à deux facteurs (2FA) pour renforcer le processus de connexion sur votre site WordPress. Cette méthode d’authentification ajoute une deuxième couche de sécurité WordPress à la page de connexion, car elle vous demande d’entrer un code unique pour compléter le processus de connexion.

Ce code n’est disponible que par l’intermédiaire d’un message texte ou d’une application d’authentification tierce.

Pour appliquer le 2FA sur votre site WordPress, installez un plugin de sécurité de connexion comme Wordfence Login Security. En outre, vous devrez installer une application d’authentification tierce telle que Google Authenticator sur votre téléphone portable.

Conseil d’expert

Si vous ne savez pas quel plugin d’authentification à deux facteurs utiliser, choisissez celui qui est le plus fréquemment mis à jour et évalué.

Une fois le plugin et l’application d’authentification installés, suivez les étapes suivantes pour activer l’authentification à deux facteurs :

1. Allez sur la page du plugin dans l’interface d’administration de WordPress. Si vous utilisez Wordfence Login Security, accédez au menu Login Security dans le panneau de menu de gauche.
2. Ouvrez l’onglet Authentification à deux facteurs.

3. Utilisez l’application de votre téléphone portable pour scanner le code QR ou saisir la clé d’activation.
4. Saisissez le code généré par l’application de votre téléphone portable dans le champ disponible sous la section des codes de récupération.
5. Cliquez sur le bouton ACTIVER pour terminer la configuration.

Téléchargez également les codes de récupération fournis au cas où vous perdriez l’accès à l’appareil contenant l’application d’authentification.

Sauvegarder WordPress régulièrement

La création régulière d’une sauvegarde du site WordPress est une tâche d’atténuation importante car elle vous aidera à récupérer votre site après des incidents, tels que des cyberattaques ou des dommages physiques au centre de données.

Le fichier de sauvegarde doit inclure l’ensemble des fichiers d’installation de WordPress, comme la base de données et les fichiers principaux de WordPress.

Avec WordPress, la sauvegarde d’un site peut être effectuée à l’aide d’un plugin tel que All-in-One WP Migration. Suivez les étapes suivantes pour créer un fichier de sauvegarde avec ce plugin :

1. Installez et activez le plugin.
2. Naviguez vers le menu All-in-One WP Migration dans le panneau de menu de gauche.
3. Sélectionnez Sauvegardes.
4. Cliquez sur Créer une sauvegarde.

5. Une fois la sauvegarde créée, elle apparaît dans une liste sur la page Sauvegardes.

6. Téléchargez et enregistrez la sauvegarde dans votre espace de stockage. Pour ce faire, allez dans All-in-One WP Migration → Export.
7. Cliquez sur le menu déroulant EXPORTER VERS, sélectionnez Fichier. Cela générera une sauvegarde pour votre site.

8. Une fois la procédure terminée, cliquez sur le lien de téléchargement et enregistrez la sauvegarde de votre site dans un endroit sûr, de préférence pas sur le même serveur que votre site web. En effet, les sauvegardes stockées sur votre serveur web sont accessibles au public, ce qui les rend vulnérables aux cyberattaques.

En cas d’incident, vous pouvez restaurer votre site WordPress en utilisant l’outil d’importation de All-in-One WP Migration.

Conseil d’expert

Je ne recommande pas de stocker les sauvegardes de sites web sur un ordinateur personnel. Utilisez plutôt des applications de stockage comme Google Drive. Mais si vous décidez de le faire, le mieux est de les stocker à au moins trois endroits : sur votre ordinateur, sur une clé USB et sur un support de stockage externe comme Dropbox.

Limiter les tentatives de connexion

WordPress permet à ses utilisateurs d’effectuer un nombre illimité de tentatives de connexion sur le site. Malheureusement, les pirates peuvent utiliser la force brute pour accéder à la zone d’administration de WordPress en utilisant différentes combinaisons de mots de passe jusqu’à ce qu’ils trouvent le bon.

Il convient donc de limiter les tentatives de connexion afin de prévenir de telles attaques sur le site web. Limiter les tentatives infructueuses permet également de surveiller toute activité suspecte sur votre site.

La plupart des utilisateurs n’ont besoin que d’un seul essai ou de quelques tentatives infructueuses, vous devez donc vous méfier de toute adresse IP douteuse qui atteint la limite de tentatives.

Une façon de limiter les tentatives de connexion afin d’améliorer la sécurité de WordPress est d’utiliser un plugin. Il existe de nombreuses options intéressantes, telles que :

• Limit Login Attempts Reloaded – configure le nombre de tentatives infructueuses pour des adresses IP spécifiques, ajoute des utilisateurs à la liste de sécurité ou les bloque complètement, et informe les utilisateurs du site Web du temps de verrouillage restant.
• Loginizer – offre des fonctions de sécurité de connexion telles que 2FA, reCAPTCHA, et des questions de défi de connexion.
• Limit Attempts by BestWebSoft – bloque automatiquement les adresses IP qui atteignent la limite de tentatives de connexion et les ajoute à une liste de refus.

L’un des risques liés à la mise en œuvre de cette mesure de sécurité pour WordPress est qu’un utilisateur légitime se retrouve bloqué dans l’administration de WordPress. Cependant, vous ne devriez pas vous inquiéter à ce sujet, car il existe de nombreuses façons de récupérer les comptes WordPress verrouillés.

Modifier l’URL de la page de connexion de WordPress

Pour aller plus loin dans la protection de votre site web contre les attaques par force brute, envisagez de modifier l’URL de la page de connexion.

Tous les sites web WordPress ont la même URL de connexion par défaut – yourdomain.com/wp-admin. L’utilisation de l’URL de connexion par défaut permet aux pirates de cibler facilement votre page de connexion.

Des plugins tels que WPS Hide Login et Change wp-admin Login permettent de personnaliser les paramètres de l’URL de connexion.

Si vous utilisez le plugin WPS Hide Login, voici la marche à suivre pour modifier l’URL de votre page de connexion WordPress :

1. Sur votre tableau de bord, allez dans Réglages → WPS Hide Login.
2. Remplissez le champ URL de connexion avec votre URL de connexion personnalisée.
3. Cliquez sur le bouton Enregistrer les modifications pour terminer le processus.

Déconnexion automatique des utilisateurs inactifs

De nombreux utilisateurs oublient de se déconnecter du site web et laissent leur session en cours. Ils laissent ainsi quelqu’un d’autre, qui utilise le même appareil, accéder à leurs comptes d’utilisateur et potentiellement exploiter des données confidentielles.

Cela s’applique particulièrement aux utilisateurs qui utilisent des ordinateurs publics dans les cybercafés ou les bibliothèques publiques.

Il est donc essentiel de configurer votre site web WordPress de manière à ce que les utilisateurs inactifs se déconnectent automatiquement. La plupart des sites bancaires utilisent cette technique pour empêcher les visiteurs non autorisés d’accéder à leur site, garantissant ainsi la sécurité des données de leurs clients.

L’utilisation d’un plugin de sécurité WordPress comme Inactive Logout est l’un des moyens les plus simples de déconnecter automatiquement les comptes d’utilisateurs inactifs.

Outre la déconnexion des utilisateurs inactifs, ce plugin peut également envoyer un message personnalisé pour avertir les utilisateurs inactifs que leur session sur le site web se terminera bientôt.

Contrôler l’activité des utilisateurs

Identifiez les actions indésirables ou malveillantes qui mettent votre site web en danger en suivant les activités dans votre zone d’administration.

Nous recommandons cette méthode à ceux qui ont plusieurs utilisateurs ou auteurs accédant à leur site web WordPress. En effet, les utilisateurs peuvent modifier des paramètres qu’ils ne devraient pas, comme la modification de thèmes ou la configuration de plugins.

En surveillant leurs activités, vous saurez qui est responsable de ces changements indésirables et si une personne non autorisée a pénétré sur votre site WordPress.

Le moyen le plus simple de suivre l’activité des utilisateurs est d’utiliser un plugin WordPress, tel que :

• WP Activity Log – surveille les modifications apportées à plusieurs domaines du site web, notamment les articles, les pages, les thèmes et les plugins. Il enregistre également les fichiers nouvellement ajoutés, les fichiers supprimés et les modifications apportées à n’importe quel fichier.
• Activity Log – surveille diverses activités sur votre panneau d’administration WordPress et vous permet de définir des règles pour les notifications par email.
• Simple History – en plus de l’enregistrement des activités sur le panneau d’administration de WordPress, il supporte plusieurs plugins tiers comme Jetpack, WP Crontrol, et Beaver Builder, en enregistrant toutes les activités qui y sont liées.

Vérifier la présence de logiciels malveillants

L’institut AV-TEST enregistre chaque jour plus de 450 000 nouveaux logiciels malveillants et applications potentiellement indésirables (PUA). Certains logiciels malveillants sont même polymorphes, c’est-à-dire qu’ils peuvent se modifier pour éviter d’être détectés par les services de sécurité.

Il est donc essentiel d’analyser régulièrement votre site WordPress pour détecter les logiciels malveillants, car les attaquants développent toujours de nouveaux types de menaces.

Heureusement, de nombreux plugins de scanner de piratage WordPress peuvent analyser les logiciels malveillants et améliorer la sécurité de WordPress.

Nous recommandons ces plugins de sécurité à installer sur votre site :

• Wordfence – un plugin de sécurité WordPress populaire avec des mises à jour en temps réel des signatures de logiciels malveillants et des notifications d’alerte qui vous informent si un autre site a bloqué le vôtre en raison d’une activité suspecte.
• BulletProof Security – aide à protéger votre site WordPress avec une fonction de déconnexion de session inactive, des dossiers de plugins cachés qui ne sont pas visibles dans la section des plugins WordPress, et des outils de sauvegarde et de restauration de la base de données.
• Sucuri Security – l’un des meilleurs plugins de sécurité sur le marché, offrant divers certificats SSL, une analyse à distance des logiciels malveillants et des fonctions d’action de sécurité post-piratage.

Conseil d’expert

Si votre site Web WordPress est infecté par un logiciel malveillant, suivez les conseils suivants :

1. Veillez à ce que la zone wp-admin soit toujours accessible, effectuez une analyse et débarrassez-vous du logiciel malveillant.
2. Assurez-vous que vos plugins, vos thèmes et le logiciel de base de WordPress sont à jour.
3. Vérifiez les vulnérabilités dans votre base de données pour voir si vos plugins ou thèmes y sont répertoriés comme présentant un risque.

Comment protéger WordPress sans utiliser de plugins

Il est également possible d’améliorer la sécurité de votre site web sans utiliser de plugins. La plupart de ces tâches impliquent de modifier le code de votre site, mais ne vous inquiétez pas : nous vous montrerons comment procéder, étape par étape.

Désactiver le rapport d’erreurs PHP

Le rapport d’erreurs PHP affiche toutes les informations relatives aux chemins d’accès et à la structure des fichiers de votre site web, ce qui en fait une fonctionnalité très utile pour surveiller les scripts PHP de votre site.

Cependant, montrer les vulnérabilités de votre site web sur le backend est une faille de sécurité sérieuse de WordPress.

Par exemple, s’il affiche un plugin spécifique sur lequel le message d’erreur est apparu, les cybercriminels pourraient utiliser les vulnérabilités de ce plugin.

Il existe deux façons de désactiver les rapports d’erreur PHP : via le fichier PHP ou le panneau de contrôle de votre compte d’hébergement.

Modification du fichier PHP

Suivez ces étapes pour modifier votre fichier PHP :

1. Ouvrez le fichier wp-config.php de votre site à l’aide d’un client FTP tel que FileZilla ou le gestionnaire de fichiers de votre hébergeur.
2. Ajoutez l’extrait de code suivant au fichier. Veillez à l’ajouter avant toute autre directive PHP.

error_reporting(0);
@ini_set(‘display_errors’, 0);

3. Cliquez sur Enregistrer pour appliquer la modification.

Modification des paramètres PHP à l’aide du panneau de contrôle

Si vous ne voulez pas coder, désactivez les rapports d’erreur PHP via le panneau de contrôle de votre hébergeur.

Migrer vers un hébergeur plus sûr

Les multiples mesures de sécurité de WordPress n’auront pas beaucoup d’importance si l’environnement d’hébergement est sujet à des cyberattaques. Votre fournisseur d’hébergement doit garantir un espace sûr pour toutes les données et tous les fichiers de votre site web sur son serveur, il est donc essentiel de choisir celui qui a un excellent niveau de sécurité.

Si vous pensez que votre hébergeur actuel n’est pas assez sûr, il est temps de migrer votre site web WordPress vers une nouvelle plateforme d’hébergement. Voici ce que vous devez prendre en compte lorsque vous recherchez un hébergeur sécurisé :

• Type d’hébergement web – les types d’hébergement partagé et WordPress ont tendance à être plus vulnérables aux cyberattaques que les autres types d’hébergement en raison du partage des ressources. Choisissez un hébergeur qui propose également un hébergement VPS ou dédié afin d’isoler vos ressources.
• Sécurité – un bon fournisseur d’hébergement surveille son réseau pour détecter toute activité suspecte et met régulièrement à jour les logiciels et le matériel de ses serveurs. Il doit également disposer d’une sécurité de serveur et d’une protection contre tous les types de cyberattaques.
• Fonctionnalités – quel que soit le type d’hébergement, des sauvegardes automatiques et des outils de sécurité pour prévenir les logiciels malveillants sont indispensables pour protéger votre site web WordPress. Dans le pire des cas, vous pourrez les utiliser pour restaurer un site web compromis.
• Assistance – il est essentiel de choisir un hébergeur disposant d’une équipe d’assistance 24 heures sur 24 et 7 jours sur 7, dotée d’excellentes connaissances techniques. Elle vous aidera à protéger vos données et à résoudre tous les problèmes techniques et de sécurité qui pourraient survenir.

Désactiver l’édition de fichiers

WordPress dispose d’un éditeur de fichiers intégré qui facilite l’édition des fichiers PHP de WordPress. Toutefois, cette fonctionnalité peut devenir un problème si des pirates informatiques en prennent le contrôle.

C’est pourquoi certains utilisateurs de WordPress préfèrent désactiver cette fonction. Ajoutez la ligne de code suivante au fichier wp-config.php pour désactiver l’édition de fichiers :

define( 'DISALLOW_FILE_EDIT', true );

Si vous souhaitez réactiver cette fonctionnalité sur votre site WordPress, supprimez simplement le code précédent du fichier wp-config.php à l’aide d’un client FTP ou du gestionnaire de fichiers de votre hébergeur.

Restreindre l’accès à l’aide du fichier .htaccess

Le fichier .htaccess garantit le bon fonctionnement des liens WordPress. Si ce fichier ne déclare pas les règles correctes, vous obtiendrez de nombreuses erreurs 404 Not Found sur votre site.

En outre, le fichier .htaccess peut bloquer l’accès à partir d’IP spécifiques, restreindre l’accès à une seule IP et désactiver l’exécution de PHP dans des dossiers particuliers. Nous allons vous montrer ci-dessous comment utiliser .htaccess pour renforcer la sécurité de votre site WordPress.

Important ! Sauvegardez toujours votre fichier .htaccess existant avant de le modifier. Cela peut vous aider à restaurer facilement votre site en cas de problème.

Désactiver l’exécution de PHP dans des dossiers spécifiques

Les pirates informatiques téléchargent souvent des scripts de porte dérobée dans le dossier Uploads. Par défaut, ce dossier n’héberge que les fichiers multimédias téléchargés, il ne devrait donc pas contenir de fichiers PHP.

Pour sécuriser votre site WordPress, désactivez l’exécution de PHP dans ce dossier en créant un nouveau fichier .htaccess dans /wp-content/uploads/ avec ces règles :

<Files *.php>
deny from all
</Files>

Protéger le fichier wp-config.php

Le fichier wp-config.php, situé dans le répertoire racine, contient les paramètres de base de WordPress et les détails de la base de données MySQL. Ce fichier est donc généralement la cible privilégiée des pirates.

Protégez ce fichier et assurez la sécurité de WordPress en appliquant ces règles .htaccess :

<files wp-config.php>
order allow,deny
deny from all
</files>

Modifier le préfixe par défaut de la base de données de WordPress

La base de données de WordPress contient et stocke toutes les informations cruciales nécessaires au fonctionnement de votre site. C’est pourquoi les pirates ciblent souvent la base de données avec des attaques par injection SQL.

Cette technique permet d’injecter un code nuisible dans la base de données, de contourner les mesures de sécurité de WordPress et de récupérer le contenu de la base de données.

Plus de 50 % des cyberattaques consistent en une injection SQL, ce qui en fait l’une des plus grandes menaces. Les pirates exécutent cette attaque parce que de nombreux utilisateurs oublient de modifier le préfixe de base de données par défaut wp_.

Examinons deux méthodes que vous pouvez mettre en œuvre pour protéger votre base de données WordPress contre les attaques par injection SQL.

Important : avant de procéder, assurez-vous de sauvegarder votre base de données MySQL. Avant de poursuivre, assurez-vous de sauvegarder votre base de données MySQL.

Changer le prefixe de la table

1. Depuis votre tableau de bord cPanel, accédez au gestionnaire de fichiers et ouvrez le fichier wp-config.php. Vous pouvez également utiliser un client FTP pour accéder au fichier.
2. Recherchez la valeur $table_prefix dans le code.

3. Remplacez le préfixe par défaut de la base de données de WordPress, wp_, par un nouveau préfixe. Utilisez une combinaison de lettres et de chiffres pour créer un préfixe unique pour le site web.

4. Cliquez sur Enregistrer et fermer.
5. De retour au tableau de bord cPanel, allez dans la section Bases de données et cliquez sur phpMyAdmin. Ouvrez ensuite la base de données du site en cliquant sur Entrer dans phpMyAdmin.
6. Si vous avez plusieurs bases de données, trouvez le nom de la base de données dans le fichier wp-config.php. Recherchez le bloc de code suivant :

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'MySQL Database' );

7. Descendez jusqu’en bas et cliquez sur le bouton “Cocher tout“.

8. Cliquez sur le menu déroulant Avec sélectionné : et sélectionnez l’option Remplacer le préfixe de la table.

9. Saisissez le préfixe actuel et le nouveau, puis sélectionnez Continuer.

Mise à jour des valeurs des préfixes dans les tables

En fonction du nombre de plugins WordPress installés sur votre site, vous devrez peut-être mettre à jour manuellement certaines valeurs de la base de données. Pour ce faire, lancez des requêtes SQL distinctes sur les tables susceptibles de contenir des valeurs avec le préfixe wp_, notamment les tables options et usermeta.

Utilisez le code ci-dessous pour filtrer toutes les valeurs qui contiennent le préfixe suivant :

SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'

wp_1secure1_tablename contient le nom de la table dans laquelle vous souhaitez effectuer la requête. Quant à field_name, il représente le nom du champ/de la colonne où les valeurs avec le préfixe wp_ sont les plus susceptibles d’apparaître.

Voici comment modifier manuellement la valeur du préfixe :

1. Depuis le tableau de bord phpMyAdmin, accédez à une table contenant la valeur du préfixe que vous souhaitez mettre à jour. Par exemple, ouvrez wp_1secure1_usermeta.

2. Naviguez jusqu’à l’onglet SQL dans la barre de menu supérieure.

3. Saisissez le code ci-dessus dans l’éditeur de requêtes SQL pour filtrer les valeurs contenant wp_, puis cliquez sur “Go“. Veillez à modifier les informations en fonction de vos noms de table et de champ.

4. Les résultats du filtre s’affichent. Cliquez sur le bouton Modifier à côté du champ ciblé.

5. Modifiez la valeur du préfixe et cliquez sur Go. Effectuez les étapes 4 et 5 pour toutes les valeurs filtrées.

6. Répétez l’étape 1 pour les autres tables de la base de données afin de mettre à jour toutes les valeurs avec le préfixe wp_.

Désactiver XML-RPC

XML-RPC est une fonctionnalité de WordPress qui permet d’accéder au contenu et de le publier via des appareils mobiles, d’activer les trackbacks et pingbacks et d’utiliser le plugin Jetpack sur votre site web WordPress.

Cependant, XML-RPC présente quelques faiblesses que les pirates peuvent exploiter. La fonctionnalité leur permet d’effectuer de multiples tentatives de connexion sans être détectées par le logiciel de sécurité, ce qui rend votre site vulnérable aux attaques par force brute.

Les pirates peuvent également tirer parti de la fonction de pingback de XML-RPC pour mener des attaques DDoS. Elle permet aux pirates d’envoyer des pingbacks à des milliers de sites web en même temps, ce qui peut provoquer le crash des sites ciblés.

Pour déterminer si la fonction XML-RPC est activée, exécutez votre site par l’intermédiaire d’un service de validation XML-RPC et vérifiez si vous recevez un message de réussite. Cela signifie que la fonction XML-RPC est en cours d’exécution.

Vous pouvez désactiver la fonction XML-RPC en utilisant un plugin ou manuellement.

Désactivation de XML-RPC à l’aide d’un plugin

L’utilisation d’un plugin est le moyen le plus rapide et le plus simple de bloquer la fonction XML-RPC sur votre site web. Nous vous recommandons d’utiliser le plugin Disable XML-RPC Pingback. Il désactivera automatiquement certaines des fonctionnalités XML-RPC, empêchant ainsi les pirates d’effectuer des attaques en utilisant cette faille de sécurité de WordPress.

Désactivation manuelle de XML-RPC

Une autre façon d’arrêter toutes les requêtes XML-RPC entrantes est de le faire manuellement. Localisez le fichier .htaccess dans votre répertoire racine et collez l’extrait de code suivant :

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
 allow from 000.00.000.000
</Files>

Pour permettre à XML-RPC d’accéder à une adresse IP particulière, remplacez 000.00.000.000 par l’adresse IP ou supprimez complètement la ligne de code.

Cacher la version de WordPress

Les pirates peuvent s’introduire plus facilement dans votre site s’ils connaissent la version de WordPress que vous utilisez. Ils peuvent utiliser les vulnérabilités de cette version pour attaquer votre site, surtout s’il s’agit d’une ancienne version de WordPress.

Heureusement, il est possible de masquer ces informations sur votre site en utilisant l’éditeur de thème de WordPress. Pour ce faire, suivez les étapes suivantes :

1. Depuis votre tableau de bord WordPress, accédez à Apparence → Éditeur de thème.
2. Choisissez votre thème actuel et sélectionnez le fichier functions.php.

3. Pour supprimer le numéro de version de l’en-tête et des flux RSS, collez le code suivant dans le fichier functions.php :

function dartcreations_remove_version() {<br>return '' ;<br>} add_filter('the_generator', 'dartcreations_remove_version') ;

4. La balise méta du générateur WordPress affiche également le numéro de version de WordPress. Ajoutez cette ligne pour vous en débarrasser :

remove_action('wp_head', 'wp_generator') ;

5. Cliquez sur Mettre à jour le fichier pour enregistrer les modifications.

Bloquer le hotlinking

On parle de hotlinking lorsque quelqu’un affiche sur son site un élément de votre site web, généralement une image. Chaque fois qu’un internaute visite un site web contenant des hotlinks vers votre contenu, il utilise les ressources de votre serveur web, ce qui ralentit votre site.

Pour savoir si votre contenu a fait l’objet d’un hotlink, tapez la requête suivante dans Google Images, en remplaçant yourwebsite.com par votre nom de domaine :

inurl:yourwebsite.com  -site:yourwebsite.com

Pour empêcher le hotlinking, utilisez un client FTP, un plugin de sécurité WordPress, un CDN ou modifiez les paramètres du panneau de contrôle.

Gérer les permissions de fichiers

Empêchez les pirates d’accéder à votre compte administrateur en déterminant quels utilisateurs peuvent lire, écrire ou exécuter vos fichiers ou dossiers WordPress.

Vous pouvez utiliser le gestionnaire de fichiers de votre hébergeur, le client FTP ou la ligne de commande pour gérer les permissions des fichiers et des dossiers.

En général, les permissions sont définies par défaut, ce qui peut varier en fonction des différents fichiers ou dossiers. Pour le dossier wp-admin et le fichier wp-config, veillez à ce que seul le propriétaire soit autorisé à écrire.

Conclusion

Les cyberattaques peuvent prendre différentes formes, de l’injection de logiciels malveillants aux attaques DDoS. Les sites web WordPress, en particulier, sont des cibles courantes pour les pirates informatiques en raison de la popularité du CMS. C’est pourquoi les propriétaires de sites WordPress doivent savoir comment sécuriser leurs sites.

Toutefois, la sécurisation d’un site WordPress n’est pas une tâche ponctuelle. Vous devez la réévaluer en permanence, car les cyberattaques évoluent sans cesse. Le risque sera toujours présent, mais vous pouvez appliquer des mesures de sécurité WordPress pour réduire ces risques.

Nous espérons que cet article vous a aidé à comprendre l’importance des mesures de sécurité de WordPress et comment les mettre en œuvre.

N’hésitez pas à laisser un commentaire si vous avez des questions ou d’autres conseils sur la sécurité de WordPress.

FAQ sur comment améliorer la sécurité de WordPress

WordPress a-t-il besoin d’un pare-feu ?

La mise en place d’un pare-feu de site web est nécessaire car il aide à protéger votre site web WordPress contre les tentatives de piratage ou d’autres formes de cyber-attaques en bloquant le trafic indésirable. Comme WordPress n’a pas de pare-feu intégré, vous pouvez le mettre en place en téléchargeant un plugin comme Sucuri.

WordPress est-il facilement piratable ?

En tant que plateforme, WordPress est sûr et sans danger. La sécurité de WordPress n’est pas seulement une question de technologie, mais aussi de facteurs humains. Quelle que soit la sécurité de la plateforme, votre site peut facilement être piraté si vous ne prenez pas d’autres mesures de sécurité (utilisation de mots de passe forts, etc.).

Pourquoi mon site WordPress n’est-il pas sécurisé ?

Si votre navigateur indique que votre site WordPress n’est pas sécurisé, cela signifie que votre site n’a pas de certificat SSL ou que le SSL n’est pas configuré correctement. Envisagez d’en installer un ou de passer au protocole HTTPS pour résoudre le problème.

Un plugin de sécurité est-il nécessaire pour WordPress ?

Oui, l’installation d’un plugin de sécurité antipiratage tel que Jetpack et Sucuri peut aider à protéger votre site web à long terme. N’oubliez pas de n’installer que les plugins nécessaires, car un trop grand nombre de plugins peut endommager votre site.

Comment protéger mon site WordPress sans plugins ?

Commencez par vous assurer que vous utilisez un hébergeur sécurisé. Ensuite, configurez votre site pour une meilleure sécurité WordPress : gérez les autorisations de fichiers, désactivez les rapports d’erreur PHP et XML-RPC, limitez l’accès à wp-config.php, et bloquez les liens chauds provenant d’autres sites web.

Pourquoi WordPress est-il si souvent piraté ?

De nombreux sites WordPress sont piratés parce que le propriétaire du site n’utilise pas suffisamment de mesures de sécurité. Les sites présentent donc diverses vulnérabilités qui ouvrent la voie à des attaquants potentiels. Les attaquants s’en prennent aussi régulièrement aux sites web sous WordPress parce que ce système est utilisé par près de la moitié des sites web existants.

Pourquoi mon site WordPress est-il attaqué ?

Votre site WordPress peut présenter des failles de sécurité telles que des plugins obsolètes, des mots de passe faibles et un accès non protégé au répertoire wp-admin. Effectuez une maintenance régulière de votre site web et utilisez notre liste de contrôle de la sécurité de WordPress pour vous assurer que vous avez appliqué des mesures de sécurité suffisantes à votre site.

Quel est le meilleur plugin WordPress de sécurité ?

Nous recommandons Wordfence ou Sucuri comme les meilleurs plugins WordPress de sécurité. Les deux sont similaires, offrant un scanner WordPress, un pare-feu d’application web et une surveillance du trafic. Sucuri est idéal si vous avez une boutique en ligne, mais si vous cherchez un plugin gratuit, Wordfence est une excellente option.

Conclusion

Les cyberattaques peuvent prendre différentes formes, de l’injection de logiciels malveillants aux attaques DDoS. Les sites web WordPress, en particulier, sont des cibles courantes pour les pirates informatiques en raison de la popularité du CMS. C’est pourquoi les propriétaires de sites WordPress doivent savoir comment sécuriser leurs sites.

Toutefois, la sécurisation d’un site WordPress n’est pas une tâche ponctuelle. Vous devez la réévaluer en permanence, car les cyberattaques évoluent sans cesse. Le risque sera toujours présent, mais vous pouvez appliquer des mesures de sécurité WordPress pour réduire ces risques.

Nous espérons que cet article vous a aidé à comprendre l’importance des mesures de sécurité de WordPress et comment les mettre en œuvre.

N’hésitez pas à laisser un commentaire si vous avez des questions ou d’autres conseils sur la sécurité de WordPress.