Sécuriser WordPress : Guide complet pour protéger son site WordPress

WordPress est le système de gestion de contenus le plus populaire en ligne. Il propulse des millions de sites web à l’heure actuelle dans toutes les thématiques. Malheureusement, il s’agit de l’application web la moins sécurisée. Et oui, lorsque vous gérez un site WordPress, vous devez configurer des mesures de sécurité supplémentaires. Sans cela, votre site peut être attaqué à n’importe quel moment par les pirates. Ce qui peut vous faire perdre du trafic, de clients et donc de l’argent.🤫

Sécuriser WordPress est donc une question que vous ne devez pas prendre à la légère. Et il existe de nombreuses façons de le faire.🤗

Objectif

WordPress est un logiciel de création de sites web vulnérable. Mais, en tant qu’administrateur, vous pouvez configurer différentes mesures pour renforcer la sécurité de votre site. Dans cet article, nous allons parcourir en détails, ces nombreuses manières de protéger WordPress.😇

Besoin d’un hébergement WordPress rapide et de qualité ?

LWS vous conseille sa formule d’hébergement WordPress en promotion à -20% (offre à partir de 3,99€ par mois au lieu de 4,99 €). Non seulement les performances sont au rendez-vous mais vous profitez en plus d’un support exceptionnel.

Découvrir l’offre

Prérequis

Pour mettre en pratique ces moyens de sécurité, vous devez avoir un accès de niveau administrateur à l’espace d’administration de votre site. Certaines mesures nécessitent d’avoir un accès au compte d’hébergement de votre site.

14 moyens efficaces pour sécuriser WordPress

1. Utiliser des coordonnées de connexion sécurisées

Une des parties de votre site la plus susceptible d’être attaquée par les pirates est la page de connexion à l’espace d’administration. Si un attaquant a accès de votre espace d’administration, il est capable de beaucoup faire.

Il peut par exemple supprimer du contenu, vous empêcher de vous connecter et finalement prendre le contrôle total de votre site. Lorsque vous installez WordPress, un compte administrateur est automatiquement créé avec comme nom d’utilisateur “Admin” et un mot de passe.

Ce nom d’utilisateur est commun et facile à deviner. Dans le but d’empêcher le piratage, vous devez supprimer ce compte pour en créer un autre avec des informations plus sécurisées. Pour ce faire, connectez-vous à votre tableau de bord d’administration. Ensuite, accédez à la section « Comptes › ajouter ». Par la suite, entrez les différentes informations de votre compte administrateur. Dans le champ « Identifiant », utilisez un nom spécifié. Vous devez ensuite utiliser le générateur de mot de passe pour configurer un mot de passe sécurisé et difficile à deviner.

Dans le champ « Rôle », déroulez la liste et sélectionnez l’option « Administrateur/administratrice ». Pour terminer, cliquez sur le bouton « Ajouter un compte ». Connectez-vous ensuite avec le nouveau compte administrateur et rendez-vous dans la section « Comptes › tous les comptes ». Sélectionnez le compte « Admin » par défaut. Ensuite, rendez-vous dans le menu déroulant « Actions groupées » et sélectionnez l’option « Supprimer » puis cliquez sur le bouton « Appliquer ». Vous pouvez maintenant continuer à gérer votre site avec le nouveau compte administrateur.

2. Mettre WordPress à jour continuellement

WordPress est constamment mis à jour par ses développeurs. Chaque mise à jour apporte des correctifs de sécurité et des améliorations de performances. Les rapports de bogues corrigés sont accessibles à la portée du public. Donc autant que vous, les pirates peuvent exploiter ces failles pour attaquer votre site si vous continuez à utiliser une version ancienne de WordPress.

Ainsi, la meilleure chose que vous voudrez faire pour renforcer la sécurité de votre site est la mise à jour de WordPress dès qu’une nouvelle version est publiée. Tous les utilisateurs de WordPress sont notifiés depuis leur espace d’administration lorsqu’une nouvelle version de WordPress est disponible.

3. Désactiver les rapports d’erreurs PHP

Les rapports d’erreurs sont une mesure que vous pouvez activer pour analyser le fonctionnement de votre site et détecter les failles de sécurité. Ils peuvent aussi être utiles au débogage si vous êtes développeur. Mais ces rapports peuvent afficher des informations plus sensibles sur votre base de données ou sur votre configuration actuelle.

Ainsi, si un utilisateur malveillant a accès à ces informations, votre site sera vulnérable aux attaques de sécurité. Heureusement, la façon de les désactiver dans WordPress est simple. Pour cela, connectez-vous à votre serveur en utilisant un client FTP tel que FileZilla. Ensuite, trouvez le fichier wp-config.php.

Ouvrez ce fichier dans un éditeur et ajoutez l’extrait de codes ci-dessous :

error_reporting(0);
@ini_set(‘display_errors’, 0);

Une fois que vous avez terminé, enregistrez vos modifications.

4. Activer l’authentification à deux facteurs

Comme nous l’avons dit tantôt, votre page de connexion sera la partie de votre site la plus susceptible d’être attaqué par les pirates. En activant l’authentification à deux facteurs, le pirate sera empêché d’accéder à votre tableau de bord d’administration et même s’il a vos coordonnées d’accès authentiques. Avec l’authentification 2FA, l’utilisateur doit passer deux étapes de vérification.

De façon succincte, lorsque vous validez votre formulaire de connexion, vous serez redirigé vers une nouvelle page instantanée où vous devez répondre à une question ou valider un code envoyé dans votre adresse e-mail ou par SMS envoyé via votre numéro de téléphone. Étant donné que le pirate n’a sûrement pas accès à votre adresse e-mail ou votre numéro de téléphone, alors il ne peut pas vérifier cette étape supplémentaire et obligatoire.

Une fois que les étapes de vérification sont validées, vous serez ensuite redirigé vers votre espace d’administration.

5. Scanner régulièrement WordPress avec un anti-virus

Le plus souvent, les pirates ont l’habitude d’injecter du contenu malveillant dans vos fichiers d’installation dans le but de tenter d’exécuter un mauvais code et avoir accès aux données sensibles dont ils ont besoin.

Ces données peuvent être ensuite réutilisées de la mauvaise manière pour contrôler votre site. Leur action sera facilitée par les failles de sécurité que vous pouvez avoir dans votre configuration. Cela peut être soit par l’utilisation d’un plugin mal codé, ou un thème vulnérable. D’où l’importance de scanner régulièrement l’ensemble de vos fichiers afin de détecter des éventuelles failles de sécurité.

Le faire manuellement, la tâche sera simplement chronologique ou difficile à aborder si, vous avez moins de compétences techniques. Au lieu de cela, vous pouvez installer des logiciels de scannage automatique. Dans WordPress, vous pouvez y aller rapidement en installant le plugin Wordfence. C’est le plugin de sécurité WordPress le plus populaire et le plus facile à configurer.

Wordfence comprend un pare-feu de point de terminaison et un scanner de logiciels malveillants, pour protéger WordPress. De plus, il vous permet d’activer l’authentification 2FA qui est un autre moyen de sécurité dont nous avons parlé tantôt.

6. Installer des plugins et des thèmes sûrs et sécurisés

WordPress a besoin des extensions pour ajouter des fonctionnalités supplémentaires à votre site. Son répertoire officiel contient des milliers de plugins prêts à l’emploi. Malheureusement, tous ne sont pas sûrs.

Étant donné que WordPress est distribué sous une licence libre, n’importe quel développeur peut publier une extension dans le répertoire officiel. Ainsi, même les pirates peuvent créer des plugins pour pirater des nombreux sites WordPress. Lors de l’installation d’un tel module, l’attaquant peut injecter facilement du contenu malveillant dans votre base de données.

De plus, vous devez éviter d’installer des thèmes publiés par des développeurs non connus du public.

Pour prévenir le piratage, suivez ces quelques mesures :

• Installer toujours des plugins et des thèmes issus de sources officielles ;
• Éviter d’utiliser des extensions crackées ;
• Ne pas utiliser les extensions qui ne sont pas mises à jour continuellement ;
• Toujours lire les avis d’autres utilisateurs afin de vous assurer que le module que vous souhaitez installer est sûr ou ne pourrait pas compromettre la sécurité de votre site.

7. Désactiver l’éditeur de fichiers des thèmes et des extensions

L’éditeur de fichiers permet aux utilisateurs de WordPress de modifier les fichiers d’installation depuis l’espace d’administration. Vous pouvez l’utiliser pour modifier les fichiers de plugins et des thèmes. Malheureusement, celle-ci peut constituer un point de vulnérabilité important pour votre site.

En effet, de la même façon que vous, un utilisateur malveillant qui accède à votre espace d’administration, aurez les mêmes possibilités de modification de votre site. Il peut rapidement ajouter un code malveillant ou supprimer des fichiers.

Vous pouvez désactiver l’éditeur de fichiers en ajoutant la ligne de codes ci-dessous à votre fichier wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Si cette ligne existe déjà, vous devez vous assurer que la valeur utilisée est bien true et non false.

8. Activer la connexion SSL

Lorsque vous activez une connexion sécurisée SSL, vous protégez d’une part les données de vos visiteurs. D’autre part, le SSL facilite la sécurisation des communications sur le réseau en identifiant et en authentifiant le serveur, ainsi que la confidentialité et l’intégrité des données transmises. Ce qui empêche aux logiciels malwares de lire vos données lorsque vous interférez avec votre serveur et de les réutiliser pour nuire à votre site.

Il est très facile d’activer une connexion SSL sécurisée dans WordPress.

9. Supprimer les plugins et les thèmes inutilisés

Vous ne devez pas l’oublier, les pirates recherchent d’éventuelles failles de sécurité afin d’avoir la possibilité d’attaquer votre site. Si vous avez des plugins et des thèmes inutilisés, vous devez les supprimer. En fait, les modules obsolètes et non mis à jour peuvent être utilisés pour injecter des données malveillantes dans votre base de données.

Pour commencer, accédez à la section « Extensions › extensions installées » depuis votre tableau de bord. Répertoriez toutes les extensions que vous avez cessé d’utiliser et procédez à leur suppression respective. Ensuite, rendez-vous dans la section « Apparence › thèmes ». Identifiez tous les thèmes obsolètes et procédez à leur suppression. Vous ne pouvez garder qu’un ou deux thèmes par défaut de WordPress. De cette façon, ils peuvent être réutilisés par WordPress au cas où votre thème ne fonctionne pas.

Vous hébergez votre site WordPress chez LWS ? Alors profitez de l’outil WordPress Manager pour gérer facilement vos extensions et thèmes WordPress !

10. Sauvegarder votre site régulièrement

Bien que cela ne puisse pas paraître évident, la création de sauvegardes est également une mesure de sécurité que vous devez appliquer. Quel que soit votre bagage technique, il est toujours recommandé de sauvegarder les fichiers de votre site quotidiennement. Cette pratique peut vous permettre de restaurer votre site et reprendre son contrôle au cas où il est attaqué par des pirates.

11. Se connecter avec un appareil sécurisé

Une autre mesure que vous devez appliquer consiste à utiliser un appareil sécurisé lorsque vous devez vous connecter à votre tableau de bord. En effet, les pirates peuvent utiliser un logiciel malware installé sur votre ordinateur pour tracer votre flux de travail. Les systèmes d’exploitation tels que Windows sont connus pour être vulnérables aux attaques.

Tout d’abord, vous pouvez installer des logiciels antivirus pour scanner régulièrement votre appareil. En ligne, vous avez des nombreux logiciels de sécurité tels que Kaspersky, Smadav, etc.

Ensuite, lorsque vous vous connectez à un réseau public, assurez-vous d’avoir un VPN qui peut masquer votre adresse IP.

12. Utiliser le fichier .htaccess pour sécuriser WordPress

WordPress utilise le fichier .htaccess sur les serveurs Apache dans le but d’optimiser la gestion de permaliens. Ainsi, ce fichier peut vous aider à protéger votre site. Il est généralement stocké dans le répertoire racine de votre domaine.

Vous pouvez utiliser un gestionnaire de fichiers pour y accéder ou un client FTP.

Une fois que vous l’avez trouvé, faites un clic droit dessus et sélectionnez l’option « Édit ».

Ensuite, voyons comment vous pouvez sécuriser WordPress en utilisant le fichier .htaccess.

Restreindre l’accès au tableau de bord par adresse IP

Avec le code suivant, vous limitez l’accès à votre espace d’administration à des adresses IP spécifiques. C’est un moyen efficace pour protéger votre page de connexion. Vous devez toutefois remplacer les xx.xx.xx.xxx par toutes les adresses IP autorisées.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

Avec ces quelques lignes de codes, seules les adresses IP insérées dans le fichier .htaccess seront autorisées à accéder à votre zone d’administration.

Protéger le fichier wp-config.php

Le fichier wp-config.php est l’un des fichiers le plus important pour la configuration de votre site. Celui-ci contient les informations de connexion à votre base de données. Il se trouve dans le répertoire racine de votre site. Cela implique que si un hacker accède à votre dossier racine, il peut facilement l’utiliser pour nuire à votre site.

Vous devez donc le protéger en ajoutant les règles suivantes dans votre fichier .htaccess :

<files wp-config.php>
order allow,deny
deny from all
</files>

13. Modifier le préfixe des tables de base des données

L’utilisation d’un préfixe de tables commun peut faciliter le piratage de votre base de données. Lors de l’installation de WordPress, le préfixe le plus souvent utilisé par défaut est wp_. Il est donc très facile à deviner. Lorsque vos tables conservent cette configuration par défaut, les hackers peuvent l’exploiter pour exécuter des requêtes SQL malveillantes dans votre base de données.

Vous devez donc modifier ce paramètre par défaut afin de protéger votre base de données. Il existe deux options pour le faire :

Option 1 : modifier le préfixe via le fichier wp-config.php

Pour cela, utilisez un client FTP ou un gestionnaire de fichiers pour accéder aux fichiers d’installation de WordPress. Ensuite, ouvrez le fichier wp-config.php et trouvez la ligne $table_prefix. Vous pouvez ainsi modifier le préfixe par défaut par quelque chose de plus spécifique :Une fois que vous avez terminé, enregistrez vos modifications.

Option 2 : modification de préfixe de tables par des requêtes SQL

La deuxième méthode que vous pouvez utiliser pour modifier les préfixes de tables consiste à exécuter des requêtes SQL directement dans votre base de données. Pour cela, connectez-vous à votre compte d’hébergement web. Tout d’abord, accédez au fichier wp-config.php et notez le nom de la base de données où sont stockés les fichiers d’installation de votre site sur la ligne DB_NAME.Ensuite, rendez-vous ensuite dans la rubrique « Base de données » et accédez au module phpMyAdmin. Accédez à la base de données de votre site et cliquez sur l’option « SQL ».Vous serez redirigé vers une nouvelle interface. La base de données contient généralement 12 tables. Pour les modifier à la fois, vous pouvez exécuter les requêtes SQL ci-dessous dans la zone prévue.

RENAME table `wp_commentmeta` TO `wp_secure_commentmeta`;
RENAME table `wp_comments` TO `wp_secure_comments`;
RENAME table `wp_links` TO `wp_secure_links`;
RENAME table `wp_options` TO `wp_secure_options`;
RENAME table `wp_postmeta` TO `wp_secure_postmeta`;
RENAME table `wp_posts` TO `wp_secure_posts`;
RENAME table `wp_terms` TO `wp_secure_terms`;
RENAME table `wp_termmeta` TO `wp_secure_termmeta`;
RENAME table `wp_term_relationships` TO `wp_secure_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_secure_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_secure_usermeta`;
RENAME table `wp_users` TO `wp_secure_users`;

Si vous avez des tables supplémentaires ajoutées dans votre base de données par les plugins que vous avez installés, exécutez des requêtes spécifiques correspondantes.

RENAME table `wp_tabledeplugin` TO `wp_secure_tabledeplugin`;

14. Choisir un hébergeur web sécurisé

Enfin, la dernière chose que vous voudrez faire pour sécuriser WordPress est le choix d’un hébergeur sécurisé. Et oui, le premier acteur qui doit protéger votre site est votre hébergeur. Les données de votre site doivent être stockées dans un serveur sécurisé.

Besoin d’un hébergement WordPress rapide et de qualité ?

LWS vous conseille sa formule d’hébergement WordPress en promotion à -20% (offre à partir de 3,99€ par mois au lieu de 4,99 €). Non seulement les performances sont au rendez-vous mais vous profitez en plus d’un support exceptionnel.

Découvrir l’offre

Conclusion

🥳Toutes nos félicitations pour avoir lu cet article. Il existe des nombreuses mesures pour sécuriser WordPress. Dans cet article, nous avons détaillé les options les plus efficaces que vous pouvez mettre en place pour protéger votre site. Il ne vous reste qu’à les mettre en pratique !

Avez-vous d’autres méthodes pour protéger WordPress ? Utilisez la section Commentaires pour nous écrire.