Comment sécuriser votre site WordPress contre les pirates (17 conseils d'experts) 

Vous souhaitez sécuriser votre site WordPress contre les pirates informatiques ?

La sécurité de WordPress n'est pas une simple option. Il est nécessaire de protéger votre site contre les risques de sécurité tels que les codes malveillants, les logiciels malveillants, les bots et bien plus encore.

Chaque semaine, Google inscrit sur sa liste noire plus de 10 000 sites web pour des logiciels malveillants et plus de 50 000 pour du phishing. Si vous voulez vraiment assurer la sécurité de votre site, vous êtes au bon endroit.

Dans ce guide de sécurité WordPress, nous vous montrerons comment sécuriser votre site web WordPress contre la plupart des problèmes de sécurité.

Les bases de la sécurité de WordPress

Commençons par comprendre pourquoi la sécurisation de votre site WordPress est essentielle à votre réussite et comment mettre en œuvre quelques mesures de sécurité de base.

Tout d'abord, vous pouvez vous demander pourquoi la sécurité de WordPress est importante.

1. Comprendre pourquoi la sécurité de WordPress est importante

Imaginez que vous vous réveillez un jour et que votre site web WordPress est compromis. Tout le travail effectué pour créer un site professionnel, un blog ou un site de commerce électronique est réduit à néant par des pirates informatiques malveillants.

Les pirates informatiques peuvent introduire des failles de sécurité qui ne nuisent pas seulement au chiffre d'affaires et à la réputation de votre entreprise. Ils peuvent également voler des informations personnelles, telles que des mots de passe et des données de cartes de crédit, et installer des logiciels malveillants qui envoient des nuisances à vos utilisateurs.

Pire encore, vous risquez d'être victime d'un rançongiciel pour retrouver l'accès à votre site web.

Si votre site est une entreprise et que vous voulez éviter ce cauchemar, vous devez accorder plus d'attention à la sécurité de votre site WordPress. Cela commence par la simple pratique de maintenir votre version principale de WordPress à jour.

2. Maintenir les fichiers principaux de WordPress à jour

WordPress étant un logiciel libre, il est régulièrement entretenu et mis à jour. Votre installation par défaut de WordPress installera automatiquement les mises à jour mineures, mais vous devrez mettre à jour WordPress manuellement vers la dernière version pour les versions majeures.

De même, WordPress dispose de milliers de plugins et de thèmes. Les développeurs de ces outils tiers publient également des mises à jour régulières.

En outre, les mises à jour contiennent souvent des correctifs de sécurité qui corrigent les vulnérabilités. Il est donc essentiel de mettre à jour régulièrement vos plugins et thèmes WordPress pour garantir la stabilité et la sécurité de votre site.

3. Supprimer les thèmes et les plugins inutilisés

Outre la mise à jour de vos plugins et thèmes, vous devez également supprimer ceux que vous n'utilisez plus.

Avoir des thèmes et des plugins inutiles, c'est comme laisser les portes de votre maison inutilisées ouvertes. C'est une porte dérobée qui permet aux pirates d'accéder à votre site, alors débarrassez-vous de tout ce dont vous n'avez pas besoin.

4. Utiliser des mots de passe et des autorisations solides

Certaines des tentatives les plus courantes de piratage de WordPress utilisent des noms d'utilisateur et des mots de passe volés pour accéder à un site web. Pour rendre les tentatives de piratage plus difficiles, utilisez des mots de passe forts et uniques pour votre site WordPress.

Cela vaut pour votre site WordPress, votre hébergement, vos comptes FTP, votre adresse électronique professionnelle, etc.

S'il est tentant d'utiliser le nom de votre animal de compagnie parce qu'il est facile à retenir, il est également facile à deviner.

La meilleure pratique consiste à utiliser un mot de passe comportant au moins 12 caractères. Ces caractères doivent comprendre des chiffres, des symboles et des lettres majuscules et minuscules.

De nombreux utilisateurs de WordPress évitent de créer des mots de passe complexes parce qu'ils sont difficiles à retenir. La bonne nouvelle est que vous pouvez utiliser des gestionnaires de mots de passe pour générer et stocker des mots de passe complexes en toute sécurité.

Un autre conseil important est de garder votre compte d'administration WordPress privé. Si vous avez une grande équipe qui travaille sur votre site, ou plusieurs auteurs WordPress, vous pouvez leur attribuer des rôles et des autorisations spécifiques avant d'ajouter leurs nouveaux comptes d'utilisateur.

5. Choisir un hébergeur WordPress sécurisé

Une autre mesure de sécurité de base consiste à s'assurer que l'on utilise un hébergement web de bonne réputation. Les meilleurs fournisseurs d'hébergement WordPress, comme Bluehost, SiteGround et Hostinger, prennent des mesures supplémentaires pour protéger leurs serveurs contre les failles de sécurité.

Un bon hébergeur WordPress travaillera souvent en arrière-plan pour protéger votre site à l'aide des mesures suivantes :

• Surveiller les activités suspectes
• Maintenir les outils de prévention des attaques DDOS à grande échelle
• Maintenir à jour le logiciel du serveur, le matériel et les versions de PHP.
• Déployer des plans de reprise après sinistre et des plans d'urgence en cas d'incidents majeurs

De nombreux hébergeurs proposent des plans d'hébergement partagé dans lesquels vous partagez les ressources du serveur web avec d'autres clients.

Comme les pirates risquent d'utiliser les sites voisins pour attaquer le vôtre, il est préférable d'opter pour un hébergement WordPress géré.

Les fournisseurs d'hébergement WordPress infogérés tels que WPEngine disposent d'une plateforme plus sécurisée. Ils proposent également des sauvegardes automatiques, des mises à jour de WordPress et une sécurité avancée.

Pas de code pour la sécurité de WordPress

Nous comprenons que l'amélioration de la sécurité de WordPress peut être effrayante, en particulier pour les nouveaux propriétaires de sites web et les débutants. Ne vous inquiétez pas, les étapes ci-dessous ne nécessitent aucune expertise technique.

En quelques minutes, vous serez en mesure de renforcer la sécurité de WordPress sans écrire de code.

6. Installer une solution de sauvegarde pour WordPress

La sauvegarde de WordPress est l'un des premiers moyens de défense contre les pirates informatiques. Si quelque chose de terrible se produit, elles vous permettent de restaurer votre site à l'état antérieur.

Les meilleurs plugins de sauvegarde WordPress ont des versions gratuites et payantes avec des fonctionnalités supplémentaires, telles que les transferts de base de données et de fichiers WordPress, les points de récupération et les alertes par e-mail. Cependant, la fonctionnalité la plus importante à rechercher est la possibilité d'effectuer régulièrement des sauvegardes et de les enregistrer dans un emplacement distant.

Recherchez des solutions de sauvegarde avec un stockage hors site sur des sites tels qu'Amazon, Dropbox ou un stockage en nuage privé. En outre, optez pour des plugins qui permettent d'adapter les sauvegardes à votre emploi du temps, par exemple des sauvegardes une fois par jour ou en temps réel.

Parmi les plugins de sauvegarde les plus populaires, citons Duplicator, UpdraftPlus, BlogVault et Jetpack VaultPress Backups. Ils sont faciles à utiliser, fiables et ne nécessitent pas de codage.

7. Choisir le meilleur plugin de sécurité WordPress

Après avoir trouvé une solution de sauvegarde, la tâche suivante consiste à mettre en place un système de surveillance pour suivre l'activité de votre site web. Cette activité peut inclure les tentatives de connexion échouées, la surveillance de l'intégrité des fichiers, la recherche de logiciels malveillants, etc.

La plupart de ces tâches de surveillance sont facilement prises en charge par Sucuri Scanner, le meilleur plugin gratuit de sécurité WordPress. Après avoir installé et activé Sucuri, naviguez vers Sucuri Security " Settings depuis votre tableau de bord WordPress et cliquez sur l'onglet Hardening.

Passez maintenant en revue chaque option et cliquez sur le bouton Appliquer le durcissement.

Ces paramètres permettent de verrouiller les zones de votre site que les pirates utilisent souvent dans leurs attaques. La seule option que vous devrez payer pour mettre à niveau est le Web Application Firewall, que nous expliquerons à l'étape suivante.

Parmi les autres plugins de sécurité WordPress, citons WordFence et iThemes Security.

8. Utiliser un pare-feu d'application Web (WAF)

L'utilisation d'un pare-feu est un moyen efficace de bloquer le trafic malveillant avant qu'il n'atteigne votre site WordPress, et il en existe plusieurs types.

• Pare-feu pour sites Web au niveau DNS : Achemine le trafic du site via des serveurs proxy en nuage, n'envoyant que le trafic authentique à votre serveur web.
• Pare-feu au niveau de l'application : Examine le trafic une fois qu'il atteint votre serveur, mais avant de charger les scripts WordPress.

Comme mentionné ci-dessus, le pare-feu de Sucuri est une solution robuste pour cela. Sucuri a aidé WPBeginner à bloquer 450 000 attaques en 3 mois, ce qui prouve son efficacité.

Le plugin est également livré avec une garantie de nettoyage des logiciels malveillants et de suppression de la liste noire, de sorte que si vous êtes piraté pendant que vous l'utilisez, il réparera votre site, sans poser de questions. Si l'on considère que la plupart des experts en sécurité facturent environ 250 $ de l'heure, ce service est une véritable aubaine, puisqu'il ne coûte que 199 $ par an.

Améliorez votre sécurité WordPress avec Sucuri Firewall dès aujourd'hui.

9. Passer de HTTP à SSL/HTTPS

Si vous ne l'avez pas encore fait, l'ajout du cryptage SSL à votre site WordPress est une étape cruciale. SSL, abréviation de Secure Sockets Layer, crypte les transferts de données entre votre site et les navigateurs des visiteurs. En gros, il rend plus difficile le vol d'informations par les pirates informatiques.

Une fois le SSL activé, votre site utilisera HTTPS au lieu de HTTP. Une icône de cadenas apparaîtra à côté de votre adresse dans les navigateurs web.

Les prix des certificats SSL varient de 80 à plusieurs centaines de dollars par an, ce qui fait que de nombreux propriétaires de sites évitent d'y avoir recours. Cependant, depuis que Let's Encrypt a commencé à proposer des certificats SSL gratuits, de nombreux hébergeurs les offrent dans le cadre de leurs plans.

Si votre hébergeur ne propose pas de SSL, vous pouvez en acheter un auprès de domain.com. Ils proposent l'offre SSL la plus fiable, avec une garantie de sécurité de 10 000 $ et le sceau de sécurité TrustLogo.

Conseils avancés de sécurité pour WordPress

Une fois que vous avez maîtrisé les étapes de sécurité ci-dessus, il est temps de passer à la vitesse supérieure. Il y a toujours plus à faire pour sécuriser votre site WordPress, explorons quelques mesures de sécurité avancées.

Remarque : certaines des étapes ci-dessous peuvent nécessiter des connaissances en matière de codage.

10. Limiter les tentatives de connexion

Pour mieux protéger votre site contre les attaques par force brute, vous pouvez limiter les tentatives de connexion à WordPress. Ainsi, lorsque quelqu'un saisit un mot de passe erroné à plusieurs reprises, il est exclu de votre site pendant un certain temps.

Une façon de mettre en œuvre cette fonctionnalité est d'utiliser le plugin Limit Login Attempts Reloaded.

Il vous permet de spécifier le nombre maximum de mots de passe incorrects autorisés avant de bloquer l'utilisateur et vous envoie un courrier électronique en cas d'échec de la connexion.

Pour obtenir des instructions complètes sur la configuration de ce plugin, consultez ce guide sur la façon de limiter les tentatives de connexion dans WordPress.

11. Utiliser l'authentification à deux facteurs

L'authentification à deux facteurs rend le processus de connexion des utilisateurs légitimes plus compliqué et plus ennuyeux et contribue à empêcher les personnes indésirables d'accéder à votre site web.

Comme son nom l'indique, l'authentification à deux facteurs exige des utilisateurs qu'ils franchissent deux étapes de sécurité avant de pouvoir utiliser le site. La première étape est généralement le traditionnel défi nom/mot de passe. La seconde étape consiste à saisir un code de sécurité qui leur est envoyé par SMS ou par un autre dispositif sécurisé.

De nombreux plugins vous permettent de mettre en place une authentification à deux facteurs, comme le plugin gratuit WordPress Two Factor Authentication.

Après avoir installé et activé le plugin, cliquez sur le lien Auth à deux facteurs dans votre administration WordPress, qui révèle un code d'installation à usage unique.

Ensuite, installez et ouvrez une application d'authentification sur votre téléphone, telle que Google Authenticator, et cliquez sur l'icône plus pour ajouter un nouveau code.

Ensuite, vous pouvez scanner le code QR sur la page de configuration du plugin pour terminer l'installation.

La prochaine fois que vous vous connecterez à votre site WordPress, il vous demandera le code d'authentification à deux facteurs après avoir saisi votre mot de passe.

12. Cacher la page de connexion de WordPress

Presque tous les pirates savent que l'on accède généralement à la page d'administration de WordPress en ajoutant /wp-admin après le nom de domaine. Par exemple, si votre nom de domaine est xyz.com, votre page d'administration est probablement accessible par l'URL suivante : http://xyz.com/wp-admin.

Ils savent également que le nom de la page de connexion est wp-login.php.

Heureusement, vous pouvez changer cela. Des plugins, tels que WPS Hide Login, vous permettent de personnaliser votre URL de connexion.

Il est beaucoup plus difficile pour les pirates de s'introduire dans votre système s'ils ne peuvent pas trouver votre page de connexion. Vous pouvez également suivre ce guide sur la façon de changer l'URL de connexion de WordPress.

13. Modifier le nom d'utilisateur de l'administrateur par défaut

De même, votre installation WordPress peut donner aux comptes administrateurs le nom d'utilisateur "admin". Il est préférable de changer ce nom dès que possible, car les pirates informatiques le connaissent et peuvent tenter un piratage par "force brute" (en essayant plusieurs mots de passe à plusieurs reprises) avec ce nom d'utilisateur.

De nombreux hébergeurs sont conscients de ce risque d'attaque et, par conséquent, évitent de créer le compte administrateur avec le nom "admin". Toutefois, cela vaut la peine de vérifier pour renforcer votre sécurité.

14. Accorder un accès administrateur par IP

Si vous êtes la seule personne autorisée à effectuer des tâches administratives sur votre site WordPress, vous pouvez également restreindre l'accès administratif par adresse IP.

Votre adresse IP est un quatuor de chiffres qui vous identifie en ligne. Il s'agit de votre adresse numérique.

Dans cette optique, vous pouvez demander à WordPress de n'autoriser l'accès à l'administration qu'aux personnes disposant d'une adresse IP spécifique. Cela signifie que les pirates qui tentent d'accéder à votre site à partir d'une autre adresse IP n'y parviendront pas.

Pour mettre en œuvre cette fonction de sécurité, rendez-vous sur whatismyip.com pour découvrir votre adresse IP. Ensuite, vous devrez modifier votre fichier .htaccess dans le répertoire d'administration de votre hébergeur pour effectuer le changement de sécurité.

Si vous ne savez pas comment faire, appelez le service d'assistance technique de votre société d'hébergement et demandez à un technicien de le faire pour vous.

Plus précisément, vous voudrez ajouter au fichier quelque chose qui ressemble à ceci :

<Files wp-login.php>
order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

Remplacez "xxx.xxx.xxx.xxx" par l'adresse IP que vous avez vue sur whatismyip.com. Une fois que c'est fait et que le fichier est sauvegardé, seules les personnes ayant cette adresse IP spécifique peuvent accéder à l'administration de WordPress.

Remarque : Votre fournisseur d'accès à Internet (FAI) change parfois votre adresse IP. Dans ce cas, vous ne pourrez plus accéder à votre site. La solution consiste à appeler le service d'assistance technique et à demander à un technicien de mettre à jour l'adresse IP en conséquence. Cette opération est à vos risques et périls.

15. Désactiver XML-RPC dans WordPress

ML-RPC est une fonctionnalité introduite dans WordPress 3.5 qui permet de connecter votre site WordPress avec des applications web et mobiles. Cependant, en raison de sa puissance, elle peut également amplifier les attaques par force brute.

Par exemple, auparavant, si un pirate voulait essayer 500 mots de passe différents, il devait faire 500 tentatives de connexion, ce que les plugins de limitation des tentatives de connexion détectaient généralement. Cependant, avec XML-RPC, les pirates peuvent utiliser la fonction system.multicall pour essayer des milliers de mots de passe avec moins de requêtes.

Par conséquent, si vous n'utilisez pas XML-RPC, il est préférable de le désactiver. Pour des instructions complètes, voir ce guide sur la façon de désactiver XML-RPC dans WordPress.

16. Désactiver l'édition de fichiers

WordPress dispose d'un éditeur de code intégré qui vous permet de modifier les fichiers des thèmes et des plugins WordPress à partir de la zone d'administration de votre site. Entre de mauvaises mains, cette fonction peut mettre en péril la sécurité de votre site, c'est pourquoi il est préférable de la désactiver.

Vous pouvez le faire facilement en ajoutant le code suivant à votre fichier wp-config.php.

<Files *.php>
deny from all
</Files>

Vous pouvez également désactiver l'édition de fichiers à l'aide de la fonction de durcissement du plugin gratuit de Sucuri mentionné plus haut.

17. Recherche de logiciels malveillants sur votre site WordPress

Vous disposez probablement déjà d'un logiciel antivirus sur votre PC qui analyse votre disque dur pour détecter les menaces potentielles. Si vous avez installé un plugin de sécurité WordPress, il vérifiera régulièrement si votre site présente des failles de sécurité et des logiciels malveillants.

Toutefois, une baisse soudaine du trafic sur votre site web ou de son classement dans les moteurs de recherche peut indiquer que quelque chose ne va pas et que vous devriez lancer une analyse manuelle. Pour ce faire, vous pouvez utiliser votre plugin de sécurité WordPress ou un scanner de sécurité et de logiciels malveillants.

L'exécution d'un scanner en ligne est simple. Il suffit de saisir l'URL de votre site web et le scanner le parcourra à la recherche de logiciels malveillants et de codes malveillants.

Si ces scanners peuvent analyser votre site web, ils ne peuvent pas supprimer les logiciels malveillants ou nettoyer un site piraté.

Prochaines étapes

Nous espérons que ce guide sur la façon de sécuriser votre site WordPress contre les pirates informatiques vous a été utile. Votre site WordPress est aussi vulnérable aux intrusions que n'importe quel autre site sur le web, mais vous pouvez réduire le risque d'une attaque en suivant les meilleures pratiques de sécurité WordPress.

Pour en savoir plus, consultez les tutoriels et guides suivants :

• Les meilleurs plugins WordPress multisite
• Comment protéger un site WordPress par un mot de passe
• Les meilleurs plugins de duplication WordPress
• Comment accepter les paiements sécurisés de Stripe dans WordPress

Merci de votre lecture ! Nous aimerions connaître votre avis, alors n'hésitez pas à laisser un commentaire pour nous faire part de vos questions et de vos réactions.

Vous pouvez également nous suivre sur YouTube, X (anciennement Twitter) et Facebook pour obtenir d'autres contenus utiles au développement de votre entreprise.

Stacey Corrin Rédacteur

Stacey écrit sur WordPress et le marketing numérique depuis plus de 10 ans et sur d'autres sujets depuis bien plus longtemps. Parallèlement, elle est fascinée par la conception de sites web, l'expérience utilisateur et le référencement.

Voir la bio complète

WordPress SEO Marketing de contenu Marketing digital SaaS Rédaction Conception de sites web