Sécurité WordPress : Comment protéger et sécuriser WordPress ?

Bien que WordPress soit généralement un logiciel très sécurisé et soit régulièrement audité par des centaines de développeurs, étant une plateforme open source, des failles de sécurité peuvent survenir occasionnellement, souvent en raison des plugins et des thèmes utilisés. Bien qu’il ne soit pas possible d’éliminer complètement les risques, il est possible de les minimiser grâce aux mesures de sécurité de WordPress.

Selon les statistiques Internet en direct, plus de 100 000 sites Web sont attaqués chaque jour. Pour éviter de figurer parmi ces sites (ou pour réduire les risques), prendre des mesures de sécurité WordPress est d’une importance cruciale.

Voici la liste la plus à jour des mesures de sécurité WordPress pour 2024 :

Choisissez des sociétés d'hébergement fiables et qualifiées

Il ne serait pas exagéré de dire que le choix de l’hébergement pour votre site Web ou votre entreprise est l’élément vital de la sécurité d’un site. C'est pourquoi WordPress se classe au premier rang parmi les mesures de sécurité.

La première chose à faire pour ouvrir un site internet ou un blog est de choisir l’hébergement. À ce stade, au tout début du voyage, il serait avantageux pour vous d’investir dans un bon hébergement. L'entreprise que vous choisissez doit inclure la dernière version de PHP et MySQL, ainsi que des services importants tels qu'un pare-feu, des sauvegardes de journaux, des analyses de logiciels malveillants, des mesures de prévention DDOS et une surveillance de sécurité 24h/24 et 7j/7.

Le coût d’un hébergement qui répond à ces conditions peut être plus élevé que d’autres, mais cela en vaut quand même la peine pour la sécurité et le bon fonctionnement de votre site web.

Utilisez SSL pour la sécurité WordPress

SSL (Secure Socket Layer) est un protocole qui crypte le transfert de données. Lorsque vous activez SSL, votre site Web s'ouvre en HTTPS au lieu de HTTP et comporte un symbole de cadenas devant l'URL, indiquant que le site est sécurisé.

Avec SSL, vous prenez non seulement des mesures de sécurité WordPress, mais votre classement dans les moteurs de recherche est également affecté positivement. (Google a officiellement déclaré que https est un facteur de classement !)

Les certificats SSL sont généralement émis par des autorités de certification et ont généralement des prix élevés. Cependant, il est également possible d'utiliser SSL gratuit avec Let's Encrypt, une organisation à but non lucratif. En fait, de nombreuses sociétés d'hébergement proposent désormais des certificats SSL gratuits à leurs clients.

Sauvegardez régulièrement votre site

Quelles que soient les précautions que vous prenez pour garantir la sécurité de votre site, la chose la plus importante à faire est d’effectuer des sauvegardes régulières. Si vous perdez votre site à cause d'attaquants, vous pouvez surmonter la situation avec un minimum de dégâts grâce aux sauvegardes que vous avez reçues. Votre première défense sera donc ces sauvegardes.

Gardez votre version WordPress, vos plugins et vos thèmes à jour

La version Wp, les plugins et les thèmes non mis à jour peuvent créer des vulnérabilités de sécurité majeures. WordPress est un logiciel open source régulièrement entretenu et mis à jour. De nombreux bugs et vulnérabilités sont corrigés à chaque fois qu’une nouvelle version est publiée. De même, assurez-vous de toujours utiliser la version à jour de vos thèmes et plugins. Si vous ne mettez pas à jour, votre site courra de sérieux risques.

Alors comment mettre à jour ?

Si vous disposez d'une nouvelle mise à jour pour WordPress, les thèmes et les plugins, vous pouvez les voir dans la section « Mises à jour » du panneau d'administration et les mettre à jour en un seul clic.

Assurez-vous de supprimer tous les thèmes et plugins que vous n’utilisez pas.

Utilisez des mots de passe forts

Les mots de passe faibles sont faciles à deviner. Les pirates utilisent un logiciel spécial pour forcer les connexions, également appelées attaques par force brute. Par conséquent, il est important de créer des mots de passe forts uniques pour la sécurité de WordPress.

Utilisez une combinaison de lettres majuscules et minuscules, de chiffres aléatoires et de symboles pour créer un mot de passe fort. N'oubliez pas non plus de changer votre mot de passe tous les quelques mois. Assurez-vous d'avoir des mots de passe forts non seulement pour vous connecter à votre compte WordPress, mais également pour votre compte d'hébergement, vos comptes FTP, votre base de données et vos comptes de messagerie privés.

Utiliser l'authentification à deux facteurs

Même si votre mot de passe est sécurisé, il existe toujours un risque. L'authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe mais également d'une deuxième méthode pour vous connecter.

La vérification de la connexion avec un SMS, un appel téléphonique ou un mot de passe à usage unique basé sur le temps fait souvent partie des meilleures mesures de sécurité WordPress. En fait, c’est le 100% qui est efficace la plupart du temps.

Pour cela, vous pouvez utiliser l'un des plugins suivants :

Authentification à deux facteurs Duo
Authentificateur Google

Sécurité de connexion WordPress avec CAPTCHA

L'utilisation de CAPTCHA est un moyen simple mais efficace de prévenir les attaques par force brute sur votre site Web.

Après un certain nombre de tentatives de connexion infructueuses, un CAPTCHA est généré pour déterminer si l'utilisateur est un humain ou un robot. Les CAPTCHA sont conçus pour être illisibles par les robots. Les robots ne peuvent pas se connecter tant qu'ils n'ont pas résolu le CAPTCHA.

Changez votre URL de connexion WordPress

Une autre étape importante dans la prise de mesures de sécurité WordPress consiste à modifier l’URL de connexion WordPress.

Par défaut, toute personne qui ajoute /wp-login.php ou /wp-admin/ à la fin de votre nom de domaine peut accéder à votre page de connexion WordPress. En modifiant l'URL, vous pouvez devenir moins une cible et être mieux protégé contre les attaques par force brute. Bien qu’il ne s’agisse pas d’une solution majeure pour la sécurité de WordPress, c’est une mesure que vous pouvez utiliser conjointement avec d’autres mesures de sécurité WordPress pour protéger votre site Web.

Le moyen le plus simple de modifier votre URL de connexion WordPress est d'utiliser un plugin (surtout si vous êtes nouveau dans ce domaine). L'un des meilleurs plugins que vous puissiez utiliser est le WP Safe Zone plugin de sécurité.

Désactiver l'édition de fichiers

Vous pouvez modifier vos fichiers de thème et de plugin directement depuis le panneau d'administration WordPress. Cependant, cette fonctionnalité peut présenter de sérieux risques de sécurité. Par conséquent, nous vous recommandons d’éviter de modifier vos fichiers directement depuis le panneau Wp.

Pour ce faire, ajoutez simplement le code suivant à votre fichier wp-config.php.

// Interdire la modification du fichier definition( 'DISALLOW_FILE_EDIT', true );

Connectez-vous à cPanel et accédez à « Gestionnaire de fichiers ». Recherchez « wp-config.php » dans le dossier « public.html », faites un clic droit dessus et cliquez sur « Modifier ». Ajoutez le code ci-dessus à la fin du fichier et enregistrez la page.

Changer le préfixe de la base de données WordPress

Une autre mesure de sécurité WordPress consiste à modifier le préfixe de la base de données.

Par défaut, il utilise le préfixe wp_ pour toutes les tables de votre base de données. L'utilisation du préfixe par défaut rend la base de données de votre site vulnérable aux attaques par injection SQL. Changer cela augmentera encore plus votre sécurité. Par exemple, au lieu de wp_, vous pouvez spécifier un préfixe aléatoire tel que shfwp_, mywp_, wpdlt_, etc.

Lorsque vous installez WordPress pour la première fois, vous pouvez spécifier le préfixe de la base de données. Cependant, si vous ne l'avez pas fait, vous pouvez toujours modifier le préfixe de la base de données, qui est actuellement wp_.

***Ce processus est risqué et peut complètement détruire votre site s'il n'est pas effectué correctement.

Désactivez XML-RPC dans WordPress

Bien que XML-RPC aide à connecter votre site WordPress aux applications Web et mobiles, il peut augmenter considérablement les attaques par force brute. Par conséquent, si vous n'utilisez pas XML-RPC, nous vous recommandons de le désactiver. Ajoutez simplement le code suivant à votre fichier .htaccess :

Bloquer XML-RPC dans Apache :

ordre refuser, autoriser refuser de tous autoriser à partir de 123.123.123.123

Bloquer XML-RPC dans Nginx

emplacement = /xmlrpc.php { refuser tout ; }

Masquer le nom d'utilisateur que vous utilisez pour la connexion WordPress

Quiconque souhaite connaître votre nom d'utilisateur saisit simplement cette simple URL dans le navigateur : siteadi.com/wp-json/wp/v2/users.

Pour éviter cela, entrez l'extrait de code suivant dans votre fichier function.php. Avec ce code, la liste des utilisateurs est masquée et un message d'erreur apparaît à ceux qui saisissent l'url.

add_filter( 'rest_endpoints', function( $endpoints ){ si ( isset( $endpoints['/wp/v2/users'] ) ) { non défini( $endpoints['/wp/v2/users'] ); } si ( isset( $endpoints['/wp/v2/users/(?P<id>[\\\\\\\d]+)'] ) ) { unset( $endpoints['/wp/v2/users/(?P<id>[\\\\\\\d]+)'] ); } return $endpoints; });

Utilisez la dernière version de PHP

Garder la version PHP à jour est également très important pour la sécurité du site WordPress. Chaque version de PHP prend en charge la correction de diverses vulnérabilités de sécurité. Pour garantir une sécurité maximale, assurez-vous que votre site est pris en charge par la dernière version de PHP.

Désactiver le rapport d'erreurs PHP

Les pirates peuvent utiliser les messages d'erreur de manière malveillante. Par exemple, une erreur provenant d'un thème ou d'un plugin pourrait afficher le chemin de votre serveur.

Pour désactiver le rapport d'erreurs, ajoutez le code suivant à votre wp-config.php file:

rapport d'erreur (0); @ini_set ('display_errors', 0);

Protégez votre fichier wp-config.php

Le fichier wp-config.php est l’un des fichiers les plus importants, mais aussi les plus vulnérables de votre site. Il contient des données très sensibles. Ce fichier doit être protégé.

Le moyen le plus simple de procéder consiste à déplacer le fichier wp-config.php un cran au-dessus de votre répertoire racine WordPress.

Vous pouvez également empêcher l'accès au fichier en ajoutant le code suivant à votre fichier .htaccess :

ordre autoriser, refuser refuser de tous

Bloquer l'accès à d'autres fichiers sensibles

L'installation de WordPress inclut non seulement le fichier wp-config.php, mais également quelques fichiers plus sensibles tels que les fichiers install.php, readme.html. Ces fichiers ne doivent pas être accessibles à d'autres.

Encore une fois, c’est là que notre meilleur ami, le fichier .htaccess, entre en jeu. Vous pouvez masquer vos fichiers sensibles contre tout accès non autorisé en ajoutant les codes suivants à ce fichier :

Ordre autoriser, refuser Refuser de tous Ordre autoriser, refuser Refuser de tous Ordre autoriser, refuser Refuser de tous Ordre autoriser, refuser Refuser de tous

Utiliser les autorisations de fichiers correctes

Une autorisation de fichier incorrecte, telle que 777, pourrait permettre à un pirate informatique de télécharger un fichier ou de modifier un fichier existant. Pour modifier les autorisations de fichiers, vous devez vous connecter à votre cPanel, accéder à « Gestionnaire de fichiers » et apporter les modifications nécessaires.

Selon WordPress, les autorisations suivantes sont les autorisations correctes :

• Tous les dossiers doivent être 755 ou 750
• Tous les fichiers doivent être 644 ou 640
• wp-config.php devrait être 440 ou 400

Ajoutez votre site à la console de recherche Google

Il existe de nombreux avantages à ajouter votre site WordPress à Google Search Console. En plus de consulter les données sur votre site, vous pouvez également consulter ici les problèmes de sécurité. Si Google détecte des problèmes avec votre site, il vous en informera par e-mail.

Obtenez un plugin de sécurité WordPress

Le moyen le plus simple, le plus rapide et le plus sûr de prendre des mesures de sécurité WordPress consiste à utiliser un plugin de sécurité WordPress tout-en-un qui comprend les étapes ci-dessus et bien plus encore.

Dans le domaine de la sécurité WordPress, la vigilance est primordiale. L'une des mesures les plus critiques que vous puissiez prendre consiste à intégrer un pare-feu d'application Web (WAF) robuste. Votre WAF constitue la principale barrière, interceptant et contrecarrant les attaques malveillantes avant même qu'elles n'aient la possibilité de pénétrer dans votre site.

Pourquoi choisir WP Safe Zone ?

1. Protection avancée par pare-feu : WP Safe Zone dispose d'un pare-feu d'applications Web avancé qui agit comme une sentinelle vigilante pour votre site Web. En scrutant le trafic entrant en temps réel, il bloque efficacement les tentatives malveillantes, renforçant ainsi votre site contre une myriade de cybermenaces.

2. Détection proactive des menaces : Avec WP Safe Zone, vous disposez de fonctionnalités de détection proactive des menaces. Le plugin surveille en permanence votre environnement WordPress, identifiant et neutralisant rapidement toute activité suspecte avant qu'elle ne puisse compromettre l'intégrité de votre site.

3. Politiques de sécurité personnalisables : Adaptez vos protocoles de sécurité à vos besoins spécifiques avec WP Safe Zone. Que vous préfériez une protection stricte ou une approche plus équilibrée, le plugin propose des paramètres personnalisables pour s'aligner sur vos exigences de sécurité uniques.

4. Interface conviviale : WP Safe Zone donne la priorité à la facilité d'utilisation avec son interface intuitive. Vous n'avez pas besoin d'être un expert en cybersécurité pour améliorer la sécurité de votre WordPress – le plugin simplifie le processus, le rendant accessible aux utilisateurs de tous niveaux de compétence.

Ne laissez pas votre site WordPress vulnérable aux menaces potentielles. Investissez dans WP Safe Zone dès aujourd'hui et renforcez votre forteresse numérique en toute confiance.