Mesures de sécurité essentielles à WordPress
1- Le compte Admin
En premier lieu, quelque soit la méthode d’installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé.
Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine.
2- Mot de passe
Il faut toujours utiliser des mots de passe complexes associant lettres, symboles et chiffres.
Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. Vous aurez ainsi un login bien plus sûr.
3- Pensez à restreindre le nombre d’essais d’identification
Plusieurs plugins permettent de vous protéger des attaques par “force brute”, c’est-à-dire les tentatives pour deviner votre mot de passe par une recherche de toutes les combinaisons possibles.
Installez une extension qui bloque les tentatives répétées d’une même adresse IP. (WPS Limit Login par exemple). Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.
4- Pensez à masquer la version de votre WordPress
Votre version donne des informations aux hackers pour trouver d’éventuelles failles de sécurité. Dans le fichier function.php de votre thème, ajoutez ce bout de code :
remove_action("wp_head", "wp_generator");
Le numéro de version WP se trouve également dans le fichier readme.html situé à la racine de votre WordPress (fichier à supprimer également)
5- Faites des sauvegardes
Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque. Il vaut mieux prévenir que guérir!
Sous WordPress les solutions pour la sauvegarde ne manquent pas. Voir comment sauvegarder WordPress ?
6- Soyez prudent lorsque vous téléchargez des templates
Les thèmes gratuits télécharger au hasard du web peuvent révéler de nombreux virus.
Pour vous protéger, installez un plugin de type TAC, comme par exemple : Theme Authenticity Checker, celui-ci scanne et analyse les thèmes à la recherche d’un éventuel virus.
7- Faites des mises à jour régulières
C’est du basique mais cela reste essentiel, toujours avoir la dernière version, c’est essentiel !
- Mettez à jour votre WordPress car cela permet d’avoir les tous derniers correctifs des failles de sécurité.
- Voyons aussi comment mettre à jour vos plugins afin d’avoir toujours la version la plus récente/secure et aussi pour éviter tout risque d’incompatibilité.
- Il n’y a pas que les plugins et WordPress, mettez à jour votre thème.
Encore une fois avant toute mise à jour, pensez à sauvegarder votre site.
8- Ajouter/changer les clefs de sécurité secrètes
Les clés d’authentification SALT créent un cookie d’identification qui protège votre installation.
Si ces codes ne sont pas présents dans votre fichier wp-config.php, vous pouvez les générer et les ajouter en vous rendant sur https://api.wordpress.org/secret-key/1.1/salt/
9- Protégez vos fichiers
Bloquez la navigation dans vos dossiers WordPress. Par défaut, n’importe qui peut accéder au contenu de vos dossiers WordPress (wp-content) via un simple navigateur.
Pour protéger le fichier wp-config via votre .htaccess, ajoutez:
<Files wp-config.php> order allow,deny deny from all </Files>
Pour cacher les répertoires sensibles toujours via le htaccess:
Options All -Indexes
Enfin pour protéger le fichier htaccess lui-même:
<Files .htaccess> order allow,deny deny from all </Files>
10- Changez le préfixe “wp_”
Par défaut le préfixe des tables de la base MYSQL pour WordPress est “wp_”. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection.
Utilisez le plugin Brozzme DB Prefix, un outil en un clic pour modifier votre préfixe de base de données (base de données et wp-config.php). Pour appliquer un nouveau préfixe, il vous suffit de vérifier que le wp-config.php est inscriptible et que les droits Alter de la base de données sont activer.
Une seule entrée est nécessaire : le nouveau préfixe de base de données. Le plugin va s’occuper de tout. Vous n’avez qu’à appuyer sur le bouton si vous êtes ok avec le préfixe généré. Bien sûr, le préfixe peut être modifié pour répondre à vos besoins.
11- Masquez les erreurs de connexion
WordPress renvoie un message bien trop explicite en cas de problème de connexion, ajouter la ligne suivante à votre functions.php du thème permet d’afficher un message d’erreur banalisé:
add_filter('login_errors',create_function('$a', "return null;"));
12- Désactiver l’éditeur de fichiers
Empêchez l’édition de vos fichiers directement depuis WordPress, ajouter simplement la ligne suivante à votre functions.php:
define('DISALLOW_FILE_EDIT',true);
13- Déplacer votre PhpMyAdmin
Cette application Web permet de gérer vos bases de données, située généralement à l’adresse suivante: /monsite.com/phpmyadmin, il est fortement recommandé de la déplacer (voir avec votre hébergeur ou infogérance).
14- Déplacer votre page de login
A l’aide d’un simple plugin tel que WPS Hide Login vous pouvez changer votre URL de connexion WordPress et limiter ainsi les attaques par “Brut Force” des hackers.
15- Choisissez un hébergement spécialisé WordPress
Laissez votre hébergeur se préoccuper de la sécurité. Avec un hébergeur WordPress, votre site est entre de bonnes mains, certes plus cher que le mutualisé, ce type d’hébergement maintient, protège, répare et optimise votre site.
Aller plus loin pour sécuriser WordPress
Sur un site WordPress, deux notions essentielles sont à penser le filtrage et la désinfection. Un utilisateur peut s’infiltrer par des moyens multiples et le codage sert à détecter le piratage (chaines de caractères suspects, emails incorrects). Un bon codage sert à bloquer ces tentatives d’intrusions. La désinfection se fait à l’aide un antivirus efficace qui scanne les failles de sécurité de votre site.
Pensez à vous informer régulièrement sur les nouvelles failles de sécurité. Elles sont nombreuses et en étant vigilant, vous pouvez les devancer et être toujours bien protégé. Pensez à être constant dans vos vérifications de sécurité, car elles ne peuvent jamais être sûres à 100%.
Voici quelques sites pour suivre les alertes et failles détectées: Vigilance.fr ou bien encore Blog.secupress.fr
En bonus, retrouvez ci après 4 solutions pour renforcer la sécurité de WordPress:
- Passer votre WordPress en HTTPS, c’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité. Les sites sécurisés via SSL bénéficient en outre, d’un avantage pour leur référencement dans les pages de résultats de recherche.
- Un moyen détourné pour se protéger est de camoufler son WordPress, pour se faire il existe le plugin HideMyWp. Ce dernier déplace certains répertoires et masque le fait que vous utilisiez un WP. Attention toutefois sa configuration peut être périlleuse…
- Enfin, l’antivirus que je préfère : WordFence. C’est un plugin freemium, c’est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium. Très efficace et performant, je vous invite à lire le tutoriel complet de cet antivirus pour WordPress.
- Enfin si pour votre WordPress il est déjà trop tard, consultez notre guide : WordPress piraté, comment réagir ?
Enfin et pour conclure : Protégez votre travail par de vrais mots de passe sécurisés, faites des sauvegardes régulières, installez un antivirus qui scanne régulièrement votre site et vos fichiers. Ce sont là des actes de préventions importants.
Ces 4 plugins gratuits sécurisent ton site :
- Renforce la sécurité avec des protections
- Sauvegarde pour effectuer une récupération
- Préviens les attaques
Cela ne prend que quelques minutes pour les paramétrer à l’aide de ce tutoriel détaillé.
Tu retrouveras également 5 bonnes pratiques pour protéger ton site WordPress.
Sommaire
Cet article prend environ 7 minutes à lire. Si tu n’as pas le temps, tu l’épingles sur Pinterest pour le lire plus tard.


Tu retrouves 3 extensions simples à mettre en œuvre et accessibles à tous. Cloudflare s’adresse aux utilisateurs avancés et n’est pas obligatoire quand tu débutes car les risques d’une attaque massive contre ton site sont limités.
Je te propose un test rapide de ton site pour vérifier s’il n’est pas infecté avant de débuter les installations.
Une inspection minute avec Sucuri
Tu te connectes sur l’outil de test de protection de Sucuri et complètes l’URL de ta page d’accueil.

Le scanner valide l’absence de malwares.

Il agrège 7 vérifications externes pour valider la sécurité du domaine.

Je te présente un outil incroyable pour optimiser la protection de WordPress.
SecuPress renforce la sécurité de WordPress
L’extension, en français, couvre tous les principaux thèmes liés à la sécurité de WordPress et sa version gratuite est, je trouve, particulièrement généreuse et évite de multiplier les extensions.
Les explications sont claires et l’interface efficace.
Tu installes SecuPress.

Secupress > Scanners

Tu audites ton site.

SecuPress donne une note à ton site. Ne t’inquiète pas. C’est juste pour t’informer des actions qu’il va effectuer pour toi.

Tu vas passer sur la partie Modules : SecuPress > Modules
Je passe volontairement les paramètres de la version payante (en orange).
Tu navigues à l’aide du menu à gauche.

Utilisateurs & Login
Tu indiques la nouvelle adresse de ta page de connexion à l’administration. Une url du style “hudiushdkj63” sera impossible à trouver au hasard.
Tu notes soigneusement cette adresse. Dès ta prochaine connexion, tu accéderas à ton administration par monsite.com/hudiushdkj63.

Tu limites les tentatives de connexion pour te prémunir contre des robots qui essaient toutes les combinaisons.

J’ai été plus conservateur que les recommandations concernant les limites :
- Combien de tentatives avant de bannir ? : 3 (le minimum)
- Combien de temps de bannissement ? : 60 minutes (le maximum)

Tu caches les erreurs de connexion.

Tu ajoutes, si tu le souhaites, une protection supplémentaire avec un captcha efficace contre les robots.
Si tu utilises Dashlane ou un autre gestionnaire de mots de passe, ne coches pas cette option.
Je me suis retrouvé banni de mon propre site !!!

Tu demandes l’ancien mot de passe quand un utilisateur veut le changer.

Je n’ai pas encore d’utilisateurs que je souhaite bannir. Mais bon, c’est possible. Tu les gères dans la section Journaux et IP.
Tu bloques l’énumération des utilisateurs et des auteurs.

Tu enregistres.
Plugins & Thèmes
Tu bloques les modifications sur ton thème et l’installation d’extensions. Tu devras désactiver ces options quand tu souhaiteras changer de thème ou installer de nouvelles fonctionnalités.
Tu interdis le chargement des thèmes directement sous format .zip.

Tu bloques l’installation de nouveaux plugins

et l’installation de thèmes.

Cœur de WordPress
Tu forces les mises à jour mineures. Elles concernent uniquement le renforcement de la sécurité et présentent peu de risques.
Je suis plus mesuré pour les mises à jour des versions majeures.
Si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Beaucoup suggèrent de laisser 2-3 semaines aux créateurs d’extensions pour finaliser les ajustements.

L’éditeur est idéal pour modifier simplement les fichiers CSS et PHP de ton thème enfant. Tu ne le désactives que si ton site est finalisé.
Tu filtres les uploads.

Données sensibles
Tu limites les multiples tentatives d’authentification du XML-RPC.

Tu ajoutes un trou noir.

Tu masques les informations qui pourraient aider les hackers et coches les 6 prochaines options :
- affichage des fichiers dans les dossiers
- divulgation des modules PHP
- affichage de la version de PHP
- affichage de la version de WordPress
- accès aux fichiers mauvaises url
- fichiers readme

Parefeu
Tu bloques les mauvaises en-têtes :
- les mauvais user-agents
- les mauvaises méthodes de requêtes
- les faux bots SEO

et les mauvaises URLs
- mauvais contenus des URLs
- scanners d’injections SQL
- 404 sur les fichiers .php

Antispam
Tu peux désactiver les commentaires de ton site ou lutter contre les spams dans les commentaires. Je préconise de les conserver.

Tu supprimes les codes courts, tu utilises une black list étendue et tu désactives les Pingbacks et Trackbacks.

Journaux et IP
Tu peux bloquer des IPs et conserver l’activité de ton site. Je n’en ai pas vu l’intérêt pour l’instant.
Tu testes à nouveau ton site et obtiens la note la plus haute (B) sans acheter la version Pro. C’est largement suffisant pour l’instant.
La sauvegarde de ton site te sera utile pour restaurer une version saine en cas de piratage ou si tu réalises une mauvaise manipulation.
UpdraftPlus sauvegarde ton site
Tu installes l’extension UpdraftPlus WordPress Backup Plugin.

Réglages > Sauvegardes UpdraftPlus

Tu cliques sur l’onglet Réglages.
Tu indiques la fréquence des sauvegardes automatiques.

Je préconise une sauvegarde qui suit le rythme de publication avec 1 mois d’archives ou une dizaine de sauvegardes en quotidien.
Tu peux envoyer une copie de la sauvegarde vers des espaces de partage comme Google Drive ou Dropbox. Cela devient indispensable quand ton site prend du poids car il est plus rapide de réaliser un export à partir de ces services que de WordPress.
Tu vérifies qu’Extensions, thèmes, et téléversements soient sélectionnés

ainsi que Tout autre répertoire trouvé dans WP-content.

Tu ne touches pas aux exclusions.
Tu coches Courriel pour recevoir un avis de sauvegarde. C’est utile en cas de problème.

Tu enregistres.
Sauvegarde ponctuellement
Quand tu réalises une modification importante, c’est une bonne pratique de réaliser une sauvegarde manuelle.
Onglet Sauvegarder/restaurer
Tu cliques sur Sauvegarder

et recommences.

Tu obtiens ce message.

Restaure une version précédente
Onglet Sauvegarder/restaurer
Tu retrouves tes sauvegardes en bas et tu cliques sur restaurer.

Tu sélectionnes tous les éléments et tu confirmes avec restaurer.


Tu ne fermes pas la page avant la fin de la procédure.


Cette extension est disponible dans le CPanel de certains hébergeurs (comme o2switch). Si tu as cette chance, ce serait dommage de passer à côté.
WP Tiger
Tu cliques sur WP Tiger

puis sur Gérer le site.

Tu crées une nouvelle sauvegarde qui sera un clone de ton site.

Si tu débutes, tu passes directement aux bonnes pratiques. La configuration de Cloudflare est plus délicate.
Cloudflare prévient et bloque les attaques DDoS
Tu retrouves toute la démarche pour installer Cloudflare dans cet article sur l’optimisation de la vitesse de ton site. Cet outil possède de nombreuses autres fonctionnalités.
Je te présente celles concernant la sécurité.
Tu retrouveras le volume des menaces bloquées dans Analytics > Security

et le détail dans Firewall.

Tu ajoutes dans les réglages (settings) du Firewall la protection contre les robots non identifiés.

Dans l’onglet Scrape Shield, tu masques les adresses e-mails aux robots (Email Address Obfuscation). Tu empêches d’utiliser ton serveur pour afficher des images sur d’autres sites (Hotlink Protection).
Les hot-links entrainent une charge supplémentaire du serveur.

Dans l’onglet Overview, tu peux déclarer être attaqué. Les visiteurs devront résoudre un captcha pour accéder au site.

Tu retrouves cette fonctionnalité dans l’extension WordPress directement sur la page d’accueil.

Pour conclure, voici les bonnes pratiques pour assurer la sécurité de WordPress.
5 actions supplémentaires pour protéger WordPress
Garde ton WordPress à jour
Tu mets systématiquement à jour ton thème, tes extensions et les versions mineures de WordPress dès la sortie d’une nouvelle version.
Tu attends quelques jours pour les versions majeures de WordPress qui occasionnent certaines fois des problèmes avec les extensions.
Rédige depuis un compte éditeur
Pour protéger au maximum ton compte administrateur, il est préférable d’écrire ses publications sur un profil éditeur. Voici la procédure à suivre.
Utilise les connexions chiffrées
Le https n’est pas seulement indispensable pour les e-commerçants. Il évite que les pirates interceptent les informations.
Supprime les thèmes et plugins désactivés
Il est inutile de conserver des thèmes ou des extensions non utilisées. Ils servent de porte d’entrée sur ton site.
Choisis avec soin ton nom d’utilisateur et ton mot de passe
Ton identifiant et ton mot de passe doivent être complètement aléatoires pour diminuer les risques d’être découvert.
Conclusion
Tu as réalisé les principales recommandations pour protéger ton site :
- ton compte administrateur WordPress est masqué
- ton site est protégé des intrusions
- la sécurité est renforcée
- ton site est sauvegardé pour te prémunir contre toutes les éventualités…
La sécurité totale n’existe pas mais tu as réalisé du bon travail pour prévenir les ennuis.
Découvre 4 extensions indispensables pour sécuriser WordPress. #wordpress #securiteCLIQUEZ POUR TWEETERDernier point qui n’est pas directement lié à WordPress : un bon antivirus à jour (Avast en version gratuite par exemple) pour protéger ton ordinateur t’évitera les surprises surtout s’il est complété par Malwarebytes (je réalise au moins une analyse par mois avec la version gratuite).