Comment sécuriser votre site Web WordPress en 2023 (tutoriel détaillé)

WordPress est devenu l'un des systèmes de gestion de contenu (CMS) les plus populaires au monde, avec plus de 44 % des sites Web construits dessus. Comme pour toute plateforme en ligne, la sécurité doit figurer en tête de votre liste de préoccupations. Dans cet article, nous examinerons les problèmes de sécurité de WordPress et fournirons des conseils sur la façon de garder votre site Web WordPress sûr et sécurisé.

Plongeons dedans.

WordPress est-il sécurisé ?

Pour la plupart, oui. Les développeurs WordPress travaillent dur pour maintenir la sécurité de leur plate-forme grâce à des correctifs et des mises à jour se produisant régulièrement. Cependant, étant donné que WordPress est construit sur un framework open source, les pirates peuvent analyser comment il est construit et développer fréquemment de nouvelles façons de prendre le contrôle des sites Web WordPress. Pour cette raison, la sécurité de WordPress est cruciale. Connaître les risques associés à l'utilisation de WordPress est important pour mieux comprendre comment sécuriser votre site Web.

Problèmes de sécurité WordPress

Lors de l'exploitation d'un site Web WordPress, il existe plusieurs risques potentiels dont il faut être conscient. L'une des plus grandes préoccupations concerne les pirates. Parce que WordPress est si populaire, il attire l'attention d'acteurs néfastes qui tentent d'exploiter des vulnérabilités telles que des plugins obsolètes ou des fichiers principaux pour obtenir un accès non autorisé à votre site. Ils peuvent utiliser des méthodes telles que des portes dérobées, lancer des attaques par force brute, des attaques pharmaceutiques, des attaques par déni de service (DoS) ou des scripts intersites (XSS).

S'il n'est pas résolu, il peut y avoir de graves conséquences, telles que des logiciels malveillants (code malveillant conçu pour voler les informations sur les visiteurs de votre site), le transfert de votre site Web vers un site complètement différent, l'ajout de contenu dont vous n'êtes pas conscient, les avertissements de Google qui peuvent nuire à votre position dans les SERP, ou pire, ne pas pouvoir se connecter à votre site Web.

Comment sécuriser votre site WordPress

La section suivante explorera les meilleures pratiques pour améliorer la sécurité de WordPress afin de protéger votre site Web contre les menaces potentielles.

Abonnez-vous à notre chaîne Youtube

Sécurité WordPress : choisissez un bon hébergement WordPress

La première étape à franchir est de vous associer à un bon hébergeur WordPress. Avec autant de choix disponibles, il peut être difficile de déterminer comment choisir le bon hébergeur. Si vous êtes débutant, il est probablement préférable d'opter pour un bon fournisseur d'hébergement géré, tel que SiteGround, qui fournira toutes les mises à jour de sécurité pour WordPress, tout en maintenant le serveur sur lequel il est installé. Pour ceux qui sont plus férus de technologie, un fournisseur d'hébergement cloud, tel que Cloudways, est un excellent choix.

L'une ou l'autre option vous donnera tous les outils dont vous avez besoin pour vous assurer que votre site Web est sûr et sécurisé, notamment :

• Certificat SSL gratuit
• Pare-feu applicatif Web (WAF)
• Accès SFTP
• Protection contre le déni de service distribué (DDoS)
• Protection contre les logiciels malveillants

Gardez votre connexion WordPress sécurisée

Une autre chose facile que vous pouvez faire pour renforcer votre sécurité WordPress est de verrouiller vos identifiants de connexion. Cela peut être fait de plusieurs manières, notamment en utilisant un plugin pour changer l'URL de connexion de /wp-admin à quelque chose de votre choix. Vous pouvez également ajouter une authentification à deux facteurs (2FA) à votre connexion et limiter les tentatives de connexion, ce qui aidera à repousser les bots.

Une autre façon de protéger votre connexion consiste à la lier à votre compte Google à l'aide de la connexion Google Apps pour WordPress. Une fois votre connexion verrouillée, vous devez ajouter les adresses IP de vos utilisateurs à la liste blanche. Cela garantit que seuls les utilisateurs enregistrés peuvent entrer, même s'ils ont réussi à trouver votre mot de passe.

Utilisez une suite de plugins de sécurité WordPress

Une autre chose très utile que vous pouvez faire est d'installer un bon plugin de sécurité, tel que iThemes Security. Il vous permettra d'ajouter 2FA, de limiter les tentatives de connexion, de planifier des sauvegardes et de masquer votre connexion WordPress.

En plus d'un plugin de sécurité WordPress, pensez à installer un bon plugin de sauvegarde, comme UpdraftPlus, si votre hébergeur ne propose pas de sauvegardes. Un plugin de sauvegarde vous protège de la perte des fichiers de votre site, vous aidant à éviter de reconstruire WordPress à partir de zéro. Vous pouvez facilement restaurer votre site avec peu d'effort si quelque chose ne va pas. Enfin, l'intégration d'un plugin de journal d'activité comme WP Activity Log vous permettra d'identifier ce qui s'est mal passé et quand.

Gardez PHP à jour

WordPress nécessite trois choses pour fonctionner correctement : la prise en charge de PHP, MySQL et HTTPS. PHP, ou préprocesseur hypertexte, est un langage de script open source populaire utilisé dans le développement Web et constitue l'épine dorsale de WP. Comme WordPress, être open source le laisse ouvert aux acteurs malveillants qui cherchent à en profiter. Pour éviter ces problèmes potentiels, il est préférable de maintenir PHP à jour. Non seulement cela aide à la sécurité de WordPress, mais cela permet également à votre site de fonctionner de manière optimale.

Choisissez des mots de passe forts

L'un des aspects les plus importants de la sécurité de WordPress consiste à choisir des mots de passe forts pour la connexion. Des mots de passe faibles ou facilement devinables rendent votre site vulnérable aux accès non autorisés et exposent votre site aux botnets. Les botnets sont un ensemble d'ordinateurs qui ont été infectés par des logiciels malveillants et qui sont sous le contrôle d'un pirate informatique. Ils sont la principale cause d'attaques DDoS sur Internet, mais vous pouvez empêcher votre site d'en être victime en prenant les précautions appropriées.

Par exemple, vous pouvez protéger votre site en vous assurant que tous les utilisateurs adhèrent à une politique de mot de passe. Une excellente façon de le faire est d'installer un plugin comme Password Policy Maker.

Sécurité WordPress : Gardez le logiciel à jour

Une autre étape simple de la sécurité de WordPress consiste à maintenir à jour votre noyau, vos plugins et vos thèmes WordPress. Laisser un logiciel obsolète peut avoir des conséquences négatives sur votre site Web, notamment des failles de sécurité, l'écran blanc de la mort de WordPress ou un certain nombre d'erreurs courantes.

Vous pouvez soit suivre les mises à jour par vous-même, soit activer les mises à jour automatiques. Ce qui vous convient dépend de plusieurs facteurs, notamment le temps, l'expertise et le type de logiciel exécuté par votre installation WordPress. Que vous gériez les mises à jour ou que vous choisissiez de mettre à jour automatiquement, vous devez toujours effectuer une sauvegarde avant d'effectuer des mises à jour.

Installer le certificat SSL

Si vous vous associez à un bon fournisseur d'hébergement, l'un des avantages qui en découle est un certificat SSL gratuit. Cependant, il peut y avoir des situations où vous devrez en installer un vous-même. La plupart des fournisseurs, comme SiteGround, proposent un SSL gratuit qui s'installe en quelques minutes. En lisant ceci, vous vous demanderez peut-être : « Pourquoi ai-je besoin d'un certificat SSL ? ». Expliquons-nous.

image avec l'aimable autorisation de Valery Brozhinsky | Shutterstock.com

SSL, ou Secure Socket Layer, étend le protocole de transfert hypertexte (HTTP) au protocole de transfert hypertexte sécurisé (HTTPS), en ajoutant un cryptage et une couche de sécurité supplémentaire. Par exemple, un consommateur qui effectue un achat via HTTP risque que ses informations de carte de crédit soient exploitées. D'autre part, leurs informations seraient protégées s'ils avaient effectué le même achat via HTTPS. Votre site et ses visiteurs sont exposés et vulnérables sans cette connexion sécurisée. C'est pourquoi l'installation d'un certificat SSL sur tout nouveau site Web est cruciale.

Réaliser un audit de sécurité

Une fois que vous avez pris des mesures pour sécuriser votre site, il est important de procéder occasionnellement à un audit de sécurité WordPress. Tout comme la technologie change quotidiennement, il en va de même pour l'arsenal d'outils d'un pirate informatique. Des logiciels malveillants et d'autres tactiques sont développés régulièrement, de sorte que la sécurisation de votre site Web WordPress n'est pas une affaire unique. Planifiez des contrôles de sécurité réguliers et recherchez des signes indiquant que votre site pourrait avoir des problèmes. Si vous remarquez que votre site se charge lentement, que votre trafic diminue, que vous découvrez de nouveaux liens que vous n'avez pas ajoutés ou que vous rencontrez des tentatives de connexion excessives, il est peut-être temps d'exécuter une analyse de sécurité pour vous assurer que votre site reste sûr et sécurisé.

Techniques avancées de sécurité WordPress

En plus des étapes énumérées ci-dessus, il existe quelques techniques plus avancées à intégrer à votre site pour améliorer la sécurité de WordPress.

Renforcez le fichier wp-config.php

Un point d'entrée commun pour les pirates est le fichier wp-config.php de votre site Web WordPress. Il contient des informations sur votre base de données, notamment le nom, l'hôte, le nom d'utilisateur et le mot de passe. Laisser ce fichier important ouvert peut s'avérer préjudiciable, donc le cacher est toujours une bonne idée.

Déplacez votre fichier wp-config.php

Pour déplacer wp-config, vous pouvez le faire glisser dans le dossier racine de votre site (HTML public), et WordPress le recherchera chaque fois que le site sera pingé. Cependant, si la structure de fichiers de votre site inclut un fichier htaccess, vous pouvez le protéger davantage en ajoutant une directive pour en refuser l'accès à l'aide du code suivant :

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

Remarque : Avant de faire cela, assurez-vous que votre fournisseur d'hébergement n'a pas déjà pris des mesures pour déplacer votre fichier wp-config pour vous. Certains hébergeurs, comme Kinsta, le font automatiquement pour assurer la sécurité de votre site.

Modifier les clés de sel WordPress

Une autre façon de protéger votre fichier wp-config consiste à modifier les clés de sel de votre site. Ces clés ajoutent une couche de protection supplémentaire lors de l'enregistrement des mots de passe dans votre base de données, de la connexion aux cookies et d'autres aspects importants de la sécurité de WordPress. Si les pirates peuvent obtenir vos clés de sel, ils peuvent accéder à la base de données et aux fichiers de votre site, y compris les informations de carte de crédit stockées, les mots de passe et d'autres informations importantes. Par conséquent, il est recommandé de les changer périodiquement.

Modifier les autorisations de fichier

Par défaut, les fichiers de votre répertoire racine sont définis sur 644, ce qui signifie qu'ils sont à la fois lisibles et inscriptibles, ce qui les rend vulnérables aux mauvais acteurs. Selon WordPress, ceux-ci ne doivent pas être laissés aux autorisations par défaut. Au lieu de cela, ils doivent être changés en 440 ou 400 pour empêcher les autres sur le même serveur de les lire. Cependant, il est important de vérifier auprès de votre fournisseur d'hébergement avant d'apporter des modifications à vos autorisations de fichiers. Ils peuvent avoir un système unique en place, de sorte que la modification des autorisations peut perturber votre site.

Désactiver XML-RPC

XML-RPC est une API WordPress qui vous permet de connecter votre site Web à des applications et outils tiers. Ces dernières années, il a été exploité par des attaques par force brute, permettant l'accès aux sites WordPress. Il est principalement utilisé pour établir des connexions Zapier ou accéder à votre site à distance via une application. Vous devez désactiver XML-RPC sur votre serveur si vous n'utilisez aucune de ces connexions.

Il existe plusieurs façons de le faire, notamment en le désactivant via htaccess, en utilisant un extrait de code ou avec un plugin. La méthode la plus avancée, htaccess, peut être délicate pour les débutants. L'approche la plus recommandée consiste donc à utiliser un extrait de code.

Pour la méthode htaccess, utilisez un client FTP pour accéder aux fichiers de votre site, puis ajoutez le code suivant à votre fichier htaccess :

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

Remarque : Assurez-vous de remplacer l'IP 123.123.123.123 par la vôtre.

Alternativement, vous pouvez utiliser l'onglet outils htaccess du plugin AIOSEO pour insérer le code :

Si vous préférez désactiver XML-PRC à l'aide d'un extrait de code, vous pouvez facilement le faire à l'aide du plug-in WPCode. Il contient un extrait de code intégré que vous pouvez utiliser pour désactiver l'API.

Masquer la version WordPress

Il s'agit d'une étape souvent négligée en matière de sécurité WordPress, mais importante. Par défaut, WordPress laisse une empreinte dans le code de votre site qui indique quelle version est installée. Cela peut sembler inoffensif, mais en accédant au code source du site Web, les pirates peuvent déterminer la version de WordPress que vous utilisez. S'il est obsolète, ils peuvent utiliser ces informations pour pirater votre site en injectant des logiciels malveillants ou des scripts malveillants.

Ainsi, comme mesure de sécurité WordPress supplémentaire, masquez la version WordPress de votre site pour empêcher les pirates de prendre le contrôle de votre site. Il existe de bonnes façons de le faire. Vous pouvez soit implémenter un plugin d'extrait de code qui supprimera la ligne dans le code source, soit créer un thème enfant et le placer dans votre fichier functions.php.

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Sinon, si vous souhaitez supprimer la version WP dans la balise meta, dans les chaînes de requête de la base de données et dans les flux RSS, utilisez ce code :

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Que faire si votre site WordPress est piraté

Même si vous faites tout correctement, vous pouvez vous retrouver dans une situation où votre site Web a été piraté. Heureusement, vous pouvez prendre certaines mesures, notamment mettre votre site en mode de récupération, restaurer à partir de votre sauvegarde la plus récente ou réinitialiser vos mots de passe. Si tout le reste échoue, votre hébergeur pourra peut-être vous aider.

Réflexions finales sur la sécurité de WordPress

En prenant les mesures nécessaires pour renforcer la sécurité de votre WordPress, vous pouvez vous assurer que votre site continue de fonctionner normalement tout en étant sûr pour vos visiteurs. Bien que WordPress offre d'énormes avantages et une facilité d'utilisation, il est important de comprendre ses lacunes. Heureusement, il existe un certain nombre de plugins de sécurité WordPress comme iThemes qui peuvent aider à garder les choses sur la bonne voie.

Vous cherchez plus d'informations sur WordPress? Découvrez quelques-uns de nos articles approfondis qui vous transformeront en un expert WordPress en un rien de temps :

• Comment installer WordPress : Le guide définitif
• 10 meilleures options d'hébergement WordPress en 2023 (sélectionnées à la main)
• 31 meilleurs plugins WordPress en 2023 (tout ce dont vous avez besoin)
• 10 meilleurs thèmes WordPress en 2023 (comparés et classés)

Image sélectionnée via Pikovit / shutterstock.com