La seule liste de contrôle de sécurité WordPress dont vous aurez besoin en 2024

WordPress est un système de gestion de contenu (CMS) sécurisé, mais la façon dont vous installez et configurez votre site Web peut affecter son niveau de sécurité. Si vous ne prenez pas de mesures pour protéger votre site, vous pourriez vous retrouver confronté à une violation de données ou perdre votre contenu.

Pour vous aider, nous avons créé la liste de contrôle de sécurité WordPress ultime. Cela vous guidera à travers toutes les étapes dont vous avez besoin pour protéger votre site Web contre les robots et les attaquants.

Dans cet article, nous examinerons les fonctionnalités de sécurité intégrées de WordPress. Ensuite, nous vous montrerons 30 choses que vous pouvez faire pour protéger davantage votre site.

WordPress offre-t-il une sécurité intégrée ?

Oui, WordPress propose certaines mesures de sécurité. Votre tableau de bord d'administration est protégé par une page de connexion qui demande aux utilisateurs de saisir un nom d'utilisateur et un mot de passe valides.

Le CMS reçoit également régulièrement des correctifs et des mises à jour pour éliminer les failles de sécurité. De manière générale, si vous maintenez WordPress et ses composants à jour, vous serez épargné des vulnérabilités les plus courantes.

Cela dit, il y a aussi l’élément humain à considérer. Dans de nombreux cas, les sites WordPress sont piratés en raison d’une erreur humaine, comme le partage ou la réutilisation d’identifiants de connexion. Si un attaquant accède à un compte doté d’un niveau de privilèges élevé, il peut faire des ravages sur votre site Web.

Le CMS étant une plateforme très populaire, les attaquants parcourent le Web à la recherche de sites WordPress présentant des vulnérabilités connues. Plus votre site se développe, plus il deviendra une cible importante.

Quelle est la manière la plus simple de sécuriser un site WordPress ?

La sécurisation d'un site Web WordPress nécessite que vous modifiiez la configuration de votre site et que vous ajoutiez plusieurs fonctionnalités qui rendent plus difficile l'intrusion des attaquants. Si vous n'avez pas le temps de suivre toute cette liste de contrôle de sécurité WordPress, la meilleure chose à faire est d'installer un système de sécurité. brancher.

Jetpack Security vous donne accès à plusieurs fonctionnalités de sécurité, telles que l'analyse et la suppression automatiques des logiciels malveillants, la protection anti-spam et les sauvegardes en temps réel.

Il est important de noter qu’aucun plugin ne peut à lui seul protéger votre site Web contre toutes les menaces potentielles auxquelles il peut être confronté. Par conséquent, vous souhaiterez sécuriser encore davantage votre site si vous souhaitez sérieusement protéger vos données et travailler dur.

Par exemple, vous souhaiterez appliquer des mots de passe forts et activer l'authentification à deux facteurs (2FA). Nous examinerons de plus près ces mesures de sécurité (et bien d’autres) dans notre liste de contrôle.

Liste de contrôle de sécurité WordPress en 30 étapes

N'oubliez pas que vous n'avez pas besoin de travailler sur toutes ces mesures de sécurité en même temps. Rayer chaque élément de la liste de contrôle peut prendre un certain temps, mais la plupart d'entre eux sont des correctifs que vous ne devez mettre en œuvre qu'une seule fois.

Voici donc 30 façons de renforcer la sécurité de votre site.

1. Gardez WordPress à jour

Les installations WordPress obsolètes sont peut-être la principale cause de failles de sécurité. De nombreux utilisateurs oublient de mettre à jour WordPress, ainsi que les plugins et les thèmes de leurs sites. Il s’agit d’un problème important, car les logiciels obsolètes ont tendance à être la cible principale des attaquants.

Plus le logiciel est ancien, plus les attaquants ont eu de temps pour analyser son code et trouver des failles de sécurité. Les développeurs surveillent ces menaces et les corrigent dès leur apparition. Par conséquent, vous souhaiterez exécuter les mises à jour dès leur publication.

Heureusement, WordPress permet de rester facilement au courant des mises à jour. Dans votre tableau de bord, accédez aux mises à jour et vous verrez un aperçu de tout ce qui est disponible.

Si vous avez de nombreuses mises à jour à exécuter, il est important de sauvegarder votre site Web WordPress avant de continuer. Ceci est particulièrement important lors de la mise à jour vers une version plus récente de WordPress, car cela peut parfois entraîner des problèmes de compatibilité avec les plugins et les thèmes.

Vous voudrez vérifier votre page de mises à jour quotidiennement. Vous pouvez également activer les mises à jour automatiques pour vos plugins et thèmes.

De cette façon, si vous oubliez de vérifier les mises à jour de votre site, celles-ci seront exécutées automatiquement.

2. Créez des noms d'utilisateur et des mots de passe forts

Votre site Web est aussi sécurisé que les informations d’identification que vous utilisez pour y accéder. WordPress lui-même vous indiquera si vous définissez un mot de passe faible lors de la création d'un nouveau compte.

Un mot de passe « faible » est tout ce qui est facile à deviner. Si vos informations d’identification ressemblent à « administrateur » et « 1234 », votre site sera probablement victime d’attaques par force brute.

Idéalement, votre mot de passe doit contenir au moins huit caractères et une combinaison de lettres, de chiffres et de caractères spéciaux. Si vous avez plusieurs utilisateurs sur votre site WordPress, vous souhaiterez peut-être leur rappeler d'utiliser des informations d'identification solides et de changer leurs mots de passe tous les quelques mois.

3. Ajoutez une couche de protection supplémentaire avec 2FA

L'authentification à deux facteurs est une mesure de sécurité qui vous oblige à utiliser une deuxième couche d'authentification lors de votre connexion à un site. Par exemple, certains sites Web peuvent vous demander de saisir un code à usage unique envoyé par e-mail ou SMS.

L’objectif du 2FA est de rendre presque impossible aux attaquants de deviner vos informations d’identification. Sans accès à un autre appareil ou compte, ils ne pourront pas se connecter à WordPress.

Par défaut, WordPress n'inclut pas la fonctionnalité 2FA, vous devrez donc utiliser un plugin comme Jetpack pour ajouter cette fonctionnalité à votre site. Avec Jetpack, vous pouvez ajouter 2FA (appelé authentification sécurisée) qui fonctionne avec votre compte WordPress.com.

4. Installez un plugin de sécurité fiable

De puissants plugins de sécurité WordPress vous aideront à rayer plusieurs éléments de cette liste de contrôle de sécurité WordPress. Idéalement, vous choisirez un seul outil offrant les fonctionnalités suivantes :

Analyse des logiciels malveillants

Si votre site Web est infecté, vous voudrez le savoir dès que possible. Des analyses régulières de logiciels malveillants vous permettront de savoir si une partie de votre site Web est menacée.

Outils de suppression de logiciels malveillants

Si votre plugin de sécurité identifie un logiciel malveillant, vous aurez besoin d'aide pour le supprimer. Cela peut impliquer la suppression des fichiers ou leur remplacement, selon la partie de votre site WordPress infectée.

Sauvegardes

Il existe de nombreuses solutions de sauvegarde autonomes et plugins pour WordPress. Certains outils de sécurité tout-en-un incluent des sauvegardes automatiques, vous n'aurez donc pas besoin d'installer un plugin supplémentaire.

Journaux de sécurité

Idéalement, vous voudrez savoir tout ce qui se passe sur votre site Web. Les journaux de sécurité enregistrent les événements dans WordPress et vous permettent de les rechercher pour trouver des activités suspectes.

Implémentation 2FA

Comme nous l'avons mentionné précédemment, 2FA est un outil essentiel qui peut vous aider à minimiser le risque de failles de sécurité dues au vol d'informations d'identification.

Jetpack Security inclut toutes ces fonctionnalités, vous pouvez donc effectuer plusieurs étapes de cette liste de contrôle de sécurité avec un seul outil.

5. Utilisez un pare-feu d'application Web (WAF)

Un WAF est une solution de sécurité qui permet de protéger les applications et les sites Web, y compris les sites WordPress, contre les attaques en filtrant et en surveillant le trafic. Selon le logiciel, il devrait être capable d'identifier le trafic malveillant à l'aide de règles prédéfinies ou de bases de données d'attaquants connus.

De nombreux hébergeurs Web configurent automatiquement des pare-feu pour leurs clients. Vous pouvez également utiliser Jetpack Security pour ajouter un WAF pour votre site Web WordPress.

Jetpack Security vous permet de configurer le WAF pour utiliser ses règles prédéfinies et bloquer des adresses IP spécifiques. Vous pouvez également partager des données d'activité avec Jetpack, ce qui contribue à rendre le WAF plus efficace en augmentant la base de données des menaces connues.

6. Analysez régulièrement WordPress à la recherche de logiciels malveillants et de vulnérabilités

L'analyse de votre site Web à la recherche de logiciels malveillants et de vulnérabilités implique d'examiner tous ses fichiers pour rechercher des modifications non autorisées ou du code malveillant. Même si le processus peut paraître intimidant, il existe des outils qui peuvent le faire à votre place.

Jetpack Security utilise WPScan (la plus grande base de données de vulnérabilités WordPress connues) pour analyser votre site Web.

Si le plugin WordPress détecte des logiciels malveillants ou des vulnérabilités, il peut vous en informer immédiatement et même vous aider à supprimer ou à réparer les fichiers concernés. C'est beaucoup plus simple que l'approche manuelle, qui vous oblige à déterminer quels fichiers supprimer et comment les réparer.

7. Sauvegardez votre site régulièrement ou en temps réel

Les sauvegardes sont un élément essentiel de la sécurité des sites Web. Si quelque chose arrive à votre site, ils vous permettent d’être à nouveau opérationnel rapidement.

S'appuyer sur votre fournisseur d'hébergement pour les sauvegardes n'est pas une option sûre, car une compromission de votre serveur pourrait rendre votre site WordPress et ses sauvegardes inutiles.

Au lieu de cela, vous avez besoin d'une solution de sauvegarde en temps réel hors site pour garantir que vous êtes protégé 24 heures sur 24, 7 jours sur 7 et que vous pouvez restaurer votre site à tout moment, même s'il est complètement en panne.

Jetpack VaultPress Backup fait exactement cela, en enregistrant votre site chaque fois que vous apportez une modification.

Le plugin stocke ces sauvegardes dans le cloud pour éviter de surcharger le serveur. Il utilise une combinaison de sauvegardes incrémentielles et différentielles, il n'est donc pas nécessaire de copier l'intégralité de votre site et de votre base de données à chaque fois que vous apportez une modification, ce qui rend le processus beaucoup plus efficace.

Au-delà des modifications du site Web, Jetpack VaultPress Backup enregistre les nouveaux commentaires, commandes et autres actions des utilisateurs. Il s'agit du premier outil de sauvegarde pour les magasins WooCommerce, car il enregistrera les commandes même si vous devez restaurer votre site WordPress à une version précédente.

8. Stockez vos sauvegardes sur un serveur séparé

Comme mentionné ci-dessus, effectuer simplement des sauvegardes ne suffit pas. Vous devez les stocker dans plusieurs emplacements sécurisés hors site. Ainsi, en cas de violation de la sécurité numérique ou de catastrophe physique dans un centre de données, vous pouvez toujours accéder aux fichiers de votre site et les restaurer. C'est la même raison pour laquelle vous ne pouvez pas compter uniquement sur les sauvegardes de votre hébergeur : votre site et vos sauvegardes pourraient tous deux être compromis en même temps.

Si vous utilisez VaultPress Backup, tout cela est pris en charge pour vous. Vos sauvegardes sont stockées à plusieurs emplacements dans le cloud et sont toujours accessibles, même si votre site est en panne.

9. Gardez une trace de l'activité des utilisateurs

Si vous avez accès aux journaux d'activité de votre site, vous pourrez voir quand quelqu'un essaie de se connecter plusieurs fois et échoue, s'il y a une modification dans un fichier WordPress, si quelqu'un installe un nouveau plugin, et plus encore.

Considérez les journaux comme l’équivalent technologique des enregistrements de sécurité. Vous espérez ne jamais avoir à les utiliser, mais ce n’est pas pour rien qu’il s’agit d’une fonctionnalité de sécurité largement utilisée. WordPress n'offre pas cette fonctionnalité par défaut, vous devrez donc rechercher un plugin qui le propose.

Jetpack Security vous permet de surveiller tout ce qui se passe sur votre site Web. Il tient un journal d'activité qui enregistre qui fait quoi, avec les dates et les heures. Si vous rencontrez un problème de sécurité, vous pouvez consulter ce journal pour voir quelle en est la cause.

Il s'intègre également à la fonctionnalité VaultPress Backup, afin que vous puissiez restaurer votre site à un moment spécifique en fonction de ce que vous trouvez dans le journal d'activité.

10. Contrôler l'accès et les autorisations des utilisateurs

L’un des moyens les plus simples d’assurer la sécurité d’un système est de limiter les personnes qui y ont accès. Si vous êtes la seule personne à travailler sur votre site, personne d'autre ne devrait connaître vos informations de connexion WordPress.

Lorsque vous travaillez en équipe, il est important que vous utilisiez pleinement le système de rôles d'utilisateur de WordPress. Le CMS propose plusieurs rôles que vous pouvez attribuer aux utilisateurs, en fonction des autorisations que vous souhaitez leur accorder.

Le rôle le plus élevé est celui d’administrateur et c’est le seul utilisateur ayant un accès complet à toutes les fonctionnalités et paramètres de WordPress. Les autres utilisateurs de WordPress, comme les auteurs, ne peuvent publier que leur propre contenu et ne pourront pas modifier la configuration du site ni même accéder à ses paramètres.

Lorsque vous réfléchissez au rôle à attribuer à chaque utilisateur, pensez aux autorisations dont il a besoin pour effectuer ses tâches. À aucun moment, un utilisateur ne doit disposer de plus d’autorisations que ce dont il a besoin. Ces restrictions garantiront la sécurité de votre site.

11. Limiter le nombre de tentatives de connexion autorisées

Des tentatives de connexion répétées peuvent être le signe que quelqu'un a oublié ses informations d'identification. Mais si le nombre de tentatives est supérieur à une poignée, vous avez probablement affaire à quelqu'un qui tente de s'introduire dans votre site Web.

Vous devez limiter les tentatives de connexion autorisées dans une période de temps spécifique pour arrêter les attaques automatisées par force brute. Encore une fois, vous pouvez utiliser Jetpack pour mettre en œuvre cette mesure de sécurité.

Le plugin peut bloquer les attaquants qui tentent d’utiliser des informations d’identification communes pour accéder à votre site Web. Vous pouvez également le configurer pour ajouter des adresses IP spécifiques à la liste autorisée, afin que seuls leurs utilisateurs puissent se connecter à WordPress.

12. Utilisez un CDN pour vous protéger contre les attaques DDoS

Un réseau de diffusion de contenu (CDN) est un système de données qui stocke des copies de votre site Web sur des serveurs situés à différents endroits dans le monde, réduisant ainsi la latence qui peut résulter lorsque quelqu'un tente de visiter un site hébergé dans un pays éloigné. Lorsque quelqu'un tente de visiter votre site WordPress, le CDN répondra automatiquement à la demande d'un serveur à proximité.

Le CDN peut alléger la charge sur vos serveurs, vous aider à gérer plus de trafic, réduire les temps de chargement et vous protéger contre les attaques par déni de service distribué (DDoS). Étant donné que les attaques n’affecteront pas directement votre serveur, celui-ci ne sera pas aussi lourdement impacté s’il est inondé par le trafic de robots.

Si vous utilisez Jetpack Security, vous avez accès à un CDN d'image qui peut vous aider à mettre en cache les fichiers multimédias pour des temps de chargement plus rapides. De plus, il redimensionne automatiquement les images et propose la meilleure option en fonction de l'appareil individuel de chaque visiteur. Vous pouvez également envisager d’intégrer d’autres CDN avec WordPress pour réduire encore davantage les temps de chargement et protéger votre site des augmentations soudaines de trafic.

13. Installez un certificat SSL

Un certificat SSL (Secure Sockets Layer) est un signal que votre site Web peut être fiable. Il vous permet également de charger votre site via HTTPS, qui crypte les données qui circulent vers et depuis votre site Web.

La plupart des navigateurs signalent que les sites Web disposent de certificats SSL avec une simple icône de verrouillage dans la barre de navigation.

De nos jours, les hébergeurs Web les plus réputés proposent des certificats SSL gratuits et une configuration automatique pour les utilisateurs. Si votre hébergeur ne le fait pas, vous pouvez obtenir un certificat gratuit auprès d'une source comme Let's Encrypt.

Une fois le certificat prêt, vous devrez l'installer puis activer HTTPS. Il existe plusieurs façons de forcer le chargement de WordPress via HTTPS. Really Simple SSL vous permet de le faire d'un simple clic.

Nous gardons votre site. Vous dirigez votre entreprise.

Jetpack Security offre une sécurité complète et facile à utiliser pour les sites WordPress, comprenant des sauvegardes en temps réel, un pare-feu pour les applications Web, une analyse des logiciels malveillants et une protection anti-spam.

Sécurisez votre site

14. Préférez SFTP à FTP lors du transfert de fichiers

Le protocole de transfert de fichiers (FTP) vous permet de vous connecter à votre site Web et de télécharger et modifier des fichiers directement. Le protocole utilise un ensemble différent d'informations d'identification, que votre hébergeur doit vous fournir.

Certains hôtes utilisent une version mise à jour et plus sûre du protocole appelée SFTP. Les clients FTP modernes prennent en charge les deux protocoles et fonctionnent de la même manière. La principale différence est que SFTP crypte les données que vous envoyez et recevez du serveur (un peu comme HTTPS).

Si votre hébergeur vous permet d'utiliser à la fois FTP et SFTP, utilisez par défaut ce dernier. Si votre hébergeur ne prend en charge que FTP, vous pouvez envisager de passer à un fournisseur offrant de meilleures fonctionnalités de sécurité.

15. Gardez votre version PHP à jour

WordPress est construit sur PHP et la version que vous utilisez joue un rôle important dans la vitesse du site. Les versions plus récentes de PHP incluent des correctifs de sécurité qui peuvent aider votre site Web à fonctionner plus rapidement et à empêcher les exploits.

Vous pouvez voir quelle version de PHP votre serveur utilise en accédant à Santé du site → Informations et ouverture du serveur languette.

Comparez ces informations avec la dernière version de PHP et voyez si votre hébergeur utilise la dernière version. Certains hébergeurs Web peuvent vous permettre de basculer entre les versions de PHP. Si ce n’est pas le cas, il est peut-être temps d’envisager de passer à un nouvel hébergeur WordPress.

16. Supprimer les thèmes et plugins WordPress inactifs

C'est une bonne règle de base pour désactiver et supprimer tous les plugins ou thèmes WordPress que vous n'utilisez plus. Cela peut réduire les risques de problèmes de compatibilité ou de vulnérabilités.

La suppression des thèmes et plugins inactifs gardera votre site Web plus sûr et plus organisé. Vous souhaiterez examiner périodiquement vos plugins actifs et noter ceux que vous n’utilisez plus.

17. Évaluez soigneusement les nouveaux plugins et thèmes

Avant d'installer un plugin ou un thème sur votre site Web, il est important de vous assurer qu'il provient de développeurs réputés et qu'il a de bons antécédents. Vous pouvez le faire en vérifiant ses notes et ses avis.

Il en va de même pour les thèmes WordPress. La plupart des référentiels de plugins et de thèmes vous montreront un historique des mises à jour. Un plugin ou un thème réputé bénéficiera de mises à jour régulières, ce qui signifie que les développeurs y travaillent activement.

Vous souhaitez éviter les plugins et thèmes WordPress qui ne reçoivent plus de mises à jour. Aussi utiles qu’ils puissent être, ils peuvent entraîner des vulnérabilités sur votre site Web puisque le code est obsolète.

18. Investissez dans un fournisseur d'hébergement sécurisé

Tous les fournisseurs d'hébergement n'offrent pas le même niveau de service, de performances et de fonctionnalités. Certains sont meilleurs que d’autres, et cela ne veut pas nécessairement dire qu’ils sont plus chers.

Choisir un fournisseur d'hébergement WordPress solide et sécurisé est une décision cruciale car vous y serez généralement lié pendant une longue période. Il est important que vous lisiez autant d'avis que possible et fassiez vos recherches avant de vous engager dans un service.

Si vous avez besoin d'aide, vous pouvez consulter cette liste d'hébergeurs recommandés par Jetpack, dont certains incluent des fonctionnalités clés de Jetpack dans le cadre des services d'hébergement WordPress gérés.

19. Changer l'administrateur par défaut nom d'utilisateur

Lorsque vous configurez WordPress, le nom d'utilisateur administrateur est créé par défaut. Cela facilite la mémorisation de vos informations d’identification, mais permet également aux attaquants de deviner facilement vos informations.

Si votre compte administrateur WordPress est déjà configuré, vous disposez de deux options pour modifier le nom d'utilisateur administrateur par défaut :

1. Créez un nouveau compte administrateur. Vous pouvez créer un nouveau compte administrateur avec le nom d'utilisateur de votre choix, puis y accéder. Une fois cela fait, vous pouvez supprimer l’ancien compte et continuer à utiliser le nouveau.
2. Changez le nom d'utilisateur en utilisant phpMyAdmin. Si vous souhaitez conserver le compte existant, vous pouvez modifier le nom d'utilisateur via la base de données.

Aucun nom d'utilisateur ne doit être facile à deviner, surtout lorsqu'il s'agit du compte administrateur. Si quelqu'un y a accès, il pourra apporter toutes les modifications qu'il souhaite à votre site Web.

20. Changer le préfixe de base de données par défaut

Le préfixe de base de données par défaut dans WordPress est wp_ . Cela signifie que si un attaquant connaît le nom de la base de données, il peut également deviner le préfixe et utiliser ces informations pour tenter de l'interroger.

Vous pouvez minimiser ce risque en modifiant le préfixe de base de données par défaut par autre chose que wp_ . Il s'agit d'un processus en deux étapes. La première étape consiste à modifier le préfixe de la base de données dans le fichier wp-config.php , qui devrait avoir une ligne ressemblant à ceci :

 $table_prefix = 'wp_';

Après avoir effectué la modification dans wp-config.php , vous devrez mettre à jour les tables de la base de données avec le nouveau préfixe. Vous pouvez le faire en utilisant phpMyAdmin et en exécutant plusieurs requêtes similaires à celle-ci :

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Vous pouvez utiliser cette structure de requête et modifier ce qui vient après le « TO » pour faire correspondre le nom de la table avec le préfixe mis à jour. Gardez à l’esprit que vous devrez exécuter cette requête pour chaque table de la base de données et jusqu’à ce que vous le fassiez, votre site ne fonctionnera pas correctement.

21. Modifiez les URL par défaut /wp-admin et /wp-login.php

Les URL /wp-admin et /wp-login.php vous permettent d'accéder au tableau de bord et à la page de connexion dans WordPress. Ces URL sont faciles à retenir, mais elles rendent votre site plus vulnérable. Si quelqu’un souhaite pénétrer dans votre site Web, il commencera souvent par l’URL de connexion WordPress par défaut.

Vous pouvez rendre la vie plus difficile aux attaquants en modifiant ces URL par défaut. Il existe des plugins qui vous permettent de le faire, comme WPS Hide Login. Alternativement, vous pouvez modifier les URL de connexion via le fichier .htaccess si vous préférez une approche manuelle.

22. Limiter l'accès wp-admin aux adresses IP autorisées uniquement

L'URL /wp-admin ouvre le tableau de bord dans WordPress. Techniquement, personne ne devrait avoir accès au tableau de bord sans les informations d'identification appropriées. Vous pouvez aller encore plus loin en matière de sécurité en limitant l'accès uniquement aux adresses IP autorisées.

Ce n’est pas une fonctionnalité proposée par WordPress. Pour l'implémenter, vous devrez ajouter le code suivant au fichier .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

Le xxx.xxx.xxx.xxx représente l'adresse IP que vous souhaitez autoriser. Notez que vous pouvez ajouter plusieurs IP en copiant cette ligne et en saisissant les différentes adresses.

Vous devrez également modifier le chemin du répertoire afin qu'il corresponde à l'emplacement du répertoire racine sur le serveur. Après avoir enregistré le fichier, toute adresse IP ne figurant pas dans la liste verra une erreur si elle tente d'accéder au tableau de bord.

23. Limiter l'accès FTP aux adresses IP autorisées uniquement

Vous pouvez limiter l'accès FTP/SFTP à votre site Web en restreignant qui a accès aux informations d'identification correspondantes. Certains panneaux de contrôle d'hébergement vous permettent également de limiter l'accès FTP par adresse IP.

C'est idéal si vous disposez d'une adresse IP statique, car cela empêchera quiconque de se connecter au site Web et d'accéder à ses fichiers via FTP, même avec les bonnes informations d'identification. Sans adresse IP statique, ce paramètre peut limiter même votre propre accès au site.

Gardez à l’esprit que seules quelques personnes sélectionnées devraient pouvoir se connecter au site Web via FTP. Si vous travaillez avec d'autres personnes et qu'elles n'ont aucune raison d'accéder ou de modifier directement les fichiers principaux, elles ne devraient pas avoir accès à vos informations d'identification FTP.

24. Sécurisez votre fichier wp-config.php

Le fichier wp-config.php contient des informations critiques sur votre site Web, y compris des détails sur la base de données. Par défaut, le fichier se trouve dans le répertoire racine de WordPress.

Le moyen le plus simple de sécuriser le fichier consiste à le déplacer directement en dehors du répertoire racine . Si WordPress ne trouve pas wp-config.php là où il se trouve habituellement, il le recherchera dans un répertoire au-dessus de son emplacement habituel.

Une autre option consiste à configurer les autorisations du fichier pour restreindre l'accès à toute personne autre que l'administrateur (c'est-à-dire vous). Pour ce faire, vous devrez comprendre comment fonctionnent les autorisations de fichiers dans les systèmes UNIX et modifier la configuration du fichier à l'aide de SFTP.

25. Désactivez l'édition de fichiers pour bloquer les modifications malveillantes

Seul l'administrateur doit avoir l'autorisation d'accéder et de modifier les fichiers principaux de WordPress. En règle générale, vous pourrez accéder à la fonctionnalité d'édition de fichiers à partir du tableau de bord. Cela signifie que vous pouvez directement modifier les fichiers de base, de plugin et de thème sans quitter l'administrateur WordPress.

Selon le niveau d'autorisations dont disposent les utilisateurs, ils peuvent pouvoir accéder à l'éditeur de fichiers. La meilleure façon d’éviter cela est de désactiver complètement l’édition des fichiers.

Pour mettre en œuvre cette mesure de sécurité, ouvrez le fichier wp-config.php et ajoutez la ligne de code suivante avant la fin :

 define('DISALLOW_FILE_EDIT', true);

Enregistrez les modifications apportées au fichier et fermez-le. Notez que vous pourrez toujours modifier des fichiers, mais vous devrez utiliser SFTP pour le faire, ce qui est une meilleure option (et plus sûre) que d'utiliser l'éditeur de fichiers WordPress.

26. Désactivez l'exécution du fichier PHP

La désactivation de l'exécution des fichiers PHP dans des répertoires spécifiques de votre site Web WordPress est une mesure de sécurité qui permet d'empêcher l'exécution de scripts malveillants. Si un attaquant parvient à télécharger un script PHP sur votre site Web, il pourra peut-être l'exécuter pour obtenir un accès non autorisé, manipuler des données ou distribuer des logiciels malveillants.

Vous pouvez désactiver l'exécution des fichiers PHP dans des répertoires spécifiques en vous connectant à WordPress via FTP et en accédant au dossier racine . À l’intérieur, vous pouvez sélectionner les répertoires que vous souhaitez protéger et créer de nouveaux fichiers .htaccess dans chacun d’eux.

Voici le code que vous devez ajouter à ces fichiers :

 <Files *.php> Order Allow,Deny Deny from all </Files>

Notez que la désactivation de l'exécution de PHP au niveau du répertoire racine peut avoir un impact sur les fonctionnalités de WordPress. Après tout, l’ensemble du CMS est construit sur PHP. Cela signifie qu'il est préférable de le désactiver pour des dossiers individuels comme le répertoire des fichiers multimédias.

27. Désactivez le rapport d'erreurs PHP

L’affichage public des erreurs peut exposer les vulnérabilités potentielles de votre site Web WordPress aux attaquants. Les messages d'erreur PHP peuvent inclure des informations sensibles telles que les chemins de fichiers, les détails de la structure de la base de données ou d'autres données pouvant être utilisées pour exploiter votre site Web.

WordPress vous permet de désactiver le rapport d'erreurs PHP en modifiant le fichier wp-config.php . Vous pouvez ajouter le code suivant au fichier pour désactiver le mode de débogage de WordPress et masquer les erreurs sur le front-end :

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Ajoutez ce code avant la fin du fichier wp-config.php et assurez-vous d'avoir une sauvegarde récente de votre site WordPress avant de l'enregistrer. Gardez à l'esprit que le rapport d'erreurs peut parfois être utile pour le dépannage, vous devrez donc peut-être réactiver cette fonctionnalité à un moment donné.

28. Désactivez la navigation dans les répertoires sur votre site Web

La navigation dans l'annuaire est une fonctionnalité qui permet aux visiteurs d'accéder à des URL telles que yourwebsite.com/wp-content et de voir le contenu de ce répertoire. Si la navigation dans les répertoires est activée, les utilisateurs pourront voir des listes de dossiers et de fichiers internes et même y accéder en fonction de leurs autorisations.

Du point de vue de la sécurité, il est logique de désactiver la navigation dans les répertoires. De nombreux hébergeurs WordPress le font par défaut. Si ce n'est pas le cas, vous pouvez désactiver la navigation dans les répertoires en ajoutant le code suivant à votre fichier .htaccess :

 Options -Indexes

Il s’agit d’un changement simple, sa mise en œuvre ne devrait donc pas prendre longtemps. Par la suite, si les utilisateurs tentent de visiter un répertoire, ils verront à la place un simple message d'erreur.

29. Cachez votre version WordPress

Par défaut, la version actuelle de WordPress que vous utilisez est répertoriée dans votre code source. Si quelqu'un sait quelle version de WordPress vous utilisez (et qu'elle est obsolète), il peut examiner les vulnérabilités spécifiques de cette version, ce qui facilitera la violation de votre site Web.

Pour masquer votre version WordPress, vous pouvez ajouter ce code à votre fichier function.php :

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Évitez les CAPTCHA pour la protection anti-spam

CAPTCHA est une bonne solution pour protéger les sites Web et les formulaires contre le spam, mais elle n'est pas sans problèmes.

L'utilisation de CAPTCHA sur votre site Web ajoute une couche de complication qui peut ennuyer et détourner les visiteurs légitimes et même être impossible à résoudre, en particulier pour les personnes handicapées.

Les développements récents des vecteurs d’attaque ont également rendu les CAPTCHA moins efficaces. Si vous souhaitez éviter le spam (qui peut entraîner une faille de sécurité) mais que vous souhaitez également maximiser les taux de conversion grâce à une expérience utilisateur optimale, il est temps d'envisager des alternatives.

Akismet est une solution de protection anti-spam tout-en-un pour WordPress qui fonctionne entièrement en arrière-plan. Le plugin WordPress vous aide à bloquer le spam en utilisant sa base de données d'acteurs malveillants connus, ainsi qu'en identifiant et en bloquant des mots et des URL spécifiques des commentaires sur votre site. Il fait tout cela automatiquement, sans que les visiteurs aient à utiliser des CAPTCHA pour vérifier s'ils sont humains.

Questions fréquemment posées sur la sécurité de WordPress

Si vous avez encore des questions sur la façon de protéger votre site WordPress, cette section y répondra.

Quels sont les avantages d’avoir une liste de contrôle de sécurité WordPress ?

Avoir accès à une liste de contrôle de sécurité WordPress vous aidera à déterminer les mesures que vous avez prises pour protéger votre site et ce qu'il vous reste à faire. La liste de contrôle est une ressource simple à laquelle vous pouvez vous référer à tout moment pour voir quelles mesures de sécurité vous pouvez mettre en œuvre dans WordPress.

Quel est le moyen le plus rapide d’améliorer la sécurité de mon WordPress ?

Le moyen le plus rapide de protéger votre site Web WordPress consiste à utiliser les plugins de sécurité WordPress. Selon le plugin que vous utilisez, vous aurez accès à des fonctionnalités telles que 2FA, les journaux d'activité, les outils de sauvegarde et l'analyse des logiciels malveillants. Jetpack Security inclut toutes ces fonctionnalités.

Comment puis-je analyser mon site WordPress à la recherche de logiciels malveillants et de vulnérabilités ?

Vous pouvez utiliser un plugin comme Jetpack Security pour analyser votre site WordPress à la recherche de logiciels malveillants. Cet outil mettra également en évidence toutes les vulnérabilités potentielles de votre site Web. Vous pourrez alors prendre les mesures nécessaires pour éliminer ces problèmes.

Si vous n'avez pas besoin d'un plugin de sécurité WordPress complet, vous pouvez également effectuer une analyse des logiciels malveillants via un plugin WordPress autonome comme Jetpack Protect.

Quel est le moyen le plus fiable de sauvegarder et de restaurer mon site WordPress ?

Votre meilleure option est d'utiliser une solution automatisée, vous n'avez donc pas besoin de créer des sauvegardes manuellement. Le plugin doit également enregistrer des copies sur une solution de stockage hors site pour éviter les problèmes si votre serveur est compromis.

Le plugin Jetpack VaultPress Backup propose des sauvegardes en temps réel. Il réalise également des copies sécurisées de votre site WordPress sur le cloud. Vous pouvez également accéder à VaultPress Backup ainsi qu'à une foule d'autres fonctionnalités dans le cadre de Jetpack Security.

Jetpack Security : Le plugin de sécurité n°1 pour WordPress

Jetpack Security propose un ensemble de fonctionnalités de sécurité qui protégeront votre site Web WordPress. Avec ce plugin, vous pouvez rayer plusieurs éléments de la liste de contrôle de sécurité WordPress.

Par exemple, vous avez accès à une solution de sauvegarde, à l'analyse et à la suppression des logiciels malveillants en un clic, à la protection anti-spam, aux journaux d'activité, à l'authentification à deux facteurs et bien plus encore. Cela fait de Jetpack l’un des outils de sécurité les plus complets que vous puissiez utiliser pour WordPress.

Êtes-vous prêt à renforcer la sécurité de votre site ? Commencez dès aujourd'hui avec la sécurité Jetpack !