Les 28 meilleures pratiques et astuces de sécurité WordPress

Publié: 2024-01-05

WordPress est un système de gestion de contenu (CMS) puissant, mais sa popularité signifie une attention égale en tant que cible parmi les pirates. Sans les mesures de sécurité nécessaires, votre site peut être vulnérable aux attaques.

Heureusement, vous pouvez prendre plusieurs mesures pour assurer la sécurité de votre site. Cela va de tâches simples comme la mise à jour des plugins et l'exécution de sauvegardes à des stratégies plus complexes, comme la migration vers un fournisseur d'hébergement doté de mesures de sécurité plus strictes.

Dans cet article, nous vous guiderons à travers 28 bonnes pratiques de sécurité WordPress pour vous aider à garantir que votre site est protégé.

1. Gardez WordPress, les plugins et les thèmes à jour

Les logiciels obsolètes constituent une menace énorme pour les sites Web. Lorsqu'un plugin ou un thème n'a pas été mis à jour depuis des mois ou des années, les pirates auront eu plus de temps pour rechercher les vulnérabilités du logiciel et trouver un chemin vers les sites qui l'utilisent.

En termes simples : si vous utilisez une ancienne version de WordPress, votre site est vulnérable aux attaques. Cela s’applique également à tous les plugins ou thèmes de votre site Web.

Il est important de garder à l’esprit que WordPress est incroyablement populaire. Il alimente environ 43 % de tous les sites Web connus. Cela signifie qu’un seul plugin présentant un problème de sécurité peut conduire à des centaines ou des milliers de sites offrant une porte ouverte aux cybercriminels.

Le moyen le plus simple de vous protéger contre ces vulnérabilités est de maintenir WordPress et tous ses composants à jour. Cela peut être aussi simple que de vérifier quotidiennement le tableau de bord pour voir quelles mises à jour sont disponibles et de les exécuter.

mises à jour disponibles dans le tableau de bord WordPress

Dans le cas des plugins, vous pouvez les configurer pour qu'ils se mettent à jour automatiquement un par un. Pour ce faire, allez dans Plugins → Plugins installés et cliquez sur Activer les mises à jour automatiques pour les plugins que vous souhaitez mettre à jour automatiquement.

activer les mises à jour automatiques dans WordPress

2. Changez le nom d'utilisateur « admin » par défaut

L’une des plus grosses erreurs de sécurité que les utilisateurs de WordPress peuvent commettre est de choisir un nom d’utilisateur tel que « administrateur » ou « administrateur ». Ce sont les noms d’utilisateur par défaut que WordPress définit pour vous, et les conserver permet aux attaquants de s’introduire plus facilement.

De nombreux pirates informatiques tentent de s'introduire dans un site Web en essayant autant de combinaisons de noms d'utilisateur et de mots de passe que possible. C’est ce qu’on appelle une attaque par force brute. Si quelqu'un connaît déjà votre nom d'utilisateur, cela signifie qu'il lui suffit de deviner un seul facteur de connexion.

WordPress ne vous permet pas de modifier le nom d'utilisateur du compte administrateur une fois que vous l'avez défini. Pour apporter une modification, vous devrez créer un nouveau compte, lui attribuer le rôle d'utilisateur Administrateur et supprimer l'ancien.

Vous pouvez le faire en allant dans Utilisateurs → Ajouter un nouveau . Ensuite, entrez les détails du compte, y compris un nom d'utilisateur difficile à deviner, et choisissez Administrateur dans le menu Rôle .

réinitialiser le mot de passe dans WordPress

La prochaine fois que vous créerez un site Web WordPress, vous devrez définir le nom d'utilisateur de l'administrateur sur quelque chose de différent. Ce simple changement rendra beaucoup plus difficile l’accès au compte pour les attaquants.

3. Utilisez des mots de passe forts et changez-les régulièrement

Si vous utilisez un mot de passe simple comme « 1234 » ou si vous avez le même pour chaque compte, ce n'est qu'une question de temps avant que quelqu'un n'accède à votre site.

Bien qu’il existe des moyens de retrouver l’accès aux comptes volés, le processus peut être ardu. De plus, un pirate informatique pourrait causer des dommages irréparables à votre contenu et à votre réputation.

Lorsque vous créez un nouveau compte dans WordPress, le CMS génère pour vous un mot de passe fort. Il s'agit généralement d'une combinaison de lettres, de chiffres et de caractères spéciaux.

Vous pouvez utiliser ce mot de passe ou le remplacer par quelque chose de plus mémorable (tout en conservant un mélange de lettres et de chiffres).

créer un mot de passe fort dans WordPress

Vous pouvez même utiliser un gestionnaire d’informations d’identification si vous avez du mal à vous en souvenir. Les gestionnaires de mots de passe peuvent vous aider à générer des mots de passe sécurisés pour tous vos comptes et à les protéger.

Pour plus de sécurité, vous souhaiterez modifier vos mots de passe périodiquement. De cette façon, en cas de fuite d’informations d’identification, votre compte sera en sécurité.

4. Mettre en œuvre l'authentification à deux facteurs (2FA)

Comme beaucoup d’autres sites Web, WordPress nécessite un nom d’utilisateur et un mot de passe pour se connecter. Cela signifie que la sécurité de la connexion dépend en grande partie de la solidité de vos informations d’identification.

Écran de connexion WordPress

Même avec le mot de passe le plus fort, il est possible que quelqu'un accède à votre compte ou à d'autres personnes sur votre site. Un moyen efficace d’éviter cette violation consiste à utiliser l’authentification à deux facteurs (2FA).

Lorsque vous activez 2FA, votre site nécessitera une méthode de vérification supplémentaire pour que les utilisateurs puissent se connecter. Il s'agit généralement d'un code à usage unique envoyé par SMS, e-mail ou une application d'authentification.

Étant donné que les pirates n'ont pas accès à votre appareil mobile ni à vos e-mails, ils ne pourront pas se connecter à votre compte. Certains sites Web offrent la possibilité d’utiliser 2FA, tandis que d’autres l’appliquent.

Si vous utilisez Jetpack, vous pouvez permettre aux utilisateurs de se connecter avec leurs comptes WordPress.com. Il existe également une option pour utiliser la fonctionnalité 2FA de WordPress.com.

activer l'authentification à deux facteurs dans WordPress.com

Vous pouvez trouver ces paramètres en accédant à Jetpack → Paramètres et en localisant la section de connexion WordPress.com . Ensuite, basculez simplement l’interrupteur correspondant.

5. Utilisez le cryptage HTTPS via un certificat SSL

Un certificat SSL (Secure Sockets Layer) permet à votre site Web de se charger via HTTPS, qui est la version sécurisée de HTTP. Le certificat vérifie que votre site Web est authentique et que la communication entre le navigateur et le serveur est cryptée.

Vous pouvez obtenir un certificat SSL gratuitement auprès de plusieurs autorités, comme Let's Encrypt. De nombreux hébergeurs WordPress configurent automatiquement un certificat SSL pour votre site Web. D'autres hébergeurs vous permettront de configurer un certificat manuellement via cPanel.

6. Installez un plugin de sécurité réputé

Les plugins de sécurité WordPress sont souvent dotés d’un ensemble de fonctionnalités et d’outils qui vous aident à protéger votre site Web. Ceux-ci incluent généralement :

  • Protection contre les spams
  • Protection contre les attaques par déni de service (DDoS)
  • Un pare-feu d'applications Web (WAF)
  • Analyse et nettoyage des logiciels malveillants
  • Sauvegardes automatiques

Vous pouvez trouver des plugins WordPress individuels qui effectuent chacune de ces tâches séparément. Mais si vous optez pour un outil de sécurité complet, vous pourrez gérer plusieurs fonctionnalités à partir du même endroit, ce qui pourra faciliter votre travail.

En fait, utiliser le bon plugin peut vous aider à cocher plusieurs éléments dans cette liste des meilleures pratiques de sécurité WordPress. Jetpack Security inclut toutes les fonctionnalités que nous venons de mentionner, et bien d'autres.

7. Sauvegardez régulièrement votre site Web

Sauvegarder régulièrement vos données est sans doute la chose la plus importante que vous puissiez faire pour les protéger. Lorsqu’il s’agit de sites Web, une sauvegarde complète peut s’avérer salvatrice en cas de faille de sécurité ou de dysfonctionnement.

Si votre site est piraté ou cesse de fonctionner correctement, le moyen le plus simple de résoudre le problème pourrait être de restaurer une sauvegarde récente. Plus la sauvegarde est récente, moins il est probable que vous perdiez des informations critiques.

Une fois que le site fonctionne à nouveau correctement, vous pouvez prendre les mesures nécessaires pour le protéger contre de nouvelles attaques.

Il existe de nombreuses options de sauvegarde pour WordPress. Certains hébergeurs Web proposent des sauvegardes automatiques dans le cadre de votre plan d'hébergement (généralement s'il s'agit d'un service géré). Cependant, il est préférable de ne pas se fier uniquement à ces sauvegardes. Si votre serveur est compromis – par une erreur de codage, une erreur d’hôte ou un piratage – les sauvegardes peuvent l’être également.

Une meilleure option consiste à utiliser un plugin qui stocke les sauvegardes hors site. Jetpack VaultPress Backup est l'une de ces options. L'outil est disponible sous forme de plugin individuel et dans le cadre du pack Jetpack Security mentionné précédemment. Il sauvegarde automatiquement votre site chaque fois que vous effectuez une modification.

Page d'accueil de sauvegarde de Jetpack VaultPress

Ces sauvegardes en temps réel sont idéales si vous ajoutez constamment du nouveau contenu à votre site Web. Cela signifie que vous aurez toujours une copie de la dernière version. De plus, les sauvegardes sont stockées hors site, vous y aurez donc toujours accès, même si votre site est complètement en panne.

8. Utilisez un pare-feu d'application Web (WAF)

Un WAF est un type de pare-feu conçu pour filtrer le trafic vers et depuis un site Web. Il utilise des règles pour filtrer des types spécifiques de trafic et peut bloquer les adresses IP malveillantes connues.

Les WAF sont conçus pour vous aider à bloquer les types courants de cyberattaques, notamment les injections SQL, les scripts intersites (XSS) et les contrefaçons de requêtes intersites (CSRF). Ils sont capables de le faire grâce à leurs systèmes complexes de règles.

Plus les règles du pare-feu sont complètes, plus il est efficace. De nombreux plugins de sécurité (y compris Jetpack Security) disposent de WAF sophistiqués avec des ensembles de règles conçus à partir d'années d'expérience dans la gestion des attaques WordPress.

Bien que vous puissiez installer et configurer un WAF manuellement, le mieux est d'utiliser soit un hébergeur Web, soit un plugin de sécurité qui en configure un pour vous. De cette façon, vous pouvez exploiter leur base de données de menaces existante et simplement activer le pare-feu.

9. Recherchez régulièrement les logiciels malveillants

L'analyse de votre site Web à la recherche de logiciels malveillants implique l'utilisation d'un outil tiers ou d'un plugin de sécurité. Ce logiciel parcourt les fichiers, plugins et thèmes de votre site pour rechercher des infections par des logiciels malveillants. S'il détecte quelque chose d'anormal, il vous indiquera où se situe le problème.

Page d'accueil de Jetpack Scan

Vous vous souvenez de l'époque où vous exécutiez des analyses antivirus sur votre ordinateur et que cela prenait une éternité ? Désormais, la plupart des logiciels antivirus s'exécutent en arrière-plan et ne vous dérangent qu'en cas de problème. Les analyses de logiciels malveillants avec Jetpack Security fonctionnent de manière tout aussi transparente.

Et, contrairement à d'autres outils qui vous indiquent uniquement qu'il y a un problème, si Jetpack trouve quelque chose, il propose généralement des solutions pour résoudre le problème, souvent en un seul clic.

Si vous prenez des mesures pour sécuriser votre site, les infections par des logiciels malveillants devraient être extrêmement rares. Même ainsi, il n’est jamais inutile de configurer des analyses automatiques de logiciels malveillants au cas où vous seriez victime d’un exploit zero-day ou de tout autre type d’attaque difficile à arrêter.

10. Bloquer le spam des formulaires et des commentaires

Tout site WordPress comportant des sections de commentaires ou des formulaires ouverts peut rencontrer du spam. Cela peut aller de concurrents publiant des liens vers leurs sites à des attaquants partageant des URL malveillantes ou essayant d'utiliser des scripts pour obtenir un accès non autorisé.

La solution simple à ce problème consiste à modérer les commentaires sur votre site. Mais à mesure que votre site se développe, le filtrage des commentaires indésirables peut devenir un travail à plein temps. Il n'est pas rare d'avoir des milliers de messages en attente de modération.

Vous pouvez essayer d'utiliser un CAPTCHA pour arrêter les soumissions de spam par les robots, mais vous ennuyerez inévitablement certains utilisateurs et diminuerez l'engagement légitime et les conversions dont votre site a besoin pour prospérer.

La meilleure option est d'utiliser Akismet. Cet outil fonctionne entièrement en arrière-plan pour arrêter les envois de spam dans les commentaires et les formulaires, afin que vous ne remarquiez même pas ce qui se passe. Les utilisateurs légitimes sont autorisés à continuer sans avoir besoin de résoudre un casse-tête, de répondre à une énigme ou même de cliquer sur une case.

Tout cela se produit avec une précision de 98 %.

Akismet est également personnalisable, pour supprimer immédiatement certains commentaires et en conserver d'autres pour que vous puissiez les examiner et approuver ou refuser manuellement.

Vous pouvez obtenir Akismet comme son propre plugin, mais si vous vous engagez à améliorer votre sécurité globale et votre expérience utilisateur avec le moins d'efforts (et de dépenses), vous pouvez également l'obtenir dans le cadre du plan de sécurité Jetpack.

11. Implémentez des autorisations de fichiers sécurisées à l'aide de FTP

Chaque fichier et dossier d'un système UNIX dispose d'un ensemble d'autorisations. Ces autorisations sont représentées par des ensembles de trois nombres. Par exemple, « 777 » signifie que chaque utilisateur dispose des autorisations complètes d'écriture, de lecture et d'exécution pour un fichier ou un répertoire.

Le premier des trois chiffres représente le propriétaire du fichier ou du répertoire. Le deuxième numéro correspond aux comptes d'un groupe de propriétaires et le troisième à tous les autres utilisateurs.

Dans l'exemple ci-dessus, chaque sept signifie que chacun de ces types d'utilisateurs dispose d'autorisations de lecture (quatre), d'écriture (2) et d'exécution (1). Si vous additionnez ces valeurs, vous obtenez un sept.

Les autorisations de fichiers que vous attribuez aux fichiers et répertoires WordPress détermineront qui peut y accéder, les lire et les modifier. Les autorisations de fichiers recommandées pour WordPress sont de 755 pour les répertoires et de 644 pour les fichiers.

Pour définir ces autorisations, vous devrez vous connecter à votre site Web via un outil de protocole de transfert de fichiers (FTP) tel que FileZilla. Vous pouvez obtenir vos informations d'identification FTP à partir de votre compte d'hébergement.

Une fois connecté à votre site, accédez au répertoire racine (généralement intitulé public_html ). Dans ce dossier, vous pouvez sélectionner n'importe quel sous-répertoire ou fichier de votre choix, cliquer dessus avec le bouton droit et choisir l'option indiquant Autorisations de fichier .

modifier les autorisations de fichiers dans FileZillal

Une nouvelle fenêtre apparaîtra dans laquelle vous pourrez définir l'autorisation pour le fichier ou le répertoire que vous avez sélectionné via le champ Valeur numérique .

modification des autorisations de fichier pour wp-includes

Si vous modifiez les autorisations pour les répertoires, vous verrez également une option indiquant Recurse into subdirectories . Cela vous permettra de définir les mêmes autorisations pour tous les sous-répertoires ou fichiers.

Notez qu’il existe quelques exceptions à la règle en ce qui concerne les autorisations optimales pour les fichiers WordPress. L'un d'eux est le fichier wp-config.php , dont nous parlerons dans la section suivante.

12. Sécurisez votre fichier wp-config.php

Le fichier wp-config.php comprend des informations critiques sur votre site Web et sa base de données. Il s’agit de l’un des fichiers principaux de WordPress les plus importants, ce qui signifie que vous devez prendre des mesures supplémentaires pour le sécuriser.

En termes d'autorisations, il est préférable de définir wp-config.php sur 400 ou 440. Si vous vous souvenez de la répartition de la section précédente, vous saurez que ces valeurs d'autorisation se traduisent par :

  • 400 : Seul le propriétaire peut lire le fichier.
  • 440 : Seuls le propriétaire et les utilisateurs du groupe du propriétaire peuvent lire le fichier.

Cela supprime complètement les autorisations d’écriture de wp-config.php . Il s'agit généralement d'un choix sûr, car il empêche quiconque de modifier les paramètres du fichier.

Une autre façon de sécuriser wp-config.php consiste à déplacer un niveau au-dessus du répertoire racine. WordPress recherchera le fichier dans le répertoire supérieur s'il ne le trouve pas à l'emplacement par défaut.

Cela signifie que WordPress fonctionnera toujours normalement, mais les attaquants pourraient être trompés par le fait qu'ils ne trouvent pas le fichier.

13. Désactivez l'édition de fichiers dans votre fichier wp-config.php

WordPress propose plusieurs options pour éditer des fichiers. L’un d’eux utilise les éditeurs de plugins et de fichiers de thème, disponibles depuis le tableau de bord.

Ces éditeurs de fichiers vous permettent d'apporter des modifications au code de votre site sans avoir à vous y connecter via FTP. L’inconvénient de cette approche est que si un pirate informatique accède à un compte autorisé à utiliser ces éditeurs, il peut faire des ravages sur votre site Web.

Par conséquent, vous voudrez peut-être envisager de désactiver l’édition de fichiers dans WordPress. Vous pouvez le faire en ouvrant le fichier wp-config.php et en y ajoutant la ligne de code suivante :

 define('DISALLOW_FILE_EDIT', true);

Notez que certains thèmes et plugins désactiveront automatiquement l'édition de fichiers. Si vous ne voyez pas les éditeurs de fichiers ou de thèmes dans le tableau de bord, il est probable que vous utilisez l'un de ces outils.

14. Restreindre la navigation dans les répertoires dans votre fichier .htaccess

Si la navigation dans les répertoires est activée, vous pouvez visiter yourwebsite.com/content/ . Au lieu d'obtenir une erreur 403 interdite, vous verrez une liste des sous-répertoires et des fichiers contenus dans ce dossier.

La désactivation de la navigation dans les répertoires est indispensable si vous souhaitez protéger votre site. Si quelqu'un peut voir le contenu des dossiers de votre site, il peut obtenir de nombreuses informations, comme le thème et les plugins que vous utilisez. Ils pourront également parcourir les fichiers multimédias sans restriction, ce qui est terrible du point de vue de la confidentialité.

La plupart des hébergeurs WordPress désactivent la navigation dans les répertoires par défaut. Si le vôtre n'offre pas cette fonctionnalité, vous pouvez l'activer vous-même en éditant le fichier .htaccess dans le répertoire racine .

Pour cela, ouvrez le fichier et ajoutez la ligne de code suivante :

 Options -Indexes

Enregistrez les modifications et fermez le fichier. Désormais, si vous essayez de naviguer vers un répertoire via un navigateur, vous obtiendrez une erreur indiquant que vous n'y avez pas accès.

15. Restreindre l'accès au répertoire wp-admin

wp-admin est l'emplacement par défaut du répertoire WordPress. Si vous visitez la page d'accueil de votre site Web et ajoutez /wp-admin à la fin de l'URL, vous accéderez au tableau de bord WordPress (après avoir parcouru la page de connexion).

Cette structure est standard pour les sites Web WordPress. Cela facilite la recherche et l’accès au tableau de bord, tant pour vous que pour les attaquants.

Une façon de protéger l’administrateur WordPress consiste à le sécuriser avec un mot de passe. De cette façon, les utilisateurs devront saisir un mot de passe différent après avoir parcouru la page de connexion.

Si votre hébergeur utilise cPanel, vous pouvez ajouter un mot de passe au répertoire wp-admin en utilisant la confidentialité du répertoire outil.

trouver "confidentialité du répertoire" dans cPanel

Une fois que vous êtes dans cet outil, parcourez les dossiers jusqu'à ce que vous trouviez le répertoire wp-admin . Cliquez sur MODIFIER à côté, et sur la page suivante, cochez l'option qui dit Mot de passe protéger ce répertoire .

option pour protéger par mot de passe un répertoire

Maintenant, l'outil de confidentialité du répertoire vous demandera de définir un mot de passe pour wp-admin . Après avoir enregistré le mot de passe, essayez d'accéder au tableau de bord WordPress. Une fenêtre contextuelle de mot de passe devrait apparaître directement dans le navigateur.

16. Masquez votre URL de connexion wp-admin

Une autre façon de protéger l’administrateur WordPress consiste à modifier l’URL qui mène à la page de connexion. Si vous combinez cette stratégie avec la protection supplémentaire par mot de passe abordée dans la section ci-dessus, aucun attaquant ne devrait pouvoir accéder au tableau de bord de votre site.

Vous pouvez modifier l'URL de connexion wp manuellement, mais l'utilisation d'un plugin peut simplifier le processus. WPS Hide Login est un outil simple qui vous permet de définir une nouvelle URL de connexion sans avoir à modifier le code de votre site.

Plugin WPS Masquer la connexion

Une fois que vous avez installé le plugin, accédez à Paramètres → WPS Masquer la connexion et recherchez la section qui indique URL de connexion. Utilisez le champ à côté de cette option et remplacez l'URL de connexion par défaut par une URL personnalisée.

Vous souhaiterez peut-être utiliser un mélange aléatoire de lettres et de chiffres. Cela rendra plus difficile la tâche des attaquants. Assurez-vous simplement de mettre la nouvelle page de connexion dans vos favoris ou de définir une URL dont vous vous souviendrez.

17. Limiter les tentatives de connexion

Comme mentionné précédemment, les attaquants peuvent accéder à votre site en essayant plusieurs combinaisons de noms d'utilisateur et de mots de passe. Définir des mots de passe forts peut être un moyen efficace de bloquer leurs tentatives, mais vous pouvez faire autre chose pour arrêter les attaques par force brute.

Cela implique de limiter le nombre de tentatives de connexion que les utilisateurs peuvent effectuer sur une période de temps spécifique. Cette limitation n’affectera pas les utilisateurs réguliers, mais elle devrait suffire à déjouer les attaques par force brute utilisant des robots. En limitant la fréquence à laquelle ils peuvent essayer de nouvelles informations d'identification, vous pouvez minimiser leurs chances de réussite.

Il existe de nombreux outils que vous pouvez utiliser pour limiter les tentatives de connexion dans WordPress. Si vous utilisez Jetpack, vous avez accès à sa fonction de protection contre la force brute. Cela limite automatiquement les tentatives de connexion que Jetpack identifie comme malveillantes.

option pour activer la protection contre les attaques par force brute avec Jetpack

Jetpack peut également vous aider à autoriser les adresses IP, afin qu'elles ne soient pas bloquées par l'outil de protection contre la force brute. Vous pouvez l'utiliser pour votre adresse IP et celle de vos collègues afin d'éviter les fausses alertes.

Découvrez les avantages de Jetpack

Découvrez comment Jetpack peut vous aider à protéger, accélérer et développer votre site WordPress. Obtenez jusqu'à 50 % de réduction sur votre première année.

Explorer les forfaits

18. Déconnectez automatiquement les utilisateurs inactifs

De nombreux sites Web vous déconnecteront de votre compte après une période de temps définie. Il s'agit d'une mesure de sécurité conçue pour empêcher d'autres personnes de détourner votre session si elles accèdent à votre ordinateur.

Cela ne pose peut-être pas de problème selon l'endroit à partir duquel vous vous connectez, mais cela reste une mesure de sécurité qui mérite d'être mise en œuvre. Cela s'applique particulièrement si d'autres personnes ont accès au tableau de bord de votre site.

WordPress ne déconnecte pas automatiquement les utilisateurs. Pour ajouter cette fonctionnalité, vous devrez utiliser un plugin comme Inactive Logout.

Plugin de déconnexion inactive

Une fois le plugin installé, accédez à Paramètres → Déconnexion inactive → Paramètres généraux . Recherchez l'option Idle Timeout et définissez la valeur sur la minuterie de votre choix, en minutes.

réglage du délai d'inactivité en minutes

Désormais, les utilisateurs seront automatiquement déconnectés s’ils restent inactifs pendant cette période. Le plugin vous permet également de configurer un message qui les informe de la raison pour laquelle leur session est fermée, afin qu'ils ne soient pas confus à leur retour.

19. Changer le préfixe de base de données WordPress par défaut

Chaque base de données WordPress a un nom. Par défaut, ce nom est wp_something, le « quelque chose » remplaçant le nom réel de la base de données.

Ce qui est vraiment important ici, c'est le préfixe. Par défaut, WordPress utilise le préfixe wp_ , ce qui signifie que les attaquants peuvent facilement deviner le nom complet de la base de données.

Le simple fait de changer le préfixe peut rendre cette tâche beaucoup plus difficile pour les attaquants. Malheureusement, il n’est pas si simple de changer le préfixe de la base de données WordPress.

Ce processus vous oblige à modifier les deux fichiers principaux et à apporter des modifications à la base de données elle-même. Donc, avant de faire quoi que ce soit d'autre, vous devrez effectuer une sauvegarde complète du site Web, qui inclut tous les fichiers et la base de données. De cette façon, si quelque chose ne va pas, vous pourrez restaurer la sauvegarde.

Pour commencer, accédez au site Web via FTP et accédez au fichier wp-config.php . Ouvrez le fichier et recherchez cette ligne à l'intérieur :

 $table_prefix = 'wp_';

Vous pouvez continuer et remplacer le préfixe « wp_ » par autre chose, comme « newprefix_ ». Mais ce n'est qu'un exemple. Vous voudrez choisir quelque chose de difficile à deviner.

Maintenant, enregistrez le fichier et accédez à la base de données en utilisant phpMyAdmin. Sélectionnez la base de données WordPress dans la liste de gauche et cliquez sur SQL dans le menu en haut de l'écran au-dessus de la liste des tables.

Cela ouvrira une page où vous pourrez exécuter des commandes SQL qui affectent la base de données. Ce que vous devez faire maintenant est de remplacer les préfixes de table existants pour toutes les tables de la base de données. Par défaut, cela signifie les tableaux suivants :

  • wp_options
  • wp_postmeta
  • wp_posts
  • wp_term_relations
  • wp_term_taxonomie
  • wp_terms
  • wp_commentmeta
  • wp_comments
  • wp_links

Gardez à l’esprit que certains plugins peuvent également ajouter de nouvelles tables à la base de données. Vous devrez également mettre à jour les préfixes de ces tables.

Pour chaque table, vous devrez exécuter la commande SQL suivante :

 RENAME table wp_xxxx TO newname_xxxx;

Les espaces réservés « xxxx » représentent le nom de chaque table après le trait de soulignement. De même, vous devrez remplacer le préfixe newname_ par celui que vous avez défini précédemment lors de la modification de wp-config.php .

Répétez ce processus si nécessaire pour chaque table de la base de données. Lorsque vous êtes prêt, vous pouvez revenir au tableau de bord.

Changer le préfixe de la base de données peut interrompre tous les plugins et thèmes actifs sur votre site. Ces outils ne reconnaîtront pas la base de données mise à jour tant que vous ne les aurez pas désactivés et réactivés.

Par conséquent, vous devrez parcourir chaque plugin et thème de votre site et suivre ce processus. Lorsque vous avez terminé, vérifiez votre site pour vous assurer que tout fonctionne comme il se doit.

20. Cachez votre version WordPress

Dans le passé, WordPress affichait la version du logiciel qu'un site utilisait dans le pied de page. L’idée était que ces informations pourraient être utiles à des fins de dépannage et qu’elles seraient beaucoup plus faciles à trouver si elles étaient facilement accessibles aux visiteurs frontaux.

Le problème avec cette approche est que l'affichage du numéro de version signifie que les attaquants peuvent rechercher des vulnérabilités spécifiques à cette version. Cela donne aux acteurs malveillants de nombreuses informations qu’ils peuvent utiliser pour mener une attaque sur votre site Web.

De plus, cette fonctionnalité n’a aucun avantage pratique pour vous. Après tout, vous pouvez toujours vérifier la version WordPress de votre site depuis le tableau de bord.

Les versions plus récentes de WordPress n’affichent plus ces informations sur le front-end. Si vous pouvez voir le numéro de version dans le pied de page, cela signifie que votre site Web est en retard pour une mise à jour WordPress.

21. Gardez votre version PHP à jour

Comme vous le savez probablement, WordPress repose en grande partie sur PHP. Il s'appuie sur ce langage de programmation pour effectuer la plupart des tâches d'administration.

PHP est aussi un logiciel. Cela signifie qu'il reçoit des mises à jour régulières avec de nouvelles fonctionnalités et fonctionnalités, ainsi que des performances améliorées.

WordPress nécessite que votre serveur exécute PHP version 7.4 ou supérieure. Il existe des versions plus récentes de PHP, et chacune d'elles apporte des améliorations de performances et de sécurité au logiciel. Ces mises à niveau sont également répercutées sur WordPress lui-même.

Les hébergeurs Web les plus réputés mettent à jour PHP sur leurs serveurs à mesure que de nouvelles versions sortent. Certains fournisseurs vous permettent même de basculer manuellement entre les versions (ce qui peut être nécessaire pour résoudre les erreurs sur votre site WordPress).

Vous pouvez vérifier quelle version de PHP votre site exécute en accédant à Paramètres → Santé du site → Informations → Serveur dans votre tableau de bord WordPress. Ici, vous verrez un aperçu de la configuration de votre serveur, y compris la version de PHP qu'il utilise.

informations sur le serveur dans WordPress

Si cette version est obsolète, vous souhaiterez peut-être contacter votre hébergeur. Ils pourront peut-être mettre à jour PHP pour vous. Même ainsi, c'est quelque chose que tu ne devrais pas Ce que vous devez faire si vous utilisez un fournisseur d'hébergement réputé, car il s'en chargera pour vous.

22. Désactivez le rapport d'erreurs PHP

WordPress est livré avec un outil de débogage qui permet au CMS de consigner les erreurs PHP. Vous pouvez utiliser ces rapports d'erreurs pour résoudre les problèmes techniques sur votre site Web.

Malheureusement, ces rapports peuvent également entraîner des problèmes de sécurité. Si des attaquants accèdent aux journaux d’erreurs PHP, ils peuvent obtenir de nombreuses informations sur le fonctionnement de votre site. Ils pourront peut-être voir quels plugins sont actifs sur votre site (s'ils affichent des erreurs), ainsi que les fichiers importants sur votre site avec des problèmes PHP.

Sauf si vous résolvez activement une erreur dans WordPress, vous n'avez pas besoin d'activer le rapport d'erreurs PHP. Si vous l'utilisez pour diagnostiquer un problème, vous souhaiterez désactiver le mode de débogage de WordPress dès que vous obtiendrez les informations dont vous avez besoin.

La désactivation du rapport d'erreurs PHP nécessite que vous modifiiez le fichier wp-config.php , qui se trouve à la racine de WordPress. annuaire. Vous pouvez accéder au répertoire via FTP, comme indiqué précédemment.

Ensuite, ouvrez le fichier wp-config.php et ajoutez la ligne de code suivante :

 define ( 'WP_DEBUG', true );

Changer le vrai valeur à faux et enregistrez le fichier. Cela désactivera les journaux d’erreurs dans WordPress.

Vous pouvez les réactiver à tout moment selon vos besoins. Il vous suffira de redéfinir la valeur sur true .

23. Supprimez les plugins et thèmes inutiles

Les plugins et les thèmes font de WordPress une plateforme si polyvalente. Ils ajoutent de nouvelles fonctionnalités à votre site et vous permettent de personnaliser son design.

Le problème est que certaines personnes installent des dizaines de plugins et de thèmes, mais n’en utilisent que quelques-uns. Par exemple, vous pouvez essayer de nombreux thèmes différents avant de choisir votre favori, mais ne jamais désinstaller le reste.

Chaque plugin actif sur votre site Web présente un risque de sécurité. En règle générale, ce risque est minime pour les plugins qui reçoivent des mises à jour régulières et qui sont soutenus par une équipe de développement réputée. Pour les plugins obsolètes ou ceux qui ne reçoivent plus de mises à jour, ce risque augmente considérablement.

La même chose s'applique aux thèmes. Avoir des thèmes que vous n'utilisez pas sur votre site peut entraîner des vulnérabilités.

Si vous n'utilisez pas activement un thème ou un plugin spécifique, le plus sûr est de le désinstaller (pas seulement de le désactiver). Cela ne prend que quelques minutes, mais cela peut faire une énorme différence pour la sécurité de votre site. De plus, si vous changez d'avis, vous pouvez toujours réinstaller un plugin ou un thème supprimé.

Cependant, il y a ici une exception. Vous souhaiterez peut-être conserver un thème par défaut tel que Twenty Twenty-Three installé, mais inactif, à des fins de dépannage.

24. Supprimez les comptes d'utilisateurs inutiles

En règle générale, personne ne devrait avoir accès à votre site Web, sauf si cela est absolument nécessaire. Si vous devez accorder l'accès à quelqu'un (pour publier du contenu, effectuer une maintenance ou mettre à jour le site), vous devez vous assurer que vous ne lui attribuez pas un rôle d'utilisateur avec plus d'autorisations que ce dont il a besoin.

Une fois qu’une personne n’a plus besoin d’accéder au site Web, vous pouvez supprimer son compte. Cela les empêchera de modifier le site Web sans votre approbation.

Ces comptes d'utilisateurs présentent un autre risque. Certaines personnes peuvent réutiliser les informations d'identification de leurs comptes personnels pour se connecter à votre site Web. Si ces informations d’identification sont divulguées lors d’une faille de sécurité, les attaquants pourront les utiliser pour accéder à votre site Web.

La suppression de comptes d'utilisateurs dans WordPress est simple. Pour ce faire, allez dans Utilisateurs → Tous les utilisateurs et sélectionnez un compte. Une fois que vous avez identifié le compte que vous souhaitez supprimer, survolez-le et cliquez sur Supprimer .

Notez que cette option n'apparaîtra que si vous êtes l'administrateur. Tant que personne d'autre n'a accès au compte administrateur, vous devriez être la seule personne à pouvoir supprimer des comptes d'utilisateurs.

25. Surveiller l'activité des utilisateurs

Si vous gérez un site Web WordPress sur lequel d'autres personnes ont accès au tableau de bord pour publier du contenu, apporter des modifications au site et le mettre à jour, vous rencontrerez probablement des problèmes de sécurité tôt ou tard. Par exemple, quelqu'un pourrait se faire voler ses informations d'identification ou installer un plugin qui introduit un risque de sécurité sur le site.

Pour cette raison, c'est une bonne idée que l'administrateur garde un œil sur ce que font les autres lorsqu'ils utilisent le site.

Les journaux d'activité sont des outils qui surveillent des événements spécifiques et prennent note du moment où ils se produisent. Vous pouvez accéder à ce journal et voir qui a fait quoi et quand. Cela vous permet de repérer les événements et les actions pouvant avoir un impact négatif sur la sécurité de votre site.

Cette fonctionnalité n'est pas disponible par défaut dans WordPress, mais vous pouvez l'ajouter avec un plugin. Jetpack Security comprend un journal d'activité qui stocke les données des 30 derniers jours.

Le journal est hébergé hors site. Par conséquent, si vous perdez l'accès au site, vous pouvez consulter le journal pour voir ce qui s'est passé avant de restaurer une sauvegarde récente.

26. Utilisez un CDN pour réduire le risque d'attaque DDoS

Les réseaux de diffusion de contenu (CDN) peuvent vous aider à réduire considérablement les temps de chargement. Pour ce faire, ils mettent en cache votre site Web à l’aide d’un réseau de centres de données répartis dans le monde entier. Lorsque quelqu'un visite le site, le CDN intercepte la demande et charge une copie depuis le serveur le plus proche.

L'utilisation d'un CDN offre de nombreux avantages au-delà de la réduction des temps de chargement. Par exemple, votre serveur est moins sollicité, ce qui signifie que votre site Web sera mieux placé pour gérer les pics de trafic importants. De plus, un CDN peut faire office de barrière en cas d’attaque.

Si votre site Web est la cible d'une attaque DDoS, le CDN peut le fermer rapidement. De nombreux CDN peuvent demander aux visiteurs de vérifier s'ils sont humains si le réseau détecte quelque chose d'étrange avec la connexion. Étant donné que les attaques DDoS reposent sur des robots, ils ne peuvent souvent pas contourner ces types de contrôles de sécurité.

Même si l’attaque DDoS parvient à atteindre le CDN, ses centres de données sont construits pour gérer des afflux massifs de trafic. En attendant, votre site Web lui-même sera protégé par le CDN.

Vous pouvez intégrer n'importe quel CDN de votre choix avec WordPress. Jetpack CDN est très simple à mettre en place. Vous pouvez l'activer gratuitement dans le plugin Jetpack et le CDN commencera à mettre en cache les fichiers multimédias de votre site Web.

27. Migrer vers un fournisseur d'hébergement axé sur la sécurité

Chaque hébergeur a son propre argument de vente. Par exemple, certains fournisseurs d’hébergement se concentrent davantage sur la sécurité et les performances, tandis que d’autres privilégient des prix abordables.

Idéalement, vous choisirez un hébergeur qui promet des performances et une sécurité de premier ordre (et ne facture pas un tarif injuste pour cela). Il existe de nombreux hébergeurs Web qui répondent à ces critères et gèrent les tâches de sécurité essentielles pour vous. Ces tâches peuvent inclure :

  • Sauvegardes
  • Mise en place d'un WAF
  • Vous protéger des attaques DDOS
  • Analyse des logiciels malveillants et nettoyage

Si vous souhaitez consacrer plus de temps et d'énergie à gérer votre site Web et moins à le protéger contre les attaques, vous voudrez choisir un hôte qui valorise la sécurité. Pour commencer, vous voudrez peut-être prendre une liste des hôtes WordPress recommandés.

Les hôtes Web qui fournissent des plans d'hébergement gérés ont tendance à offrir davantage en termes de sécurité. Bien sûr, ces services seront un peu plus chers que les plans non gérés, mais ils peuvent vous aider à mettre votre esprit à l'aise.

28. Considérez une solution de sécurité d'entreprise

Si vous exécutez un site Web au niveau de l'entreprise, vos mesures de sécurité devraient aller au-delà de la mise à jour des plugins et de la fabrication des sauvegardes. Vous aurez besoin d'une solution de sécurité qui offre une protection de bout en bout pour votre site Web.

WPSCAN possède la plus grande base de données de vulnérabilités de sécurité WordPress sur le marché.

WPSCAN propose une solution de sécurité axée sur l'entreprise. Cela peut être adapté aux besoins de votre entreprise et au type de site Web dont vous disposez. Vous pouvez contacter directement WPSCAN pour obtenir une évaluation de la sécurité de votre site et demander un devis.

Questions fréquemment posées

Cette liste des conseils de sécurité WordPress a couvert les mesures les plus importantes pour protéger votre site. Si vous avez encore des questions sur la façon d'améliorer la sécurité de votre site Web, cette section visera à y répondre.

Quelles menaces communes peuvent être atténuées par ces meilleures pratiques de sécurité WordPress?

Ce guide couvre tout, des mesures de protection de base aux pratiques de sécurité plus avancées. Si vous prenez le temps de mettre en œuvre toutes les mesures décrites dans cet article, votre site Web doit être protégé contre les menaces les plus courantes. Il s'agit notamment des attaques de force brute, du vol de données et des logiciels malveillants.

L'objectif ultime de ces mesures est de s'assurer qu'aucun acteur malveillant ne peut accéder à votre site et causer des dommages. Ils peuvent également empêcher les erreurs des utilisateurs inexpérimentés, comme l'installation d'un mauvais plugin.

Quelle est la façon la plus simple d'améliorer la sécurité WordPress?

Si vous n'avez pas le temps de mettre en œuvre toutes les mesures de ce guide, la meilleure chose que vous puissiez faire est de configurer un plugin de sécurité WordPress. Ces outils permettront automatiquement une myriade de fonctionnalités qui aident à protéger votre site Web.

Jetpack Security est une solution tout-en-un qui automatise de nombreuses tâches essentielles. Il effectue des sauvegardes en temps réel, configure un pare-feu, des analyses et fournit des correctifs rapides pour les logiciels malveillants, protège votre site contre le spam, etc. Il vous donne également accès aux journaux d'activité, vous pouvez donc identifier toutes les actions sur votre site qui peuvent avoir causé un problème de sécurité (et qui les a effectués).

Quel est le meilleur plugin de sécurité pour WordPress?

Il existe de nombreux plugins de sécurité WordPress, mais Jetpack Security est l'une des solutions les plus complètes du marché. Il gère la plupart des pratiques de sécurité discutées dans cet article, y compris les sauvegardes, la numérisation et la suppression des logiciels malveillants et la protection des spams.

Comment sauvegarder mon site WordPress et où dois-je stocker les sauvegardes?

Il existe plusieurs façons de sauvegarder un site Web WordPress. Vous pouvez sauvegarder tous les fichiers et la base de données manuellement, utiliser un plugin qui le fait pour vous ou vous inscrire à un plan d'hébergement qui comprend des sauvegardes limitées.

Dans la plupart des cas, vous ne voulez pas stocker les sauvegardes localement ou dans un seul endroit. C'est pourquoi il n'est généralement pas recommandé de compter sur l'hébergement de sauvegardes seuls. Les sauvegardes cloud ont tendance à être plus sécurisées, car la plupart des fournisseurs stockent plusieurs copies pour le soupçon de redondance.

La sécurité de Jetpack comprend des sauvegardes cloud en temps réel. Tout est stocké hors site et une nouvelle sauvegarde est effectuée chaque fois que vous apportez une modification à votre site Web.

À quelle fréquence dois-je mettre à jour mon site WordPress?

Idéalement, vous devez mettre à jour WordPress et ses composants dès qu'il y a des mises à jour disponibles. L'utilisation de la dernière version de tout logiciel augmentera la sécurité et les performances de votre site. De plus, il vous donne accès aux dernières fonctionnalités.

De nombreuses mises à jour sont axées sur le correctif des vulnérabilités de sécurité. Idéalement, vous voudrez vérifier quotidiennement votre site pour les mises à jour. Vous pouvez même activer les dates automatique pour les plugins. Tout cela et plus est possible avec Jetpack Security, le premier plugin de sécurité et de sauvegarde en temps réel.

À quelle fréquence dois-je scanner mon site WordPress pour les logiciels malveillants?

Si vous le pouvez, vous devez scanner votre site Web pour malware quotidiennement. Comme il s'agit d'une tâche si critique, il est logique de l'automatiser. De cette façon, votre plugin de sécurité ou votre scanner de logiciels malveillants sera toujours à la recherche de vulnérabilités même si vous n'êtes pas disponible.

La sécurité de Jetpack comprend une numérisation automatisée des logiciels malveillants. Le plugin scanne périodiquement votre site et vous informe s'il trouve quelque chose de suspect.

Sécurité de Jetpack: protection et sauvegardes WordPress 24 heures sur 24

Protéger un site Web WordPress peut être beaucoup de travail. Vous devrez effectuer des sauvegardes régulières, effectuer des mises à jour, scanner votre site pour les logiciels malveillants, etc. De plus, vous voudrez vous assurer que toute personne ayant accès à votre site utilise des noms d'utilisateur et des mots de passe solides.

Une solution tout-en-un comme Jetpack Security peut gérer la plupart de ces tâches pour vous. Vous obtiendrez des sauvegardes et des analyses automatisées, une protection de spam, un puissant pare-feu, et plus encore. Tout ce que vous avez à faire est d'installer le plugin et d'activer ces fonctionnalités.

Êtes-vous prêt à augmenter la sécurité de votre site? Commencez avec Jetpack Security dès aujourd'hui!