Sécuriser votre site WordPress : Les 20 meilleures pratiques

/
sécuriser votre site, sécurité wordpress, Sécuriser site wordpress, Bonnes pratiques sécurité wordpress, Protéger site wordpress piratage, Renforcer sécurité wordpress

WordPress est le CMS le plus populaire au monde, alimentant plus de 40% des sites web. Malheureusement, cette popularité en fait aussi une cible de choix pour les pirates. Chaque jour, des milliers de sites WordPress sont hackés, entraînant des pertes de données, de temps et d’argent pour leurs propriétaires.

Mais ne vous inquiétez pas, il existe de nombreuses mesures simples et efficaces pour renforcer la sécurité de votre site WordPress et le protéger contre les menaces. Dans cet article, nous allons partager avec vous les 20 meilleures pratiques pour sécuriser votre site WordPress. En suivant ces conseils, vous pourrez dormir sur vos deux oreilles en sachant que votre site est entre de bonnes mains. Prêt à découvrir nos astuces ? C’est parti !

Comprendre comment sécuriser votre site

Sécuriser votre site WordPress

Comprendre la sécurité de votre site WordPress est la première étape pour le protéger efficacement. Avant d’aborder les mesures spécifiques que vous pouvez prendre pour sécuriser votre site, il est essentiel de comprendre pourquoi la sécurité de WordPress est si importante, quelles sont les menaces courantes et quelles pourraient être les conséquences d’une attaque.

Les menaces communes aux sites WordPress

1. Injection SQL : Il s’agit d’une technique utilisée par les hackers pour manipuler la base de données de votre site en insérant du code malveillant.

2. Attaques par force brute : Ces attaques consistent à essayer un grand nombre de combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce que la bonne combinaison soit trouvée.

3. Scripts intersites (XSS) : Ce type d’attaque se produit lorsque des scripts malveillants sont injectés dans des sites web de confiance, les scripts peuvent alors être utilisés pour voler des informations sensibles.

4. Attaques DDoS : Une attaque par déni de service distribué (DDoS) se produit lorsque votre site est inondé de trafic dans le but de le rendre inaccessible.

5. Exploitation des failles de sécurité des plugins : De nombreux sites WordPress utilisent des plugins pour ajouter des fonctionnalités, mais si ces plugins ne sont pas maintenus à jour, ils peuvent présenter des failles de sécurité qui peuvent être exploitées par les hackers.

Les meilleures pratiques pour sécuriser votre site WordPress

Sécurité WordPress

Ces mesures pratiques vous aideront à protéger votre site contre les menaces potentielles et à garantir que vos données, ainsi que celles de vos utilisateurs, restent sécurisées.

Les conséquences d’une attaque sur un site WordPress

Les conséquences d’une attaque sur votre site WordPress peuvent être désastreuses. Outre la perte de données et de temps pour la restauration du site, votre réputation peut être gravement touchée si les informations de vos utilisateurs sont exposées. Cela peut entraîner une perte de confiance de la part de vos utilisateurs et un impact sur votre classement dans les moteurs de recherche. Dans certains cas, vous pourriez également être tenu responsable des pertes financières ou des dommages causés par une attaque sur votre site.

Bien, maintenant que vous avez compris la dangerosité d’un site mal sécurisé, il est temps de commencer à remédier à ce problème !

1. Activer SSL/HTTPS

Et oui !!!! Notre premier point est le SSL ou HTTPS, c’est totalement logique pour beaucoup d’entre nous, malheureusement, il existe encore des sites sans SSL, ce qui est incompréhensible vu que c’est devenu totalement gratuit. Si vous ne savez pas comment l’activer, contactez votre hébergeur qui le fera pour vous. Une fois fait, n’oubliez pas d’aller dans votre dashboard WordPress, puis de cliquer sur Réglages > Général, afin de changer l’adresse de votre site en y ajoutant https:// à la place de http:// dans les deux options Adresse web de WordPress (URL) et Adresse web du site (URL).

Une fois cette étape effectuée, ouvrez le fichier .htaccess qui se trouve à la racine de votre site, dans votre éditeur de texte et ajoutez-y ce code :

RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Cela va permettre de rediriger les URLs non sécurisés vers leurs versions sécurisées.

2. Utiliser l’une des dernières versions PHP

Il en existe de moins en moins comparé à quelques années mais il existe toujours quelques sites qui utilisent PHP 5.6 qui est une version si ancienne qu’elle n’a plus de support de sécurité et est exposée à des vulnérabilités de sécurité non corrigées. Les bons hébergeurs n’utilisent même plus cette version donc il y a peu de chances que vous rencontriez ce problème, mais ça ne vous coûte rien de vérifier et mettre à jour à la version 8.2 si votre hébergeur le propose.

3. Mise à jour régulière du noyau de WordPress, des thèmes et des plugins

La mise à jour régulière de votre site WordPress est l’un des moyens les plus efficaces de le sécuriser. Le noyau de WordPress, les thèmes et les plugins reçoivent régulièrement des mises à jour pour corriger les bugs et les failles de sécurité. Assurez-vous donc de toujours utiliser la dernière version.

Pour effectuer des mises à jour, accédez simplement à votre tableau de bord WordPress, où vous verrez une notification si une mise à jour est disponible. Vous pouvez alors choisir de mettre à jour automatiquement ou manuellement. Si vous avez peur de rendre votre site inaccessible dû à une mise à jour et une incompatibilité, ou si vous souhaitez simplement fournir la maintenance de votre site WordPress à des experts pour vous occuper pleinement de faire fructifier votre business, n’hésitez pas à nous contacter (Oui c’est un Call To Action non dissimulé).

4. Mise en place d’un système de sauvegarde

La sauvegarde de votre site est essentielle pour la récupération en cas d’attaque. Vous devriez avoir un système en place qui effectue des sauvegardes régulières de votre site. Un plugins tel que UpdraftPlus peux faciliter ce processus.

5. Choix de mots de passe forts et sécurisés

Cela devrait être logique mais j’ai énormément eu affaire à des clients avec un mot de passe si simple qu’il n’est qu’une question de temps avant qu’ils ne se fassent hacker leurs sites s’ils ne le changent pas maintenant.

N’utilisez pas votre date de naissance ou celle de vos proches, un mot de passe fort est votre première ligne de défense contre les attaques. Assurez-vous que tous les comptes administratifs ont des mots de passe uniques et complexes. Utilisez une combinaison de lettres, de chiffres et de symboles pour rendre votre mot de passe plus robuste.

Voici un outil très utile, il permet de garder tous vos mots de passe au même endroit et d’en générer des solides : 1Password

6. Utiliser un nom d’utilisateur sécurisé

L’une des erreurs les plus courantes consiste à utiliser des noms d’utilisateur faciles à deviner, tels que admin, administrateur ou test. Cela expose votre site à un risque plus élevé d’attaques par force brute. De plus, les hackers utilisent également ce type d’attaque pour cibler les sites WordPress qui n’ont pas de mots de passe forts. Alors si cela est votre cas, cliquez sur Comptes > Ajouter, sélectionnez Administrateur dans Rôle et entrer un identifiant facile à retenir pour vous mais pas pour les hackers, puis supprimez votre ancien compte admin.

7. Changer l’URL de connexion de l’administrateur WordPress

Il est vrai que par habitude, je préfère utiliser le moins de plugins possibles mais pour masquer la page de connexion par défaut, il faudrait modifier un fichier core de WordPress qu’il faudra modifier après chaque mise à jour de celui-ci, c’est pour cette raison que je recommande fortement l’utilisation du plugin WPS Hide Login qui permet très facilement d’ajouter votre propre accès login.

Après l’installation du plugin, allez dans Réglages > WPS Hide Login puis ajoutez votre URL de connexion et votre URL de redirection.

Lorsqu’une personne essayera d’accéder à votre site via wp-admin ou wp-login.php, il sera renvoyé vers l’URL de redirection.

ATTENTION, retenez bien votre nouvelle URL de connexion sinon vous ne pourrez plus accéder à votre administration, oui ça serait dommage.

Approfondir la sécurité WordPress avec des pratiques avancées

Sécuriser site WordPress

Une fois que vous avez mis en œuvre les pratiques de base pour la sécurité de votre site WordPress, vous pouvez envisager d’adopter des mesures de sécurité plus avancées. Ces mesures nécessitent généralement une certaine connaissance technique, mais elles peuvent offrir une protection supplémentaire contre les menaces de sécurité.

8. Refuser l’accès à vos fichiers wp-config et .htaccess

Les fichiers wp-config et .htaccess sont deux des fichiers les plus cruciaux de votre site qui donnent toutes sortes d’autorisations et imposent des restrictions.

Ouvrez votre fichier .htaccess et ajoutez-y ce code juste après # END WordPress :

<files wp-config.php>
    order allow,deny
    deny from all
</files>

<Files ~ “^.*\.([Hh][Tt][Aa])”>
     Order Allow,Deny
     Deny from all
     Satisfy all
</Files>

Un élément à prendre en compte, certains plugins comme WP Rocket ont besoin d’écrire du code dans ses fichiers, je vous conseille d’ajouter leurs codes manuellement pour plus de sécurité.

9. Désactiver les indices de connexion dans les messages d’erreur

Par défaut, la page de connexion WordPress affiche un message d’erreur lorsque quelqu’un saisit le mauvais nom d’utilisateur ou mot de passe. Cependant, ces messages d’erreur peuvent aider les pirates à deviner votre nom d’utilisateur, votre adresse e-mail ou votre mot de passe.

Entrez ce code dans le fichier functions.php de votre thème ou thème enfant :

function vayalis_no_wordpress_errors() {
    return 'Le nom d&rsquo;utilisateur ou mot de passe est incorrect SUCKERRRRRRR !';
}
add_filter( 'login_errors', 'vayalis_no_wordpress_errors' );

ATTENTION, il y a un mot un peu trop familier dans le message d’erreur, c’est pour voir si vous suivez !

10. Limiter les tentatives de connexion

Nous arrivons à la moitié de nos meilleures pratiques de sécurités, la limitation des tentatives de connexion.

Limiter les tentatives de connexion peut aider à prévenir les attaques par force brute. Vous pouvez utiliser un plugin pour limiter le nombre de tentatives à partir d’une même adresse IP. Mais comme j’aime utiliser le moins de plugins possible sur les sites de mes clients, voici le code à ajouter dans le fichier functions.php de votre thème pour limiter la connexion à 3 erreurs :

function vayalis_check_attempted_login( $user, $username, $password ) {
    if ( get_transient( 'attempted_login' ) ) {
        $datas = get_transient( 'attempted_login' );

        if ( $datas['tried'] >= 3 ) {
            $until = get_option( '_transient_timeout_' . 'attempted_login' );
            $time = vayalis_time_to_go( $until );
            return new WP_Error( 'too_many_tried',  sprintf( __( '<strong>ERREUR</strong>: Vous avez atteint la limite d&rsquo;authentification, vous pourrez réessayer dans %1$s.' ) , $time ) );
        }
    }
    return $user;
}
add_filter( 'authenticate', 'vayalis_check_attempted_login', 30, 3 ); 

function vayalis_login_failed( $username ) {
    if ( get_transient( 'attempted_login' ) ) {
        $datas = get_transient( 'attempted_login' );
        $datas['tried']++;

        if ( $datas['tried'] <= 3 ) {
            set_transient( 'attempted_login', $datas , 300 );
        }
    } else {
        $datas = array(
            'tried'     => 1
        );
        set_transient( 'attempted_login', $datas , 300 );
    }
}
add_action( 'wp_login_failed', 'vayalis_login_failed', 10, 1 ); 

function vayalis_time_to_go( $timestamp ) {
    // convertir l'horodatage mysql en heure php
    $periods = array(
        "second",
        "minute",
        "hour",
        "day",
        "week",
        "month",
        "year"
    );
    $lengths = array(
        "60",
        "60",
        "24",
        "7",
        "4.35",
        "12"
    );
    $current_timestamp = time();
    $difference = abs( $current_timestamp - $timestamp );
    for ( $i = 0; $difference >= $lengths[$i] && $i < count( $lengths ) - 1; $i ++ ) {
        $difference /= $lengths[$i];
    }
    $difference = round( $difference );
    if ( isset( $difference ) ) {
        if ( $difference != 1 ) {
            $periods[$i] .= "s";
            $output = "$difference $periods[$i]";
            return $output;
        }
    }
}

11. Protection DDoS

Les attaques DDoS sont l’une des attaques les plus difficiles. Ajoutez ce code dans le fichier .htaccess qui se trouve à la racine de votre site :

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

À coller juste après # END WordPress.

12. Empêcher le Hotlinking

Ce n’est pas vraiment de la sécurité à proprement parler mais plus de l’optimisation contre le vol de contenu.

Qu’est-ce que le hotlinking d’images ? C’est littéralement une personne qui va prendre l’URL de votre image pour la mettre sur son propre site, donc clairement, cela va affecter négativement les performances de votre site et vos résultats. Le souci est qu’il peut parfois être difficile de remarquer qu’il y a un problème jusqu’à ce que le mal soit fait. C’est pourquoi il est important d’empêcher les liens d’image dans WordPress avant que cela ne se produise.

Ajoutez ce code dans votre fichier .htaccess :

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?votresite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?linkedin.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?facebook.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?twitter.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F]

Veillez bien à remplacer votresite.com par l’URL de votre site. Cela va empêcher les sites autres que votre propre site, Google, LinkedIn, Facebook et Twitter d’accéder à vos images. Vous pouvez bien entendu copier l’une de ses lignes et y ajouter une autre URL.

13. Installation et configuration d’un pare-feu d’application Web (WAF)

Un pare-feu d’application Web (WAF) agit comme un bouclier entre votre site web et le trafic entrant. Il analyse le trafic et bloque les activités suspectes, protégeant ainsi votre site contre les attaques. Des plugins de sécurité WordPress, tels que Wordfence et Sucuri, offrent des fonctionnalités WAF.

Bien que je vous conseille fortement d’installer et configurer Cloudflare mais cela peut s’avérer technique si on ne possède pas les connaissances nécessaires.

14. Désactivation de l’édition de fichier

WordPress permet aux administrateurs d’éditer les fichiers de thèmes et de plugins directement à partir du tableau de bord. Cependant, cette fonctionnalité peut être exploitée par des personnes mal intentionnées si elles obtiennent un accès à votre tableau de bord. Vous pouvez désactiver l’édition de fichier en ajoutant cette ligne de code à votre fichier wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

15. Mise en place de l’authentification à deux facteurs

L’authentification à deux facteurs (2FA) ajoute une couche supplémentaire de sécurité en exigeant une deuxième forme de vérification lors de la connexion. Vous pouvez mettre en place une 2FA sur votre site WordPress en utilisant un plugin.

16. Changer le préfixe de base de données WordPress par défaut

La base de données WordPress contient et stocke toutes les informations cruciales nécessaires au fonctionnement de votre site. Par conséquent, les pirates ciblent souvent la base de données avec des attaques par injection SQL. Cette technique injecte du code nuisible dans la base de données et peut contourner les mesures de sécurité de WordPress et récupérer le contenu de la base de données.

Plus de 50 % des cyberattaques consistent en injection SQL, ce qui en fait l’une des plus grandes menaces. Les pirates exécutent cette attaque car de nombreux utilisateurs oublient de modifier le préfixe de base de données par défaut wp_.

Il est assez simple de remédier à ce problème mais cela est assez complexe pour un débutant alors je vous conseille de contacter votre hébergeur pour lui demander s’il peut le faire pour vous. Vous pouvez également nous contacter si vous souhaitez un travail rapide et de qualité !

17. Masquer la version WordPress

Les pirates peuvent pénétrer plus facilement dans votre site s’ils savent quelle version de WordPress vous utilisez. Ils peuvent utiliser les vulnérabilités de cette version pour attaquer votre site, surtout s’il s’agit d’une ancienne version de WordPress.

Ajoutez ce code dans le fichier functions.php de votre thème :

function vayalis_remove_version() {
return '';
}
add_filter( 'the_generator', 'vayalis_remove_version' );

remove_action( 'wp_head', 'wp_generator' );

18. Désactiver l’exécution de fichiers PHP dans certains répertoires WordPress

Une autre façon de renforcer votre sécurité WordPress consiste à désactiver l’exécution des fichiers PHP dans les répertoires où il n’est pas nécessaire, tels que /wp-content/uploads/.

Pour cela, ouvrez votre éditeur de texte comme Visual Code et ajoutez ce code :

<Files *.php>
deny from all
</Files>

Sauvegardez ce fichier en .htaccess et ajoutez-le dans votre dossier /wp-content/uploads/ via FTP.

19. Utilisation d’un plugin de sécurité WordPress de qualité

Un plugin de sécurité peut ajouter une couche supplémentaire de protection à votre site WordPress. Des plugins tels que Wordfence, All-In-One Security, Sucuri Security et iThemes Security offrent une gamme de fonctionnalités de sécurité, y compris les pare-feu, les scanners de malware, les blocages d’IP et bien plus encore.

ATTENTION, une erreur à ne pas commettre est d’activer toutes les options d’un plugin de sécurité pensant que le site deviendra aussi impénétrable que le pentagon, et bien désolé de vous l’apprendre mais généralement, cela aura l’effet inverse. Il faut bien penser qu’un plugin de sécurité est un bonus pour votre site. Tout d’abord, vous devez être sur un très bon hébergeur sécurisé. Si ce n’est pas le cas, il est peut-être temps de penser à faire une migration. Ça tombe bien, j’ai un article qui explique comment faire (et hop, un internal link ni vu ni connu).

20. Surveillance et audit de la sécurité du site

La surveillance de la sécurité et la tenue d’un registre des activités sur votre site peuvent vous aider à détecter les activités suspectes et à réagir rapidement. Plusieurs plugins de sécurité offrent des fonctionnalités d’audit et de surveillance.

Conclusion

En appliquant ces 20 meilleures pratiques, vous aurez fait un grand pas vers un site WordPress plus sécurisé. Cependant, n’oubliez pas que la sécurité est un processus continu. Les menaces évoluent constamment, il est donc crucial de rester vigilant et de maintenir ces bonnes habitudes sur le long terme.

N’hésitez pas à faire appel à des professionnels comme notre agence Vayalis pour vous accompagner dans la sécurisation et la maintenance de votre site WordPress. Nous sommes là pour vous aider à protéger votre présence en ligne et assurer la pérennité de votre activité digitale.

Prêt à passer à l’action ? Mettez en œuvre ces conseils dès aujourd’hui et dormez sur vos deux oreilles !

Questions Fréquemment Posées

Est-il vraiment nécessaire d'appliquer toutes ces mesures de sécurité sur mon site WordPress ?

Oui, il est fortement recommandé d’appliquer un maximum de ces mesures. Plus vous en mettrez en place, plus votre site sera sécurisé. Cependant, même si vous ne pouvez pas toutes les appliquer, chaque mesure compte et renforcera la sécurité de votre site.

Quels sont les plugins de sécurité WordPress les plus recommandés ?

Parmi les plugins de sécurité WordPress les plus populaires et fiables, on retrouve Wordfence, Sucuri Security, iThemes Security et All In One WP Security & Firewall. Chacun a ses forces et ses spécificités, il est donc judicieux de comparer leurs fonctionnalités pour choisir celui qui conviendra le mieux à vos besoins.

Faire des sauvegardes régulières de mon site WordPress est-il vraiment important pour la sécurité ?

Absolument ! Les sauvegardes sont essentielles, non seulement pour la sécurité mais aussi pour la pérennité de votre site. En cas de piratage ou de problème technique, avoir des sauvegardes récentes vous permettra de restaurer votre site rapidement et facilement, limitant ainsi les dommages et les pertes.

Dois-je obligatoirement passer à l'authentification à deux facteurs pour mon site WordPress ?

L’authentification à deux facteurs n’est pas obligatoire, mais c’est une excellente pratique pour renforcer significativement la sécurité des comptes utilisateurs de votre site. C’est particulièrement recommandé si vous avez plusieurs contributeurs ou si votre site gère des données sensibles.

Comment savoir si mon hébergeur est fiable et offre de bonnes mesures de sécurité pour mon site WordPress ?

Privilégiez un hébergeur réputé qui met en avant ses mesures de sécurité (sauvegardes, surveillance des intrusions, pare-feu, etc.). Vérifiez également que votre offre d’hébergement comprend des mises à jour régulières des serveurs et du CMS WordPress. N’hésitez pas à poser directement la question à votre hébergeur avant de souscrire.

Moi c'est Nicolas, le maestro du code chez Vayalis (oui, je sais, la modestie m’étouffe 😁). Fan de WordPress, d'IA, de design et tout ce qui touche au web. J’adore partager mes astuces, mes découvertes et parfois même mes erreurs… pour que tu n’aies pas à les faire toi-même !

Abonne-toi et reçois un dragon comme animal de compagnie ! (ok, on exagère, mais nos conseils sont vraiment magiques !)

Psst... Glisse ton email ici et rejoins le club ! On promet de ne partager que des pépites (et peut-être quelques bêtises) !

Articles similaires

sécuriser votre site, sécurité wordpress, Sécuriser site wordpress, Bonnes pratiques sécurité wordpress, Protéger site wordpress piratage, Renforcer sécurité wordpress

Comment une agence web innovante transforme votre succès digital

Le monde digital évolue à une vitesse folle, et votre entreprise ne peut plus se contenter d’une simple présence en ligne. En 2025, plus de 92% des consommateurs recherchent d’abord…

Bon ou Mauvais développeur

8 différences entre un bon et mauvais développeur

De nos jours, choisir le bon développeur peut faire la différence entre un projet qui décolle et un qui s’écrase. Les différences entre un bon et un mauvais développeur dépassent…

Votre Avis Nous Intéresse !

protection par reCAPTCHA