Garder votre site web WordPress en sécurité est important pour tout propriétaire de site web. Tout comme vous protégez votre maison ou votre entreprise, vous devez également protéger votre site des menaces en ligne.
Si vous ne prenez pas les bonnes mesures pour sécuriser votre site, celui-ci pourrait être en danger. Chaque jour, Google bloque des milliers de sites en raison de logiciels malveillants et d’autres problèmes de sécurité.
Nous avons réussi à garder WPBeginner à l’abri des attaques répétées pendant de nombreuses années. Nous faisons cela en utilisant les meilleures extensions de sécurité et en suivant les meilleures pratiques de sécurité WordPress.
Dans ce guide, nous partagerons nos meilleurs conseils et notre liste de contrôle de sécurité WordPress pour vous aider à protéger votre site contre les pirates et les logiciels malveillants.
Bien que le cœur du logiciel WordPress soit très sûr et fasse l’objet d’audits réguliers par des centaines de développeurs/développeuses, il reste encore beaucoup à faire pour assurer la sécurité de votre site.
Chez WPBeginner, nous pensons que la sécurité n’est pas seulement une question d’élimination des risques. Il s’agit également de réduire les risques. En tant que propriétaire de site, il y a beaucoup de choses que vous pouvez faire pour améliorer la sécurité de WordPress, même si vous n’êtes pas un expert en technologie.
C’est pourquoi nous avons établi une liste de contrôle de la sécurité de WordPress, qui contient des mesures à prendre pour protéger votre site contre les failles de sécurité.
Pour vous faciliter la tâche, nous avons créé une table des matières qui vous aidera à naviguer facilement dans notre guide ultime sur la sécurité de WordPress.
Table des matières
Les bases de la sécurité de WordPress
- Pourquoi la sécurité de WordPress est-elle importante ?
- Maintenir WordPress à jour
- Utiliser des mots de passe forts et des droits d’utilisateurs/utilisatrices
- Comprendre le rôle de l’hébergeur WordPress
La sécurité de WordPress en étapes par étapes (Aucun codage)
- Installer une solution de sauvegarde pour WordPress
- Installer une extension de sécurité WordPress réputée
- Activer un pare-feu d’application Web (WAF)
- Passez votre site WordPress en SSL/HTTPS
La sécurité de WordPress pour les utilisateurs/utilisatrices
- Modifier l’identifiant de l’administrateur par défaut
- Désactiver la modification des fichiers
- Désactiver l’exécution de fichiers PHP dans certains répertoires de WordPress
- Limiter les tentatives de connexion
- Ajouter l’authentification à deux facteurs (2FA)
- Modifier le préfixe de la base de données de WordPress
- Protéger par mot de passe la page d’administration et de connexion de WordPress
- Désactiver l’indexation et la navigation dans le répertoire
- Désactiver XML-RPC dans WordPress
- Journaliser automatiquement les utilisateurs/utilisatrices déconnectés sur WordPress
- Ajouter des questions de sécurité à la connexion WordPress
- Recherche de logiciels malveillants et de vulnérabilités sur WordPress
- Corriger un site WordPress corrompu
Vous êtes prêts ? Premiers pas.
Pourquoi la sécurité des sites web est-elle importante ?
Un site WordPress piraté peut causer de graves dommages au chiffre d’affaires et à la réputation de votre entreprise. Les pirates peuvent voler les informations et les mots de passe des utilisateurs, installer des logiciels malveillants et même distribuer des logiciels malveillants à vos utilisateurs/utilisatrices.
Pire, vous pouvez vous trouver à payer des ransomwares à des pirates informatiques juste pour retrouver l’accès à votre site.
Chaque jour, Google avertit 12 à 14 millions d’utilisateurs/utilisatrices qu’un site qu’ils essaient de visiter peut contenir des logiciels malveillants ou voler des informations.
En outre, Google inscrit chaque jour sur sa liste noire plus de 10 000 sites pour cause de logiciels malveillants ou d’hameçonnage.
Tout comme les propriétaires d’entreprises ayant un emplacement physique ont la responsabilité de protéger leur propriété, les propriétaires d’entreprises en ligne doivent accorder une attention particulière à la sécurité de leur WordPress.
Maintenir WordPress à jour
WordPress est un logiciel libre et il est régulièrement entretenu et mis à jour. Par défaut, WordPress installe automatiquement les mises à jour mineures.
Pour les versions majeures, vous devez lancer manuellement la mise à jour.
WordPress est également livré avec des milliers d’extensions et de thèmes que vous pouvez installer sur votre site. Ces extensions et thèmes sont gérés par des développeurs/développeuses tiers, qui publient régulièrement des mises à jour.
Ces mises à jour WordPress sont cruciales pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que votre cœur WordPress , vos extensions et votre thème sont à jour.
Utiliser des mots de passe forts et des droits d’utilisateurs/utilisatrices
Les tentatives de piratage de WordPress les plus courantes utilisent des mots de passe volés. Vous pouvez rendre cela difficile en utilisant des mots de passe plus forts et uniques pour votre site.
Nous ne parlons pas seulement de la zone d’administration de WordPress. N’oubliez pas de créer des mots de passe forts pour vos comptes FTP, vos bases de données, vos comptes d’hébergement WordPress et les adresses électroniques personnalisées qui utilisent le nom de domaine de votre site.
De nombreux débutants n’aiment pas utiliser des mots de passe forts parce qu’ils sont difficiles à retenir. La bonne chose est que vous n’avez plus besoin de vous souvenir des mots de passe car vous pouvez simplement utiliser un gestionnaire de mots de passe.
En savoir plus, consultez notre guide sur la gestion des mots de passe WordPress.
Une autre façon de réduire les risques est de ne donner à personne l’accès à votre compte d’administration WordPress, sauf en cas d’absolue nécessité.
Si vous avez une grande équipe ou des auteurs/autrices invités, assurez-vous de bien comprendre les rôles et permissions des utilisateurs/autrices dans WordPress avant d’ajouter de nouveaux comptes d’utilisateurs/autrices à votre site WordPress.
Comprendre le rôle de l’hébergeur WordPress
Votre service d’hébergement WordPress joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon fournisseur d’hébergement mutualisé comme Hostinger, Bluehost ou SiteGround prend des mesures supplémentaires pour protéger ses serveurs contre les menaces courantes.
Voici quelques exemples de la façon dont les bonnes entreprises d’hébergement web travaillent en arrière-plan pour protéger vos sites et vos données :
- Ils surveillent en permanence leur réseau à la recherche d’activités suspectes.
- Toutes les bonnes entreprises d’hébergement disposent d’outils pour prévenir les attaques DDoS à grande échelle.
- Ils maintiennent à jour le logiciel de leur serveur, les versions de PHP et le matériel afin d’empêcher les pirates d’exploiter une faille de sécurité connue dans une ancienne version.
- Ils disposent d’offres prêtes à l’emploi en matière de reprise après sinistre et d’accidents qui leur permettent de protéger vos données en cas d’accident majeur.
Avec une offre d’hébergement mutualisé, vous partagez les ressources du serveur avec de nombreux autres clients/clientes. Il existe un risque de contamination intersites, un pirate pouvant utiliser un site voisin pour attaquer votre site.
En revanche, l’utilisation d’un service d’hébergement WordPress infogéré constitue une plateforme plus sécurisée pour votre site. Les entreprises d’hébergement WordPress infogérées proposent des sauvegardes automatiques, des mises à jour WordPress automatiques et des configurations de sécurité plus avancées pour protéger votre site
Nous recommandons Siteground comme notre fournisseur préféré d’hébergement WordPress géré. Ils ont un support réactif, des serveurs rapides et une excellente fiabilité.
Assurez-vous d’obtenir la meilleure offre en utilisant notre coupon spécial Siteground.
La sécurité de WordPress en quelques étapes par étapes (Aucun codage)
Nous savons que l’amélioration de la sécurité de WordPress peut être une idée terrifiante pour les débutants, en particulier si vous n’êtes pas technicien. Devinez quoi : vous n’êtes pas seul.
Nous avons aidé des milliers d’utilisateurs/utilisatrices de WordPress à renforcer leur sécurité.
Nous allons vous afficher comment vous pouvez améliorer la sécurité de WordPress en quelques clics (aucun codage nécessaire).
Si vous savez pointer et cliquer, vous pouvez le faire !
1. Installer une solution de sauvegarde pour WordPress
Les sauvegardes sont votre première défense contre toute attaque de WordPress. N’oubliez pas que rien n’est sûr à 100 %. Si les sites gouvernementaux peuvent être piratés, il en va de même pour le vôtre.
Les sauvegardes vous permettent de restaurer rapidement votre site WordPress en cas de problème.
Il existe de nombreuses extensions de sauvegarde WordPress gratuites et payantes que vous pouvez utiliser. La chose la plus importante que vous devez savoir en ce qui concerne les sauvegardes est que vous devez régulièrement enregistrer des sauvegardes de sites complets vers un emplacement distant (pas votre compte d’hébergeur).
Nous vous recommandons de le stocker sur un service de cloud comme Amazon, Dropbox, ou sur des clouds privés comme Stash.
En fonction de la fréquence des mises à jour de votre site, le réglage idéal pourrait être une sauvegarde quotidienne ou en temps réel.
Heureusement, cela peut être facilement fait en utilisant des extensions comme Duplicator, UpdraftPlus, ou BlogVault. Ils sont à la fois fiables et surtout faciles à utiliser (aucun codage n’est nécessaire).
Pour plus de détails, consultez notre guide sur la sauvegarde de votre site WordPress.
Installer une extension de sécurité WordPress réputée
Après les sauvegardes, la prochaine chose à faire est de configurer un système d’audit et de surveillance qui garde une trace de tout ce qui se passe sur votre site.
Cela comprend la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, l’analyse des logiciels malveillants, etc.
Heureusement, vous pouvez facilement vous en occuper en installant l’une des meilleures extensions de sécurité WordPress, comme Sucuri.
Vous devez installer et activer l’extension gratuite Sucuri Security. Pour plus de détails, veuillez consulter notre guide étape par étape sur l’installation d’une extension WordPress.
Vous pouvez maintenant vous rendre sur le tableau de bord de Sucuri Security « pour voir si le plugin a trouvé des problèmes immédiats avec votre code WordPress.
La prochaine chose à faire est de naviguer sur la page » Réglages » de Sucuri Security et de cliquer sur l’onglet » Durcissement « .
Les réglages par défaut fonctionnent bien pour la plupart des sites, vous pouvez donc les activer en cliquant sur le bouton « Appliquer le durcissement » pour chaque option.
Cela vous aide à verrouiller les zones clés que les pirates utilisent souvent dans leurs attaques.
Astuce : Nous aborderons d’autres moyens de durcir votre site ultérieurement dans cet article, comme la modification du préfixe de la base de données et de l’identifiant de l’administrateur. Cependant, ces méthodes sont plus techniques et peuvent nécessiter des connaissances en codage.
Après le durcissement, les autres réglages par défaut de l’extension sont suffisants pour la plupart des sites et ne nécessitent aucune modification.
La seule chose que nous vous recommandons de personnaliser, ce sont les alertes par e-mail, que vous trouverez dans l’onglet « Alertes » de la page des Réglages.
Par défaut, vous recevrez de nombreux e-mails d’alerte qui risquent d’encombrer votre boîte de réception.
Nous vous recommandons d’activer les alertes uniquement pour les actions clés dont vous souhaitez être informé, telles que les modifications d’extensions et les inscriptions de nouveaux utilisateurs/utilisatrices.
Ce plugin de sécurité WordPress est très puissant, alors parcourez tous les onglets et les Réglages pour voir tout ce qu’il fait comme l’analyse des logiciels malveillants, les Journaux d’audit, le suivi des tentatives de connexion échouées, et plus encore.
En savoir plus, vous pouvez consulter notre avis détaillé sur Sucuri.
Activer un pare-feu d’application Web (WAF)
Le moyen le plus simple de protéger votre site et d’avoir confiance en la sécurité de WordPress est d’utiliser un pare-feu d’application web (WAF).
Un pare-feu pour site web bloque tout trafic malveillant avant même qu’il n’atteigne votre site.
- Un pare-feu de site web au niveau DNS achemine le trafic de votre site via ses serveurs proxy dans le cloud. Cela vous permet d’envoyer uniquement du trafic authentique à votre serveur web.
- Un pare-feu au niveau de l’application examine le trafic une fois qu’il atteint votre serveur, mais avant de charger la plupart des scripts WordPress. Cette méthode n’est pas aussi efficace que le pare-feu au niveau du DNS pour réduire la charge du serveur.
Pour en savoir plus, consultez notre liste des meilleures extensions de pare-feu WordPress.
Nous avons utilisé Sucuri sur WPBeginner pendant de nombreuses années et nous le recommandons toujours comme l’un des meilleurs pare-feu d’application web pour WordPress. Nous sommes récemment passés de Sucuri à Cloudflare parce que nous avions besoin d’un réseau CDN plus grand avec des fonctionnalités plus axées sur les clients d’entreprise.
Vous pouvez lire comment Sucuri nous a aidés à bloquer 450 000 attaques WordPress en un mois.
La meilleure partie du pare-feu de Sucuri est qu’il est également livré avec une garantie de nettoyage des logiciels malveillants et de suppression de la liste noire. Cela signifie que si vous deviez être piraté sous leur surveillance, ils garantissent de corriger votre site, quel que soit le nombre de pages que vous avez.
Il s’agit d’une garantie assez solide, car la réparation des sites piratés est coûteuse. Les experts en sécurité facturent normalement plus de 250 $ de l’heure, alors que vous pouvez obtenir l’ensemble de la pile de sécurité Sucuri pour 199 $ pour toute l’année.
Cela dit, Sucuri n’est pas le seul fournisseur de pare-feu au niveau DNS. L’autre concurrent populaire est Cloudflare. Voir notre comparaison entre Sucuri et Cloudflare (avantages et inconvénients).
Passez votre site WordPress en SSL/HTTPS
SSL (Secure Sockets Layer) est un protocole qui permet de chiffrer le transfert de données entre votre site et le navigateur de l’utilisateur/utilisatrice. Grâce à ce chiffrement, il est plus difficile pour quelqu’un de renifler et de voler des informations.
Une fois que vous aurez activé le SSL, l’adresse de votre site utilisera HTTPS au lieu de HTTP. Vous verrez également un cadenas ou un signe iconique similaire à côté de l’adresse de votre site dans le navigateur.
Les certificats SSL sont généralement délivrés par des auteurs/autrices de certificats, et leur prix varie de 80 à plusieurs centaines de dollars par an. En raison des coûts supplémentaires, la plupart des propriétaires de sites ont, par le passé, choisi de continuer à utiliser ce protocole non sécurisé.
Pour corriger ce problème, une organisation à but non lucratif appelée Let’s Encrypt a décidé d’offrir des certificats SSL gratuits aux propriétaires de sites. Leur projet est supporté par Google Chrome, Facebook, Mozilla, et bien d’autres entreprises.
Il est plus facile que jamais de commencer à utiliser le SSL pour tous vos sites WordPress. De nombreuses entreprises d’hébergement proposent désormais un certificat SSL gratuit pour votre site WordPress.
Si votre entreprise d’hébergement n’en propose pas, vous pouvez acheter un certificat SSL auprès de Domain.com. Ils proposent les offres SSL les meilleures et les plus fiables du marché. Le certificat est assorti d’une garantie de sécurité de 10 000 $ et d’un sceau de sécurité TrustLogo.
La sécurité de WordPress pour les utilisateurs/utilisatrices
Si vous faites tout ce que nous avons mentionné jusqu’à présent, vous êtes en bonne position.
Mais comme toujours, vous pouvez faire plus pour renforcer la sécurité de WordPress.
N’oubliez pas que certaines de ces étapes peuvent nécessiter des connaissances en matière de codage.
Modifier l’identifiant de l’administrateur par défaut
Autrefois, le nom d’utilisateur par défaut de l’administrateur WordPress était « admin ». Comme les identifiants représentent la moitié des informations de connexion, il était plus facile pour les pirates de procéder à des attaques par force brute.
Heureusement, WordPress a depuis modifié cette règle et vous demande désormais de sélectionner un identifiant personnalisé au moment de l’installation de WordPress.
Cependant, certains programmes d’installation de WordPress en un clic définissent toujours l’identifiant administrateur par défaut à « admin ». Si vous notifiez que c’est le cas, il est probablement préférable de changer d’hébergeur.
Comme WordPress ne vous permet pas de modifier les noms d’utilisateur par défaut, il existe trois méthodes pour modifier le nom d’utilisateur.
- Créez un nouvel identifiant d’administrateur et supprimez l’ancien.
- Utiliser l’extension Username Changer
- Mise à jour de l’identifiant depuis phpMyAdmin
Nous avons abordé ces trois points dans notre guide détaillé sur la façon de modifier correctement votre identifiant WordPress.
Note : Pour être clair, il s’agit de modifier le nom d’utilisateur « admin », et non le rôle de l’administrateur/administratrices, qui est aussi parfois appelé « admin ».
Désactiver la modification des fichiers
WordPress est livré avec un éditeur de code intégré qui vous permet de modifier les fichiers de votre thème et de vos extensions directement à partir de votre zone d’administration WordPress.
Entre de mauvaises mains, cette fonctionnalité peut constituer un risque pour la sécurité, c’est pourquoi nous vous recommandons de l’inactif.
Vous pouvez facilement le faire en ajoutant le code suivant à votre fichier wp-config.php ou avec une extension d’extraits de code comme WPCode (recommandé) :
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Nous vous affichons la marche à suivre étape par étape dans notre guide sur la désactivation des éditeurs de thèmes et de plugins depuis le panneau d’administration de WordPress.
Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri mentionnée ci-dessus.
Désactiver l’exécution de fichiers PHP dans certains répertoires de WordPress
Une autre façon de renforcer la sécurité de WordPress est de désactiver l’exécution des fichiers PHP dans les répertoires qui n’en ont pas besoin, comme /wp-content/uploads/.
Vous pouvez le faire en ouvrant un éditeur de texte tel que Notepad et en collant ce code :
<Files *.php>
deny from all
</Files>
Ensuite, vous devez enregistrer ce fichier en tant que .htaccess et le téléverser dans le dossier /wp-content/uploads/ de votre site à l’aide d’un client FTP.
Pour une explication plus détaillée, consultez notre guide sur la désactivation de l’exécution de PHP dans certains répertoires WordPress.
Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri que nous avons mentionnée plus haut.
Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs/utilisatrices d’essayer de se connecter autant de fois qu’ils le souhaitent. Votre site WordPress est donc vulnérable aux attaques par force brute. C’est là que les pirates essaient de craquer les mots de passe en essayant de se connecter avec différentes combinaisons.
Ce problème peut être facilement corrigé en limitant le nombre de tentatives de connexion infructueuses qu’un compte peut effectuer. Si vous utilisez le pare-feu d’application web mentionné plus haut, ce problème est automatiquement résolu.
Toutefois, si vous n’avez pas configuré de pare-feu, vous pouvez suivre les étapes ci-dessous.
Tout d’abord, vous devez installer et activer le plugin gratuit Limit Login Attempts Reloaded. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’un plugin WordPress.
Dès son activation, l’extension commencera à limiter le nombre de tentatives de connexion des utilisateurs/utilisatrices.
Les paramètres par défaut fonctionneront pour la plupart des sites web, mais vous pouvez les personnaliser en visitant la page Paramètres » Limiter les tentatives de connexion et en cliquant sur l’onglet « Paramètres » en haut de la page. Par exemple, pour vous conformer aux lois GDPR, vous pouvez cliquer sur la case à cocher « Conformité GDPR ».
Pour des instructions détaillées, consultez notre guide sur comment et pourquoi limiter les tentatives de connexion dans WordPress.
Ajouter l’authentification à deux facteurs (2FA)
La méthode d’authentification à deux facteurs nécessite deux étapes par lesquelles les utilisateurs/utilisatrices se connectent :
- La première étape est l’identifiant et le mot de passe.
- La deuxième étape nécessite l’utilisation d’un code provenant d’un appareil ou d’une application en votre possession auquel les pirates ne peuvent pas accéder, comme votre smartphone.
La plupart des sites en ligne de premier plan, comme Google, Facebook et Twitter, vous permettent de l’activer pour vos comptes. Vous pouvez également ajouter la même fonctionnalité à votre site WordPress.
Tout d’abord, vous devez installer et activer le plugin WP 2FA – Two-factor Authentication. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’un plugin WordPress.
Un assistant convivial vous aidera à configurer l’extension, puis vous recevrez un code QR.
Vous devrez numériser le code QR à l’aide d’une application d’authentification sur votre téléphone, telle que Google Authenticator, Authy et LastPass Authenticator.
Nous vous recommandons d’utiliser LastPass Authenticator ou Authy car ils vous permettent de sauvegarder vos comptes sur le cloud. C’est très utile au cas où votre téléphone est perdu, réinitialisé ou que vous achetez un nouveau téléphone. Toutes les connexions de vos comptes seront facilement restaurées.
La plupart de ces apps fonctionnent de manière similaire, et si vous utilisez Authy, il vous suffit alors de cliquer sur le bouton » + » ou » Ajouter un compte » dans l’app d’authentification.
Cela vous permettra de scanner le code QR sur votre ordinateur à l’aide de l’appareil photo de votre téléphone. Il se peut que vous deviez d’abord donner à l’application le droit d’accéder à l’appareil photo.
Après avoir donné un nom au compte, vous pouvez l’enregistrer.
La prochaine fois que vous vous connecterez à votre site, le code d’authentification à deux facteurs vous sera demandé après avoir saisi votre mot de passe.
Ouvrez simplement l’application d’authentification sur votre téléphone et vous verrez apparaître un code à usage unique.
Vous pouvez ensuite saisir le code sur votre site pour finir de vous connecter.
Modifier le préfixe de la base de données de WordPress
Par défaut, WordPress utilise wp_ comme préfixe pour toutes les tables de votre base de données WordPress.
Si votre site WordPress utilise le préfixe de base de données par défaut, alors il est plus facile pour les pirates de deviner le nom de votre table. C’est pourquoi nous recommandons de le modifier.
Vous pouvez modifier le préfixe de votre base de données en suivant notre tutoriel étape par étape sur la modification du préfixe de la base de données de WordPress pour améliorer la sécurité.
Note : La modification du préfixe de la base de données peut endommager votre site si elle n’est pas effectuée correctement. Faites-le uniquement si vous vous sentez à l’aise avec vos compétences en matière de codage.
Protéger par mot de passe la page d’administration et de connexion de WordPress
Normalement, les pirates peuvent demander votre dossier wp-admin et votre page de connexion sans aucune restriction. Cela leur permet d’essayer leurs astuces de piratage ou de lancer des attaques DDoS.
Vous pouvez ajouter une protection supplémentaire par mot de passe au niveau du module du serveur, ce qui bloquera effectivement ces demandes.
Il vous suffit de suivre nos instructions étape par étape pour savoir comment protéger votre répertoire d’administration WordPress (wp-admin) par un mot de passe.
Désactiver l’indexation et la navigation dans le répertoire
Lorsque vous tapez l’adresse de l’un des dossiers de votre site dans un navigateur web, vous affichez la page web appelée index.html si elle existe. Si elle n’existe pas, vous verrez s’afficher une liste de fichiers dans ce dossier. C’est ce qu’on appelle la navigation dans les répertoires.
La navigation dans les répertoires peut être utilisée par les pirates pour trouver si vous avez des fichiers présentant des vulnérabilités connues, afin qu’ils puissent tirer parti de ces fichiers pour obtenir un accès.
L’exploration des répertoires peut également être utilisée par d’autres personnes pour consulter vos fichiers, copier des images, trouver la structure de vos répertoires et d’autres informations. C’est pourquoi il est fortement recommandé d’inactiver l’indexation et l’exploration des répertoires.
Vous devez vous connecter à votre site en utilisant le protocole FTP ou le gestionnaire de fichiers de votre fournisseur d’hébergement. Ensuite, localisez le fichier .htaccess dans le répertoire racine de votre site. Si vous ne le voyez pas, consultez notre guide sur les raisons pour lesquelles vous ne pouvez pas voir le fichier .htaccess dans WordPress.
Ensuite, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :
Options -Index
N’oubliez pas d’enregistrer et de téléverser le fichier .htaccess sur votre site.
Pour en savoir plus sur ce Sujet, consultez notre article sur la désactivation de la navigation dans les répertoires sur WordPress.
Désactiver XML-RPC dans WordPress
XML-RPC est une API cœur de WordPress qui aide à connecter votre site WordPress avec des applications web et mobiles. Elle est activée par défaut depuis WordPress 3.5.
Toutefois, en raison de sa puissance, XML-RPC peut amplifier considérablement les attaques par force brute.
Par exemple, si un pirate voulait essayer 500 mots de passe différents sur votre site, il devrait faire 500 tentatives de connexion distinctes. Cette situation peut être détectée et bloquée par l’extension Limit Login Attempts Reloaded.
Mais avec XML-RPC, un pirate peut utiliser la fonction system.multicall pour essayer des milliers de mots de passe avec 20 ou 50 demandes.
C’est pourquoi, si vous n’utilisez pas XML-RPC, nous vous recommandons de le désactiver.
Il y a 3 façons de désactiver XML-RPC dans WordPress, et nous les avons toutes couvertes dans notre tutoriel étape par étape sur la façon de désactiver XML-RPC dans WordPress.
Astuce : La méthode .htaccess est la meilleure car elle est la moins gourmande en ressources. Les autres méthodes sont plus faciles pour les débutants.
Sinon, cela est pris en charge automatiquement si vous utilisez un pare-feu d’application web (WAF) comme nous l’avons mentionné plus haut.
Journaliser automatiquement les utilisateurs/utilisatrices déconnectés sur WordPress
Les utilisateurs/utilisatrices connectés peuvent parfois s’éloigner de l’écran, ce qui présente un risque pour la sécurité. Quelqu’un peut détourner leur session, modifier leur mot de passe ou apporter des modifications à leur compte.
C’est pourquoi de nombreux sites bancaires et financiers connectent automatiquement un utilisateur inactif. Vous pouvez configurer une fonctionnalité similaire sur votre site WordPress.
Vous devez installer et activer l’extension Déconnexion inactive. Une fois activé, visitez la page Réglages » Déconnexion inactive pour personnaliser les paramètres de déconnexion.
Il vous suffit de définir la durée et d’ajouter un message de déconnexion. N’oubliez pas de cliquer sur le bouton « Enregistrer les modifications » en bas de la page pour stocker vos réglages.
Pour obtenir des instructions étape par étape, Veuillez consulter notre guide sur la façon de connecter automatiquement les utilisateurs/utilisatrices inactifs dans WordPress.
Ajouter des questions de sécurité à l’écran de connexion de WordPress
En ajoutant une question de sécurité à votre écran de connexion WordPress, il est encore plus difficile pour quelqu’un d’obtenir un accès non autorisé.
Vous pouvez ajouter des questions de sécurité en installant le plugin Two Factor Authentication. Après l’activation, vous devez visiter la page Authentification multifactorielle » Authentification à deux facteurs pour configurer les paramètres du plugin.
Cela vous permettra d’ajouter différents types d’authentification à deux facteurs à votre site, y compris des questions de sécurité.
Pour des instructions plus détaillées, consultez notre tutoriel sur l’ajout de questions de sécurité à l’écran de connexion de WordPress.
Recherche de logiciels malveillants et de vulnérabilités sur WordPress
Si vous avez installé une extension de sécurité WordPress, celle-ci vérifiera régulièrement la présence de logiciels malveillants et de signes de failles de sécurité.
Cependant, si vous constatez une Avancée soudaine dans le trafic du site ou le classement des recherches, alors vous voudrez peut-être rechercher des logiciels malveillants manuellement. Vous pouvez le faire en utilisant votre extension de sécurité WordPress ou l’un des meilleurs scanners de sécurité et de logiciels malveillants.
L’exécution de ces analyses en ligne est assez simple. Il vous suffit de saisir l’URL de votre site et les robots d’indexation parcourent votre site à la recherche de logiciels malveillants connus et de codes malveillants.
Maintenant, gardez à l’esprit que la plupart des scanners de sécurité WordPress peuvent uniquement vous avertir si votre site contient des logiciels malveillants. Ils ne peuvent pas retirer les logiciels malveillants ou nettoyer un site WordPress piraté.
Cela nous amène à la section suivante, le nettoyage des logiciels malveillants et des sites WordPress piratés.
Corriger un site WordPress corrompu
De nombreux utilisateurs/utilisatrices de WordPress ne réalisent pas l’importance des sauvegardes et de la sécurité de leur site jusqu’à ce que leur site soit piraté.
Les pirates installent des portes dérobées sur les sites concernés et si ces portes dérobées ne sont pas corrigées correctement, il est probable que votre site sera à nouveau piraté.
Pour les utilisateurs/utilisatrices aventureux/euses et bricoleurs/euses, nous avons compilé un guide étape par étape pour corriger un site WordPress piraté.
Cependant, le nettoyage d’un site WordPress peut être très difficile et prendre beaucoup de temps. Nous vous conseillons donc de confier cette tâche à un professionnel.
Si vous payez pour utiliser le plugin de sécurité Sucuri mentionné ci-dessus, la réparation du site piraté est incluse dans le prix.
Vous pouvez également utiliser le service de réparation de sites piratés de WPBeginner Pro Services. Ce service nécessite un paiement unique de 249 $ et comprend la détermination des fichiers premium, la suppression des codes malveillants, les mises à jour logicielles et de sécurité, ainsi qu’une sauvegarde du site nettoyé.
Nous garantissons la réparation de votre site ou nous vous remboursons. Nous couvrons également votre site web pendant 30 jours après la réparation, de sorte que si vous êtes à nouveau victime d’un piratage pendant cette période, nous serons là pour le réparer.
Nous nettoyons et sécurisons les sites web WordPress depuis plus de 10 ans, vous aurez donc l’esprit tranquille lorsque vous utiliserez notre service de réparation de sites piratés.
Conseil bonus : engager un service de maintenance WordPress
En tant que propriétaire d’une petite entreprise très occupée, vous n’avez peut-être pas le temps de surveiller la sécurité de votre site web et de le protéger contre les vulnérabilités. Pour vous faciliter la tâche et alléger votre charge de travail, vous pouvez donc faire appel à un service de maintenance WordPress qui assurera une surveillance de la sécurité 24 heures sur 24 et 7 jours sur 7.
WPBeginner Pro Services offre une maintenance complète des sites WordPress à un prix abordable. Il comprend la surveillance de la sécurité, les sauvegardes de routine dans le nuage, les mises à jour de WordPress, la surveillance du temps de fonctionnement, et bien plus encore.
Il vous suffit de choisir une formule de maintenance mensuelle adaptée à vos besoins, et vous obtiendrez un site WordPress plus sûr et du temps libre pour travailler sur d’autres aspects de votre activité.
Si vous souhaitez d’autres recommandations, vous pouvez consulter notre sélection des meilleurs services de maintenance de sites Web pour WordPress.
FAQ sur la sécurité de WordPress
La sécurité de WordPress étant très importante, nous recevons régulièrement des questions à ce sujet. Voici les réponses aux questions les plus fréquentes concernant la sécurisation des sites WordPress contre les attaques.
WordPress est-il sûr ?
WordPress est conçu pour être sûr, surtout si vous le mettez à jour régulièrement. Cependant, en raison de sa popularité, les sites WordPress sont souvent la cible des pirates informatiques.
Mais ne vous inquiétez pas. En suivant des conseils de sécurité simples comme ceux présentés dans cet article, vous pouvez réduire considérablement les risques de piratage de votre site.
Qu’est-ce qui peut mettre mon site WordPress en danger ?
Les pirates informatiques tentent d’accéder aux sites de différentes manières. Parmi les menaces les plus courantes, citons la devinette des mots de passe, l’installation de logiciels nuisibles (malware) et la découverte de faiblesses dans le code de votre site afin de voler des informations ou d’en prendre le contrôle.
A quelle fréquence dois-je mettre à jour mon site WordPress ?
Il est très important de maintenir votre site WordPress, vos thèmes et vos extensions à jour. Les nouvelles mises à jour comprennent souvent des correctifs pour les problèmes de sécurité. Essayez d’utiliser les mises à jour automatiques ou vérifiez vous-même les mises à jour au moins une fois par semaine et installez-les rapidement.
Ai-je besoin d’une extension spéciale pour la sécurité ?
Vous n’êtes pas obligé d’utiliser une extension de sécurité, mais elles peuvent rendre votre site beaucoup plus sûr. Les extensions de sécurité agissent comme des gardes supplémentaires pour votre site, vous protégeant des pirates et des logiciels malveillants.
Comment savoir si quelqu’un a piraté mon site ?
La notification de phénomènes étranges sur votre site peut être le signe d’un piratage. Il peut s’agir de l’apparition de nouveaux utilisateurs ou de fichiers que vous n’avez pas créés, de l’envoi par votre site d’internautes vers d’autres sites, de la lenteur de votre site ou de l’apparition d’avertissements de Google ou de votre hébergeur.
Que dois-je faire si mon site est piraté ?
Si vous pensez que votre site a été piraté, ne paniquez pas, mais agissez rapidement. Vous pouvez contacter votre hébergeur et lui demander de l’aide. Vous pouvez également utiliser une extension de sécurité ou demander à un expert en sécurité de nettoyer votre site.
Si vous disposez d’une sauvegarde de votre site, restaurez-le à partir de cette sauvegarde. Veillez à modifier tous vos mots de passe, y compris ceux de votre zone d’administration WordPress, de votre base de données et de votre FTP.
Nous espérons que cet article vous a aidé à apprendre les meilleures pratiques pour protéger votre site et notre liste de contrôle de sécurité WordPress recommandée. Vous pouvez également consulter notre liste des principales raisons pour lesquelles les sites WordPress sont piratés et nos choix d’experts des meilleures extensions de sécurité WordPress.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Leanne
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Administrateur
Daniel
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support
You’re welcome
Administrateur
Power
Thanks for the article, its really useful
WPBeginner Support
You’re welcome
Administrateur
Mydas
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Administrateur
Splendor Edesiri
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support
No, that is not required
Administrateur
Kam
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support
While some hosts offer backups, we still recommend creating your own backups for safety
Administrateur
Kyle B.
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Administrateur
kalmoa
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support
Thank you for sharing this for the users who specifically are using Nginx for their site.
Administrateur
Tom
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Administrateur
Kartik Satija
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Administrateur
MIMIFTAH
Very Informative content. Thanks
WPBeginner Support
You’re welcome
Administrateur
Liz
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Administrateur
Gary Starling
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support
You’re welcome, glad our article could be helpful
Administrateur
Andrei
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Administrateur
Andrei
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support
You’re welcome, glad our guide was helpful
Administrateur
Aqib khan
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support
Thank you, glad you’ve enjoyed our content
Administrateur
mahmoud
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrateur
Krishna
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support
You’re welcome, glad our article was helpful
Administrateur
Kushal
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrateur
Leighann
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Administrateur
Dietrich
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Administrateur
Yiannis Christodoulou
Very helpful article.
Thank you for sharing.
WPBeginner Support
You’re welcome, glad our article could help
Administrateur
Steve Schultz
Your free Sucuri Security plugin link is broken … 404 error.
WPBeginner Support
Thanks for letting us know, the link should be fixed
Administrateur
Monty parihar
Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.
WPBeginner Support
You’re welcome
Administrateur
Melvin Adame
Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.
WPBeginner Support
Thank you, glad you like our content
Administrateur
Adil
Thanks for all this info!
WPBeginner Support
You’re welcome
Administrateur
Mark Bunner
Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.
WPBeginner Support
Thank you, glad you like our recommendations
Administrateur
Chukwuemeka Ebuka
Am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support
You’re welcome, glad our article could be helpful
Administrateur
Heidi
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
WPBeginner Support
If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement
Administrateur
Heidi
Ok great thanks, I’ll try that.
Julian Song
Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.
WPBeginner Support
Thank you for your kind words and sharing our articles
Administrateur
Malith
Thank you very much!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Administrateur
Shiva Prasad
Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.
WPBeginner Support
Glad our guides could help you
Administrateur
Majid
Hi,
I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?
P.S at the right top corner I could see Howdy, my name…does that mean is that my username?
I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.
Please help.
WPBeginner Support
That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.
Administrateur
Terence Vickers
You may have a typo in the XML-RPC section which is a bit confusing.
Presently reads: « This is why if you’re not using XML-RPC, then we recommend that you disable it. »
If I’m not using i There would likely be no way to disable it.
WPBeginner Support
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Administrateur
Syed Gallani
I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?
WPBeginner Support
It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.
Administrateur
David Anozie
A big thank you! Your the boss.
WPBeginner Support
Thank you for being one of our readers
Administrateur
Nick
Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?
WPBeginner Support
No, it would only mean those search crawlers would not look at your site.
Administrateur
寒星
It’s turely helpful to maintaining WP. I love it and thank you so much.
WPBeginner Support
You’re welcome, glad our article was helpful
Administrateur
peg
i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.
WPBeginner Support
You’re welcome, glad our guide can help
Administrateur
Jeff Moyer
Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.
WPBeginner Support
You’re welcome, glad you liked our article
Administrateur
Tanmay Kapse
An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work
WPBeginner Support
Thank you, glad you liked our content
Administrateur
Sunny Chawla
Much obliged to you for supportive page improve my site
WPBeginner Support
Glad our guide could be helpful
Administrateur
Santhosh Naikar
What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?
WPBeginner Support
Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.
Administrateur
steven suslick
I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?
WPBeginner Support
Those pages are from users using the search on your site, for the second someone searched for the word dox
Administrateur
Emmanuel Ikechukwu
This is the best wordpress online tutor i have come across so far.
WPBeginner Support
Glad our articles are helpful
Administrateur
Bobbie Camp
Found this article to be very helpful. I am very new and not « techy » and need all the assistance I can get. Appreciate your easy to read instructions.
WPBeginner Support
Glad our articles could help
Administrateur
Jemes
It is very helpful. Thanks
WPBeginner Support
You’re welcome
Administrateur
NICHOLAS AMOL GOMES
Thank you for helpful page improve my site
WPBeginner Support
You’re welcome
Administrateur
Brad Vincent
Hey guys,
I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!
I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.
Awesome work and much appreciated.
WPBeginner Support
Thank you, glad you find our articles helpful
Administrateur
Brian
What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?
WPBeginner Support
We would recommend only one at a time to prevent conflicts between the plugins.
Administrateur
Mark
I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.