Sécuriser WordPress en 2024 : 29 conseils à appliquer pour une sécurité maximale

Attention ! Saviez-vous que les pirates peuvent exploiter vos données si votre WordPress n’est pas sécurisé ? Eh oui, WordPress est l’un des systèmes de gestion de contenu les plus populaires au monde, téléchargé et installé plus de 76,5 millions de fois.

D’après certaines études menées par des spécialistes de la sécurité sur Internet, WordPress est le choix préféré des pirates à travers le monde. Imaginez un pirate mettant la main sur les informations de paiement de vos clients ou même vos précieux mots de passe ! Heureusement, il est crucial d’optimiser la sécurité votre site WordPress. Ne vous inquiétez pas, nous allons vous guider pas à pas avec des astuces et des bonnes pratiques dans ce tutoriel détaillé.

Alors, êtes-vous prêt à agir dès maintenant ?

💡 Résumé des 29 conseils de sécurité WordPress contenu dans cet article :

Conseil de sécurité	Description résumée
1. Sauvegarder régulièrement vos données	Effectuez des sauvegardes régulières de votre site WordPress pour éviter une perte de données catastrophique.
2. Effectuer fréquemment les mises à jour	Maintenez votre site WordPress à jour pour garantir sa sécurité et ses performances.
3. Installer un plugin de sécurité	Utilisez un plugin de sécurité pour surveiller en temps réel les fichiers de votre site WordPress.
4. Utiliser uniquement des plugins et thèmes de confiance	Faites confiance aux meilleurs thèmes WordPress et aux meilleurs plugins WordPress uniquement.
5. Supprimer les plugins et thèmes inutilisés	Réduit considérablement le risque de piratage en supprimant les plugins et thèmes inutilisés.
6. Modifier l’adresse de connexion de WordPress par défaut	Renforce la sécurité de votre site en rendant l’accès plus difficile pour les pirates.
7. Activer la double authentification	Ajoute une couche supplémentaire de protection en demandant une étape de connexion supplémentaire, comme un code envoyé sur votre téléphone.
8. Masquer votre version de WordPress	Empêche les pirates de cibler les vulnérabilités connues de la version spécifique de WordPress que vous utilisez.
9. Empêcher la navigation dans vos répertoires	Restreindre l’accès à vos répertoires WordPress empêche les fichiers sensibles d’être exposés à d’éventuels risques.
10. Installer un certificat SSL	Permet d’activer le protocole HTTPS, assurant une connexion sécurisée entre votre navigateur et le serveur web.
11. Se protéger des attaques DDoS	Utiliser des services spécialisés peut protéger votre site contre les attaques DDoS en filtrant et bloquant le trafic malveillant.
12. Désactiver les rapports d’erreurs PHP	Empêche les informations sensibles d’être exposées en cas d’erreur sur votre site WordPress.
13. Scanner régulièrement WordPress avec un antivirus	Permet de détecter et d’éliminer les logiciels malveillants.
14. Désactivation de l’édition de fichier	Renforce la sécurité de votre site en empêchant toute modification ou suppression accidentelle de fichiers.
15. Optimiser votre fichier .htaccess	Permet de renforcer la sécurité de votre site en limitant l’accès à certains dossiers et en ajoutant des règles de sécurité.
16. Modifier le préfixe par défaut de votre base de données WordPress	Renforce la sécurité de votre site en rendant plus difficile les attaques par injection SQL.
17. Limiter le nombre de tentatives de connexion au tableau de bord WordPress	Permet de personnaliser le nombre de tentatives de connexion autorisées avant le blocage.
18. Changer régulièrement de mot de passe et en définir un sécurisé	Protège votre site contre les utilisateurs non autorisés.
19. Utiliser des noms d’utilisateur sécurisés	Renforce la sécurité de votre compte en utilisant des noms d’utilisateur uniques et difficiles à deviner.
20. Arrêter l’exécution de PHP dans le répertoire /wp-content	Augmente la sécurité en empêchant l’exécution de fichiers contenant du code PHP dans le répertoire /wp-content.
21. Utiliser la version de PHP la plus récente	Rester sur une version récente de PHP est toujours mieux. Sinon, vérifiez que votre hébergeur Web utiliser des patchs de sécurité pour les anciennes versions de PHP non maintenues.
22. Sécuriser le fichier wp-config.php	Actualiser régulièrement les clés de sécurité WordPress.
23. Désactiver XML-RPC	La désactivation de XML-RPC peut renforcer la sécurité du site en évitant les attaques bruteforce.
24. Ajouter les derniers headers de sécurité HTTP	L’utilisation des headers de sécurité HTTP peut renforcer la sécurité du site en contrôlant différents aspects de la sécurité.
25. Désactiver l’édition de fichiers via le tableau de bord WordPress	La désactivation de l’édition de fichiers via le tableau de bord WordPress peut minimiser les risques de sécurité en limitant les modifications possibles.
26. Prévenir le Hotlinking	La prévention du hotlinking peut protéger les ressources du site en bloquant les liens directs vers celles-ci.
27. Sécuriser votre ordinateur	La sécurisation de votre ordinateur est essentielle pour éviter les attaques potentielles sur votre site WordPress.
28. Être accompagné par un expert en cybersécurité	Il est recommandé de se faire accompagner par un expert en cybersécurité pour auditer la sécurité de votre site WordPress.
29. Choisir un hébergeur sécurisé	Il est important de choisir un hébergeur sécurisé pour protéger votre site WordPress contre les failles de sécurité.

Les 29 meilleurs conseils pour sécuriser facilement un site WordPress étapes par étapes

Les 29 conseils de sécurité WordPress que vous allez découvrir dans cet article sont faciles à comprendre et simples à suivre.

Nous promettons que lorsque vous les mettrez en pratique, votre entreprise sera plus sereine quant à la sécurité de son site WordPress. Ces conseils sont réalisables sans avoir à effectuer des changements majeurs et ne nécessitent pas de connaissances en développement Web avancées. Vous serez étonné de constater les résultats que vous obtiendrez en appliquant ces conseils de base.

1. Sauvegarder régulièrement vos données

Des centaines de sites WordPress sont piratés chaque jour, malgré les milliers de dépenses engagées par leurs propriétaires pour sécuriser leurs sites WordPress. C’est pourquoi, même si vous suivez de bonnes pratiques et les conseils mentionnés dans cet article, il est toujours crucial de sauvegarder votre site WordPress régulièrement pour éviter une perte de données catastrophique.

Chez EasyHoster, nous nous soucions de la sécurité de nos hébergés. Sur demande vous pouvez récupérer une archive .zip de l’une de nos sauvegardes. De plus, à partir de l’offre Pro+, vous avez accès à JetBackup 5, une solution de sauvegarde et rapatriation avancée. Avec JetBackup 5, la protection de votre site WordPress est prise en charge de manière efficace et fiable.

Il existe plusieurs façons de créer une sauvegarde fiable de vos données. Par exemple, vous pouvez télécharger manuellement les fichiers WordPress et exporter votre base de données via l’outil de sauvegarde de votre hébergement cPanel. Une autre option pratique est d’utiliser des plugins WordPress dédiés à la sauvegarde.

Parmi les plugins de sauvegarde WordPress les plus populaires, on retrouve UpdraftPlus, une solution fiable et facile à utiliser. Avec UpdraftPlus, vous pouvez même automatiser le processus de sauvegarde et stocker vos sauvegardes WordPress directement dans votre compte Google Drive ou Dropbox, pour une protection supplémentaire.

Pour une sécurité encore plus renforcée, il existe également des solutions tierces telles que CodeGuard, qui offre une surveillance en temps réel et une restauration facile en cas de problème.

En résumé, ne laissez pas le piratage ou les pertes de données compromettre votre site WordPress. Mettez en place une stratégie de sauvegarde solide en utilisant de bons outils et exploitez les solutions de sauvegarde proposées par votre hébergeur Web. Votre tranquillité d’esprit et la sécurité de votre site WordPress en dépendent.

2. Effectuer fréquemment les mises à jour

Ce qui est vraiment crucial, c’est de sécuriser votre site WordPress car eulement 22% des sites sous WordPress utilisent la dernière version du CMS. C’est fou, non ?

La majorité des utilisateurs de WP néglige complètement les mises à jour ! On peut tous être un peu négligents parfois, oublier de mettre à jour son site WordPress, etc. Mais si vous voulez un site Web propre et sans virus, il est absolument indispensable de faire régulièrement les mises à jour.

Depuis sa version 3.7, WordPress a mis en place les mises à jour automatiques, mais cela s’applique seulement aux petites mises à jour de sécurité. Pour assurer la sécurité de votre site WordPress, vous devez vous assurer de faire les mises à jour importantes manuellement. Vous pouvez également décider de les appliquer en automatique via WordPress Toolkit disponible chez EasyHoster. Ne sous-estimez pas cette étape cruciale pour protéger votre site et préserver ses performances à long terme ! Donc, faites-vous une faveur et prenez le temps de mettre à jour votre site WordPress.

Une mise à jour s’effectue dans cet ordre :

• Coeur du CMS
• Tous les Plugins
• Tous les Thèmes

Pensez à réaliser un backup de vos données avant d’effectuer une maintenance WordPress. Ensuite, après chaque maintenance, pensez à vérifier le bon fonctionnement de votre site : testez vos formulaires de contact, votre canal d’achat, et toutes les zones chaudes de votre WordPress.

3. Installer un plugin de sécurité

L’installation d’un ou plusieurs plugins de sécurité WordPress est importante car elle permet de protéger votre site contre les attaques malveillantes.

Les plugins de sécurité peuvent offrir des fonctionnalités telles que l’authentification à deux facteurs, la protection par mot de passe, la recherche de logiciels malveillants, etc. Ces fonctions peuvent contribuer à protéger votre site WordPress contre les pirates informatiques et à garantir la sécurité des données stockées dans votre système de gestion de contenu.

En outre, un plugin de sécurité peut aider à identifier les vulnérabilités potentielles du coeur de WordPress ou de vos plugins . thèmes, qui peuvent être corrigées avant d’être exploitées par les pirates.

Par exemple, la version gratuite du plugin WordFence suffira déjà amplement. Elle vous permettra d’effectuer des scans réguliers de votre site WordPress afin de détecter d’éventuels malwares et de garantir la sécurité de votre site web. D’ailleurs, ce plugin peut également être utilisé dans une procédure de désinfection d’un site WordPress, en identifiant et en éliminant efficacement les éléments dangereux. Les scans effectués par ce plugin vous permettront de repérer rapidement les éléments à risque qu’il faut prendre en charge.

En plus du plugin WordFence, la version gratuite de Sucuri Security est également recommandée pour renforcer davantage la sécurité et la protection de votre site WordPress. En utilisant ce plugin, vous pourrez effectuer un balayage complet de votre site pour détecter et éliminer toute menace potentielle.

L’un des aspects les plus intéressants du plugin Sucuri Security est la possibilité d’améliorer la sécurité de votre site en activant les différents points de durcissement. Vous pouvez accéder à ces options de durcissement en cliquant sur l’onglet « Réglages » puis sur « Durcissement ». Une fois que vous avez activé ces mesures de sécurité, vous pouvez renforcer la protection de votre site en cliquant sur le bouton « Appliquer durcissement » à côté de chaque ligne. Cela garantira une sécurité optimale de votre site WordPress.

Chez EasyHoster, nous disposons d’Imunify360. D’après nous, c’est le meilleur anti-malware disponible sur le marché. Voici les nombreux services qu’il peut vous offrir :

• Une analyse et une surveillance en temps réel de tous vos fichiers, garantissant une protection continue.
• Une détection précise et efficace de tout logiciel malveillant présent sur votre espace d’hébergement, vous assurant une sécurité optimale.
• Un nettoyage automatique des malwares détectés, vous évitant toute intervention manuelle fastidieuse.
• Un blocage de 90% du trafic malicieux, avec une intelligence artificielle qui évite les faux positifs pour une expérience utilisateur transparente.
• Une surveillance constante de la réputation de vos noms de domaine, vous permettant de prendre des mesures proactives pour protéger votre image en ligne.

Avec ces fonctionnalités détaillées, cet anti-malware est un choix incontournable pour la sécurisation complète de votre site WordPress.

4. Utiliser uniquement des plugins et thèmes de confiance

L’utilisation de plugins ou de thèmes obsolètes, crackés ou qui ne sont pas de confiance est une pratique fortement déconseillée si vous souhaitez garantir la sécurité de votre site WordPress.

L’installation de versions non officielles expose votre WordPress à des individus malintentionnés. Les versions crackées, non validées par WordPress, peuvent contenir des fichiers malveillants qui créent une porte dérobée (backdoor) dans votre WordPress sans que vous ne vous en rendiez compte.

Il est primordial de comprendre que vous pourriez vous retrouver avec des données vulnérabilisées. Vous pourriez même offrir involontairement un accès à des personnes malveillantes, sans même vous en rendre compte. C’est pourquoi il est fortement recommandé de ne jamais installer de versions crackées et de toujours opter pour l’ajout de plugins WordPress et de thèmes WordPress, ou provenant des entreprises de confiance (ThemeForest, Elegant Themes, ThemeGrill, ThemeIsle…) auprès desquelles vous avez acheté un thème WordPress ou un plugin WordPress. En privilégiant ces méthodes, vous vous assurez une meilleure protection et une expérience en ligne plus sûre.

5. Supprimer les plugins et thèmes inutilisés

Pour garantir une meilleure sécurité pour WordPress, il est important de prendre certaines mesures supplémentaires.

Outre le nettoyage de votre site WordPress, la suppression des plugins et thèmes inutilisés reste une action importante. Vous devez également rester vigilant face aux pirates. Ces derniers ciblent souvent les thèmes WordPress et plugins WordPress désactivés, même ceux officiels et obsolètes, pour exploiter leur vulnérabilité.

Ils peuvent accéder à votre tableau de bord ou envoyer des fichiers malveillants sur votre serveur, compromettant ainsi la sécurité de votre site WordPress.

En supprimant les plugins et thèmes dont vous n’avez plus besoin, et en veillant à toujours les mettre à jour, vous réduirez considérablement le risque de piratage de votre site WordPress et protégerez ainsi vos données sensibles. N’oubliez pas que la vigilance est la clé pour maintenir la sécurité de votre site WordPress sur le long terme.

6. Modifier l’adresse de connexion de WordPress par défaut (/wp-admin, /wp-login.php)

Pour réduire le risque de piratage et renforcer la sécurité de votre site WordPress, il est également vivement recommandé de modifier votre adresse de connexion.

Par défaut, WordPress utilise cette adresse de connexion votre-domaine.fr/wp-admin ou votre-domaine.fr/wp-login.php, qui est malheureusement très connue des hackers.

Pour contrer cela, vous pouvez facilement changer cette URL en modifiant votre fichier .htaccess ou en utilisant l’un des plugins WordPress suivants :

• Change wp-admin login (populaire),
• Protect WP Admin (bien maintenu),
• Rename wp-login.php (ancien)
• ou SF Move Login (avancé mais n’est plus maintenu).

Cette deuxième solution est particulièrement adaptée pour les personnes qui n’ont que peu, voire aucune connaissance en programmation, car elles offrent une interface simple et intuitive pour mettre en place cette mesure de sécurité supplémentaire. Prenez ainsi le contrôle de votre site et protégez-le des attaques malveillantes !

7. Activer la double authentification (validation en 2 étapes)

La double authentification une véritable clé de voûte pour renforcer la sécurité de votre site WordPress ! Ajoutez une couche supplémentaire de protection en créant une étape de connexion supplémentaire. Vous connaissez certainement déjà ce mécanisme, très utilisé pour accéder à des comptes sensibles comme vos e-mails ou des services bancaires.

Alors, pourquoi ne pas l’appliquer également à votre site WordPress ? Ne vous inquiétez pas, même si cela semble complexe, il existe désormais des solutions simples et accessibles pour mettre en place cette vérification en deux étapes. Il vous suffit d’installer une application d’authentification en deux étapes sur votre téléphone et de la configurer avec WordPress.

Opter pour cette pratique de sécurité supplémentaire renforcera la protection de votre site WordPress et réduira considérablement les risques de piratage.

Il existe également la possibilité de faire cela via les fichiers .htpasswd et .htaccess. Cela peut être une option plus simple au quotidien si plusieurs personnes doivent avoir accès à votre site WordPress.

8. Masquer votre version de WordPress

Malheureusement, peu importe la version de WordPress que vous utilisez, il existe toujours des failles de sécurité que les pirates s’empressent d’exploiter. Mais ne vous inquiétez pas, il y a des mesures que vous pouvez prendre pour rendre leur mission beaucoup plus difficile !

Pour commencer, masquez la version de WordPress que vous utilisez. Comment faire ? Il suffit d’apporter quelques modifications dans les fichiers version.php et readme.html. Ces fichiers se trouvent généralement dans le répertoire racine de votre installation WordPress (par exemple, /public_html dans le cas d’un domaine principal dans cPanel).

Dans ces fichiers, supprimez ou modifiez les informations de version, vous contribuez à rendre votre site beaucoup moins susceptible d’être ciblé par des attaques.

Vous pouvez également supprimer complètement le fichier readme.html pour renforcer la sécurité de votre site. Mieux vaut ne pas donner d’indices aux pirates sur la version que vous utilisez, n’est-ce pas ?

En prenant ces précautions supplémentaires, vous diminuez considérablement les chances d’être victime d’exploitations des vulnérabilités connues de WordPress.

9. Empêcher la navigation dans vos répertoires

Sur un site WordPress, les répertoires sont par défaut accessibles à tous, ce qui expose les fichiers sensibles à d’éventuels risques. Mais ne vous inquiétez pas, il existe des solutions pour garantir une protection optimale !

Imaginez une option simple : modifier les conditions d’accès via le fichier .htaccess pour restreindre l’entrée aux seuls utilisateurs autorisés. De quoi dormir sur vos deux oreilles, n’est-ce pas ?

Et ce n’est pas tout ! Vous pouvez également utiliser un plugin génial comme Hide My WordPress, qui ajoute une couche de sécurité supplémentaire en masquant la structure de votre site. De quoi faire fuir les éventuels pirates !

10. Installer un certificat SSL (connexion sécurisée par HTTPS)

Vous avez sans doute déjà remarqué le petit cadenas à côté de l’URL d’un site, ainsi que l’URL précédée de « HTTPS » ?Comment ces sites font-ils pour disposer de cela ? Eh bien, c’est grâce à un certificat SSL ! Cela permet d’activer le protocole HTTPS, assurant une connexion sécurisée entre votre navigateur et le serveur web.

Ce certificat SSL est particulièrement crucial lorsque vous effectuez des paiements en ligne directement sur votre site WordPress. Il garantit la sécurité de vos transactions ! Mais son utilité ne s’arrête pas là ! Il offre de nombreux autres avantages incroyables.

Tout d’abord, en utilisant le protocole HTTP, aucune donnée n’est cryptée lors de leur transfert entre le serveur et votre navigateur. Cela signifie qu’elles pourraient être facilement interceptées. En revanche, avec le protocole HTTPS, vos données sont cryptées et leur confidentialité est totalement préservée !

Le certificat SSL a même un impact sur le référencement Google (SEO) de votre site. Google le considère comme l’un des facteurs clés (même s’il ne représente qu’une petite partie) pour le positionner dans les résultats de recherche.

Saviez-vous que vérifier la présence de ce fameux cadenas sur les sites web est maintenant devenu un réflexe pour les utilisateurs ? Ils ont appris qu’il était synonyme de sécurité. Et détenir un certificat SSL renforce la confiance qu’ils accordent à votre site !

Mais attention, les choses peuvent parfois se compliquer… Certains navigateurs web, comme Google Chrome, affichent désormais la mention « Non sécurisé » devant l’URL des sites qui ne sont pas pourvus de certificat SSL. Pire encore, dans certains cas, ils peuvent même afficher une page d’avertissement avant d’accéder au site. Ça fait peur, non ? Cela risque donc de faire fuir un grand nombre de visiteurs !

Enfin, le protocole HTTPS est souvent plus rapide que le HTTP ! Incroyable, n’est-ce pas ? En intégrant simplement un certificat SSL, vous pourriez potentiellement améliorer la vitesse de votre site WordPress !

Alors, si vous souhaitez installer un certificat SSL et passer votre site en HTTPS, suivez notre tutoriel détaillé étape par étape qui vous guidera tout au long de ce processus.

11. Se protéger des attaques DDoS

Une attaque DDOS, plus connu sous le nom d’attaque par déni de service, est une méthode vicieuse utilisée pour rendre un système ou un site web inaccessible. Imaginez une horde d’ordinateurs s’associant dans le seul but de submerger leur victime de requêtes, la laissant impuissante face à l’assaut. Inutile de dire que cela peut causer un chaos total et rendre la cible hors service en un clin d’œil.

Mais ne vous inquiétez pas, il existe des solutions pour protéger votre site WordPress de ces attaques sournoises. Des services spécialisés tels que Cloudflare ou le plugin WordPress Sucuri Security peuvent vous protéger avec leur bouclier anti-DDoS. Ces gardiens vigilants filtrent et bloquent le trafic malveillant, libérant ainsi votre site des griffes des attaquants.

N’attendez pas d’être pris au dépourvu ! Configurer l’un de ces services sur votre site WordPress est le geste le plus sûr pour renforcer la sécurité et vous protéger contre les attaques de déni de service.

Cependant, si vous êtes chez EasyHoster, rassurez-vous, nous disposons de la meilleure protection anti-DDoS disponible sur le marché. Notre solution de protection contre les DDoS comprend une couche de sécurité frontale qui fonctionne en utilisant une très grande bande passante excédentaire, ce qui nous permet de prévenir la plupart des attaques avant même que vous ne les remarquiez.

De plus, en cas d’attaques ciblées, notre mitigation côté Datacenter intervient rapidement, généralement en moins d’une heure. Grâce à ces mesures de sécurité avancées, nous sommes en mesure de garantir un taux de disponibilité supérieur à 99,97% tout en veillant à ne pas affecter le trafic légitime.

12. Désactiver les rapports d’erreurs PHP

Les rapports d’erreurs de PHP sont un précieux allié pour les développeurs web soucieux de garantir un fonctionnement optimal d’un site WordPress.

Cependant, il faut prendre en compte le risque de rendre ces erreurs publiques. Heureusement, pas besoin d’être un expert en programmation pour désactiver les rapports d’erreurs dans WordPress !

Il suffit d’ajouter quelques lignes dans votre fichier wp-config.php. Rien de bien compliqué avec le Gestionnaire de fichiers de cPanel. Ouvrez simplement le fichier en question et ajoutez-y ceci

error_reporting(0);
@ini_set('display_errors', 0);

Les rapports d’erreur sont à présent bien désactivés.

13. Scanner régulièrement WordPress avec un anti-virus

Les pirates informatiques sont toujours à l’affût de vulnérabilités dans les thèmes et plugins pour infecter WordPress avec des logiciels malveillants. Pour garder votre blog personnel en sécurité, il est donc crucial de scanner régulièrement votre site WordPress ! Mais pas de panique, il existe une panoplie de plugins WordPress incroyables spécialement conçus à cet effet.

WordFence est l’un des chouchous de la sécurité pour WordPress. Non seulement il est facile à utiliser, mais il est aussi extrêmement complet. Il propose des options de scan manuel et automatique, ainsi qu’une multitude de réglages personnalisables. En plus, WordFence est gratuit et open source !

Outre WordFence, il existe d’autres plugins de sécurité WordPress fortement recommandés pour renforcer la protection de votre site. Par exemple, BulletProof Security offre principalement un pare-feu et une sécurité supplémentaire pour votre base de données. Ce plugin s’installe et se configure en seulement quelques clics !

Sucuri Security est également un plugin de sécurité excellent pour WordPress. Il protège votre site contre les attaques DDoS, tient une liste noire des menaces connues, analyse votre site Web et contrôle votre pare-feu. Et si jamais une activité suspecte est détectée, vous recevrez une notification par e-mail.

Enfin, Imunify360 est une autre couche de sécurité puissante pour WordPress. Il propose une protection complète contre les attaques, la détection des logiciels malveillants et un pare-feu robuste. Si votre hébergeur a misé sur une telle solution premium, comme EasyHoster, votre site WordPress sera scanné en temps réel et de manière régulière afin d’éviter toute infection.

N’hésitez donc pas à prendre le temps d’installer et de configurer un ou plusieurs de ces plugins pour rehausser la sécurité de votre site WordPress. Vous bénéficierez d’une tranquillité d’esprit bien méritée !

14. Désactivation de l’édition de fichier

Saviez-vous que vous pouviez renforcer la sécurité de votre site WordPress en désactivant simplement l’éditeur de fichiers intégré ?

Imaginez ceci : un attaquant s’introduit dans votre tableau d’administration et cherche désespérément l’éditeur de fichiers. Mais devinez quoi ? Vous avez déjà pris les devants et désactivé cette fonctionnalité ! Votre site est protégé contre toute modification ou suppression accidentelle de précieux fichiers. C’est une action simple qui a un impact énorme sur la sécurité de votre site WordPress.

Savez-vous comment procéder ? C’est très facile ! Il vous suffit d’accéder au fichier wp-config.php de votre installation WordPress et d’y ajouter une petite ligne de code :

define( 'DISALLOW_FILE_EDIT', true ).

Même si quelqu’un arrive à obtenir un accès à votre site, il sera impuissant face à votre astuce de sécurité.

Imaginez la tranquillité d’esprit que vous ressentirez en sachant que votre contenu et vos données sont à l’abri des attaques malveillantes.

15. Optimiser votre fichier .htaccess

Le fichier .htaccess de WordPress est indispensable pour assurer le bon fonctionnement de votre site. Sans les règles appropriées, vous risquez de vous retrouver face à des erreurs 404 frustrantes. Lorsque vous ouvrez ce fichier, il peut semblé complexe, mais pas de panique ! Nous allons voir comment l’optimiser.

Peu de gens savent que le fichier .htaccess est un outil puissant pour renforcer la sécurité de votre site WordPress. En optimisant le .htaccess, vous pouvez facilement bloquer l’accès de PHP à certains dossiers choisis, ajoutant ainsi une couche supplémentaire de protection contre les attaques malveillantes.

Autre exemple, pour renforcer la sécurité de votre site WordPress, vous pouvez envisager d’interdire l’accès à la zone d’administration aux utilisateurs non autorisés. En utilisant le code ci-dessous, vous pourrez restreindre l’accès uniquement aux adresses IP spécifiques, telles que la vôtre. Cette mesure ajoutée contribue à protéger votre site contre d’éventuelles tentatives d’intrusion non autorisées.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow deny from all allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx

Pour personnaliser l’adresse IP, remplacez XX.XX.XX.XXX par votre IP actuelle. Voici où retrouver votre adresse IPv4.

Et si vous êtes plusieurs personnes à travailler sur votre site WordPress avec différentes connexions, n’oubliez pas d’inclure toutes les adresses IP que vous utilisez. Ajoutez autant de lignes que nécessaire. Cependant, attention, si vous avez une adresse IP dynamique, évitez d’utiliser ce code pour éviter les problèmes de connexion.

Enfin, le fichier wp-config.php renferme les paramètres de base de WordPress et les détails relatifs à votre base de données MySQL. Il occupe donc une place centrale dans l’écosystème WordPress. Malheureusement, il est également la cible privilégiée des pirates qui cherchent à compromettre votre site. Mais ne vous inquiétez pas, grâce aux règles .htaccess, vous pourrez renforcer la sécurité de votre site en limitant l’accès à ce précieux fichier. Protégez votre site WordPress en mettant en place cette règle de sécurité et gardez vos informations confidentielles à l’abri des tentatives malveillantes :

<files wp-config.php>
order allow,deny
deny from all
</files>

En résumé, ne sous-estimez jamais l’importance du fichier .htaccess pour votre site WordPress. Prenez le temps d’apprendre à l’utiliser et de mettre en place les règles de sécurité appropriées pour assurer la stabilité et la tranquillité d’esprit de votre site. Vous verrez les avantages que cela apportera à l’expérience de vos utilisateurs et à votre sérénité générale !

16. Modifier le préfixe par défaut de votre base de données WordPress

La base de données MySQL, véritable pilier de votre site WordPress, renferme toutes les informations nécessaires à son bon fonctionnement.

Mais attention, elle représente une cible de choix pour les pirates et les spammeurs, qui utilisent des codes automatisés pour infiltrer vos données par le biais d’injections SQL. Saviez-vous que près d’une faille de sécurité sur cinq est causée par ce type d’attaque, selon l’entreprise spécialisée en sécurité WordPress, WordFence ?

Malheureusement, de nombreux utilisateurs négligent de modifier le préfixe de la base de données par défaut wp_ lors de l’installation de WordPress. Les pirates l’adorent, car c’est leur cible privilégiée. Mais ne vous inquiétez pas, nous sommes là pour vous aider à renforcer la sécurité de votre site et protéger vos précieuses données. Suivez-nous pour découvrir comment !

1. Modifier le préfixe dans wp-config.php

Pour assurer la sécurité de votre site WordPress, voici une recommandation importante : ajoutez des chiffres, des lettres ou même des tirets à votre préfixe de base de données.

Une étape supplémentaire simple pour une tranquillité d’esprit totale. L’idéal est de procéder à cette modification au tout début de la création de votre site WordPress, dès l’installation du CMS.

S’il s’agit d’un site déjà existant, localisez votre prefixe et nom de base de données dans le fichier wp-config.php. Notez les dans un document à part, sur votre ordinateur, afin de savoir quelle base de données et quel prefixe vous devez modifier. Ensuite, dans wp-config.php, modifiez le préfixe uniquement.

Par exemple, ous pourriez modifier wp_ par eh_x2example3d_.

2. Modifier le préfixe dans phpMyAdmin

Maintenant, il est temps de renforcer la sécurité de votre WordPress en mettant à jour les prefixes de tables directement dans votre base de données. Pour cela, nous allons utiliser un outil génial appelé phpMyAdmin. Cet outil vous permet de gérer vos bases de données de manière super efficace !

Dans votre compte cPanel, rendez-vous dans l’onglet phpMyAdmin.

Une fois que vous y êtes, trouvez la base de données que vous avez identifiée dans le point précédent et dont vous aviez noté le nom.

Attention, une base de données WordPress classique est composée de 12 tables qui doivent toutes être mises à jour. Mais ne vous inquiétez pas ! Pour accélérer le processus, nous allons utiliser des requêtes SQL. Utilisez simplement la syntaxe de requête ci-dessous pour mettre à jour toutes les tables de votre base de données :

RENAME table wp_commentmeta TO eh_x2example3d_commentmeta;
RENAME table wp_comments TO eh_x2example3d_comments;
RENAME table wp_links TO eh_x2example3d_links;
et ainsi de suite pour l'intégralité de vos tables WordPress.

3. Cas spécifiques de la tables _options et usermeta

Selon la quantité et le type de plugins installés sur votre site WordPress, il est possible que certaines valeurs de votre base de données nécessitent une modification manuelle de votre part.

Pour commencer, vous devrez exécuter quelques requêtes SQL pour chercher ces valeurs spécifiques. Faites une recherche dans les tables _options et _usermeta en utilisant les requêtes suivantes :

Pour faire une recherche dans la table _options :

SELECT * FROM eh_x2example3d_options WHERE option_name LIKE '%wp_%';

Et pour une recherche dans la table _usermeta :

SELECT * FROM eh_x2example3d_usermeta WHERE meta_key LIKE '%wp_%';

Une fois que vous aurez les résultats, il vous suffira de modifier simplement chaque wp_ par votre propre préfixe. Cela se fait en modifiant les valeurs de la colonne meta_key dans la table _usermeta et en modifiant les valeurs dans la colonne option_name dans la table _options.

En suivant ces étapes simples et efficaces, vous pourrez mettre à jour les valeurs nécessaires dans votre base de données WordPress.

17. Limiter le nombre de tentatives de connexion au tableau de bord WordPress

Même si changer votre URL de connexion /wp-login.php peut considérablement réduire les tentatives de connexion malveillantes, il est temps d’aller plus loin pour renforcer la sécurité de votre site.

Et voici un moyen très efficace : l’extension gratuite Wordfence.

Avec Wordfence, vous pouvez facilement personnaliser le nombre de tentatives de connexion autorisées avant blocage et même les listes noires et listes blanches d’adresses IP.

Vous êtes ainsi en mesure de protéger votre site WordPress de manière plus complète et d’éloigner les attaques potentielles.

18. Changer régulièrement de mot de passe et en définir un sécurisé

Il est important de modifier régulièrement votre mot de passe WordPress afin de protéger votre site web contre les utilisateurs non autorisés. En changeant fréquemment votre mot de passe, vous réduisez le risque que quelqu’un accède à votre site web sans votre autorisation.

De plus, pour renforcer la sécurité de votre site WordPress, il est vraiment essentiel d’utiliser un mot de passe fort et sécurisé pour protéger vos comptes d’utilisateurs.

Un mot de passe solide est complexe et difficile à deviner même pour les hackers les plus malins ! Il doit être composé d’une combinaison unique de lettres (majuscules et minuscules), de chiffres et de caractères spéciaux.

Attention, évitez absolument d’utiliser des mots courants ou des phrases trop évidentes qui pourraient être facilement devinés.

Voici quelques conseils pour vous aider à choisir un mot de passe sécurisé :

• Votre mot de passe doit être long, au moins 8 caractères, pour vous garantir une bonne sécurité.
• Évitez à tout prix les mots de passe faciles à deviner, comme 123456, password, motdepasse, etc. Les hackers les contournent en un rien de temps !
• Choisissez une combinaison aléatoire de lettres, chiffres et caractères spéciaux. Plus votre mot de passe est complexe, plus il sera résistant et difficile à décrypter.
• Ne réutilisez jamais les mêmes mots de passe pour différents comptes. Si un hacker parvient à découvrir un de vos mots de passe, cela pourrait mettre en danger la sécurité de tous vos autres comptes qui utilisent le même mot de passe.
• Si vous n’avez pas d’inspiration pour vous définir un mot de passe vraiment sécurisé, pas de panique ! Il existe des logiciels des outils en ligne fiables qui peuvent vous permettre de générer des mots de passe complexes et uniques.

19. Utilisez des noms d’utilisateur sécurisés

Lorsque vous choisissez votre nom d’utilisateur, il est important de prendre quelques précautions supplémentaires pour assurer la sécurité de votre compte. Évitez d’utiliser des noms évidents tels que « admin », « administrateur » ou votre propre nom de marque. En optant pour un nom d’utilisateur unique et difficile à deviner, vous renforcez la protection de vos informations personnelles et réduisez les risques de piratage.

Si, malheureusement, vous utilisez actuellement un nom d’utilisateur non sécurisé, il serait prudent de créer un nouvel utilisateur possédant les mêmes permissions. Ensuite, vous pourrez supprimer l’utilisateur non sécurisé et transférer ses contenus vers votre nouvel utilisateur lorsque WordPress vous invitera à le faire. Prendre cette mesure supplémentaire de sécurité vous permettra de protéger au mieux vos données sensibles et d’assurer la continuité de votre utilisation de WordPress.

20. Arrêter l’exécution de PHP dans le répertoire /wp-content

Pour renforcer la sécurité de votre site WordPress et limiter le risque d’installation de backdoor, voici un conseil complémentaire : ajoutez un fichier .htaccess dans le répertoire /wp-content avec le contenu cette règle :

Order deny,allow
    Deny from all
    <Files ~ ".(xml|css|jpe?g|png|gif|js)$">
    Allow from all
    </Files>

Cela permet de ne plus autoriser l’exécution de fichiers contenant du code PHP dans le répertoire wp-content. De plus, cela aide à prévenir les accès non autorisés et les tentatives d’intrusion, garantissant ainsi la confidentialité et l’intégrité de vos données. En prenant les mesures nécessaires pour sécuriser votre site, vous vous assurez que seuls les utilisateurs autorisés peuvent accéder à votre contenu.

21. Utiliser la version de PHP la plus récente

Il est primordial d’utiliser la dernière version de PHP disponible pour maintenir la vitesse et les performances de votre site WordPress. Chaque mise à jour apporte des correctifs essentiels qui améliorent le fonctionnement, la sécurité et la performance de PHP.

Pour vous assurer d’utiliser une version prise en charge, vérifiez la liste des versions de PHP encore maintenues.

Si votre WordPress est configuré sur une ancienne version de PHP non maintenue, il est crucial de vérifier la compatibilité de vos plugins et de votre thème avec la nouvelle version. Prendre le temps de faire cette vérification et apporter les ajustements nécessaires vous aidera à éviter les problèmes de compatibilité et à maintenir un site WordPress performant et sécurisé.

22. Sécuriser le fichier wp-config.php

Votre fichier wp-config.php est une partie essentielle de votre site WordPress. Il détient le rôle le plus important en matière de sécurité. Avec les informations de connexion à votre base de données et les clés de sécurité pour chiffrer les cookies, ce code précieux assure la protection de votre site.

Par exemple, il est crucial de maintenir la sécurité en actualisant régulièrement les clés de sécurité WordPress. Elles agissent comme une protection supplémentaire pour les informations stockées dans les cookies des utilisateurs. Par défaut, WordPress génère automatiquement ces clés lors de l’installation du CMS. Cependant, si vous avez migré votre site ou l’avez acheté à quelqu’un d’autre, il est recommandé de générer de nouvelles clés pour renforcer davantage la sécurité.

Heureusement, WordPress propose un outil gratuit qui génère des clés aléatoires en toute simplicité. Grâce à cet outil, vous pouvez facilement mettre à jour les clés de sécurité déjà présentes dans votre fichier wp-config.php.

Ensuite, pour une sécurité renforcée, il est également essentiel de modifier les autorisations accordées au fichier wp-config.php. Selon la documentation WordPress, ce fichier devrait être configuré avec un Chmod de 440 ou 400, empêchant ainsi sa lecture par les autres utilisateurs sur le serveur. Vous pouvez modifier ces autorisations aisément en utilisant votre Gestionnaire de fichiers cPanel.

Notez que chez certains hébergeurs, les autorisations doivent être ajustées différemment, car l’utilisateur exécutant le serveur web peut ne pas avoir la permission d’écrire sur des fichiers. Si vous n’êtes pas sûr des autorisations requises, nous vous recommandons de consulter votre hébergeur pour obtenir les informations nécessaires.

Grâce à ces mesures de sécurité, vous pourrez mieux protéger votre fichier wp-config.php, et ainsi renforcer la sécurité de votre installation WordPress.

23. Désactiver XML-RPC

Le fichier xmlrpc.php est depuis longtemps une cible de choix pour les attaques brute force. Les cybercriminels tirent parti d’une fonctionnalité méconnue de XML-RPC : la méthode system.multicall, qui permet d’exécuter plusieurs actions dans une seule requête, offrant ainsi une efficacité maximale lors du traitement des commandes via une seule requête HTTP. Cependant, cette fonctionnalité est également utilisée de manière malveillante, augmentant les risques de sécurité.

Bien que certaines extensions WordPress, comme Jetpack, dépendaient de XML-RPC, la plupart des utilisateurs et des plugins n’ont plus besoin de cette fonctionnalité car peuvent à présent s’appuyer sur l’API REST. Il peut donc être avantageux de désactiver simplement l’accès à XML-RPC.

Pour vérifier si XML-RPC est bien désactivé sur votre site Web, vous pouvez visiter l’URL https://www.votre-domaine.fr/xmlrpc.php. Si vous tombez sur une erreur 404, vous avez bien désactivé XML RPC. Si vous tombez sur un autre message d’erreur du type « ERR_CONNECTION_REFUSED » ou « Ce site est inaccessible », votre hébergeur à probablement lui-même, désactivé XML RPC.

Si XML RPC n’est pas encore désactivé sur votre site WordPress, voici la règle à ajouter dans votre fichier .htaccess :

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Vous pouvez également utiliser le plugin Disable XML RPC.

En résumé, il est crucial de comprendre les risques associés à XML-RPC et de prendre les mesures nécessaires pour protéger votre site WordPress contre les attaques potentielles. Soyez proactif en désactivant XML-RPC si vous n’en avez pas besoin. Suivez les avancées technologiques réalisées par WordPress et tournez-vous plutôt vers l’API REST.

24. Ajouter les derniers headers de sécurité HTTP

Un moyen efficace pour renforcer la sécurité de votre site WordPress consiste à exploiter les en-têtes de sécurité HTTP. Ces derniers sont généralement configurés au niveau du serveur web et indiquent comment le navigateur doit gérer le contenu de votre site. Plusieurs en-têtes de sécurité HTTP différents vous permettent de contrôler précisément divers aspects de la sécurité de votre site.

Parmi ces en-têtes, on retrouve le fameux Content-Security-Policy qui établit les règles de sécurité pour le chargement de contenu sur votre site, l’incontournable X-Content-Type-Options qui prévient les attaques liées aux types de médias, et l’infaillible Strict-Transport-Security qui impose l’utilisation du protocole HTTPS sur votre site.

En misant sur ces en-têtes de sécurité HTTP et d’autres mesures appropriées, vous pouvez considérablement renforcer la sécurité de votre site WordPress.

Voici, selon nous, les principaux en-têtes de sécurité HTTP sur lesquels vous devriez vous concentrer :

• Content-Security Policy
• X-XSS-Protection
• Strict-Transport-Security
• Strict-Transport-Security
• X-Frame-Options
• Public-Key-Pins
• X-Content-Type

Pour découvrir les headers actuellement en cours d’exécution sur votre site WordPress, ouvrez la page d’accueil de votre site WordPress et ensuite ouvrez la console de Google Chrome. Observez ensuite la réponse initiale de votre site pour les repérer.

Une autre option est de scanner votre site WordPress avec l’outil gratuit securityheaders.io. Celui-ci vous dévoilera les headers de sécurité HTTP actuellement configurés sur votre site. Si vous avez des doutes quant à leur mise en place, n’hésitez pas à solliciter votre hébergeur pour une assistance supplémentaire.

25. Désactiver l’édition de fichiers via le tableau de bord WordPress

De nombreux sites WordPress ont plusieurs utilisateurs et administrateurs, ce qui peut représenter un véritable défi en termes de sécurité. Une pratique courante à éviter est de donner aux auteurs ou aux contributeurs un accès administrateur, car cela peut causer des problèmes par la suite. Pour assurer une sécurité optimale, il est important d’attribuer les bons rôles et les permissions adéquates aux utilisateurs afin d’éviter les dommages accidentels.

Une astuce pour minimiser les risques est de désactiver simplement l’Éditeur d’apparence dans WordPress. Ainsi, seules les personnes possédant une connaissance technique appropriée pourront apporter des modifications au design du site.

Pour supprimer les capacités « edit_themes », « edit_plugins » et « edit_files » de tous vos utilisateurs WordPress, ajoutez le code suivant dans votre fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

26. Prévenir le Hotlinking

Le hotlinking est une notion plutôt simple à comprendre. Imaginez-vous tomber sur une image géniale sur Internet et utiliser directement son URL sur votre propre site plutôt que de l’héberger vous-même dans votre bibliothèque médias. L’image s’affiche bien sur votre site Web, mais en réalité, elle est encore hébergée ailleurs. Et oui, c’est un peu du vol, car cela utilise la bande passante du site original ! Vous voyez, ça peut sembler anodin, mais les coûts supplémentaires peuvent rapidement s’envoler pour la personne que vous avez volée !

Pour bloquer la possibilité de hotlinker vos images, vous pouvez utiliser WordPress Toolkit, disponible chez EasyHoster.

Par ailleurs, pour éviter les hotlinking sur un serveur Apache, voici une règle à ajouter dans votre fichier .htaccess :

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votre-domaine.fr [NC]

27. Sécuriser votre ordinateur

Vos ordinateurs peuvent être une porte d’entrée pour les hackers. Ils cherchent à accéder à votre site WordPress, mais ne les laissez pas gagner ! Pour éviter de passer des heures à déjouer leurs attaques, il est crucial de bien protéger votre ordinateur. Heureusement, il existe plusieurs choix pour améliorer la sécurité et vous pouvez commencer dès maintenant !

Tout d’abord, installez un bon logiciel anti-virus. Il vous protégera contre les malwares et autres menaces en ligne. De plus, n’oubliez pas de configurer un pare-feu efficace. Il vous aidera à bloquer tout trafic suspect et à garder votre ordinateur en sécurité.

Si vous utilisez régulièrement des réseaux publics, il est vivement recommandé d’utiliser un VPN. Non seulement il assure le cryptage de vos données, mais il protège également votre vie privée.

En prenant ces mesures, vous renforcez la sécurité de votre ordinateur et assurez la protection de votre site WordPress. Soyez proactif et gardez vos données en sécurité !

28. Être accompagné par un expert en cybersécurité

Les conseils présentés dans cet article sont seulement la partie émergée de l’iceberg lorsqu’il s’agit d’auditer la sécurité de votre site WordPress.

Chez EasyHoster, nous avons à coeur de vous protéger contre toutes les attaques et autres tentatives d’intrusion grâce à nos outils premium ainsi que notre expertise en cyber sécurité. Pour une analyse plus approfondie de votre site WordPress, si vous êtes déjà clients EasyHoster, n’hésitez pas à contacter nos experts en sécurité WordPress qui sauront auditer votre site et vous conseiller en conséquence.

La sécurité de votre site WordPress est notre priorité numéro un, chez EasyHoster. Alors, n’hésitez plus et confiez-nous vos précieux sites WordPress !

Nous sommes l’un des seuls hébergeurs à se positionner entre l’hébergeur classique et le Webmaster, vous évitant ainsi une partie des frais relatifs à cela.

29. Choisir un hébergeur sécurisé

Saviez-vous que plus de 40% des sites WordPress sont piratés en raison de failles de sécurité présentes directement au sein des comptes d’hébergement eux-mêmes ? Eh oui, les hébergements WordPress les plus vulnérables peuvent mettre votre site en danger ! Alors, si vous voulez vraiment protéger votre site WordPress, c’est un conseil crucial que vous ne devriez pas ignorer !

Il est peut-être temps de repenser votre choix d’hébergement actuel et de migrer vers une solution plus sécurisée. Voici quelques faits essentiels à considérer lorsque vous recherchez un nouvel hébergement WordPress, afin de renforcer la sécurité de votre site WordPress :

• Assurez-vous que votre compte est isolé des autres utilisateurs, même en cas d’hébergement mutualisé. De cette façon, vous n’aurez aucun risque de voir un site infecter tous les autres sur le serveur. Par exemple, pour cela, Chez EasyHoster nous utilisons CloudLinux et CageFS.
• Choisissez un hébergement WordPress qui effectue automatiquement des sauvegardes régulières de votre site. Ainsi, vous pourrez récupérer facilement vos données en cas de problème.
• Vérifiez que votre hébergement dispose d’un bon pare-feu et d’un antivirus côté serveur, pour protéger votre précieux site WordPress contre les attaques malveillantes. Chez EasyHoster, nous utilisons CSF, ModSecurity et l’anti Brute Force cPHulk au niveau des pare-feu et Imunify360 comme antivirus.

La sécurité WordPress, un point essentiel pour votre tranquillité d’esprit

Comme vous pouvez le constater, quand il s’agit de renforcer la sécurité de votre site WordPress, avoir quelques astuces dans votre manche peut vraiment faire la différence.

Pour résumer nos propos, gardez bien en tête de choisir des mots de passe sécurisé composé d’un mélange de majuscules, de minuscules, de chiffres et de caractères spéciaux, pour que votre site soit prêt à encaisser les attaques.

Il est aussi crucial de garder le cœur de WordPress, vos plugins et votre thème à jour, car les mises à jour apportent souvent leurs lots de correctifs super importants pour la sécurité.

Enfin, bien sûr, optez pour un hébergeur WordPress sécurisé, prêt à vous protéger contre les intrusions non désirées avec un pare-feu ultra-performant et une surveillance de sécurité en temps réel pour garder un œil vigilant sur votre site.

Votre site WordPress est peut-être votre unique source de revenus ? Il est donc temps de vous concentrer sur la mise en place de certaines des meilleures pratiques de sécurité mentionnées ci-dessus. Parce que la sécurité, il ne faut jamais la prendre jamais à la légère, n’est-ce pas ? Anticiper les problèmes potentiels dès le début peut vous éviter du stress inutiles et tous les inconvénients qui vont avec.