C\u2019est pourquoi dans ce guide nous allons vous donner 15 astuces simples \u00e0 appliquer pour assurer la s\u00e9curit\u00e9 de votre site WordPress.<\/p>\n
1. Sauvegarder r\u00e9guli\u00e8rement la base de donn\u00e9es<\/h2>\n
Tous les sites poss\u00e8dent une base de donn\u00e9es dans laquelle les contenus sont conserv\u00e9s. Il est essentiel d\u2019archiver ces donn\u00e9es r\u00e9guli\u00e8rement, en cas de souci sur le site. M\u00eame si le v\u00f4tre est ultra-s\u00e9curis\u00e9, il est toujours bon d\u2019avoir une sauvegarde de votre site au besoin car \u00ab on ne sait jamais \u00bb. Dites-vous bien que les plus gros sites du web qui d\u00e9pensent \u00e9norm\u00e9ment d\u2019argent pour la s\u00e9curit\u00e9 de leur site sont parfois pirat\u00e9s, alors pourquoi pas le v\u00f4tre ?<\/p>\n
Effectuer des sauvegardes r\u00e9guli\u00e8res de votre site vous permettra de pouvoir remettre votre site en l\u2019\u00e9tat, apr\u00e8s correction de la vuln\u00e9rabilit\u00e9, si celui-ci venait \u00e0 se faire pirater et corrompre.<\/p>\n
Id\u00e9alement, nous vous recommandons d\u2019effectuer une sauvegarde hebdomadaire. Assurez-vous de bien noter la date du jour de l\u2019archivage sur le dossier de sauvegarde. En cas d\u2019erreur, de piratage ou de perte du site, il vous sera possible de tout r\u00e9int\u00e9grer rapidement et facilement.<\/p>\n
Il existe pour cela diverses extensions vous permettant de faire des sauvegardes automatiques<\/a> de vos fichiers, extensions, th\u00e8mes et autres. Voici deux extensions de sauvegarde populaires de WordPress\u00a0:<\/p>\n Ces deux extensions vous permettent de cr\u00e9er des sauvegardes automatiques de votre base de donn\u00e9es et de vos fichiers, puis de les stocker sur votre serveur ou le cloud (Dropbox, Azure, Google Drive, etc..), ou bien encore par un envoi de mail contenant votre sauvegarde.<\/p>\n Cette consigne est valable pour le CMS, mais aussi pour l\u2019ensemble des plugins. De nouvelles failles sont r\u00e9v\u00e9l\u00e9es r\u00e9guli\u00e8rement, ce qui conduit les d\u00e9veloppeurs \u00e0 proposer souvent des corrections. Une extension obsol\u00e8te pr\u00e9sente donc un risque important\u2026<\/p>\n Quant aux mises \u00e0 jour de votre plugin de s\u00e9curit\u00e9, elles sont plus qu\u2019essentielles ! Ces derni\u00e8res tiennent notamment compte des nouveaux virus ou m\u00e9thodes de piratage.<\/p>\n Comme il existe des antivirus \u00e0 installer sur son ordinateur, vous pouvez aussi ajouter un plugin antivirus pour assurer la s\u00e9curit\u00e9 de votre WordPress. Bien souvent, ces plugins prot\u00e8gent non seulement votre site des virus, mais ils surveillent \u00e9galement la s\u00e9curit\u00e9 globale de votre WordPress.<\/p>\n Une extension de s\u00e9curit\u00e9 vous permettra ainsi de g\u00e9rer plusieurs aspects de la s\u00e9curit\u00e9 de votre WordPress facilement et de fa\u00e7on transparente pour vous. C\u2019est une bo\u00eete \u00e0 outil regroupant plusieurs outils pour s\u00e9curiser votre site. Parmi ces extensions de s\u00e9curit\u00e9 nous retrouverons :<\/p>\n Pour exemple, WordFence vous permettra de\u00a0:<\/p>\n D\u2019autres fonctionnalit\u00e9s sont disponibles avec WordFence et la plupart des extensions de s\u00e9curit\u00e9s ont des fonctionnalit\u00e9s similaires. Ce sont des extensions tr\u00e8s utiles et recommand\u00e9s \u00e0 installer. WordFence est \u00e0 lui seul install\u00e9 sur plus de 3 millions de WordPress \u00e0 l\u2019heure actuelle.<\/p>\n \u00c0 lire aussi :\u00a010 plugins de s\u00e9curit\u00e9 incontournables pour WordPress<\/a><\/p><\/blockquote>\n L\u2019utilisation d\u2019extensions ou th\u00e8mes crack\u00e9s est une mauvaise chose pour la s\u00e9curit\u00e9 de votre site.<\/p>\n Lorsque vous installez des versions non officielles, vous offrez potentiellement l\u2019acc\u00e8s \u00e0 votre site \u00e0 n\u2019importe qui. Les versions crack\u00e9es n\u2019\u00e9tant pas valid\u00e9es par WordPress, il ne se peut que les personnes fournissant ces extensions et th\u00e8mes glissent \u00e0 l\u2019int\u00e9rieur des fichiers des malwares, une porte d\u2019acc\u00e8s \u00e0 votre site ou tout autre code malveillant sans m\u00eame que vous vous en rendiez compte.<\/p>\n Attention : De ce fait, vous pourriez vous faire voler vos donn\u00e9es et offrir l\u2019acc\u00e8s \u00e0 des personnes malveillantes sans m\u00eame le savoir !<\/p><\/blockquote>\n C\u2019est pourquoi il est fortement recommand\u00e9 de ne jamais installer de versions crack\u00e9es et toujours passer par l\u2019ajout d\u2019extensions et de th\u00e8mes officiel de WordPress ou des soci\u00e9t\u00e9s auxquelles vous auriez achet\u00e9 un th\u00e8me ou une extension. Les th\u00e8mes et extensions sur WordPress sont la premi\u00e8re porte d’entr\u00e9e des hackers. Pour s\u00e9curiser votre site WordPress, vous devez \u00eatre vigilants \u00e0 ce que vous installez sur votre site.<\/p>\n Parfois, on installe des th\u00e8mes et extensions pour les tester ou pour une courte dur\u00e9e, pour ensuite les d\u00e9sactiver (dans le meilleur des cas) ou bien les oublier et les laisser de c\u00f4t\u00e9.<\/p>\n Ceci est un probl\u00e8me, encore plus si vous ne les mettez pas \u00e0 jour ou si elles sont obsol\u00e8tes, car ces extensions et th\u00e8mes inutilis\u00e9s sont des potentielles portes d\u2019entr\u00e9es suppl\u00e9mentaires aux hackers et inutiles \u00e0 votre site.<\/p>\n La bonne pratique sera donc de supprimer toute extension ou th\u00e8me que vous n\u2019utilisez plus pour r\u00e9duire le risque de piratage de votre site web.<\/p>\n Pour r\u00e9duire le risque de piratage et s\u00e9curiser votre site WordPress, il est \u00e9galement recommand\u00e9 de modifier son adresse de connexion. Par d\u00e9faut, WordPress vous propose\u00a0mon-site.com\/wp-admin<\/em>. Ce qui facilite encore une fois le travail des hackers\u00a0!<\/p>\n Vous pouvez changer cette URL en modifiant le le fichier .htaccess ou en utilisant une extension comme\u00a0Custom Login URL<\/a>. Cette deuxi\u00e8me solution est parfaite pour les personnes qui s\u2019y connaissent peu ou pas du tout en code.<\/p>\n Pour vous connecter \u00e0 votre administration WordPress, l\u2019identifiant admin est propos\u00e9 par d\u00e9faut. Il est donc massivement utilis\u00e9 par les pirates pour acc\u00e9der \u00e0 votre site.<\/p>\n \u00c9vitez de leur faciliter la t\u00e2che et cr\u00e9ez un identifiant personnel, impossible \u00e0 deviner, avant de supprimer le compte admin.<\/p>\n Cette option de s\u00e9curit\u00e9 propos\u00e9e par diff\u00e9rentes extensions permet de s\u00e9curiser votre syst\u00e8me de connexion quasiment \u00e0 100%\u00a0! C\u2019est une m\u00e9thode peu contraignante et facile \u00e0 mettre en place pour s\u00e9curiser un site WordPress alors pourquoi s\u2019en passer\u00a0?<\/p>\n Dans la plupart des cas, la 2\u00e8me<\/sup> \u00e9tape de connexion sera un code envoy\u00e9 par SMS, un appel t\u00e9l\u00e9phonique ou via une application mobile. Le pirate devra donc conna\u00eetre \u00e0 la fois votre mot de passe et avoir acc\u00e8s au p\u00e9riph\u00e9rique utilis\u00e9 pour la seconde \u00e9tape, ce qui est presque impossible.<\/p>\n Parmi les extensions proposant l\u2019authentification \u00e0 double facteur on pourra retrouver :<\/p>\n La plupart de ces extensions fonctionnent en paire avec leur propre application mobile vous permettant de g\u00e9rer le syst\u00e8me d\u2019authentification \u00e0 double \u00e9tape et d\u2019autoriser la connexion lorsqu\u2019une connexion est initialis\u00e9e avec ce m\u00eame syst\u00e8me.<\/p>\n La mise en place d’un OTP<\/a> peut \u00e9galement permettre de s\u00e9curiser votre site.<\/p>\n Pour chaque version de WordPress, il existe des failles que les pirates se feront plaisir d\u2019exploiter. Pour compliquer un peu la mission de ces intrus, pensez \u00e0 masquer la version de WordPress que vous utilisez.<\/p>\n Le changement se fait \u00e0 deux niveaux : dans le fichier version.php, ainsi que dans le fichier readme.html<\/a>. Ce dernier est situ\u00e9 \u00e0 la racine de votre WordPress et doit \u00eatre supprim\u00e9 !<\/p>\n Sur un site WordPress, par d\u00e9faut, les dossiers sont accessibles \u00e0 tous. Il est donc imp\u00e9ratif de bloquer leur acc\u00e8s pour mieux les prot\u00e9ger.<\/p>\n Pour ce faire, il faut modifier les conditions d\u2019acc\u00e8s via votre .htaccess ou opter pour un plugin comme Hide My WordPress<\/a>.<\/p>\n Les failles de s\u00e9curit\u00e9s ne proviendront pas forc\u00e9ment que de votre site. Elles peuvent parfois provenir de votre h\u00e9bergeur. Un grand nombre de sites WordPress ayant \u00e9t\u00e9 pirat\u00e9s l\u2019ont \u00e9t\u00e9 \u00e0 cause d\u2019une faille de s\u00e9curit\u00e9 du c\u00f4t\u00e9 de leur h\u00e9bergeur et non de la s\u00e9curit\u00e9 m\u00eame des sites.<\/p>\n Pour s\u00e9curiser votre site WordPress, il est donc important de bien choisir son h\u00e9bergeur.<\/p>\n Pour cela vous pouvez d\u00e9j\u00e0 analyser les offres des h\u00e9bergeurs selon 3 crit\u00e8res :<\/p>\n Attention : Si votre h\u00e9bergeur actuel ou futur ne respecte pas au moins ces 3 points cl\u00e9s vous pouvez passer votre chemin et changer pour un autre h\u00e9bergeur.<\/p><\/blockquote>\n Ce certificat est connu pour \u00eatre important lorsque le site propose un syst\u00e8me de paiement directement sur le site, cependant il est aussi utile pour d\u2019autres raisons\u00a0:<\/p>\n Le DDOS<\/a> est une attaque par d\u00e9ni de service, cela consiste \u00e0 rendre un syst\u00e8me (ou site web) inaccessible en le ciblant avec plusieurs syst\u00e8mes simultan\u00e9ment. S\u00e9curiser un site WordPress contre les attaques DDoS permet d’\u00e9viter que celui-ci ne sois plus accessible en cas d’attaque.<\/p>\n Concr\u00e8tement, plusieurs syst\u00e8mes (ordinateurs ou serveurs) vont essayer d\u2019effectuer en m\u00eame temps des actions sur une cible pr\u00e9cise (un site web par exemple) pour que celle-ci se retrouver surcharg\u00e9e de requ\u00eates jusqu\u2019\u00e0 ne plus pouvoir les g\u00e9rer et \u00ab crasher \u00bb rendant la cible hors service.<\/p>\n Pour pr\u00e9venir ce genre d\u2019attaques il existe des services (dont un plugin) \u00e0 configurer sur votre site WordPress qui vont gr\u00e2ce \u00e0 leur protection anti-DDoS att\u00e9nuer les attaques de d\u00e9ni de service.<\/p>\n Parmi ces services de s\u00e9curit\u00e9 vous pouvez retrouver Cloudflare<\/a> ou bien l\u2019extension WordPress Sucuri Security<\/a>.<\/p>\n Un pirate qui cherche \u00e0 acc\u00e9der \u00e0 votre site WordPress peut tenter de deviner votre mot de passe en effectuant des dizaines, voire des centaines de tentatives. Pour contrer ce type d\u2019attaque, il est recommand\u00e9 de limiter le nombre de tentatives d’identification \u00e0 votre site. Plusieurs plugins permettent de mettre en place cette s\u00e9curit\u00e9, comme Login LockDown ou Limit Login Attempts Reloaded.<\/p>\n En bloquant temporairement une adresse IP apr\u00e8s plusieurs tentatives \u00e9chou\u00e9es, vous r\u00e9duisez consid\u00e9rablement le risque de piratage par force brute. Cette m\u00e9thode est simple \u00e0 mettre en place et renforce efficacement la s\u00e9curit\u00e9 de votre site WordPress.<\/p>\n Pour surveiller ce qui se passe sur votre site, il est utile d\u2019activer un journal des activit\u00e9s. Cela permet de suivre toutes les connexions, modifications de contenu, installations d\u2019extensions ou modifications des utilisateurs.<\/p>\n Des plugins comme WP Activity Log ou Stream enregistrent toutes les actions importantes, ce qui vous aide \u00e0 d\u00e9tecter rapidement une activit\u00e9 suspecte. En cas d\u2019intrusion, vous saurez exactement quelles modifications ont \u00e9t\u00e9 effectu\u00e9es et par quel utilisateur, ce qui facilite grandement la r\u00e9cup\u00e9ration et la s\u00e9curisation de votre site.<\/p>\n La s\u00e9curit\u00e9 est une partie importante \u00e0 ne pas n\u00e9gliger lors de la cr\u00e9ation et la maintenance de votre site WordPress. Une intrusion dans votre base de donn\u00e9es ou vos fichiers par un hacker, et votre site web est hors service rapidement… ce qui peut co\u00fbter plusieurs centaines voire milliers d\u2019euros si votre site est une source de revenus.<\/p>\n C\u2019est pourquoi il est indispensable de mettre en place les bonnes pratiques vues tout au long de ce guide pour r\u00e9duire les risques potentiels de piratage. Mais il est possible et fortement conseill\u00e9 d’aller plus loin et faire appel \u00e0 un expert pour garantir la s\u00e9curit\u00e9 de votre activit\u00e9 en ligne.<\/p>\n\n
2. V\u00e9rifier r\u00e9guli\u00e8rement les mises \u00e0 jour<\/h2>\n
![\"mise](\"https:\/\/www.codeur.com\/blog\/wp-content\/uploads\/2017\/02\/acces-maj-wordpress.jpg\")
\nPour prot\u00e9ger son site ou son blog WordPress, il faut proc\u00e9der \u00e0 des mises \u00e0 jour r\u00e9guli\u00e8res.\u00a0 D\u00e8s qu\u2019une update est disponible, pensez bien \u00e0 mettre \u00e0 jour votre site WordPress<\/a> avant de l’installer.<\/p>\n3. Installer un plugin de s\u00e9curit\u00e9<\/h2>\n
\n
\n
4. Utiliser des extensions et th\u00e8mes officiels<\/h2>\n
\n\u00a0<\/strong><\/p>\n5. Supprimer les extensions et th\u00e8mes inutilis\u00e9s<\/h2>\n
6. Modifier l’adresse de connexion<\/h2>\n
7. Supprimer le compte admin par d\u00e9faut<\/h2>\n
8. Activer l\u2019authentification \u00e0 2 \u00e9tapes<\/h2>\n
\n
9. Masquer la version de WordPress utilis\u00e9e<\/h2>\n
10. Emp\u00eacher la navigation dans les dossiers<\/h2>\n
11. Choisir un h\u00e9bergeur s\u00e9curis\u00e9<\/h2>\n
\n
12. Prot\u00e9ger la connexion \u00e0 votre site avec un certificat SSL (HTTPS)<\/h2>\n
![\"https\"](\"https:\/\/www.codeur.com\/blog\/wp-content\/uploads\/2017\/02\/https-300x39.jpg\")
\nVous aurez surement d\u00e9j\u00e0 vu le petit cadenas \u00e0 c\u00f4t\u00e9 de l\u2019url d\u2019un site et cette url pr\u00e9c\u00e9d\u00e9e par \u00ab\u00a0HTTPS\u00a0\u00bb. Cela est possible car le site en question d\u00e9tient un certificat SSL. Ce certificat SSL permet d\u2019activer le protocole HTTPS qui assure une connexion s\u00e9curis\u00e9e entre le navigateur (client) et le serveur web<\/a>.<\/p>\n\n
13. Prot\u00e9gez-vous contre le DDoS<\/h2>\n
14. Limiter les tentatives de connexion<\/h2>\n
15. Activer la journalisation des activit\u00e9s<\/h2>\n
Pourquoi se faire accompagner pour s\u00e9curiser votre site WordPress ?<\/h2>\n