Liste de contrôle de sécurité simple pour les sites WordPress

Liste de contrôle de sécurité simple pour les sites WordPress

Saviez-vous que plus de 100 000 sites Web sont piratés quotidiennement? C’est vrai, la cybercriminalité est une menace sérieuse pour toute entreprise, et toute personne possédant un site WordPress n’est pas en sécurité non plus. J’ai rencontré des pirates (et j’ai dû récupérer mon site WordPress), et vous savez probablement que c’était moche.


Les pirates informatiques recherchent activement des sites Web vulnérables pour casser et voler des données qu’ils peuvent publier à des fins monétaires ou à des fins malveillantes. Pour vous protéger et protéger votre précieux site, vous devriez sérieusement envisager de renforcer votre sécurité WordPress.

Étant donné que vous perdrez des revenus, du temps et des efforts lorsque des pirates informatiques s’introduiront sur votre site Web, nous avons créé la liste de contrôle de sécurité suivante que vous pouvez utiliser pour sécuriser votre site Web WordPress. Tous les éléments de sécurité de la publication sont relativement faciles à mettre en œuvre même pour les débutants:

Comme vous pouvez le voir, nous diviserons le message en plusieurs parties couvrant tout, du choix d’un hôte sécurisé au renforcement de votre zone d’administration et d’autres. Vous devrez répéter certaines tâches de sécurité, telles que la mise à jour régulière de vos thèmes. D’autres tâches sont une tâche ponctuelle, mais ont toujours un impact significatif sur la sécurité de votre site. Vérifiez ce que vous devez corriger et faites-le tout de suite, car les pirates ne perdent pas de temps non plus.

Liste de contrôle de sécurité WordPress simple

1. Mettre à jour WordPress

WordPress core est régulièrement audité et vérifié pour les failles de sécurité. Si des failles de sécurité et des bogues sont détectés, les développeurs principaux publient généralement des mises à jour de maintenance. Des mises à jour mineures sont installées automatiquement sur votre site WordPress.

Vous devrez cependant mettre à jour WordPress manuellement pour toutes les versions majeures. C’est un processus relativement simple car vous recevez un message lancinant dans votre administrateur WordPress. Seuls 22% des sites Web fonctionnent sur la dernière version de WordPress, ce qui est triste compte tenu de la facilité de mise à jour.

Ne faites pas partie des 78% restants, car vous exposez essentiellement votre site à toutes sortes d’attaques en ne mettant pas à jour votre site Web. Habituellement, les pirates sont le premier groupe de personnes à connaître les vulnérabilités des anciennes versions, car ils comptent sur les failles pour lancer des attaques réussies.

Avant de mettre à jour WordPress, nous vous recommandons de lire les notes de version pour voir ce qui a changé et de faire une sauvegarde de votre site Web (juste pour être sûr). De cette façon, vous savez maintenant à quoi vous attendre lorsque vous cliquez sur ce bouton de mise à jour, et vous disposez d’une sécurité intégrée en cas de problème.

2. Mettre à jour les thèmes et les plugins

Lors de la mise à jour du noyau WordPress, n’oubliez pas de mettre à jour vos thèmes et plugins également. Les pirates aiment particulièrement les vieux thèmes et plugins avec des failles de sécurité connues.

Ils exploitent ces vulnérabilités de sécurité et peuvent même masquer une porte dérobée dans un ancien thème ou plugin. Si vous ne mettez pas à jour, ils peuvent pirater votre site Web à tout moment..

Pour éviter de perdre vos styles personnalisés, nous vous recommandons d’utiliser un thème enfant WordPress par opposition au thème parent. De cette façon, vous ne perdrez pas vos personnalisations lorsque vous mettez à jour votre thème.

Vous devez également éliminer tous les thèmes, plug-ins et installations WordPress inactifs. Non seulement vous économiserez de la bande passante et accélérerez votre site Web, mais vous garderez également les pirates à distance.

Une autre note rapide, ne téléchargez jamais de thèmes et de plugins premium «nuls». N’utilisez que des sources fiables telles que WordPress.org, Envato ou toute autre boutique de thèmes réputée.

3. Utilisez des mots de passe uniques et forts

Vous serez surpris d’apprendre que la plupart des sites Web sont piratés lorsque les méchants volent vos informations de connexion. De plus, les attaques par force brute sont assez courantes et impliquent de bombarder votre page de connexion avec des milliers de combinaisons nom d’utilisateur-mot de passe jusqu’à ce que quelque chose donne.

Si vous utilisez des noms d’utilisateur et des mots de passe faibles (tels que les fameux «admin» ou «12345»), vous rendez les pirates informatiques incroyablement faciles à pénétrer dans votre site Web. Prenez l’habitude de créer des mots de passe uniques et forts que vous modifiez régulièrement. Vous pouvez même utiliser un générateur en ligne gratuit, comme celui-ci de Dernier passage.

La gestion de nombreux mots de passe forts peut être un problème. Pour vous aider, je compte souvent sur des gestionnaires de mots de passe tels que 1Password ou LastPass, entre autres. Ne réutilisez pas le même mot de passe sur plusieurs sites Web et conservez toujours vos informations de connexion en toute sécurité. Assurez-vous que vos utilisateurs WordPress utilisent également des mots de passe forts.

Pendant que vous y êtes, n’oubliez pas d’utiliser des mots de passe forts pour vos e-mails, cPanel, bases de données MySQL et comptes FTP..

4. Installez un plugin de sécurité WordPress

Chaque fois que je crée un nouveau site Web WordPress, j’ai généralement plusieurs plugins defacto que j’installe presque automatiquement. Je reçois un plugin anti-spam, Contact Form 7, Symple Shortcodes et iThemes Security, mon plugin de sécurité WordPress incontournable.

Le plugin me permet de fortifier mes défenses WordPress sans casser une sueur. Il est livré avec tant de fonctionnalités qui permettent de garder les méchants hors de mes sites Web un jeu d’enfant. La configuration du plugin est super facile duper; vous devriez être opérationnel en un rien de temps.

Les meilleurs plugins de sécurité WordPress vous offrent différentes fonctionnalités, alors assurez-vous de vérifier avant l’installation pour vous assurer que vous obtenez toutes les fonctionnalités dont vous avez besoin pour sécuriser l’ensemble de votre site Web, aussi unique soit-il. Les fonctionnalités standard incluent l’analyse des logiciels malveillants, le blocage IP, la prévention de la force brute, l’authentification à deux facteurs et bien plus encore – en cochant de nombreuses cases pour cette liste de contrôle de sécurité que vous lisez en ce moment!

5. Choisissez un excellent hébergement WordPress

En règle générale, les débutants optent pour le premier forfait d’hébergement bon marché qu’ils rencontrent. Je ne vous le reprocherais pas, car vous ne savez pas mieux, mais un hébergement mutualisé bon marché (voire gratuit) peut vous exposer à des risques de sécurité. Je le sais pour un fait puisque j’ai été piraté sur deux sociétés d’hébergement différentes offrant un hébergement partagé.

L’hébergement partagé consiste à partager un serveur avec des milliers d’autres sites Web. Cela augmente le risque de contamination intersite. Autrement dit, un pirate peut accéder à votre site même si le site Web de quelqu’un d’autre était le point d’attaque d’origine.

L’hébergement WordPress géré, en revanche, se concentre uniquement sur les sites Web WordPress. Vous ne partagez pas de serveur avec d’autres personnes et vous disposez de plus d’options de sécurité pour rester en sécurité. Ils offrent également un support dédié et plus d’options de récupération en cas de pire.

Si vous devez utiliser l’hébergement partagé, dites que vous commencez avec un blog qui ne fait pas encore d’argent, assurez-vous que les sites sont isolés ou «emprisonnés». Si vous exploitez un site Web d’entreprise ou de commerce électronique, il est avantageux d’utiliser le meilleur hébergement WordPress que vous pouvez adapter à votre budget dès le départ – comme un VPS, un hébergement WordPress dédié ou géré..

6. Utilisez SSL (HTTPS)

De nos jours, de nombreuses sociétés d’hébergement WordPress offrent des certificats SSL gratuits dès le départ et pour une bonne raison. Les certificats SSL rendent votre site Web plus sûr que les sites sans SSL. Google recommande également d’utiliser des certificats SSL pour protéger les données de votre site Web (et assurez-vous que les utilisateurs savent si vous utilisez SSL ou non).

HTTPS est plus sécurisé que son prédécesseur HTTP. Un site Web qui utilise HTTPS crypte toutes les données qui se déplacent entre le navigateur de l’utilisateur et vos serveurs. Si un pirate intercepte la communication, il ne trouvera que des données cryptées aussi utiles qu’un homme à une jambe dans une compétition de coups de pied.

L’installation de certificats SSL sur la plupart des hôtes Web est aussi simple que A, B, C. La plupart proposent des installateurs en un clic qui facilitent l’ensemble du processus. Connectez-vous simplement à votre cPanel et cliquez sur un seul bouton pour installer et gérer vos certificats SSL. Si vous souhaitez une approche plus concrète, pensez à vérifier Encryptons.

7. Créez une sauvegarde complète du site

Lorsque les pirates m’ont détrôné, j’ai dû reconstruire mes sites Web à partir de zéro, un mal de tête que j’aurais évité si je m’étais souvenu de manière fiable de sauvegarder WordPress.

Mais non, les sauvegardes qui étaient avec mon hébergeur ont été corrompues pendant l’attaque, et non, je n’avais pas de solution de sauvegarde secondaire. Un cas classique de mettre tous vos œufs dans le même panier qui m’a appris une dure leçon.

De nos jours, je crée des sauvegardes complètes de sites Web qui incluent les fichiers et les bases de données de mon site Web. J’utilise principalement ManageWP, mais j’utilise aussi le Plugin Duplicator stocker des sauvegardes sur mon ordinateur et dans Google Drive.

Je vous invite à créer régulièrement des sauvegardes complètes. De nombreuses solutions de sauvegarde WordPress vous permettent d’automatiser l’ensemble du processus, vous faisant gagner du temps et vous offrant une tranquillité d’esprit.

8. Utilisez un pare-feu d’application Web (WAF)

Pour ajouter une couche de sécurité supplémentaire à votre site WordPress et mieux dormir la nuit, activez un pare-feu d’application Web (WAF). Un WAF protège votre site Web en bloquant le trafic malveillant bien avant qu’il n’atteigne votre site. C’est une mesure proactive pour arrêter les méchants morts sur leurs traces avant qu’ils ne causent des dommages.

Le pare-feu filtre votre trafic entrant, éliminant les pirates tout en laissant passer les utilisateurs légitimes. De nombreuses sociétés de sécurité WordPress proposent des pare-feu d’applications Web en plus d’autres fonctionnalités. Les options populaires dans l’industrie incluent Sucuri et Cloudflare.

9. Désactivez la modification de fichiers dans WordPress Admin

Le CMS WordPress est livré avec un éditeur de code fantastique qui vous permet de modifier les fichiers de plug-in et de thème dans votre tableau de bord d’administration WordPress. L’éditeur de code est un excellent outil à votre disposition, mais entre de mauvaises mains, les pirates peuvent l’utiliser pour défigurer ou ajouter des logiciels malveillants sur votre site Web..

Vous pouvez toujours modifier vos fichiers de thème et de plugins (si besoin est) via FTP ou le gestionnaire de fichiers dans cPanel, ce qui signifie que vous pouvez tout à fait désactiver l’éditeur de code dans WordPress. Vous ne voulez pas que les pirates qui accèdent à votre zone d’administration WordPress aient accès à l’éditeur de code, car ils peuvent causer beaucoup de dégâts avec quelques lignes de code.

Que faire? Vous pouvez désactiver l’éditeur de code intégré à l’aide du Sucuri Security brancher. Vous pouvez également ajouter le code suivant à votre wp-config.php fichier:

// Interdire la modification de fichiers
define ('DISALLOW_FILE_EDIT', true);

Nous avançons.

10. Sécurisez votre page de connexion

Habituellement, le formulaire de connexion sur votre WordPress comporte deux champs; nom d’utilisateur et mot de passe. Avec les attaquants et les bots de force brute de plus en plus intelligents de jour en jour, comment empêcher les pirates d’accéder à votre zone d’administration WordPress? C’est simple; vous ajoutez CAPTCHA ou des questions de sécurité qui rendent plus difficile l’accès de toute personne à un accès non autorisé.

Et vous n’avez pas besoin de modifier le code pour ajouter CAPTCHA ou questions de sécurité à votre page de connexion. Il existe un plugin WordPress populaire appelé Question de sécurité WP c’est facile à configurer et à utiliser. Si vous souhaitez utiliser CAPTCHA, vous pouvez utiliser Captcha de connexion simple, WordFence, ou l’une des nombreuses autres options disponibles gratuitement sur WordPress.org.

En même temps, vous pouvez changer votre URL de connexion wp à quelque chose d’unique. De cette façon, les bots et les pirates auront du mal à deviner l’URL de votre page de connexion. wp-login est déjà populaire parmi les pirates, il est donc parfaitement logique de changer l’URL pour autre chose. Vous pouvez utiliser un plugin tel que WPS Hide Login.

11. Ajouter une authentification

En outre, envisagez d’implémenter une authentification à deux facteurs et à plusieurs facteurs. Si un pirate a accès à vos informations de connexion, il ne pourra pas se connecter à votre site WordPress. Il existe de nombreuses options, mais Google Authenticator est un choix populaire.

En dehors de cela, limitez les connexions sur votre page de connexion. Si un visiteur essaie de se connecter avec un compte qui n’existe pas ou réessaye de se connecter plusieurs fois, il s’agit très probablement d’un pirate ou d’un bot essayant de forcer son accès. Vous pouvez utiliser un plugin tel que Limiter les tentatives de connexion ou Verrouillage de la connexion pour éloigner ces éléments intrusifs.

12. Déconnectez-vous des utilisateurs inactifs

Lorsque vous avez un site Web WordPress multi-utilisateurs, vous ne pouvez pas contrôler entièrement comment ou où les utilisateurs accèdent à votre site Web. Un auteur peut décider d’utiliser le Wi-Fi public gratuit pour apporter la touche finale à un article. Un concepteur de sites Web pourrait quitter son bureau et revenir d’une pause déjeuner d’une heure.

Dans de tels scénarios, votre utilisateur peut exposer votre site Web à des risques de sécurité sans le savoir. Une personne malveillante peut prendre le contrôle de sa session, modifier ses informations et simplement faire des ravages. Si la partie non autorisée sait ce qu’elle fait, elle peut facilement reprendre le compte de l’utilisateur et endommager.

Que faire? Vous pouvez déconnecter automatiquement les utilisateurs inactifs après une période prédéfinie. Et la meilleure partie? Il existe des plugins dans ce but précis. Une option populaire est la Déconnexion inactive plugin qui inclut des options pour personnaliser le temps d’inactivité avant la déconnexion, un message contextuel personnalisé ou une redirection à la déconnexion et un délai d’expiration en fonction du rôle de l’utilisateur.

13. Rechercher les programmes malveillants et les problèmes (régulièrement)

Souvent oubliée, l’analyse régulière de votre site Web WordPress peut vous aider à identifier très tôt les problèmes de sécurité. Il suffit d’une seconde à un pirate pour s’introduire dans votre site Web et faire toutes sortes de choses désagréables. C’est précisément pourquoi vous devez rester à tout moment au courant.

De nombreux plugins de sécurité WordPress pour rechercher les infections de logiciels malveillants, les failles de sécurité connues, les scripts obsolètes, les attaques par force brute, les sauvegardes inexistantes, etc. Les plugins vous envoient des rapports détaillés sur les problèmes connus, vous pouvez donc les résoudre ou engager un professionnel.

Il existe de nombreux scanners de sites Web, tels que Sucuri SiteCheck, que vous pouvez utiliser pour consulter votre site en un clin d’œil. Tout ce que vous avez à faire est de saisir votre URL et les outils vérifieront automatiquement votre site Web. Après cela, ils vous proposent un rapport sur ce que vous devez corriger. Une fois que vous avez le rapport, corrigez immédiatement toutes les failles de sécurité.

14. Utilisez un VPN

Si vous gérez un site Web qui contient des informations sensibles qui ne doivent jamais être entre les mains de pirates, envisagez d’utiliser un réseau privé virtuel (VPN), plus encore lorsque vous utilisez une connexion Wi-Fi publique gratuite. Un VPN vous protège contre les attaques de l’homme du milieu qui sont courantes dans les réseaux publics, y compris à la maison et au travail.

Un réseau privé virtuel garantit que même si les attaquants accèdent au système et volent vos informations, ils ne peuvent rien faire avec les données qu’ils vous prennent. Si vous disposez d’un réseau Internet que vous partagez avec de nombreuses personnes, utilisez toujours un VPN avant d’accéder à votre zone d’administration WordPress.

Autres options de sécurité WordPress

Besoin de plus? Nous serions ravis de garder votre site Web sécurisé en tout temps, voici donc des éléments de sécurité bonus à ajouter à votre liste de contrôle:

  • Désactivez l’exécution des fichiers PHP dans / wp-content / wp-uploads /
  • Changer le préfixe de votre base de données WordPress
  • Protégez par mot de passe vos pages d’administration et de connexion côté serveur
  • Désactiver l’indexation des répertoires
  • Désactivez l’API WP REST et XML-RPC si vous n’en avez pas besoin
  • Ne modifiez / modifiez pas le noyau WordPress – écrivez ou utilisez un plugin qui offre à la place les fonctionnalités dont vous avez besoin
  • Assurez-vous que votre site Web exécute la dernière version de PHP
  • Utilisez un programme antivirus sur votre ordinateur
  • Activer Google Search Console
  • Réduisez les vulnérabilités XSS et SQL Injection (vous pourriez avoir besoin d’une personne plus technophile pour vous aider avec ces deux)

Vraiment, le nombre de mesures que vous pouvez prendre pour protéger votre site est infini. Mais si vous pouvez cocher les 14 éléments que nous avons répertoriés, c’est une étape énorme pour sécuriser votre site.


Sécuriser votre site Web WordPress est difficile mais pas impossible. Avec les bons outils et compétences, vous pouvez rapidement renforcer votre sécurité WordPress et éloigner les mauvais acteurs.

En résumé, gardez toujours votre site Web à jour. En plus de cela, ne téléchargez jamais de thèmes ou de plugins à partir de sites non fiables. Et pour être du bon côté en cas de pire, ayez toujours une solution de sauvegarde fiable en place.

Nous espérons que vous avez trouvé tous les conseils dont vous avez besoin pour sécuriser votre site Web WordPress, donc les affaires en ligne. Si vous avez une question ou avez besoin d’aide pour savoir comment sécuriser votre site Web WordPress, veuillez nous le faire savoir dans les commentaires. Restez en sécurité!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me