P Pourquoi prendre le risque qu’un pirate prenne le contrôle de ton site pour arnaquer tes visiteurs ou te faire du chantage ?
Heureusement sur WordPress, des extensions de sécurité s’occupent de tout pour toi.
Ces 4 plugins gratuits sécurisent ton site :
- Empêche les intrusions
- Renforce la sécurité avec des protections
- Supprime les virus et les malwares
- Sauvegarde pour effectuer une récupération
- Préviens les attaques
Cela ne prend que quelques minutes pour les paramétrer à l’aide de ce tutoriel détaillé.
Tu retrouveras également 5 bonnes pratiques pour protéger ton site WordPress.
Sommaire
Cet article prend environ 9 minutes à lire. Si tu n’as pas le temps, tu l’épingles sur Pinterest pour le lire plus tard.
Tu retrouves 3 extensions simples à mettre en œuvre et accessibles à tous. Cloudflare s’adresse aux utilisateurs avancés et n’est pas obligatoire quand tu débutes car les risques d’une attaque massive contre ton site sont limités.
Je te propose un test rapide de ton site pour vérifier s’il n’est pas infecté avant de débuter les installations.
Attention : Tu ne peux plus installer SecuPress et WPCerber en même temps. Privilégié l’installation de SecuPress seul à moins de savoir ce que tu fais.
Une inspection minute avec Sucuri
Tu te connectes sur l’outil de test de protection de Sucuri et complètes l’URL de ta page d’accueil.
Le scanner valide l’absence de malwares.
Il agrège 7 vérifications externes pour valider la sécurité du domaine.
La première extension agit en préventif.
WP Cerber prévient l’infection
J’ai sélectionné WP Cerber de préférence à Wordfence car celui-ci décale d’un mois la mise à jour de sa base de données des virus en version gratuite. Tu le trouveras en alternative ci-dessous si tu le souhaites.
Je remercie Pascal Cescato qui gère l’excellent site Tout sur WordPress de me l’avoir montré.
Comme son nom le laisse supposer, ce plugin garde ton site contre les intrusions. Il détecte les comportements suspects (comme la recherche du compte admin) et refuse l’accès aux fichiers sensibles.
Il comporte également un module antispam.
Tu installes WP Cerber depuis le répertoire de WordPress.
Si, et seulement si, tu utilises Cloudflare, tu vas dans l’onglet Réglages généraux.
Tu actives Mon site se trouve derrière un reverse proxy.
WP Cerber enregistre ton adresse IP actuelle en liste blanche. Tu ajoutes tes autres IP : bureau, domicile, collaborateurs… dans Listes d’accès.
En fonction du trafic de ton site, tu pourras remonter les e-mails d’alerte liés au volume d’IP bloquées simultanément dans Notifications pour éviter de recevoir un e-mail toutes les 10 secondes.
Tu détermines les accès à ces données en fonction des rôles dans le menu User Policies.
Si le test de Sucuri n’a rien décelé, tu peux passer cette étape.
Dans intégrité du site, tu lances un scan. Je te recommande un balayage rapide.
Ne panique pas WP Cerber est hyper sensible. Si tu as une alerte, cela ne veut pas dire que tu es infecté. Il identifie la moindre possibilité.
Le module Anti-spam
Je te recommande d’ajouter la protection anti-spam sur le formulaire d’inscription et les autres formulaires.
Par prudence, pour éviter d’écraser un commentaire légitime, je préfère modifier le réglage par défaut en Marquez-le comme spam.
La fonctionnalité reCaptcha est disponible avec la clé de Google.
Tu retrouveras l’activité de l’extension dans le tableau de bord.
Je te présente Wordfence en alternative sérieuse même s’il sera réellement efficace en version payante.
Wordfence
Tu installes Wordfence.
Tu indiques l’e-mail qui recevra les notifications.
Tu sélectionnes la version gratuite avec No Thanks.
Si, et seulement si, tu utilises Cloudflare, tu indiques Use the Cloudflare… dans les options générales.
Le firewall est en mode apprentissage pendant quelques jours et s’active automatiquement.
Dans les options générales, tu actives les comparaisons des thèmes et plugins avec ceux du répertoire officiel.
Tu actives Use low ressources pour baisser les ressources serveur nécessaires.
Dans le menu Scan,
tu lances une analyse.
Elle te révèle les problèmes éventuels.
Tu as deux options supprimer les fichiers ou les réparer.
Je te présente un outil incroyable pour optimiser la protection de WordPress.
SecuPress renforce la sécurité de WordPress
L’extension, en français, couvre tous les principaux thèmes liés à la sécurité de WordPress et sa version gratuite est, je trouve, particulièrement généreuse et évite de multiplier les extensions.
Les explications sont claires et l’interface efficace.
Tu installes SecuPress.
Secupress > Scanners
Tu audites ton site.
SecuPress donne une note à ton site. Ne t’inquiète pas. C’est juste pour t’informer des actions qu’il va effectuer pour toi.
Tu vas passer sur la partie Modules : SecuPress > Modules
Je passe volontairement les paramètres de la version payante (en orange).
Tu navigues à l’aide du menu à gauche.
Utilisateurs & Login
Tu indiques la nouvelle adresse de ta page de connexion à l’administration. Une url du style “hudiushdkj63” sera impossible à trouver au hasard.
Tu notes soigneusement cette adresse. Dès ta prochaine connexion, tu accéderas à ton administration par monsite.com/hudiushdkj63.
Tu limites les tentatives de connexion pour te prémunir contre des robots qui essaient toutes les combinaisons.
J’ai été plus conservateur que les recommandations concernant les limites :
- Combien de tentatives avant de bannir ? : 3 (le minimum)
- Combien de temps de bannissement ? : 60 minutes (le maximum)
Tu caches les erreurs de connexion.
Tu ajoutes, si tu le souhaites, une protection supplémentaire avec un captcha efficace contre les robots.
Si tu utilises Dashlane ou un autre gestionnaire de mots de passe, ne coches pas cette option.
Je me suis retrouvé banni de mon propre site !!!
Tu demandes l’ancien mot de passe quand un utilisateur veut le changer.
Je n’ai pas encore d’utilisateurs que je souhaite bannir. Mais bon, c’est possible. Tu les gères dans la section Journaux et IP.
Tu bloques l’énumération des utilisateurs et des auteurs.
Tu enregistres.
Plugins & Thèmes
Tu bloques les modifications sur ton thème et l’installation d’extensions. Tu devras désactiver ces options quand tu souhaiteras changer de thème ou installer de nouvelles fonctionnalités.
Tu interdis le chargement des thèmes directement sous format .zip.
Tu bloques l’installation de nouveaux plugins
et l’installation de thèmes.
Cœur de WordPress
Tu forces les mises à jour mineures. Elles concernent uniquement le renforcement de la sécurité et présentent peu de risques.
Je suis plus mesuré pour les mises à jour des versions majeures.
Si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Beaucoup suggèrent de laisser 2-3 semaines aux créateurs d’extensions pour finaliser les ajustements.
L’éditeur est idéal pour modifier simplement les fichiers CSS et PHP de ton thème enfant. Tu ne le désactives que si ton site est finalisé.
Tu filtres les uploads.
Données sensibles
Tu limites les multiples tentatives d’authentification du XML-RPC.
Tu ajoutes un trou noir.
Tu masques les informations qui pourraient aider les hackers et coches les 6 prochaines options :
- affichage des fichiers dans les dossiers
- divulgation des modules PHP
- affichage de la version de PHP
- affichage de la version de WordPress
- accès aux fichiers mauvaises url
- fichiers readme
Parefeu
Tu bloques les mauvaises en-têtes :
- les mauvais user-agents
- les mauvaises méthodes de requêtes
- les faux bots SEO
et les mauvaises URLs
- mauvais contenus des URLs
- scanners d’injections SQL
- 404 sur les fichiers .php
Antispam
Tu peux désactiver les commentaires de ton site ou lutter contre les spams dans les commentaires. Je préconise de les conserver.
Tu supprimes les codes courts, tu utilises une black list étendue et tu désactives les Pingbacks et Trackbacks.
Journaux et IP
Tu peux bloquer des IPs et conserver l’activité de ton site. Je n’en ai pas vu l’intérêt pour l’instant.
Tu testes à nouveau ton site et obtiens la note la plus haute (B) sans acheter la version Pro. C’est largement suffisant pour l’instant.
La sauvegarde de ton site te sera utile pour restaurer une version saine en cas de piratage ou si tu réalises une mauvaise manipulation.
UpdraftPlus sauvegarde ton site
Tu installes l’extension UpdraftPlus WordPress Backup Plugin.
Réglages > Sauvegardes UpdraftPlus
Tu cliques sur l’onglet Réglages.
Tu indiques la fréquence des sauvegardes automatiques.
Je préconise une sauvegarde qui suit le rythme de publication avec 1 mois d’archives ou une dizaine de sauvegardes en quotidien.
Tu peux envoyer une copie de la sauvegarde vers des espaces de partage comme Google Drive ou Dropbox. Cela devient indispensable quand ton site prend du poids car il est plus rapide de réaliser un export à partir de ces services que de WordPress.
Tu vérifies qu’Extensions, thèmes, et téléversements soient sélectionnés
ainsi que Tout autre répertoire trouvé dans WP-content.
Tu ne touches pas aux exclusions.
Tu coches Courriel pour recevoir un avis de sauvegarde. C’est utile en cas de problème.
Tu enregistres.
Sauvegarde ponctuellement
Quand tu réalises une modification importante, c’est une bonne pratique de réaliser une sauvegarde manuelle.
Onglet Sauvegarder/restaurer
Tu cliques sur Sauvegarder
et recommences.
Tu obtiens ce message.
Restaure une version précédente
Onglet Sauvegarder/restaurer
Tu retrouves tes sauvegardes en bas et tu cliques sur restaurer.
Tu sélectionnes tous les éléments et tu confirmes avec restaurer.
Tu ne fermes pas la page avant la fin de la procédure.
Cette extension est disponible dans le CPanel de certains hébergeurs (comme o2switch). Si tu as cette chance, ce serait dommage de passer à côté.
WP Tiger
Tu cliques sur WP Tiger
puis sur Gérer le site.
Tu crées une nouvelle sauvegarde qui sera un clone de ton site.
Si tu débutes, tu passes directement aux bonnes pratiques. La configuration de Cloudflare est plus délicate.
Cloudflare prévient et bloque les attaques DDoS
Tu retrouves toute la démarche pour installer Cloudflare dans cet article sur l’optimisation de la vitesse de ton site. Cet outil possède de nombreuses autres fonctionnalités.
Je te présente celles concernant la sécurité.
Tu retrouveras le volume des menaces bloquées dans Analytics > Security
et le détail dans Firewall.
Tu ajoutes dans les réglages (settings) du Firewall la protection contre les robots non identifiés.
Dans l’onglet Scrape Shield, tu masques les adresses e-mails aux robots (Email Address Obfuscation). Tu empêches d’utiliser ton serveur pour afficher des images sur d’autres sites (Hotlink Protection).
Les hot-links entrainent une charge supplémentaire du serveur.
Dans l’onglet Overview, tu peux déclarer être attaqué. Les visiteurs devront résoudre un captcha pour accéder au site.
Tu retrouves cette fonctionnalité dans l’extension WordPress directement sur la page d’accueil.
Pour conclure, voici les bonnes pratiques pour assurer la sécurité de WordPress.
5 actions supplémentaires pour protéger WordPress
Garde ton WordPress à jour
Tu mets systématiquement à jour ton thème, tes extensions et les versions mineures de WordPress dès la sortie d’une nouvelle version.
Tu attends quelques jours pour les versions majeures de WordPress qui occasionnent certaines fois des problèmes avec les extensions.
Rédige depuis un compte éditeur
Pour protéger au maximum ton compte administrateur, il est préférable d’écrire ses publications sur un profil éditeur. Voici la procédure à suivre.
Utilise les connexions chiffrées
Le https n’est pas seulement indispensable pour les e-commerçants. Il évite que les pirates interceptent les informations.
Supprime les thèmes et plugins désactivés
Il est inutile de conserver des thèmes ou des extensions non utilisées. Ils servent de porte d’entrée sur ton site.
Choisis avec soin ton nom d’utilisateur et ton mot de passe
Ton identifiant et ton mot de passe doivent être complètement aléatoires pour diminuer les risques d’être découvert.
Conclusion
Tu as réalisé les principales recommandations pour protéger ton site :
- ton compte administrateur WordPress est masqué
- ton site est protégé des intrusions
- la sécurité est renforcée
- ton site est sauvegardé pour te prémunir contre toutes les éventualités…
La sécurité totale n’existe pas mais tu as réalisé du bon travail pour prévenir les ennuis.
Découvre 4 extensions indispensables pour sécuriser WordPress. #wordpress #securite Cliquez pour tweeterDernier point qui n’est pas directement lié à WordPress : un bon antivirus à jour (Avast en version gratuite par exemple) pour protéger ton ordinateur t’évitera les surprises surtout s’il est complété par Malwarebytes (je réalise au moins une analyse par mois avec la version gratuite).
Les articles qui peuvent t’intéresser
- Respecte le RGPD avec ta barre des cookies
- Installe Dashlane pour la gestion facilitée des mots de passe
- Premiers paramétrages de WordPress
- Structure le contenu de ton site
Retrouve tous les articles pour Créer seul ton site
Je partage mes apprentissages et mes expériences depuis 2017 avec + de 100 tutoriels et ressources.
Tu devrais trouver ton bonheur pour créer ta marque, construire ton site puis le faire grandir et développer ton entreprise sur pour pas un rond.
Jean
Bonjour Jean,
Je reviens vers toi après avoir installé et configuré Secupress.
Je viens d’installer Cerber Security et me pose quelques questions. Peut-être pourras tu m’éclairer:
1/Dans réglages généraux de Cerber j’ai tout décoché sauf le mode citadelle. Par contre comme on ne peut pas désactiver la limite de tentative de connexion sur Cerber, cela risque de faire doublon avec celle de secupress, non ? faut-il renseigner les mêmes valeurs ou désactiver celui de secupress du coup ?
2/ Dans l’onglet renforcer de Cerber Security : afin de ne pas faire doublons avec Secupress, je pense qu’il faut décocher les deux options “empêcher l’énumération des utilisateurs” de Cerber ? As-tu activer ou non les deux options suivantes : désactiver l’affichage des erreurs php et désactiver php des téléchargement ? Ne sachant pas si secupress s’en charge déjà j’ai désactivé les 2 pour ma part.
3/ Concernant le scanner de Cerber security, tu dit qu’il est sensible et je veux bien te croire. J’ai même l’impression qu’il annonce de “faux positifs”. Pour exemple il me signale 500 “erreurs de concordance de la somme”, la plus part pour les plugins Secupress et Contact form 7. Après avoir vérifier les quelques fichiers qu’il me signale, aucune erreurs de relevés. Comme tu as les 2 plugins précédemment cités, observes tu les mêmes problèmes lors d’un scan. Je ne sais pas d’où cela peut provenir et compte contacter leur support, mais souhaitais savoir si tu rencontrer le même problème.
Cordialement
Bonjour Anthony,
Je te confirme qu’il faut limiter au maximum la redondance entre les services.
J’ai également des faux positifs sur le scan. Il est ultra sensible. Il faut faire appel à un expert en sécurité informatique pour valider un par un les points signalés. J’estime que cela n’est pas nécessaire pour les petits sites non sensibles.
Magnifique journée,
Jean
Hello
Merci pour cet article très complet.
J’ai du désactiver Wordference car il avait planté mon site suite à mise à jour faite automatiquement
Mon site affichait une page blanche, il a fallu désactiver le plugin pour que le site soit de nouveau.
opérationnel.
Je vais me pencher sur secupress
Bonne fin de journée
Bonsoir Rosario,
Je te remercie de ton commentaire.
SecuPress augmente le niveau de difficulté pour pirater un site WordPress mais c’est plutôt passif. Si tu souhaites remplacer WordFence, tu peux également regarder WP Cerber qui bloque activement les comportements suspects. Les deux fonctionnent bien ensemble.
Belle soirée,
Jean
Bonjour Jean,
Il me semblait que multiplier les plugins de sécurité était contre productif et sujet à conflit ?
Je suis encore en phase de production et m’occuperai de l’aspect sécurité une fois cette phase terminée. Il est vrai que le nombre d’extension de sécurité et la réputation de certains (Wordfence, I-themes security, secupress ou autre) n’est plus à faire et que la facilité d’utilisation et également à prendre en compte.
Personnellement j’ai un petit site et n’ai pas l’intention (pour l’instant en tout cas) de payer pour une solution de sécurité. je pense m’orienter vers secupress pour son ergonomie et son accompagnement dans la configuration.
Tu confirmes qu’il n’y’a pas de risque de conflit avec Cerber ou cela risque de faire double emploi ?
Bonne journée
Anthony
Bonsoir Anthony,
Je te confirme que deux extensions de sécurité qui réalisent les mêmes actions garantissent de sérieux problèmes.
Les fonctionnalités communes entre les deux extensions sont minimes (le déplacement l’admin WP qu’il faut attribuer à l’un ou à l’autre comme je l’indique dans l’article).
En gros Secupress construit une muraille autour de ton site et WP Cerber la garde.
J’utilise la configuration indiquée sur mon site aujourd’hui.
Belle soirée,
Jean
Bonjour Jean,
Je sais que ce commentaire date un peu mais il est dans mon actualité.
En effet, lors de la mise à jour de mes extensions j’ai un conflit entre SecuPress et:WP Cerber Security, Antispam & Malware Scan. :/
Que me recommandes-tu ?
Bon week-end !
Myriam
Bonjour Myriam,
Les deux extensions sont en conflit sur certaines fonctionnalités comme le déplacement de l’adresse de connexion au backoffice de WordPress.
Tu peux continuer à utiliser les 2 si tu ne réalises pas la même opération en parallèle. Je pense que je choisirais SecuPress si je devais en conserver une seule.
Magnifique we,
Jean
Bonjour Jean.
J’ai suivi tes conseils avec SecuPress et me voilà bloqué! Impossible de retrouver la page d’administration de mon blog WP. J’ai pourtant fait une capture d’écran, par sécurité pour avoir une trace du changement, vers un code que je connais bien par ailleurs… Et je suis justement en charrette pour fin8r une landing page pour un nouveau programme en ligne. Galère. On me demande une adresse email. Celle que je donne ne marche pas! Je sais pas quoi faire…
Bonjour Christophe,
Secupress déplace ta page d’admin à l’adresse que tu lui a indiqué. Ton admin se trouve désormais à l’adresse monsite.com/nouvellepage/ au lieu de monsite.com/wp-admin/
Ton identifiant et mot de passe restent inchangés.
Si tu ne retrouves pas l’adresse que tu as rempli, tu as deux options :
Tu te connectes sur ton site à l’aide du cpanel ou d’un FTP, tu trouves le répertoire des extensions (public>…>/wp-content/plugins/) et ajoutes .old sur le dossier Secupress. Cela va désactiver Secupress et tu retrouveras ton admin à l’ancien emplacement. Tu peux reactiver Secupress quand tu es connecté et noter l’emplacement de ton admin.
Voici la notice de Secupress à ce propos si le problème persiste : https://secupress.me/fr/blog/plus-acces-wordpress-comment-faire/
L’autre option qui n’est pas souhaitable est de contacter ton hébergeur pour qu’il restaure la dernière sauvegarde.
Courage,
Jean
Hello Jean,
Franchement c’est un super guide et j’ai passé mon site à la moulinette des outils,
Je le recommanderai autour de moi.
Un grand merci
Hello Emmanuel,
Je te remercie de ton commentaire.
Je suis heureux que tu aies sécurisé ton site.
A bientôt,
Jean
Bonjour
Oui la sécurité c’est essentiel comme on le voit dans cet article bien documenté.
Mais une chose à ne pas oublier, c’est aussi de sécuriser son poste de travail.
Un ordinateur infecté risque de pourrir le site web, lors de transferts FTP par exemple.
Bonjour François,
Je suis entièrement d’accord avec toi. Cela ne sert à rien de blinder la porte tout en laissant les fenêtres grandes ouvertes.
Je te souhaite une agréable fin de journée.
A bientôt,
Jean
Je viens de passer mon site à la moulinette SecuPress en suivant les recommandations de cet excellent article, très détaillé; Cependant la version de SecuPress que je viens d’installer diffère en de nombreux points avec celle du tutoriel. Donc sur un tel sujet, où l’on est bien content d’être guidé par un maître, on se retrouve de temps en temps tout seul. A quand une mise à jour de l’article ? Il est précieux et mets en confiance. Encore bravo pour tout ce qu’on apprend sur “PP1R” !
Bonjour Daniel,
J’ai remarqué que l’interface avait changé la semaine dernière quand j’ai eu besoin d’installer mon thème enfant. Je l’ai noté. Je ne sais pas quand je réaliserais cette mise à jour.
A bientôt,
Jean
Merci pour votre réponse.
Et Wordfence ? Vaut-il le coup ^par rapport à SecuPress ?
NB : le site de mon asso est sur un vieux Joomla et j’envisage de le migrer sur un CMS WP
Bonjour Daniel,
Wordfence est une excellente extension avec des services performants.
J’ai choisi SecuPress qui globalement offre les mêmes services mais qui a l’énorme avantage d’être en français.
Quand tu as besoin d’effectuer toi même un réglage c’est important de comprendre à 100% la problématique.
A bientôt,
Jean
Merci pour ces explications claires et très détaillées. Paramétrer WordPress avec vos conseils est un vrai plaisir. J’ai mis votre site en favori 👏
Mon site est actuellement en construction et j’espère le mettre en ligne très prochainement grâce à vos tutoriels.
Bravo 👍
Bonjour Michèle,
Je te remercie de ce gentil retour. Je suis impatient de découvrir le résultat. Tu vas voir c’est très gratifiant quand tu vois ton site prendre vie.
A bientôt,
Jean
Bonjour Jean et merci beaucoup pour tous ces tutos, qui m’ont beaucoup aidé à construire pas à pas, mon projet.
J’avoue que j’ai énormément apprécié le pas à pas sur SecuPress, car seule, je me serai bien pris la tête … déjà que !!!
Débutante dans le domaine du web et ce, malgré tes explications, je n’ai pas rempli la partie “déplacer la page de connexion” … pourrais-tu m’apporter davantage d’infos, pour que je puisse finaliser l’installation de SecuPress.
Merci d’avance,
Béa,
Bonsoir Béatrice,
Déplacer la page de connexion est une protection importante de ton site.
Sur Worpress, par défaut, tu accèdes à ton interface d’administration avec monsite.com/wp-admin/. Cela facilite grandement le travail des pirates.
Cette étape consiste à créer une URL d’accès que toi seule connais. Tu vas mettre par exemple dgr.456op23re.adm dans Connexion. Cette page sera beaucoup plus difficile à trouver.
Attention : cela parait évident mais note l’adresse très précisément car tu accèderas désormais à WordPress en tapant l’adresse monsite.com/dgr.456op23re.adm.
J’espère avoir levé ton interrogation.
Bonne soirée,
Jean
Merci pour tes précieux conseils, tout est rentré dans l’ordre !