Cet article prend environ 10 minutes à lire en intégralité.
J Je te montre comment protéger ton site (et tes visiteurs) des pirates avec une extension qui renforce la sécurité de WordPress.
Une sauvegarde automatique évite de perdre tout ton travail.
Je te donne également 5 conseils simples pour protéger ton site WordPress et trois pour les utilisateurs plus confirmés.
Sommaire
Je te propose un test rapide pour valider que ton site n’est pas infecté.
Sucuri pour scanner les virus et les programmes malveillants (malwares)
Sucuri est un acteur reconnu dans la cybersécurité. Ils sont spécialisés dans les solutions de sécurité et ils proposent un audit gratuit très pratique.
Tu te connectes sur l’outil de test de protection de Sucuri et tu complètes l’URL de ta page d’accueil.
Le scanner valide l’absence de programmes malveillants (malwares).
Il agrège 7 vérifications externes pour valider la sécurité du domaine.
Si tu es infecté, les experts sécurité de Sucuri nettoient ton site. Le but est de t’épargner cette situation.
C’est une bonne idée de réaliser un scan régulier. Tu peux également mettre en place des alertes gratuites.
Google Search Console pour être alerté en cas de problème
Je recommande de s’inscrire sur Google Search Console pour disposer d’informations indispensables au sujet du référencement naturel. Cet outil contrôle également la bonne santé de ton site et te prévient en cas de problème.
Son installation ne prend que quelques secondes sans toucher une ligne de code avec l’extension Site Kit.
Tu retrouves les informations au sujet de la sécurité de ton site dans le menu de droite : Sécurité et actions manuelles > Problèmes de sécurité.
Tu as validé que ton site n’est pas infecté et installé une alerte. Nous allons nous assurer de protéger WordPress en acquérant les bons réflexes et en effectuant quelques réglages.
Je te commence par un outil incroyable pour optimiser la protection de WordPress.
SecuPress pour protéger WordPress
L’extension, en français, comble les trous de sécurité de WordPress. Sa version gratuite est généreuse et évite de multiplier les plugins. Les explications sont claires et l’interface efficace.
Avec cette extension, tu appliques de nombreuses recommandations pour compliquer la tâche des pirates :
- Protéger ton compte Admin en le déplaçant
- Limiter le nombre de tentatives de connexion
- Verrouiller ton e-mail d’administration
- Désactiver les multiples tentatives d’authentification du XML-RPC
- Ajouter un trou noir contre les robots indésirables
- Bloquer les faux robots SEO
Tu installes SecuPress depuis le répertoire de WordPress.
Secupress > Scanners
Tu audites ton site.
SecuPress donne une note à ton site. Ne t’inquiète pas. C’est juste pour t’informer des actions qu’il va effectuer pour toi.
Tu passes sur la partie Modules : SecuPress > Modules.
Je passe volontairement les paramètres de la version payante (en orange).
Tu navigues à l’aide du menu à gauche.
Comptes & Connexion
Tu indiques la nouvelle adresse de ta page de connexion à l’administration. Une url du style « hudiushdkj63 » sera impossible à trouver au hasard.
Tu notes soigneusement cette adresse. Dès ta prochaine connexion, tu accéderas à ton administration par monsite.com/hudiushdkj63.
Tu limites les tentatives de connexion pour te prémunir contre des robots qui essaient toutes les combinaisons.
J’ai été plus conservateur que les recommandations concernant les limites :
- Combien de tentatives avant de bannir ? : 3 (le minimum)
- Combien de temps de bannissement ? : 60 minutes (le maximum)
Tu caches les erreurs de connexion.
Tu ajoutes, si tu le souhaites, une protection supplémentaire avec un captcha efficace contre les robots.
Si tu utilises Dashlane ou un autre gestionnaire de mots de passe, ne coches pas cette option.
Je me suis retrouvé banni de mon propre site !!!
La liste des identifiants interdits impose de ne pas utiliser les identifiants les plus communs et ciblés par les pirates.
Tu bloques l’énumération des comptes.
Tu verrouilles les modifications des rôles.
Tu enregistres.
Extensions & Thèmes
Tu bloques les modifications sur ton thème et l’installation d’extensions. Tu désactiveras ces options quand tu souhaiteras changer de thème ou installer de nouvelles fonctionnalités.
Tu interdis le chargement des thèmes directement sous format .zip.
Tu bloques l’installation de nouvelles extensions
et de thèmes.
Cœur de WordPress
Tu forces les mises à jour mineures. Elles concernent uniquement le renforcement de la sécurité et présentent peu de risques.
Je suis plus mesuré pour les mises à jour des versions majeures.
Si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Il est préconisé de laisser une ou deux semaines aux créateurs d’extensions pour finaliser les ajustements.
Tu désactives le débogage et le déplacement des adresses.
L’éditeur peut être utile pour modifier simplement les fichiers CSS et PHP de ton thème enfant mais tu ne l’utiliseras probablement pas.
Tu filtres les uploads.
Tu masques les erreurs de base de données et la page de réparation.
Tu enregistres tes modifications dans Secupress avant de procéder à cette étape de création de clés sécurisées.
Tu changes le nom par défaut du cookie de WordPress.
Données sensibles
Tu limites les multiples tentatives d’authentification du XML-RPC.
Tu ajoutes un trou noir.
Tu masques les informations qui pourraient aider les hackers. Tu coches les 6 prochaines options :
- affichage des fichiers dans les dossiers
- divulgation des modules PHP
- affichage de la version de PHP
- affichage de la version de WordPress
- accès aux fichiers mauvaises url
- fichiers readme
Parefeu
Tu bloques les mauvais en-têtes :
- les mauvais user-agents
- les mauvaises méthodes de requêtes
- les faux bots SEO
et les mauvaises URLs
- mauvais contenus des URLs
- 404 sur les fichiers .php
Antispam
Tu peux désactiver les commentaires de ton site ou lutter contre les spams dans les commentaires. Je préconise de conserver les commentaires. Le filtre antispam est loin d’être infaillible.
Il ne faut pas oublier de demander une validation systématique des commentaires avant publication dans WordPress.
Tu supprimes les codes courts, tu utilises une black list étendue et tu désactives les Pingbacks et Trackbacks.
Journaux et IP
Tu peux bloquer et autoriser systématiquement des IP.
Tu peux surveiller l’activité sur ton site. Cela aide à valider si une autre personne intervient sur ton site et voir ses actions. Je n’en ai pas vu l’intérêt pour l’instant.
La sauvegarde de ton site est essentielle pour restaurer une version saine en cas de piratage ou si tu réalises une mauvaise manipulation.
UpdraftPlus pour sauvegarder ton site
Tu installes l’extension UpdraftPlus WordPress Backup Plugin.
Réglages > Sauvegardes UpdraftPlus
Tu cliques sur l’onglet Réglages.
Tu indiques la fréquence des sauvegardes automatiques.
Ton rythme de sauvegarde s’adapte à ta fréquence de publication. 1 mois d’archives (4 sauvegardes) avec une sauvegarde hebdomadaire semble un bon compromis si tu publies toutes les semaines.
Je te recommande vivement d’envoyer une copie de la sauvegarde vers des espaces de partage comme Google Drive ou Dropbox. Tu devras autrement archiver manuellement chaque sauvegarde sur un disque dur.
Sauvegarde externe avec Google Drive
Tu sélectionnes Google Drive puis Connecter avec Google. Tu choisis ton compte et tu autorises.
Tu finalises avec Complete setup.
Tu vérifies qu’Extensions, thèmes, et téléversements soient sélectionnés
ainsi que Tout autre répertoire trouvé dans WP-content.
Tu ne touches pas aux exclusions.
Tu coches Courriel pour recevoir un avis de sauvegarde. C’est utile en cas de problème.
Tu enregistres.
Sauvegarde ponctuellement
Quand tu réalises une modification importante, c’est une bonne pratique de réaliser une sauvegarde manuelle.
Onglet Sauvegarder/restaurer
Tu cliques sur Sauvegarder
et tu recommences.
Tu obtiens ce message.
Restaure une version précédente
Onglet Sauvegarder/restaurer
Tu retrouves tes sauvegardes en bas et tu cliques sur restaurer.
Tu sélectionnes tous les éléments et tu confirmes avec restaurer.
Tu ne fermes pas la page avant la fin de la procédure.
Certaines de ces recommandations vont te sembler une évidence mais tu verras que d’autres sont moins connues.
5 conseils simples pour sécuriser ton site WordPress (+ 3 avancés)
Choisis avec soin ton nom d’utilisateur et ton mot de passe
Cela ne sert à rien de bâtir une forteresse et de laisser la porte grande ouverte. Ton identifiant et ton mot de passe doivent être solides pour diminuer les risques d’être découverts. Tu connais déjà ces instructions :
- Plus de 8 caractères
- Alterner les minuscules, les majuscules, les chiffres et les caractères spéciaux
- Ne pas utiliser ton prénom, ta date de naissance
- Ne jamais réutiliser un mot de passe…
C’est de la belle théorie. Tu finis toujours par des mots de passe que tu peux retenir. Les services comme Dashlane sont précieux : tu n’as qu’un seul mot de passe fort à retenir et ils complètent automatiquement tes identifiants et mots de passe ensuite.
Tu t’assures que toutes les personnes qui ont accès à ton site respectent ces règles.
Vérifie les comptes utilisateurs
Tu ne confies jamais ton identifiant ni ton mot de passe à qui que ce soit.
Tu crées un compte pour chaque intervenant avec un niveau de sécurité approprié que tu supprimes dès que l’accès n’est plus nécessaire.
Garde ton WordPress à jour
Les mises à jour sont majoritairement proposées pour couvrir des failles de sécurité.
Tu mets systématiquement à jour ton thème, tes extensions et les versions mineures de WordPress dès la sortie d’une nouvelle version.
Si tu n’es pas très présent sur ton site, c’est une bonne idée d’activer les mises à jour automatiques des extensions.
Il est sage d’attendre quelques jours pour les versions majeures de WordPress qui occasionnent certaines fois des problèmes avec les extensions. Il est conseillé de réaliser une sauvegarde avant de lancer la mise à jour.
Les versions majeures se reconnaissent avec leur numéro simple (par ex. 5.9 ou 6.0) et les versions mineures comportent 3 chiffres (5.9.3 ou 6.0.2).
Installe uniquement les thèmes et les extensions du répertoire officiel (avec vigilance)
Les thèmes et plugins recensés directement dans WordPress ont passé un premier filtre pour éviter les gros problèmes.
Avant d’installer une extension, tu valides les retours des utilisateurs, le nombre d’installations et surtout la date de la dernière mise à jour.
Celle-ci inspire confiance
alors que je ne miserais pas la sécurité de mon site sur celle-ci.
C’est une bonne idée de valider tes extensions actives. Tu élimines toutes celles qui n’ont plus d’utilité et tu vérifies la dernière mise à jour des plus confidentielles.
Supprime les thèmes et plugins désactivés
Il est inutile de conserver des thèmes ou des extensions non utilisées. Ils peuvent servir de porte d’entrée sur ton site.
Sécurise les données avec une connexion en https
Le https n’est pas seulement indispensable pour les e-commerçants. Il évite que les pirates interceptent les informations.
Cette opération se réalise au niveau du serveur. La majorité des hébergeurs proposent gratuitement ce service avec Let’s Encrypt. C’est très simple à la création d’un site mais demande des redirections en cas de migration. Google Search Console considère le passage en HTTPS comme un nouveau site.
Tu génères une certification en deux clics sur o2switch.
Utilise une version récente de PHP
PHP est un langage utilisé au cœur de WordPress. Il présente également des failles de sécurité. Il est nécessaire de le mettre à jour régulièrement. Cela se déroule au niveau du serveur. Certains hébergeurs réalisent automatiquement la progression. D’autres, comme OVH, laissent cette tâche en manuel.
Il faut redoubler de prudence : passer à la dernière version disponible engendre souvent des conflits. Mieux vaut se renseigner sur les versions les mieux supportées et réaliser une sauvegarde intégrale de son site.
Ajoute les entêtes de sécurité
Les en-têtes de sécurité précisent aux navigateurs ce qu’ils peuvent faire (ou non) avec ton site web. Ils protègent contre des attaques courantes.
Cela ne concerne que les sites en https.
Pour vérifier si ton site possède ces en-têtes, Probely propose un scanner.
Une sauvegarde intégrale du site est obligatoire. Une erreur de virgule dans le fichier .htaccess est le chemin le plus simple pour faire planter ton site.
Tu accèdes au fichier depuis ton interface serveur ou par FTP. Tu cherches le fichier .htaccess à la racine de public_html.
Tu affiches les fichiers cachés dans Paramètres.
Tu commences par sauvegarder le fichier avant de l’éditer.
Tu ajoutes le code à la suite et tu enregistres. J’ai ajouté des annotations pour retrouver à quoi correspondent ces lignes dans quelques mois.
Ce code est issu du guide de WP Beginner qui présente des alternatives pour mettre en place les entêtes sécurisés comme CloudFlare et des extensions.
# entete securite
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
# fin entete securite
Tu te précipites sur ton site pour voir que tout fonctionne et tu relances un test. La note n’est pas parfaite mais c’est une sérieuse amélioration.
Conclusion
Tu as réalisé les principales recommandations pour protéger ton site :
- ton compte administrateur WordPress est masqué
- la sécurité est renforcée
- ton site est sauvegardé pour te prémunir contre toutes les éventualités…
La sécurité totale n’existe pas mais tu as réalisé du bon travail pour prévenir les ennuis. Tu envisages des solutions payantes pour un site e-commerce ou si ton site grossit.
Dernier point qui n’est pas directement lié à WordPress : un bon antivirus à jour (Avast en version gratuite par exemple) pour protéger ton ordinateur t’évitera les surprises surtout s’il est complété par Malwarebytes (je réalise au moins une analyse par mois avec la version gratuite).
Les articles qui peuvent t’intéresser
Retrouve tous les articles pour Créer seul ton site
Je partage mes apprentissages et mes expériences depuis 2017 avec + de 100 tutoriels et ressources.
Tu devrais trouver ton bonheur pour créer ta marque, construire ton site puis le faire grandir et développer ton entreprise sur pour pas un rond.
Jean