Assurer la sécurité de ton site

Nous allons aborder un point crucial de ton site : sa sécurité.

Assurer la sécurité de son site est accessible à tous à l’aide de seulement 4 extensions performantes.
Pour le paramétrage, il suffit de suivre les instructions détaillées comme une recette de cuisine.

Ce que tu vas apprendre :

picto articles débutants

Débutant

Les mesures de sécurité à prendre en dehors de WordPress

La première chose à faire est d’installer un antivirus à jour pour protéger ton ordinateur.

Si tu n’en possèdes pas, tu peux par exemple utiliser Avast en version gratuite qui  recherche les virus et les logiciels à mettre à jour.

En complément, je te conseille une recherche des malwares une fois par mois avec Malwarebytes qui détecte gratuitement les infections passées au travers des antivirus classiques.

Les mesures simples pour se protéger

Utiliser d’un compte éditeur

Pour protéger au maximum son compte administrateur, il est préférable d’écrire ses publications sur un profil éditeur. Voici la procédure à suivre.

Les mises à jour

Il faut mettre à jour ses extensions et son thème le plus régulièrement possible. La grande majorité des mises à jour concernent des questions de sécurité.

Antivirus

logo extension antivirus

  • Extensions > Ajouter une extension
  • Rechercher Antivirus dans la barre de recherche
  • Bouton Installer
  • Bouton Activer
  • Extensions > Extensions installées
  • Cliquer sur réglages

Antivirus menu reglages

  • Cocher les 2 cases
  • Entrer son adresse e-mail pour recevoir les alertes
  • Bouton Enregistrer les modifications
  • Bouton Scan the theme templates now

reglages antivirus

Secupress

logo secupress

Cette extension fait une énorme partie du boulot pour toi dans sa version gratuite.

J’envisagerai la version payante à 59 $/an dans le futur car la partie sauvegarde intégrée permet, en plus des fonctionnalités avancées, de supprimer l’extension dédiée à la sauvegarde ce qui accélèrera un peu le site.

Je trouve le travail effectué tout simplement remarquable. L’extension, en français, couvre tous les principaux thèmes liés à la sécurité et sa version gratuite est, je trouve, particulièrement généreuse et nous évite de multiplier les extensions.

Du fait du large éventail couvert, il va falloir être attentif car c’est un peu long mais sans aucune difficulté.

  • Extensions > Ajouter une extension
  • Rechercher Secupress
  • Bouton Installer
  • Bouton Activer

Tu trouves désormais un onglet Secupress dans ton menu de gauche.

  • Cliquer sur Scanner

secupress menu scanner

  • Cliquer sur scanner mon site

diagnostique de secupress

Secupress donne une note de sécurité à ton site. Ne t’inquiète pas. C’est juste pour te montrer la liste des tâches qu’il va effectuer pour toi. Comme tu le vois, j’ai eu D au test car j’avais déjà effectué une partie du boulot avant de tomber sur cette pépite.

Nous allons passer en revue les modules gratuits disponibles et leurs réglages.

  • Sélectionner modules dans le menu de gauche

Utilisateurs & Login

  • Cocher Limiter le nombre de tentatives de connexions
  • Cocher Bannir les tentatives de connexions avec des noms d’utilisateurs inconnus
  • Combien de tentatives avant de bannir ? : le minimum : 3
  • Combien de temps de bannissement ? : le maximum : 60 minutes
  • Bouton Tout sauver

secupress modules utilisateurs partie 1

  • Cocher Oui, utiliser un Captcha
    Attention : si tu utilises Dashlane, ne surtout pas cocher cette option car non compatible. Je me suis retrouvé banni de mon propre site : (
  • Bouton Tout sauver

secupress-modules utilisateurs partie 2

  • Cocher : Oui, demander l’ancien mot de passe quand un utilisateur veut changer le sien
  • Je n’ai pas encore d’utilisateurs que je souhaite bannir. Mais bon, c’est possible. En mode : Attention : toi. Je t’ai à l’œil. Oui, c’est bien à toi que je m’adresse. Ne fais pas l’innocent. Je t’ai bien vu faire le mariolou dans le coin avec Suzanne-Berthe.

secupress modules utilisateurs partie 3

  • Cocher oui, déplacer la page de connexion et d’administration
  • Indiquer une nouvelle adresse de connexion, par exemple xdf.giu47rt2k6
  • Copier l’adresse complète qui apparaît en dessous. C’est désormais ton URL d’accès à WordPress
    C’est le moment de la noter soigneusement pour être certain de ne pas l’égarer.
  • Refaire l’opération pour la page d’enregistrement qui ne sera pas utilisée
  • Bouton Tout sauver

secupress déplacer la page de connexion

Plugins & Thèmes

  • Cocher Oui, désactiver l’envoi des thèmes et plugins
  • Cocher Oui, désactiver l’installation de nouveaux plugins
    Note : A cocher quand l’installation de tout le site est finalisée
  • Bouton Tout sauver

secupress modules extensions

  • Cocher Oui, désactiver l’installation de nouveaux thèmes
    Attention : créer le thème enfant avant
  • Bouton Tout sauver

secupress modules themes

Cœur de WordPress

  • Cocher Oui, essayer de forcer WordPress à autoriser les mises à jour de versions mineures.
  • Ne pas cocher Oui, essayer de forcer WordPress à autoriser les mises à jour de versions majeures.
    Je ne suis pas 100% fan car si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Beaucoup suggèrent de laisser 2-3 semaines aux créateurs d’extensions pour mettre à jour. Dès que toutes les extensions sont compatibles et si aucune plainte n’est enregistrée alors il est temps de réaliser la mise à jour.
  • Bouton Tout sauver

secupress modules wordpress

 

  • Cocher Oui, désactiver l’éditeur de fichiers
    Attention : à faire après installation du site car l’éditeur est vraiment pratique pour modifier simplement les fichiers CSS qui régissent l’aspect du site
  • Cocher Oui, filtrer le HTML de l’éditeur des articles
  • Cocher Oui, filtrer les uploads
  • Bouton Tout sauver

secupress modules wordpress configuration

Données sensibles

  • Cocher Désactiver toutes les fonctionnalités du XML-RPC
  • Cocher Oui, désactiver les fonctionnalités de l’API REST
  • Bouton Tout sauver

secupress modules donnees sensibles api

  • Cocher Oui, ajouter un trou noir dans mon fichier robots.txt.
  • Cocher Oui, désactiver l’affichage des fichiers dans les dossiers
  • Cocher Oui, interdire l’accès à la divulgation des modules PHP
  • Cocher Oui, supprimer l’affichage de la version de PHP
  • Cocher Oui, supprimer l’affichage de la version de WordPress
  • Cocher Oui, empêcher l’accès à ces fichiers
  • Cocher Oui, empêcher l’accès à ces fichiers
  • Bouton Tout sauver

secupress modules donnees sensibles protection

Parefeu

  • Cocher Oui, protéger mon site des mauvais user-agents
  • Cocher Oui, protéger mon site des mauvaises méthodes de requêtes
  • Bouton Tout sauver

secupress modules parefeu entetes

  • Cocher Oui, protéger mon site des mauvais contenus des URLs
  • Cocher Oui, protéger mon site des URLs trop longues
  • Cocher Oui, protéger mon site des scanners d’injections SQL
  • Bouton Tout sauver

secupress modules parefeu url

Tu peux tester à nouveau ton site et obtenir la note la plus haute (B) sans acheter la version Pro (Ils sont sympas les gars mais il y a des limites). C’est très largement suffisant pour l’instant. Quand tu auras un peu de finances, il sera temps d’acheter la version Pro. Je ferais un complément si je l’acquière.

Tu as franchi un grand pas en assurant la sécurité de ton site. C’est largement suffisant pour l’instant. Passons à la sauvegarde de ton site.

UpdraftPlus

logo UpdraftPlus

  • Installer l’extension UpdraftPlus WordPress Backup Plugin
  • extensions > réglages > sauvegardes updraft

updraft réglages

  •  Planification : La fréquence de sauvegarde est à adapter en fonction des mises à jour. Le plus simple est de partir sur une fréquence élevée et d’adapter ensuite
    Par exemple :

    • Tu publies du contenu une fois par semaine. Une sauvegarde hebdomadaire + 7 sauvegardes planifiées me semble un bon rythme.Tu peux retourner en arrière sur 1 mois et 2 semaines. Tu assures tes arrières avec une sauvegarde locale tous les mois
    • Tu publies du contenu quotidiennement.  Tu peux programmer une sauvegarde tous les jours, 15 sauvegardes planifiées et une sauvegarde locale toutes les semaines
  • Tu utilises exactement les mêmes réglages pour la sauvegarde de la base de donnée
  • Cocher Extensions, thèmes, fichiers envoyés + tout autre répertoire trouvé dans WP-content
  • Cocher courriel pour être informé des sauvegardes (utile pour les alertes de sauvegarde non effectuée)
  • Bouton Enregistrer

Cliquer sur l’image pour l’agrandir

updraft configurer

Le message suivant s’affiche

updraft message

Pour la sauvegarde locale :

  • Bouton Sauvegarder maintenant

updraft bouton sauvegarder maintenant

  • Cocher Inclure la base de données + Inclure tous les fichiers dans la sauvegarde
  • Bouton Sauvegarder maintenant

updraft sauvegarder maintenant popup

  • Onglet Sauvegardes existantesupdraft onglet sauvegardes existantes
  • Cliquer successivement sur les 5 boutons (Base de données, Extensions, Thèmes, Fichiers envoyés et Autres)

updraft sauvegardes existantes
Des blocs apparaissent en haut

updraft sauvegarde en cours

  • Cliquer successivement sur Télécharger sur votre ordinateur dans chaque bloc (X5)

updraft telecharger sur ordinateur

Ne pas oublier de copier ces fichiers sur un disque externe en plus ceux archivés sur ton ordinateur. Tu pourras automatiser cette tache dans un second temps.

Tu dois également veiller à ta sécurité juridique et respecter la loi sur les cookies.

Cookie Notice

logo cookie notice

  • Installer l’extension
  • Extensions > Extensions installées
  • Cliquer sur le lien Paramètres

cookie notice parametres

  • Indiquer dans Message
    Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l’utilisation des cookies.
  • Compléter Texte du bouton : J’accepte
  • Cible du lien : _blank
  • Expiration des cookies : 1 année
  • Emplacement des scripts : Pied de page
  • Désactivation : Cocher Cochez si vous voulez que toutes les données de l’extension soient supprimées à sa désactivation.
  • Position : Bas. C’est une question de goût. Je trouve qu’il passe souvent inaperçu sur les articles mais il cache la barre de navigation sur l’accueil.
  • Animation : Aucun
  • Style du bouton : WordPress
  • Couleur de la barre : tu peux utiliser ta couleur principale si elle est foncée ou un gris fonçé
  • Bouton Enregistrer les modifications

configurer cookie notice

Je suis plus serein depuis que la sécurité de ton site est assurée. N’oublies pas de te connecter régulièrement pour mettre à jour le thème et les extensions.

Je te propose d’enchainer avec la structuration de ton site. Cet article est plus théorique mais cela va te permettre d’optimiser ton site pour tes lecteurs et son référencement dans Google.

Les articles qui peuvent t’intéresser

bannière de la newsletter pour pas un rond

securiser son site image pinterest

3 réponses sur “Assurer la sécurité de ton site”

  1. Bonjour Jean et merci beaucoup pour tous ces tutos, qui m’ont beaucoup aidé à construire pas à pas, mon projet.
    J’avoue que j’ai énormément apprécié le pas à pas sur SecuPress, car seule, je me serai bien pris la tête … déjà que !!!
    Débutante dans le domaine du web et ce, malgré tes explications, je n’ai pas rempli la partie “déplacer la page de connexion” … pourrais-tu m’apporter davantage d’infos, pour que je puisse finaliser l’installation de SecuPress.
    Merci d’avance,
    Béa,

    1. Bonsoir Béatrice,

      Déplacer la page de connexion est une protection importante de ton site.

      Sur Worpress, par défaut, tu accèdes à ton interface d’administration avec monsite.com/wp-admin/. Cela facilite grandement le travail des pirates.

      Cette étape consiste à créer une URL d’accès que toi seule connais. Tu vas mettre par exemple dgr.456op23re.adm dans Connexion. Cette page sera beaucoup plus difficile à trouver.

      Attention : cela parait évident mais note l’adresse très précisément car tu accèderas désormais à WordPress en tapant l’adresse monsite.com/dgr.456op23re.adm.

      J’espère avoir levé ton interrogation.

      Bonne soirée,
      Jean

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *