![Sécurité WordPress : 4 extensions pour protéger ton site [Tuto]](https://www.pourpasunrond.fr/wp-content/uploads/2017/05/article-securite-wordpress.png)
A Assurer la sécurité de ton site WordPress est une priorité.
Tu ne peux pas prendre le risque qu’un pirate prenne le contrôle de ton site pour diriger tes visiteurs vers des sites frauduleux.
Heureusement sur WordPress, des extensions s’occupent de tout pour toi. Cela ne prend que quelques minutes pour les paramétrer à l’aide de ce tutoriel détaillé.
Les plugins que je te présente sont gratuits. Ne perd plus une minute et protège ton site WordPress.
Cet article prend environ 8 minutes à lire. Si tu n’as pas le temps, tu peux l’épingler sur Pinterest pour le lire plus tard.
Tu vas retrouver 3 extensions simples à mettre en œuvre et accessibles à tous. Cloudflare s’adresse aux utilisateurs avancés et n’est pas obligatoire quand tu débutes car les risques d’une attaque contre ton site sont limités.
La première extension va te permettre de disposer d’une alerte en cas de piratage.
Antivirus pour réagir immédiatement
Nous allons tout faire pour que cela n’arrive pas. Cependant, il est utile de se préparer à l’éventualité que ton site soit infecté.
Cela peut arriver par une faille d’un plugin que tu ne peux pas prévoir. Tu restaureras dans ce cas une version saine de ton site.
Tu installes Antivirus depuis le répertoire de WordPress.
Réglages > Antivirus
Tu débutes par le scan de ton thème.
Toutes les sous-parties s’affichent en orange puis passent en vert au fur et à mesure de la vérification.
Tu coches Check the theme templates for malware.
Tu peux également recevoir les alertes de Google en cochant Malware detection by Google Safe Browsing et en complétant ton e-mail.
Tu recevras dans ce cas un e-mail toutes les semaines environ avec le lien vers la page de diagnostic de ton site.
Tu peux effectuer ce test directement sur l’outil de vérification de Google. Tu complètes l’url de ta page d’accueil
et consultes le résultat.
Tu vas découvrir un outil incroyable pour optimiser la sécurité de WordPress.
Secupress protège ton site du piratage
Il existe d’autres excellentes extensions qui réalisent plus ou moins les mêmes opérations. J’ai choisis SécuPress car le travail effectué est remarquable.
L’extension, en français, couvre tous les principaux thèmes liés à la sécurité de WordPress et sa version gratuite est, je trouve, particulièrement généreuse et évite de multiplier les extensions.
Les explications sont claires et l’interface efficace.
Du fait du large éventail couvert, le paramétrage est un peu long mais sans aucune difficulté.
Tu actives Secupress.
Secupress > Scanners
Tu vas commencer par auditer la sécurité de ton site.
Secupress donne une note de sécurité à ton site. Ne t’inquiète pas. C’est juste pour t’informer des actions qu’il va effectuer pour toi.
Tu vas passer sur la partie Modules : Secupress > Modules
Nous allons passer en revue les modules gratuits disponibles et leurs réglages. Je passe volontairement les paramètres de la version payante (en orange).
Tu navigues à l’aide du menu à gauche.
Utilisateurs & Login
Tu indiques la nouvelle adresse de ta page de connexion à l’administration. Une url du style “hudiushdkj63” sera impossible à trouver au hasard.
Tu notes soigneusement cette adresse. Dés ta prochaine connexion, tu accéderas à ton administration par monsite.com/hudiushdkj63.
Tu limites les tentatives de connexion pour te prémunir contre des robots qui essaient toutes les combinaisons.
J’ai été plus conservateur que les recommandations concernant les limites :
- Combien de tentatives avant de bannir ? : 3 ( le minimum )
- Combien de temps de bannissement ? : 60 minutes ( le maximum )
Tu caches les erreurs de connexion.
Tu peux ajouter une protection supplémentaire avec un captcha efficace contre les robots.
Si tu utilises Dashlane ou un autre gestionnaire de mots de passe, ne coches pas cette option.
Je me suis retrouvé banni de mon propre site !!!
Tu demandes l’ancien mot de passe quand un utilisateur veut le changer.
Je n’ai pas encore d’utilisateurs que je souhaite bannir. Mais bon, c’est possible. Tu les gères dans la section Journaux et IP.
Tu bloques l’énumération des utilisateurs et des auteurs.
Tu enregistres et passes à la section suivante.
Plugins & Thèmes
Tu vas bloquer les modifications sur ton thème et l’installation d’extensions. Tu devras désactiver ces options quand tu souhaiteras changer de thème ou installer de nouvelles fonctionnalités.
Tu interdis le chargement des thèmes directement sous format .zip.
Tu bloques l’installation de nouveaux plugins.
Tu empêches l’installation de nouvelles extensions.
Cœur de WordPress
Tu forces les mises à jour mineures. Elles concernent uniquement le renforcement de la sécurité et présentent peu de risques.
Je suis plus mesuré pour les mises à jour des versions majeures.
Si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Beaucoup suggèrent de laisser 2-3 semaines aux créateurs d’extensions pour finaliser les ajustements.
L’éditeur est idéal pour modifier simplement les fichiers CSS et PHP de ton thème enfant. Tu ne le désactives que si ton site est finalisé.
Tu filtres les uploads.
Données sensibles
Tu limites les multiples tentatives d’authentification du XML-RPC.
Tu ajoutes un trou noir.
Tu masques les informations qui pourraient aider les hackers et coches les 6 prochaines options :
- affichage des fichiers dans les dossiers
- divulgation des modules PHP
- affichage de la version de PHP
- affichage de la version de WordPress
- accès aux fichiers mauvaises url
- fichiers readme
Parefeu
Tu bloques les mauvaises en-têtes :
- les mauvais user-agents
- les mauvaises méthodes de requêtes
- les faux bots SEO
et les mauvaises URLs
- mauvais contenus des URLs
- scanners d’injections SQL
- 404 sur les fichiers .php
Mauvaises URLs
Tu peux désactiver les commentaires de ton site ou lutter contre les spams dans les commentaires. Je préconise de les envoyer directement à la corbeille.
Antispam
Tu supprimes les codes courts, utilises une black list étendue et désactives les Pingbacks et Trackbacks.
Journaux et IP
Tu peux bloquer des IPs et conserver l’activité de ton site. Je n’en ai pas vu l’intérêt pour l’instant.
Tu testes à nouveau ton site et obtiens la note la plus haute (B) sans acheter la version Pro. C’est largement suffisant pour l’instant.
La version pro offre des fonctionnalités plus poussées mais permet surtout de cumuler la recherche de virus et la sauvegarde dans une même extension.
Passons à un autre point capital : la sauvegarde de ton site.
UpdraftPlus sauvegarde ton site
Tu installes l’extension UpdraftPlus WordPress Backup Plugin.
Réglages > Sauvegardes UpdraftPlus
Tu cliques sur l’onglet Réglages.
Tu indiques la fréquence des sauvegardes automatiques.
Je préconise une sauvegarde par rythme de publication avec 1 mois d’archives ou une dizaine de sauvegardes en quotidien.
Tu peux envoyer une copie de la sauvegarde vers des espaces de partage comme Google Drive ou Dropbox.
Cela devient indispensable quand ton site prend du poids car il est plus rapide de réaliser un export à partir de ces service que de WordPress.
Tu vérifies qu’Extensions, thèmes, et téléversements soient sélectionnés
ainsi que Tout autre répertoire trouvé dans WP-content.
Tu ne touches pas aux exclusions.
Tu peux cocher Courriel pour recevoir un avis de sauvegarde. C’est utile en cas de problème.
Tu enregistres.
Sauvegarde ponctuellement
Quand tu réalises une modification importante, c’est une bonne pratique de réaliser une sauvegarde manuelle.
Onglet Sauvegarder/restaurer
Tu cliques sur Sauvegarder
et recommences.
Tu obtiens ce message.
Restaure une version précédente
Onglet Sauvegarder/restaurer
Tu retrouves tes sauvegardes en bas et cliques sur restaurer.
Tu sélectionnes tous les éléments
puis confirmes avec restaurer.
Tu ne fermes pas la page avant la fin de la procédure.
Si tu débutes, tu passes directement aux bonnes pratiques. La configuration de Cloudflare est plus délicate.
Cloudflare prévient et bloque les attaques DDoS
Tu retrouves toute la démarche pour installer Cloudflare dans cet article sur l’optimisation de la vitesse de ton site. Cet outil possède de nombreuses autres fonctionnalités intéressantes.
Je vais te présenter celles concernant la sécurité.
Tu retrouveras le volume des menaces bloquées dans Analytics > Security
et le détail dans Firewall.
Tu ajoutes dans les réglages (settings) du Firewall la protection contre les robots non identifiés.
Dans l’onglet Scrape Shield, tu masques les adresses e-mails aux robots (Email Address Obfuscation) et empêche d’utiliser ton serveur pour afficher des images sur d’autres sites (Hotlink Protection).
Les hot-links peuvent entrainer une surcharge du serveur.
Dans l’onglet Overview, tu peux déclarer être attaqué. Les visiteurs devront résoudre un captcha pour accéder au site.
Tu retrouves cette fonctionnalité dans l’extension WordPress directement sur la page d’accueil.
Pour conclure, tu trouveras de bonnes pratiques pour assurer la sécurité de WordPress.
5 actions supplémentaires pour protéger WordPress
Garde ton WordPress à jour
Tu mets systématiquement à jour ton thème et tes extensions dès la sortie d’une nouvelle version. Tu procèdes de même avec les mises à jour intermédiaires de WordPress qui concernent la sécurité.
Le seul moment où tu peux attendre quelques jours ce sont pour les changements de version de WordPress qui occasionnent certaines fois des problèmes avec les extensions.
Rédige depuis un compte éditeur
Pour protéger au maximum son compte administrateur, il est préférable d’écrire ses publications sur un profil éditeur. Voici la procédure à suivre.
Utilise les connexions chiffrées
Le https n’est pas seulement indispensable pour les e-commercants. Il évite que les pirates accède à ton site.
Supprime les thèmes et plugins désactivés
Cela ne sert à rien de conserver des thèmes ou des extensions que tu n’utilises plus. Un thème inactif peut servir de porte d’entrée sur ton site.
Choisis avec soin ton nom d’utilisateur et ton mot de passe
Ton mot de passe, en particulier, ne doit pas être logique mais être complètement aléatoire pour diminuer les risques d’être découvert.
Conclusion
Tu as réalisé les principales recommandations pour protéger ton site :
- ton compte administrateur WordPress est caché au fin fond de l’antarctique
- les dernières versions brillent de milles feux
- ton site est amoureusement sauvegardé
et bien d’autres.
La sécurité totale n’existe pas mais tu as réalisé du bon travail pour prévenir les ennuis.
Dernier point qui n’est pas directement lié à WordPress : un bon antivirus à jour (Avast en version gratuite par exemple) pour protéger ton ordinateur t’évitera les surprises surtout s’il est complété par Malwarebytes (je réalise au moins une analyse par mois avec la version gratuite).
Les articles qui peuvent t’intéresser
- Installe Dashlane pour la gestion facilitée des mots de passe
- Premiers paramétrages de WordPress
- Structure le contenu de ton site
Retrouve tous les articles pour Créer seul ton site
![Sécurité WordPress : 4 extensions pour protéger ton site [Tuto]](https://www.pourpasunrond.fr/wp-content/uploads/2017/05/snippet-securite-wordpress.jpg)
![Crée ta page de lancement et collecte des e-mails [tuto]](https://www.pourpasunrond.fr/wp-content/uploads/2018/07/lancement-article-480x96.jpg)
![Gutenberg : Guide de mise en page sur WordPress [Débutants]](https://www.pourpasunrond.fr/wp-content/uploads/2018/07/article-mise-page-480x96.jpg)
Béa
24 Oct 2017Bonjour Jean et merci beaucoup pour tous ces tutos, qui m’ont beaucoup aidé à construire pas à pas, mon projet.
J’avoue que j’ai énormément apprécié le pas à pas sur SecuPress, car seule, je me serai bien pris la tête … déjà que !!!
Débutante dans le domaine du web et ce, malgré tes explications, je n’ai pas rempli la partie “déplacer la page de connexion” … pourrais-tu m’apporter davantage d’infos, pour que je puisse finaliser l’installation de SecuPress.
Merci d’avance,
Béa,
Jean
24 Oct 2017Bonsoir Béatrice,
Déplacer la page de connexion est une protection importante de ton site.
Sur Worpress, par défaut, tu accèdes à ton interface d’administration avec monsite.com/wp-admin/. Cela facilite grandement le travail des pirates.
Cette étape consiste à créer une URL d’accès que toi seule connais. Tu vas mettre par exemple dgr.456op23re.adm dans Connexion. Cette page sera beaucoup plus difficile à trouver.
Attention : cela parait évident mais note l’adresse très précisément car tu accèderas désormais à WordPress en tapant l’adresse monsite.com/dgr.456op23re.adm.
J’espère avoir levé ton interrogation.
Bonne soirée,
Jean
Béa
2 Nov 2017Merci pour tes précieux conseils, tout est rentré dans l’ordre !
Michele
10 Mai 2018Merci pour ces explications claires et très détaillées. Paramétrer WordPress avec vos conseils est un vrai plaisir. J’ai mis votre site en favori 👏
Mon site est actuellement en construction et j’espère le mettre en ligne très prochainement grâce à vos tutoriels.
Bravo 👍
Jean
10 Mai 2018Bonjour Michèle,
Je te remercie de ce gentil retour. Je suis impatient de découvrir le résultat. Tu vas voir c’est très gratifiant quand tu vois ton site prendre vie.
A bientôt,
Jean
Daniel
16 Sep 2019Et Wordfence ? Vaut-il le coup ^par rapport à SecuPress ?
NB : le site de mon asso est sur un vieux Joomla et j’envisage de le migrer sur un CMS WP
Jean
16 Sep 2019Bonjour Daniel,
Wordfence est une excellente extension avec des services performants.
J’ai choisi SecuPress qui globalement offre les mêmes services mais qui a l’énorme avantage d’être en français.
Quand tu as besoin d’effectuer toi même un réglage c’est important de comprendre à 100% la problématique.
A bientôt,
Jean
Daniel
16 Sep 2019Merci pour votre réponse.
DAN
30 Sep 2019Je viens de passer mon site à la moulinette SecuPress en suivant les recommandations de cet excellent article, très détaillé; Cependant la version de SecuPress que je viens d’installer diffère en de nombreux points avec celle du tutoriel. Donc sur un tel sujet, où l’on est bien content d’être guidé par un maître, on se retrouve de temps en temps tout seul. A quand une mise à jour de l’article ? Il est précieux et mets en confiance. Encore bravo pour tout ce qu’on apprend sur “PP1R” !
Jean
30 Sep 2019Bonjour Daniel,
J’ai remarqué que l’interface avait changé la semaine dernière quand j’ai eu besoin d’installer mon thème enfant. Je l’ai noté. Je ne sais pas quand je réaliserais cette mise à jour.
A bientôt,
Jean
Francois
29 Oct 2019Bonjour
Oui la sécurité c’est essentiel comme on le voit dans cet article bien documenté.
Mais une chose à ne pas oublier, c’est aussi de sécuriser son poste de travail.
Un ordinateur infecté risque de pourrir le site web, lors de transferts FTP par exemple.
Jean
29 Oct 2019Bonjour François,
Je suis entièrement d’accord avec toi. Cela ne sert à rien de blinder la porte tout en laissant les fenêtres grandes ouvertes.
Je te souhaite une agréable fin de journée.
A bientôt,
Jean