Sécurise ton site WordPress avec 2 extensions et 5 conseils

/

article sécurité wordpress

Cet article prend environ 10 minutes à lire en intégralité.

J Je te montre comment protéger ton site (et tes visiteurs) des pirates avec une extension qui renforce la sécurité de WordPress.

Une sauvegarde automatique évite de perdre tout ton travail.

Je te donne également 5 conseils simples pour protéger ton site WordPress et trois pour les utilisateurs plus confirmés.

Je te propose un test rapide pour valider que ton site n’est pas infecté.

Sucuri pour scanner les virus et les programmes malveillants (malwares)

Sucuri pour scanner les virus et les programmes malveillants (malwares)

Sucuri est un acteur reconnu dans la cybersécurité. Ils sont spécialisés dans les solutions de sécurité et ils proposent un audit gratuit très pratique.

Tu te connectes sur l’outil de test de protection de Sucuri et tu complètes l’URL de ta page d’accueil.

sucuri scan antivirus wordpress

Le scanner valide l’absence de programmes malveillants (malwares).

résultats scan sécurité sucuri
verification malwares

Il agrège 7 vérifications externes pour valider la sécurité du domaine.

sururi vérification listes noires

Si tu es infecté, les experts sécurité de Sucuri nettoient ton site. Le but est de t’épargner cette situation.

C’est une bonne idée de réaliser un scan régulier. Tu peux également mettre en place des alertes gratuites.

Google Search Console pour être alerté en cas de problème

Google Search Console pour être alerté en cas de problème

Je recommande de s’inscrire sur Google Search Console pour disposer d’informations indispensables au sujet du référencement naturel. Cet outil contrôle également la bonne santé de ton site et te prévient en cas de problème.

Son installation ne prend que quelques secondes sans toucher une ligne de code avec l’extension Site Kit.

Tu retrouves les informations au sujet de la sécurité de ton site dans le menu de droite : Sécurité et actions manuelles > Problèmes de sécurité.

sécurité google search console
absence problèmes sécurité google search console

Tu as validé que ton site n’est pas infecté et installé une alerte. Nous allons nous assurer de protéger WordPress en acquérant les bons réflexes et en effectuant quelques réglages.

Je te commence par un outil incroyable pour optimiser la protection de WordPress.

SecuPress pour protéger WordPress

SecuPress pour sécuriser WordPress

L’extension, en français, comble les trous de sécurité de WordPress. Sa version gratuite est généreuse et évite de multiplier les plugins. Les explications sont claires et l’interface efficace.

Avec cette extension, tu appliques de nombreuses recommandations pour compliquer la tâche des pirates :

  • Protéger ton compte Admin en le déplaçant
  • Limiter le nombre de tentatives de connexion
  • Verrouiller ton e-mail d’administration
  • Désactiver les multiples tentatives d’authentification du XML-RPC
  • Ajouter un trou noir contre les robots indésirables
  • Bloquer les faux robots SEO

Tu installes SecuPress depuis le répertoire de WordPress.

extension secupress

Secupress > Scanners

menu secupress

Tu audites ton site.

scanner site

SecuPress donne une note à ton site. Ne t’inquiète pas. C’est juste pour t’informer des actions qu’il va effectuer pour toi.

score secupress avant optimisation

Tu passes sur la partie Modules : SecuPress > Modules.

secupress modules

Je passe volontairement les paramètres de la version payante (en orange).

Tu navigues à l’aide du menu à gauche.

menu secupress

Comptes & Connexion

Tu indiques la nouvelle adresse de ta page de connexion à l’administration. Une url du style « hudiushdkj63 » sera impossible à trouver au hasard.

Tu notes soigneusement cette adresse. Dès ta prochaine connexion, tu accéderas à ton administration par monsite.com/hudiushdkj63.

déplacer la page de connexion à l'administration de WordPress

Tu limites les tentatives de connexion pour te prémunir contre des robots qui essaient toutes les combinaisons.

bloqueur tentatives frauduleuses

J’ai été plus conservateur que les recommandations concernant les limites :

  • Combien de tentatives avant de bannir ? : 3 (le minimum)
  • Combien de temps de bannissement ? : 60 minutes (le maximum)
limitation des tentatives de connexion

Tu caches les erreurs de connexion.

erreurs de connexions

Tu ajoutes, si tu le souhaites, une protection supplémentaire avec un captcha efficace contre les robots.

Si tu utilises Dashlane ou un autre gestionnaire de mots de passe, ne coches pas cette option.

Je me suis retrouvé banni de mon propre site !!!

capcha page de connexion

La liste des identifiants interdits impose de ne pas utiliser les identifiants les plus communs et ciblés par les pirates.

Tu bloques l’énumération des comptes.

interdire énumeration comptes

Tu verrouilles les modifications des rôles.

verrouiller rôles WordPress

Tu enregistres.

Extensions & Thèmes

Tu bloques les modifications sur ton thème et l’installation d’extensions. Tu désactiveras ces options quand tu souhaiteras changer de thème ou installer de nouvelles fonctionnalités.

Tu interdis le chargement des thèmes directement sous format .zip.

interdiction envoi des zip

Tu bloques l’installation de nouvelles extensions

interdiction installation nouvelles extensions

et de thèmes.

nouveaux thèmes

Cœur de WordPress

Tu forces les mises à jour mineures. Elles concernent uniquement le renforcement de la sécurité et présentent peu de risques.

Je suis plus mesuré pour les mises à jour des versions majeures.

Si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Il est préconisé de laisser une ou deux semaines aux créateurs d’extensions pour finaliser les ajustements.

mises à jour automatiques cœur de WordPress

Tu désactives le débogage et le déplacement des adresses.

empêcher affichage erreurs de WordPress

L’éditeur peut être utile pour modifier simplement les fichiers CSS et PHP de ton thème enfant mais tu ne l’utiliseras probablement pas.

Tu filtres les uploads.

éditeur fichier

Tu masques les erreurs de base de données et la page de réparation.

masquer les erreurs de la base de données de WordPress

Tu enregistres tes modifications dans Secupress avant de procéder à cette étape de création de clés sécurisées.

clés de sécurité
création de clés securisees dans secupress

Tu changes le nom par défaut du cookie de WordPress.

change valeur par defaut du cookie WordPress

Données sensibles

Tu limites les multiples tentatives d’authentification du XML-RPC.

XML-RPC

Tu ajoutes un trou noir.

trou noir

Tu masques les informations qui pourraient aider les hackers. Tu coches les 6 prochaines options :

  • affichage des fichiers dans les dossiers
  • divulgation des modules PHP
  • affichage de la version de PHP
  • affichage de la version de WordPress
  • accès aux fichiers mauvaises url
  • fichiers readme
masquer options sensibles wordpress

Parefeu

Tu bloques les mauvais en-têtes :

  • les mauvais user-agents
  • les mauvaises méthodes de requêtes
  • les faux bots SEO
mauvaises requêtes

et les mauvaises URLs

  • mauvais contenus des URLs
  • 404 sur les fichiers .php
bloquer urls malicieuses dans WordPress

Antispam

Tu peux désactiver les commentaires de ton site ou lutter contre les spams dans les commentaires. Je préconise de conserver les commentaires. Le filtre antispam est loin d’être infaillible.

Il ne faut pas oublier de demander une validation systématique des commentaires avant publication dans WordPress.

gestions des spams en commentaires

Tu supprimes les codes courts, tu utilises une black list étendue et tu désactives les Pingbacks et Trackbacks.

autres réglages antispam

Journaux et IP

Tu peux bloquer et autoriser systématiquement des IP.

bloquer ip

Tu peux surveiller l’activité sur ton site. Cela aide à valider si une autre personne intervient sur ton site et voir ses actions. Je n’en ai pas vu l’intérêt pour l’instant.

journaux activités

La sauvegarde de ton site est essentielle pour restaurer une version saine en cas de piratage ou si tu réalises une mauvaise manipulation.

UpdraftPlus pour sauvegarder ton site

UpdraftPlus pour sauvegarder ton site

Tu installes l’extension UpdraftPlus WordPress Backup Plugin.

extension updraftplus

Réglages > Sauvegardes UpdraftPlus

réglages updraft

Tu cliques sur l’onglet Réglages.

Tu indiques la fréquence des sauvegardes automatiques.

fréquence sauvegardes

Ton rythme de sauvegarde s’adapte à ta fréquence de publication. 1 mois d’archives (4 sauvegardes) avec une sauvegarde hebdomadaire semble un bon compromis si tu publies toutes les semaines.

Je te recommande vivement d’envoyer une copie de la sauvegarde vers des espaces de partage comme Google Drive ou Dropbox. Tu devras autrement archiver manuellement chaque sauvegarde sur un disque dur.

sauvegarde externe dans updraftplus

Sauvegarde externe avec Google Drive

Tu sélectionnes Google Drive puis Connecter avec Google. Tu choisis ton compte et tu autorises.

connecter updraftplus google drive

Tu finalises avec Complete setup.

finaliser connexion updraftplus google drive

Tu vérifies qu’Extensions, thèmes, et téléversements soient sélectionnés

inclure dans la sauvegarde

ainsi que Tout autre répertoire trouvé dans WP-content.

wp-content

Tu ne touches pas aux exclusions.

Tu coches Courriel pour recevoir un avis de sauvegarde. C’est utile en cas de problème.

email

Tu enregistres.

Sauvegarde ponctuellement

Quand tu réalises une modification importante, c’est une bonne pratique de réaliser une sauvegarde manuelle.

Onglet Sauvegarder/restaurer

Tu cliques sur Sauvegarder

sauvegarde manuelle

et tu recommences.

confirmation sauvegarde

Tu obtiens ce message.

sauvegarde terminée

Restaure une version précédente

Onglet Sauvegarder/restaurer

Tu retrouves tes sauvegardes en bas et tu cliques sur restaurer.

restaurer

Tu sélectionnes tous les éléments et tu confirmes avec restaurer.

éléments à restaurer
confirme restauration

Tu ne fermes pas la page avant la fin de la procédure.

process de restauration
restauration complète

Certaines de ces recommandations vont te sembler une évidence mais tu verras que d’autres sont moins connues.

5 conseils simples pour sécuriser ton site WordPress (+ 3 avancés)

9 astuces indispensables pour sécuriser ton site WordPress

Choisis avec soin ton nom d’utilisateur et ton mot de passe

Cela ne sert à rien de bâtir une forteresse et de laisser la porte grande ouverte. Ton identifiant et ton mot de passe doivent être solides pour diminuer les risques d’être découverts. Tu connais déjà ces instructions :

  • Plus de 8 caractères
  • Alterner les minuscules, les majuscules, les chiffres et les caractères spéciaux
  • Ne pas utiliser ton prénom, ta date de naissance
  • Ne jamais réutiliser un mot de passe…

C’est de la belle théorie. Tu finis toujours par des mots de passe que tu peux retenir. Les services comme Dashlane sont précieux : tu n’as qu’un seul mot de passe fort à retenir et ils complètent automatiquement tes identifiants et mots de passe ensuite.

Tu t’assures que toutes les personnes qui ont accès à ton site respectent ces règles.

Vérifie les comptes utilisateurs

Tu ne confies jamais ton identifiant ni ton mot de passe à qui que ce soit.

Tu crées un compte pour chaque intervenant avec un niveau de sécurité approprié que tu supprimes dès que l’accès n’est plus nécessaire.

ajout d'un compte utilisateur sur wordpress

Garde ton WordPress à jour

Les mises à jour sont majoritairement proposées pour couvrir des failles de sécurité.

Tu mets systématiquement à jour ton thème, tes extensions et les versions mineures de WordPress dès la sortie d’une nouvelle version.

menu mises à jour wordpress
mise à jour extensions wordpress

Si tu n’es pas très présent sur ton site, c’est une bonne idée d’activer les mises à jour automatiques des extensions.

mises à jour automatiques de wordpress

Il est sage d’attendre quelques jours pour les versions majeures de WordPress qui occasionnent certaines fois des problèmes avec les extensions. Il est conseillé de réaliser une sauvegarde avant de lancer la mise à jour.

Les versions majeures se reconnaissent avec leur numéro simple (par ex. 5.9 ou 6.0) et les versions mineures comportent 3 chiffres (5.9.3 ou 6.0.2).

mise à jour de WordPress

Installe uniquement les thèmes et les extensions du répertoire officiel (avec vigilance)

Les thèmes et plugins recensés directement dans WordPress ont passé un premier filtre pour éviter les gros problèmes.

Avant d’installer une extension, tu valides les retours des utilisateurs, le nombre d’installations et surtout la date de la dernière mise à jour.

Celle-ci inspire confiance

extension saine

alors que je ne miserais pas la sécurité de mon site sur celle-ci.

extension douteuse

C’est une bonne idée de valider tes extensions actives. Tu élimines toutes celles qui n’ont plus d’utilité et tu vérifies la dernière mise à jour des plus confidentielles.

vérification extensions
Site Kit sert juste d’exemple ici.

Supprime les thèmes et plugins désactivés

Il est inutile de conserver des thèmes ou des extensions non utilisées. Ils peuvent servir de porte d’entrée sur ton site.

Sécurise les données avec une connexion en https

Le https n’est pas seulement indispensable pour les e-commerçants. Il évite que les pirates interceptent les informations.

Cette opération se réalise au niveau du serveur. La majorité des hébergeurs proposent gratuitement ce service avec Let’s Encrypt. C’est très simple à la création d’un site mais demande des redirections en cas de migration. Google Search Console considère le passage en HTTPS comme un nouveau site.

Tu génères une certification en deux clics sur o2switch.

lets encrypt hébergeur
Générer un certificat ssl

Utilise une version récente de PHP

PHP est un langage utilisé au cœur de WordPress. Il présente également des failles de sécurité. Il est nécessaire de le mettre à jour régulièrement. Cela se déroule au niveau du serveur. Certains hébergeurs réalisent automatiquement la progression. D’autres, comme OVH, laissent cette tâche en manuel.

Il faut redoubler de prudence : passer à la dernière version disponible engendre souvent des conflits. Mieux vaut se renseigner sur les versions les mieux supportées et réaliser une sauvegarde intégrale de son site.

Ajoute les entêtes de sécurité

Les en-têtes de sécurité précisent aux navigateurs ce qu’ils peuvent faire (ou non) avec ton site web. Ils protègent contre des attaques courantes.

Cela ne concerne que les sites en https.

Pour vérifier si ton site possède ces en-têtes, Probely propose un scanner.

scanner en tete de sécurité proposé par probely

Une sauvegarde intégrale du site est obligatoire. Une erreur de virgule dans le fichier .htaccess est le chemin le plus simple pour faire planter ton site.

Tu accèdes au fichier depuis ton interface serveur ou par FTP. Tu cherches le fichier .htaccess à la racine de public_html.

gestionnaire de fichier
public html

Tu affiches les fichiers cachés dans Paramètres.

afficher fichiers masqués

Tu commences par sauvegarder le fichier avant de l’éditer.

telecharger et modifier le fichier htaccess
autoriser l'édition du fichier htaccess

Tu ajoutes le code à la suite et tu enregistres. J’ai ajouté des annotations pour retrouver à quoi correspondent ces lignes dans quelques mois.

ajout du code d'en-tête sécurisée

Ce code est issu du guide de WP Beginner qui présente des alternatives pour mettre en place les entêtes sécurisés comme CloudFlare et des extensions.

# entete securite
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
# fin entete securite

Tu te précipites sur ton site pour voir que tout fonctionne et tu relances un test. La note n’est pas parfaite mais c’est une sérieuse amélioration.

résultat après

Conclusion

Tu as réalisé les principales recommandations pour protéger ton site :

  • ton compte administrateur WordPress est masqué
  • la sécurité est renforcée
  • ton site est sauvegardé pour te prémunir contre toutes les éventualités…

La sécurité totale n’existe pas mais tu as réalisé du bon travail pour prévenir les ennuis. Tu envisages des solutions payantes pour un site e-commerce ou si ton site grossit.

Dernier point qui n’est pas directement lié à WordPress : un bon antivirus à jour (Avast en version gratuite par exemple) pour protéger ton ordinateur t’évitera les surprises surtout s’il est complété par Malwarebytes (je réalise au moins une analyse par mois avec la version gratuite).

signature de Jean du site pour pas un rond

Les articles qui peuvent t’intéresser

Retrouve tous les articles pour Créer seul ton site

bannière newsletter
portrait jean

Je partage mes apprentissages et mes expériences depuis 2017 avec + de 100 tutoriels et ressources.

Tu devrais trouver ton bonheur pour créer ta marque, construire ton site puis le faire grandir et développer ton entreprise sur pour pas un rond.

Jean


34 réponses à “Sécurise ton site WordPress avec 2 extensions et 5 conseils”

  1. J’ai installé UpdraftPlus sur tous mes sites, je sauvegarde sur dropbox. L’autre jour je me suis retrouvé sur une page blanche sur ma page d’administration WordPress… Panique !
    Je suis allée voir mes sauvegardes sur Dropbox mais je n’ai pas su quoi faire ? Finalement ce n’était pas grave, juste un problème chez mon hébergeur, tout était revenu le lendemain.
    Mais si ça arrive pour de bon, j’aimerais :
    1 – savoir s’il est possible, en partant d’une sauvegarde de restaurer un site où on n’a plus accès à l’administration
    2 – si oui, comment fait-on ?
    Très bonne soirée…

    • Bonjour Véronique,

      Dans la très grande majorité des cas, tu peux récupérer ton administration en désactivant les extensions depuis ton espace hébergeur ou via FTP.

      Si ton site est vérolé ou si tu souhaites revenir à une version précédente, tu restaures directement dans UpDraft.

      En cas de vrai problème, du genre serveur qui brule sans sauvegarde, tu réinstalles WordPress avec UpDraft Plus et tu charges les versions sauvegardées en externe.

      Excellente journée,
      Jean

  2. Bonjour Jean, je reviens sur cet article après une longue période et je constate que tu n’y recommande plus WP Cerber … ma question est pourquoi ? trop de conflits avec Secupress ? Moins compliqué de ne mettre que Secupress pour un résultat quasi identique ? Je croyais que tu disais « Secupress vous monte une muraille et WP Cerber la garde » Il y a eu du changement ?
    Merci d’avance pour ta réponse, et longue vie à ton site !

    • Bonjour Sébastien,

      SecuPress et WP Cerber avaient des fonctionnalités en commun. Il fallait veiller à bien les configurer. La cohabitation était possible.

      Une mise à jour de SecuPress bloquait la présence de WP Cerber avec une possibilité non négligeable de conflit. Il est préférable de choisir l’un ou l’autre désormais. WP Cerber conserve son utilité mais j’ai préféré conserver SecuPress plus utiles aux débutants.

      Excellente journée,
      Jean

  3. Encore une fois, merci pour ton tuto.
    Je vois que tu as écrits cet article en juin. J’ai l’impression, depuis, que SecuPress, version gratuite a beaucoup changé avec moins de possibilités sans passer à la version payante, c’est dommage. Ou alors quelque chose m’a échappé !

      • ça y est j’ai réussi ! je pense que j’avais loupé quelques lignes et du coup ça ne fonctionnait pas, SecuPress c’est génial ! je l’ai installé sur tous mes sites. Je n’aurais jamais réussi sans toi !
        Bien à toi
        Véronique

  4. Bonjour Jean,
    Je reviens vers toi après avoir installé et configuré Secupress.
    Je viens d’installer Cerber Security et me pose quelques questions. Peut-être pourras tu m’éclairer:
    1/Dans réglages généraux de Cerber j’ai tout décoché sauf le mode citadelle. Par contre comme on ne peut pas désactiver la limite de tentative de connexion sur Cerber, cela risque de faire doublon avec celle de secupress, non ? faut-il renseigner les mêmes valeurs ou désactiver celui de secupress du coup ?
    2/ Dans l’onglet renforcer de Cerber Security : afin de ne pas faire doublons avec Secupress, je pense qu’il faut décocher les deux options « empêcher l’énumération des utilisateurs » de Cerber ? As-tu activer ou non les deux options suivantes : désactiver l’affichage des erreurs php et désactiver php des téléchargement ? Ne sachant pas si secupress s’en charge déjà j’ai désactivé les 2 pour ma part.
    3/ Concernant le scanner de Cerber security, tu dit qu’il est sensible et je veux bien te croire. J’ai même l’impression qu’il annonce de « faux positifs ». Pour exemple il me signale 500 « erreurs de concordance de la somme », la plus part pour les plugins Secupress et Contact form 7. Après avoir vérifier les quelques fichiers qu’il me signale, aucune erreurs de relevés. Comme tu as les 2 plugins précédemment cités, observes tu les mêmes problèmes lors d’un scan. Je ne sais pas d’où cela peut provenir et compte contacter leur support, mais souhaitais savoir si tu rencontrer le même problème.

    Cordialement

    • Bonjour Anthony,

      Je te confirme qu’il faut limiter au maximum la redondance entre les services.

      J’ai également des faux positifs sur le scan. Il est ultra sensible. Il faut faire appel à un expert en sécurité informatique pour valider un par un les points signalés. J’estime que cela n’est pas nécessaire pour les petits sites non sensibles.

      Magnifique journée,
      Jean

      • Bonjour Jean,
        je constate que tu ne recommende plus Cerber dans l’article… pourquoi ?
        Trop compliqué à régler avec Secupress ? Mauvaise évolution ? Moins intéressant ?
        Avant tu disais que Secupress monte une muraille et Cerber la garde… Il n’y a plus cette « complémentarité » ?

        • Bonjour Sébastien,

          SecuPress et WP Cerber avaient des fonctionnalités en commun. Il fallait veiller à bien les configurer. La cohabitation était possible.

          Une mise à jour de SecuPress bloquait la présence de WP Cerber avec une possibilité non négligeable de conflit. Il est préférable de choisir l’un ou l’autre désormais. WP Cerber conserve son utilité mais j’ai préféré conserver SecuPress plus utiles aux débutants.

          Excellente journée,
          Jean

  5. Hello

    Merci pour cet article très complet.

    J’ai du désactiver Wordference car il avait planté mon site suite à mise à jour faite automatiquement

    Mon site affichait une page blanche, il a fallu désactiver le plugin pour que le site soit de nouveau.

    opérationnel.

    Je vais me pencher sur secupress

    Bonne fin de journée

    • Bonsoir Rosario,

      Je te remercie de ton commentaire.

      SecuPress augmente le niveau de difficulté pour pirater un site WordPress mais c’est plutôt passif. Si tu souhaites remplacer WordFence, tu peux également regarder WP Cerber qui bloque activement les comportements suspects. Les deux fonctionnent bien ensemble.

      Belle soirée,
      Jean

      • Bonjour Jean,
        Il me semblait que multiplier les plugins de sécurité était contre productif et sujet à conflit ?
        Je suis encore en phase de production et m’occuperai de l’aspect sécurité une fois cette phase terminée. Il est vrai que le nombre d’extension de sécurité et la réputation de certains (Wordfence, I-themes security, secupress ou autre) n’est plus à faire et que la facilité d’utilisation et également à prendre en compte.
        Personnellement j’ai un petit site et n’ai pas l’intention (pour l’instant en tout cas) de payer pour une solution de sécurité. je pense m’orienter vers secupress pour son ergonomie et son accompagnement dans la configuration.
        Tu confirmes qu’il n’y’a pas de risque de conflit avec Cerber ou cela risque de faire double emploi ?
        Bonne journée
        Anthony

        • Bonsoir Anthony,

          Je te confirme que deux extensions de sécurité qui réalisent les mêmes actions garantissent de sérieux problèmes.

          Les fonctionnalités communes entre les deux extensions sont minimes (le déplacement l’admin WP qu’il faut attribuer à l’un ou à l’autre comme je l’indique dans l’article).

          En gros Secupress construit une muraille autour de ton site et WP Cerber la garde.

          J’utilise la configuration indiquée sur mon site aujourd’hui.

          Belle soirée,
          Jean

          • Bonjour Jean,
            Je sais que ce commentaire date un peu mais il est dans mon actualité.
            En effet, lors de la mise à jour de mes extensions j’ai un conflit entre SecuPress et:WP Cerber Security, Antispam & Malware Scan. :/
            Que me recommandes-tu ?
            Bon week-end !
            Myriam

          • Bonjour Myriam,

            Les deux extensions sont en conflit sur certaines fonctionnalités comme le déplacement de l’adresse de connexion au backoffice de WordPress.

            Tu peux continuer à utiliser les 2 si tu ne réalises pas la même opération en parallèle. Je pense que je choisirais SecuPress si je devais en conserver une seule.

            Magnifique we,
            Jean

  6. Bonjour Jean.
    J’ai suivi tes conseils avec SecuPress et me voilà bloqué! Impossible de retrouver la page d’administration de mon blog WP. J’ai pourtant fait une capture d’écran, par sécurité pour avoir une trace du changement, vers un code que je connais bien par ailleurs… Et je suis justement en charrette pour fin8r une landing page pour un nouveau programme en ligne. Galère. On me demande une adresse email. Celle que je donne ne marche pas! Je sais pas quoi faire…

    • Bonjour Christophe,

      Secupress déplace ta page d’admin à l’adresse que tu lui a indiqué. Ton admin se trouve désormais à l’adresse monsite.com/nouvellepage/ au lieu de monsite.com/wp-admin/

      Ton identifiant et mot de passe restent inchangés.

      Si tu ne retrouves pas l’adresse que tu as rempli, tu as deux options :

      Tu te connectes sur ton site à l’aide du cpanel ou d’un FTP, tu trouves le répertoire des extensions (public>…>/wp-content/plugins/) et ajoutes .old sur le dossier Secupress. Cela va désactiver Secupress et tu retrouveras ton admin à l’ancien emplacement. Tu peux reactiver Secupress quand tu es connecté et noter l’emplacement de ton admin.

      Voici la notice de Secupress à ce propos si le problème persiste : https://secupress.me/fr/blog/plus-acces-wordpress-comment-faire/

      L’autre option qui n’est pas souhaitable est de contacter ton hébergeur pour qu’il restaure la dernière sauvegarde.

      Courage,
      Jean

  7. Bonjour

    Oui la sécurité c’est essentiel comme on le voit dans cet article bien documenté.
    Mais une chose à ne pas oublier, c’est aussi de sécuriser son poste de travail.
    Un ordinateur infecté risque de pourrir le site web, lors de transferts FTP par exemple.

    • Bonjour François,

      Je suis entièrement d’accord avec toi. Cela ne sert à rien de blinder la porte tout en laissant les fenêtres grandes ouvertes.

      Je te souhaite une agréable fin de journée.

      A bientôt,
      Jean

  8. Je viens de passer mon site à la moulinette SecuPress en suivant les recommandations de cet excellent article, très détaillé; Cependant la version de SecuPress que je viens d’installer diffère en de nombreux points avec celle du tutoriel. Donc sur un tel sujet, où l’on est bien content d’être guidé par un maître, on se retrouve de temps en temps tout seul. A quand une mise à jour de l’article ? Il est précieux et mets en confiance. Encore bravo pour tout ce qu’on apprend sur « PP1R » !

    • Bonjour Daniel,

      J’ai remarqué que l’interface avait changé la semaine dernière quand j’ai eu besoin d’installer mon thème enfant. Je l’ai noté. Je ne sais pas quand je réaliserais cette mise à jour.

      A bientôt,
      Jean

    • Bonjour Daniel,

      Wordfence est une excellente extension avec des services performants.

      J’ai choisi SecuPress qui globalement offre les mêmes services mais qui a l’énorme avantage d’être en français.

      Quand tu as besoin d’effectuer toi même un réglage c’est important de comprendre à 100% la problématique.

      A bientôt,
      Jean

  9. Merci pour ces explications claires et très détaillées. Paramétrer WordPress avec vos conseils est un vrai plaisir. J’ai mis votre site en favori 👏
    Mon site est actuellement en construction et j’espère le mettre en ligne très prochainement grâce à vos tutoriels.
    Bravo 👍

    • Bonjour Michèle,

      Je te remercie de ce gentil retour. Je suis impatient de découvrir le résultat. Tu vas voir c’est très gratifiant quand tu vois ton site prendre vie.

      A bientôt,
      Jean

  10. Bonjour Jean et merci beaucoup pour tous ces tutos, qui m’ont beaucoup aidé à construire pas à pas, mon projet.
    J’avoue que j’ai énormément apprécié le pas à pas sur SecuPress, car seule, je me serai bien pris la tête … déjà que !!!
    Débutante dans le domaine du web et ce, malgré tes explications, je n’ai pas rempli la partie « déplacer la page de connexion » … pourrais-tu m’apporter davantage d’infos, pour que je puisse finaliser l’installation de SecuPress.
    Merci d’avance,
    Béa,

    • Bonsoir Béatrice,

      Déplacer la page de connexion est une protection importante de ton site.

      Sur Worpress, par défaut, tu accèdes à ton interface d’administration avec monsite.com/wp-admin/. Cela facilite grandement le travail des pirates.

      Cette étape consiste à créer une URL d’accès que toi seule connais. Tu vas mettre par exemple dgr.456op23re.adm dans Connexion. Cette page sera beaucoup plus difficile à trouver.

      Attention : cela parait évident mais note l’adresse très précisément car tu accèderas désormais à WordPress en tapant l’adresse monsite.com/dgr.456op23re.adm.

      J’espère avoir levé ton interrogation.

      Bonne soirée,
      Jean

Répondre à Jean Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *