La sécurité de WordPress est un sujet d’une importance capitale pour tout propriétaire de site web.
Si vous prenez votre site au sérieux, vous devez faire attention aux meilleures pratiques de sécurité de WordPress. Sinon, vous risquez de faire partie des plus de 10 000 sites que Google inscrit chaque jour sur sa liste noire pour cause de logiciels malveillants et d’hameçonnage.
Dans ce guide, nous partagerons nos meilleures astuces de sécurité WordPress pour vous aider à protéger votre site contre les pirates et les logiciels malveillants.
Bien que le cœur du logiciel WordPress soit très sûr et fasse l’objet d’audits réguliers par des centaines de développeurs/développeuses, il reste encore beaucoup à faire pour assurer la sécurité de votre site.
Chez WPBeginner, nous pensons que la sécurité n’est pas seulement une question d’élimination des risques. Il s’agit également de réduire les risques. En tant que propriétaire de site, il y a beaucoup de choses que vous pouvez faire pour améliorer la sécurité de WordPress, même si vous n’êtes pas un expert en technologie.
Dans cet article, nous avons dressé une liste de mesures concrètes que vous pouvez prendre pour protéger votre site contre les failles de sécurité.
Pour vous faciliter la tâche, nous avons créé une table des matières qui vous aidera à naviguer facilement dans notre guide ultime sur la sécurité de WordPress.
Table des matières
Les bases de la sécurité de WordPress
- Pourquoi la sécurité de WordPress est-elle importante ?
- Maintenir WordPress à jour
- Utiliser des mots de passe forts et des droits d’utilisateurs/utilisatrices
- Comprendre le rôle de l’hébergeur WordPress
La sécurité de WordPress en étapes par étapes (Aucun codage)
- Installer une solution de sauvegarde pour WordPress
- Installer une extension de sécurité WordPress réputée
- Activer un pare-feu d’application Web (WAF)
- Passez votre site WordPress en SSL/HTTPS
La sécurité de WordPress pour les utilisateurs/utilisatrices
- Modifier l’identifiant de l’administrateur par défaut
- Désactiver la modification des fichiers
- Désactiver l’exécution de fichiers PHP dans certains répertoires de WordPress
- Limiter les tentatives de connexion
- Ajouter l’authentification à deux facteurs (2FA)
- Modifier le préfixe de la base de données de WordPress
- Protéger par mot de passe la page d’administration et de connexion de WordPress
- Désactiver l’indexation et la navigation dans le répertoire
- Désactiver XML-RPC dans WordPress
- Journaliser automatiquement les utilisateurs/utilisatrices déconnectés sur WordPress
- Ajouter des questions de sécurité à la connexion WordPress
- Recherche de logiciels malveillants et de vulnérabilités sur WordPress
- Corriger un site WordPress corrompu
Vous êtes prêts ? Premiers pas.
Pourquoi la sécurité des sites web est-elle importante ?
Un site WordPress piraté peut causer de graves dommages au chiffre d’affaires et à la réputation de votre entreprise. Les pirates peuvent voler les informations et les mots de passe des utilisateurs, installer des logiciels malveillants et même distribuer des logiciels malveillants à vos utilisateurs/utilisatrices.
Pire, vous pouvez vous trouver à payer des ransomwares à des pirates informatiques juste pour retrouver l’accès à votre site.
Chaque jour, Google avertit 12 à 14 millions d’utilisateurs/utilisatrices qu’un site qu’ils essaient de visiter peut contenir des logiciels malveillants ou voler des informations.
En outre, Google inscrit chaque jour sur sa liste noire plus de 10 000 sites pour cause de logiciels malveillants ou d’hameçonnage.
Tout comme les propriétaires d’entreprises ayant un emplacement physique ont la responsabilité de protéger leur propriété, les propriétaires d’entreprises en ligne doivent accorder une attention particulière à la sécurité de leur WordPress.
Maintenir WordPress à jour
WordPress est un logiciel libre et il est régulièrement entretenu et mis à jour. Par défaut, WordPress installe automatiquement les mises à jour mineures.
Pour les versions majeures, vous devez lancer manuellement la mise à jour.
WordPress est également livré avec des milliers d’extensions et de thèmes que vous pouvez installer sur votre site. Ces extensions et thèmes sont gérés par des développeurs/développeuses tiers, qui publient régulièrement des mises à jour.
Ces mises à jour WordPress sont cruciales pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que votre cœur WordPress , vos extensions et votre thème sont à jour.
Utiliser des mots de passe forts et des droits d’utilisateurs/utilisatrices
Les tentatives de piratage de WordPress les plus courantes utilisent des mots de passe volés. Vous pouvez rendre cela difficile en utilisant des mots de passe plus forts et uniques pour votre site.
Nous ne parlons pas seulement de la zone d’administration de WordPress. N’oubliez pas de créer des mots de passe forts pour vos comptes FTP, vos bases de données, vos comptes d’hébergement WordPress et les adresses électroniques personnalisées qui utilisent le nom de domaine de votre site.
De nombreux débutants n’aiment pas utiliser des mots de passe forts parce qu’ils sont difficiles à retenir. La bonne chose est que vous n’avez plus besoin de vous souvenir des mots de passe car vous pouvez simplement utiliser un gestionnaire de mots de passe.
En savoir plus, consultez notre guide sur la gestion des mots de passe WordPress.
Une autre façon de réduire les risques est de ne donner à personne l’accès à votre compte d’administration WordPress, sauf en cas d’absolue nécessité.
Si vous avez une grande équipe ou des auteurs/autrices invités, assurez-vous de bien comprendre les rôles et permissions des utilisateurs/autrices dans WordPress avant d’ajouter de nouveaux comptes d’utilisateurs/autrices à votre site WordPress.
Comprendre le rôle de l’hébergeur WordPress
Votre service d’hébergement WordPress joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon fournisseur d’hébergement mutualisé comme Hostinger, Bluehost ou SiteGround prend des mesures supplémentaires pour protéger ses serveurs contre les menaces courantes.
Voici quelques exemples de la façon dont les bonnes entreprises d’hébergement web travaillent en arrière-plan pour protéger vos sites et vos données :
- Ils surveillent en permanence leur réseau à la recherche d’activités suspectes.
- Toutes les bonnes entreprises d’hébergement disposent d’outils pour prévenir les attaques DDoS à grande échelle.
- Ils maintiennent à jour le logiciel de leur serveur, les versions de PHP et le matériel afin d’empêcher les pirates d’exploiter une faille de sécurité connue dans une ancienne version.
- Ils disposent d’offres prêtes à l’emploi en matière de reprise après sinistre et d’accidents qui leur permettent de protéger vos données en cas d’accident majeur.
Avec une offre d’hébergement mutualisé, vous partagez les ressources du serveur avec de nombreux autres clients/clientes. Il existe un risque de contamination intersites, un pirate pouvant utiliser un site voisin pour attaquer votre site.
En revanche, l’utilisation d’un service d’hébergement WordPress infogéré constitue une plateforme plus sécurisée pour votre site. Les entreprises d’hébergement WordPress infogérées proposent des sauvegardes automatiques, des mises à jour WordPress automatiques et des configurations de sécurité plus avancées pour protéger votre site
Nous recommandons WP Engine comme notre fournisseur d’hébergement WordPress géré préféré. Il s’agit également de l’hébergeur le plus populaire du secteur.
Confirmez que vous faites une bonne affaire en utilisant notre coupon spécial WP Engine.
La sécurité de WordPress en quelques étapes par étapes (Aucun codage)
Nous savons que l’amélioration de la sécurité de WordPress peut être une idée terrifiante pour les débutants, en particulier si vous n’êtes pas technicien. Devinez quoi : vous n’êtes pas seul.
Nous avons aidé des milliers d’utilisateurs/utilisatrices de WordPress à renforcer leur sécurité.
Nous allons vous afficher comment vous pouvez améliorer la sécurité de WordPress en quelques clics (aucun codage nécessaire).
Si vous savez pointer et cliquer, vous pouvez le faire !
1. Installer une solution de sauvegarde pour WordPress
Les sauvegardes sont votre première défense contre toute attaque de WordPress. N’oubliez pas que rien n’est sûr à 100 %. Si les sites gouvernementaux peuvent être piratés, il en va de même pour le vôtre.
Les sauvegardes vous permettent de restaurer rapidement votre site WordPress en cas de problème.
Il existe de nombreuses extensions de sauvegarde WordPress gratuites et payantes que vous pouvez utiliser. La chose la plus importante que vous devez savoir en ce qui concerne les sauvegardes est que vous devez régulièrement enregistrer des sauvegardes de sites complets vers un emplacement distant (pas votre compte d’hébergeur).
Nous vous recommandons de le stocker sur un service de cloud comme Amazon, Dropbox, ou sur des clouds privés comme Stash.
En fonction de la fréquence des mises à jour de votre site, le réglage idéal pourrait être une sauvegarde quotidienne ou en temps réel.
Heureusement, cela peut être facilement fait en utilisant des extensions comme Duplicator, UpdraftPlus, ou BlogVault. Ils sont à la fois fiables et surtout faciles à utiliser (aucun codage n’est nécessaire).
Pour plus de détails, consultez notre guide sur la sauvegarde de votre site WordPress.
Installer une extension de sécurité WordPress réputée
Après les sauvegardes, la prochaine chose à faire est de configurer un système d’audit et de surveillance qui garde une trace de tout ce qui se passe sur votre site.
Cela comprend la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, l’analyse des logiciels malveillants, etc.
Heureusement, vous pouvez facilement vous en occuper en installant l’une des meilleures extensions de sécurité WordPress, comme Sucuri.
Vous devez installer et activer l’extension gratuite Sucuri Security. Pour plus de détails, veuillez consulter notre guide étape par étape sur l’installation d’une extension WordPress.
Vous pouvez maintenant vous rendre sur le tableau de bord de Sucuri Security « pour voir si le plugin a trouvé des problèmes immédiats avec votre code WordPress.
La prochaine chose à faire est de naviguer sur la page » Réglages » de Sucuri Security et de cliquer sur l’onglet » Durcissement « .
Les réglages par défaut fonctionnent bien pour la plupart des sites, vous pouvez donc les activer en cliquant sur le bouton « Appliquer le durcissement » pour chaque option.
Cela vous aide à verrouiller les zones clés que les pirates utilisent souvent dans leurs attaques.
Astuce : Nous aborderons d’autres moyens de durcir votre site ultérieurement dans cet article, comme la modification du préfixe de la base de données et de l’identifiant de l’administrateur. Cependant, ces méthodes sont plus techniques et peuvent nécessiter des connaissances en codage.
Après le durcissement, les autres réglages par défaut de l’extension sont suffisants pour la plupart des sites et ne nécessitent aucune modification.
La seule chose que nous vous recommandons de personnaliser, ce sont les alertes par e-mail, que vous trouverez dans l’onglet « Alertes » de la page des Réglages.
Par défaut, vous recevrez de nombreux e-mails d’alerte qui risquent d’encombrer votre boîte de réception.
Nous vous recommandons d’activer les alertes uniquement pour les actions clés dont vous souhaitez être informé, telles que les modifications d’extensions et les inscriptions de nouveaux utilisateurs/utilisatrices.
Ce plugin de sécurité WordPress est très puissant, alors parcourez tous les onglets et les Réglages pour voir tout ce qu’il fait comme l’analyse des logiciels malveillants, les Journaux d’audit, le suivi des tentatives de connexion échouées, et plus encore.
En savoir plus, vous pouvez consulter notre avis détaillé sur Sucuri.
Activer un pare-feu d’application Web (WAF)
Le moyen le plus simple de protéger votre site et d’avoir confiance en la sécurité de WordPress est d’utiliser un pare-feu d’application web (WAF).
Un pare-feu pour site web bloque tout trafic malveillant avant même qu’il n’atteigne votre site.
- Un pare-feu de site web au niveau DNS achemine le trafic de votre site via ses serveurs proxy dans le cloud. Cela vous permet d’envoyer uniquement du trafic authentique à votre serveur web.
- Un pare-feu au niveau de l’application examine le trafic une fois qu’il atteint votre serveur, mais avant de charger la plupart des scripts WordPress. Cette méthode n’est pas aussi efficace que le pare-feu au niveau du DNS pour réduire la charge du serveur.
Pour en savoir plus, consultez notre liste des meilleures extensions de pare-feu WordPress.
Nous avons utilisé Sucuri sur WPBeginner pendant de nombreuses années et nous le recommandons toujours comme l’un des meilleurs pare-feu d’application web pour WordPress. Nous sommes récemment passés de Sucuri à Cloudflare parce que nous avions besoin d’un réseau CDN plus grand avec des fonctionnalités plus axées sur les clients d’entreprise.
Vous pouvez lire comment Sucuri nous a aidés à bloquer 450 000 attaques WordPress en un mois.
La meilleure partie du pare-feu de Sucuri est qu’il est également livré avec une garantie de nettoyage des logiciels malveillants et de suppression de la liste noire. Cela signifie que si vous deviez être piraté sous leur surveillance, ils garantissent de corriger votre site, quel que soit le nombre de pages que vous avez.
Il s’agit d’une garantie assez solide, car la réparation des sites piratés est coûteuse. Les experts en sécurité facturent normalement plus de 250 $ de l’heure, alors que vous pouvez obtenir l’ensemble de la pile de sécurité Sucuri pour 199 $ pour toute l’année.
Cela dit, Sucuri n’est pas le seul fournisseur de pare-feu au niveau DNS. L’autre concurrent populaire est Cloudflare. Voir notre comparaison entre Sucuri et Cloudflare (avantages et inconvénients).
Passez votre site WordPress en SSL/HTTPS
SSL (Secure Sockets Layer) est un protocole qui permet de chiffrer le transfert de données entre votre site et le navigateur de l’utilisateur/utilisatrice. Grâce à ce chiffrement, il est plus difficile pour quelqu’un de renifler et de voler des informations.
Une fois que vous aurez activé le SSL, l’adresse de votre site utilisera HTTPS au lieu de HTTP. Vous verrez également un cadenas ou un signe iconique similaire à côté de l’adresse de votre site dans le navigateur.
Les certificats SSL sont généralement délivrés par des auteurs/autrices de certificats, et leur prix varie de 80 à plusieurs centaines de dollars par an. En raison des coûts supplémentaires, la plupart des propriétaires de sites ont, par le passé, choisi de continuer à utiliser ce protocole non sécurisé.
Pour corriger ce problème, une organisation à but non lucratif appelée Let’s Encrypt a décidé d’offrir des certificats SSL gratuits aux propriétaires de sites. Leur projet est supporté par Google Chrome, Facebook, Mozilla, et bien d’autres entreprises.
Il est plus facile que jamais de commencer à utiliser le SSL pour tous vos sites WordPress. De nombreuses entreprises d’hébergement proposent désormais un certificat SSL gratuit pour votre site WordPress.
Si votre entreprise d’hébergement n’en propose pas, vous pouvez acheter un certificat SSL auprès de Domain.com. Ils proposent les offres SSL les meilleures et les plus fiables du marché. Le certificat est assorti d’une garantie de sécurité de 10 000 $ et d’un sceau de sécurité TrustLogo.
La sécurité de WordPress pour les utilisateurs/utilisatrices
Si vous faites tout ce que nous avons mentionné jusqu’à présent, vous êtes en bonne position.
Mais comme toujours, vous pouvez faire plus pour renforcer la sécurité de WordPress.
N’oubliez pas que certaines de ces étapes peuvent nécessiter des connaissances en matière de codage.
Modifier l’identifiant de l’administrateur par défaut
Autrefois, le nom d’utilisateur par défaut de l’administrateur WordPress était « admin ». Comme les identifiants représentent la moitié des informations de connexion, il était plus facile pour les pirates de procéder à des attaques par force brute.
Heureusement, WordPress a depuis modifié cette règle et vous demande désormais de sélectionner un identifiant personnalisé au moment de l’installation de WordPress.
Cependant, certains programmes d’installation de WordPress en un clic définissent toujours l’identifiant administrateur par défaut à « admin ». Si vous notifiez que c’est le cas, il est probablement préférable de changer d’hébergeur.
Comme WordPress ne vous permet pas de modifier les noms d’utilisateur par défaut, il existe trois méthodes pour modifier le nom d’utilisateur.
- Créez un nouvel identifiant d’administrateur et supprimez l’ancien.
- Utiliser l’extension Username Changer
- Mise à jour de l’identifiant depuis phpMyAdmin
Nous avons abordé ces trois points dans notre guide détaillé sur la façon de modifier correctement votre identifiant WordPress.
Note : Pour être clair, il s’agit de modifier le nom d’utilisateur « admin », et non le rôle de l’administrateur/administratrices, qui est aussi parfois appelé « admin ».
Désactiver la modification des fichiers
WordPress est livré avec un éditeur de code intégré qui vous permet de modifier les fichiers de votre thème et de vos extensions directement à partir de votre zone d’administration WordPress.
Entre de mauvaises mains, cette fonctionnalité peut constituer un risque pour la sécurité, c’est pourquoi nous vous recommandons de l’inactif.
Vous pouvez facilement le faire en ajoutant le code suivant à votre fichier wp-config.php ou avec une extension d’extraits de code comme WPCode (recommandé) :
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Nous vous affichons la marche à suivre étape par étape dans notre guide sur la désactivation des éditeurs de thèmes et de plugins depuis le panneau d’administration de WordPress.
Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri mentionnée ci-dessus.
Désactiver l’exécution de fichiers PHP dans certains répertoires de WordPress
Une autre façon de renforcer la sécurité de WordPress est de désactiver l’exécution des fichiers PHP dans les répertoires qui n’en ont pas besoin, comme /wp-content/uploads/.
Vous pouvez le faire en ouvrant un éditeur de texte tel que Notepad et en collant ce code :
<Files *.php>
deny from all
</Files>
Ensuite, vous devez enregistrer ce fichier en tant que .htaccess et le téléverser dans le dossier /wp-content/uploads/
de votre site à l’aide d’un client FTP.
Pour une explication plus détaillée, consultez notre guide sur la désactivation de l’exécution de PHP dans certains répertoires WordPress.
Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri que nous avons mentionnée plus haut.
Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs/utilisatrices d’essayer de se connecter autant de fois qu’ils le souhaitent. Votre site WordPress est donc vulnérable aux attaques par force brute. C’est là que les pirates essaient de craquer les mots de passe en essayant de se connecter avec différentes combinaisons.
Ce problème peut être facilement corrigé en limitant le nombre de tentatives de connexion infructueuses qu’un compte peut effectuer. Si vous utilisez le pare-feu d’application web mentionné plus haut, ce problème est automatiquement résolu.
Toutefois, si vous n’avez pas configuré de pare-feu, vous pouvez suivre les étapes ci-dessous.
Tout d’abord, vous devez installer et activer le plugin gratuit Limit Login Attempts Reloaded. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’un plugin WordPress.
Dès son activation, l’extension commencera à limiter le nombre de tentatives de connexion des utilisateurs/utilisatrices.
Les paramètres par défaut fonctionneront pour la plupart des sites web, mais vous pouvez les personnaliser en visitant la page Paramètres » Limiter les tentatives de connexion et en cliquant sur l’onglet « Paramètres » en haut de la page. Par exemple, pour vous conformer aux lois GDPR, vous pouvez cliquer sur la case à cocher « Conformité GDPR ».
Pour des instructions détaillées, consultez notre guide sur comment et pourquoi limiter les tentatives de connexion dans WordPress.
Ajouter l’authentification à deux facteurs (2FA)
La méthode d’authentification à deux facteurs nécessite deux étapes par lesquelles les utilisateurs/utilisatrices se connectent :
- La première étape est l’identifiant et le mot de passe.
- La deuxième étape nécessite l’utilisation d’un code provenant d’un appareil ou d’une application en votre possession auquel les pirates ne peuvent pas accéder, comme votre smartphone.
La plupart des sites en ligne de premier plan, comme Google, Facebook et Twitter, vous permettent de l’activer pour vos comptes. Vous pouvez également ajouter la même fonctionnalité à votre site WordPress.
Tout d’abord, vous devez installer et activer le plugin WP 2FA – Two-factor Authentication. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’un plugin WordPress.
Un assistant convivial vous aidera à configurer l’extension, puis vous recevrez un code QR.
Vous devrez numériser le code QR à l’aide d’une application d’authentification sur votre téléphone, telle que Google Authenticator, Authy et LastPass Authenticator.
Nous vous recommandons d’utiliser LastPass Authenticator ou Authy car ils vous permettent de sauvegarder vos comptes sur le cloud. C’est très utile au cas où votre téléphone est perdu, réinitialisé ou que vous achetez un nouveau téléphone. Toutes les connexions de vos comptes seront facilement restaurées.
La plupart de ces apps fonctionnent de manière similaire, et si vous utilisez Authy, il vous suffit alors de cliquer sur le bouton » + » ou » Ajouter un compte » dans l’app d’authentification.
Cela vous permettra de scanner le code QR sur votre ordinateur à l’aide de l’appareil photo de votre téléphone. Il se peut que vous deviez d’abord donner à l’application le droit d’accéder à l’appareil photo.
Après avoir donné un nom au compte, vous pouvez l’enregistrer.
La prochaine fois que vous vous connecterez à votre site, le code d’authentification à deux facteurs vous sera demandé après avoir saisi votre mot de passe.
Ouvrez simplement l’application d’authentification sur votre téléphone et vous verrez apparaître un code à usage unique.
Vous pouvez ensuite saisir le code sur votre site pour finir de vous connecter.
Modifier le préfixe de la base de données de WordPress
Par défaut, WordPress utilise wp_
comme préfixe pour toutes les tables de votre base de données WordPress.
Si votre site WordPress utilise le préfixe de base de données par défaut, alors il est plus facile pour les pirates de deviner le nom de votre table. C’est pourquoi nous recommandons de le modifier.
Vous pouvez modifier le préfixe de votre base de données en suivant notre tutoriel étape par étape sur la modification du préfixe de la base de données de WordPress pour améliorer la sécurité.
Note : La modification du préfixe de la base de données peut endommager votre site si elle n’est pas effectuée correctement. Faites-le uniquement si vous vous sentez à l’aise avec vos compétences en matière de codage.
Protéger par mot de passe la page d’administration et de connexion de WordPress
Normalement, les pirates peuvent demander votre dossier wp-admin et votre page de connexion sans aucune restriction. Cela leur permet d’essayer leurs astuces de piratage ou de lancer des attaques DDoS.
Vous pouvez ajouter une protection supplémentaire par mot de passe au niveau du module du serveur, ce qui bloquera effectivement ces demandes.
Il vous suffit de suivre nos instructions étape par étape pour savoir comment protéger votre répertoire d’administration WordPress (wp-admin) par un mot de passe.
Désactiver l’indexation et la navigation dans le répertoire
Lorsque vous tapez l’adresse de l’un des dossiers de votre site dans un navigateur web, vous affichez la page web appelée index.html
si elle existe. Si elle n’existe pas, vous verrez s’afficher une liste de fichiers dans ce dossier. C’est ce qu’on appelle la navigation dans les répertoires.
La navigation dans les répertoires peut être utilisée par les pirates pour trouver si vous avez des fichiers présentant des vulnérabilités connues, afin qu’ils puissent tirer parti de ces fichiers pour obtenir un accès.
L’exploration des répertoires peut également être utilisée par d’autres personnes pour consulter vos fichiers, copier des images, trouver la structure de vos répertoires et d’autres informations. C’est pourquoi il est fortement recommandé d’inactiver l’indexation et l’exploration des répertoires.
Vous devez vous connecter à votre site en utilisant le protocole FTP ou le gestionnaire de fichiers de votre fournisseur d’hébergement. Ensuite, localisez le fichier .htaccess
dans le répertoire racine de votre site. Si vous ne le voyez pas, consultez notre guide sur les raisons pour lesquelles vous ne pouvez pas voir le fichier .htaccess dans WordPress.
Ensuite, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :
Options -Index
N’oubliez pas d’enregistrer et de téléverser le fichier .htaccess sur votre site.
Pour en savoir plus sur ce Sujet, consultez notre article sur la désactivation de la navigation dans les répertoires sur WordPress.
Désactiver XML-RPC dans WordPress
XML-RPC est une API cœur de WordPress qui aide à connecter votre site WordPress avec des applications web et mobiles. Elle est activée par défaut depuis WordPress 3.5.
Toutefois, en raison de sa puissance, XML-RPC peut amplifier considérablement les attaques par force brute.
Par exemple, si un pirate voulait essayer 500 mots de passe différents sur votre site, il devrait faire 500 tentatives de connexion distinctes. Cette situation peut être détectée et bloquée par l’extension Limit Login Attempts Reloaded.
Mais avec XML-RPC, un pirate peut utiliser la fonction system.multicall
pour essayer des milliers de mots de passe avec 20 ou 50 demandes.
C’est pourquoi, si vous n’utilisez pas XML-RPC, nous vous recommandons de le désactiver.
Il y a 3 façons de désactiver XML-RPC dans WordPress, et nous les avons toutes couvertes dans notre tutoriel étape par étape sur la façon de désactiver XML-RPC dans WordPress.
Astuce : La méthode .htaccess est la meilleure car elle est la moins gourmande en ressources. Les autres méthodes sont plus faciles pour les débutants.
Sinon, cela est pris en charge automatiquement si vous utilisez un pare-feu d’application web (WAF) comme nous l’avons mentionné plus haut.
Journaliser automatiquement les utilisateurs/utilisatrices déconnectés sur WordPress
Les utilisateurs/utilisatrices connectés peuvent parfois s’éloigner de l’écran, ce qui présente un risque pour la sécurité. Quelqu’un peut détourner leur session, modifier leur mot de passe ou apporter des modifications à leur compte.
C’est pourquoi de nombreux sites bancaires et financiers connectent automatiquement un utilisateur inactif. Vous pouvez configurer une fonctionnalité similaire sur votre site WordPress.
Vous devez installer et activer l’extension Déconnexion inactive. Une fois activé, visitez la page Réglages » Déconnexion inactive pour personnaliser les paramètres de déconnexion.
Il vous suffit de définir la durée et d’ajouter un message de déconnexion. N’oubliez pas de cliquer sur le bouton « Enregistrer les modifications » en bas de la page pour stocker vos réglages.
Pour obtenir des instructions étape par étape, Veuillez consulter notre guide sur la façon de connecter automatiquement les utilisateurs/utilisatrices inactifs dans WordPress.
Ajouter des questions de sécurité à l’écran de connexion de WordPress
En ajoutant une question de sécurité à votre écran de connexion WordPress, il est encore plus difficile pour quelqu’un d’obtenir un accès non autorisé.
Vous pouvez ajouter des questions de sécurité en installant le plugin Two Factor Authentication. Après l’activation, vous devez visiter la page Authentification multifactorielle » Authentification à deux facteurs pour configurer les paramètres du plugin.
Cela vous permettra d’ajouter différents types d’authentification à deux facteurs à votre site, y compris des questions de sécurité.
Pour des instructions plus détaillées, consultez notre tutoriel sur l’ajout de questions de sécurité à l’écran de connexion de WordPress.
Recherche de logiciels malveillants et de vulnérabilités sur WordPress
Si vous avez installé une extension de sécurité WordPress, celle-ci vérifiera régulièrement la présence de logiciels malveillants et de signes de failles de sécurité.
Cependant, si vous constatez une Avancée soudaine dans le trafic du site ou le classement des recherches, alors vous voudrez peut-être rechercher des logiciels malveillants manuellement. Vous pouvez le faire en utilisant votre extension de sécurité WordPress ou l’un des meilleurs scanners de sécurité et de logiciels malveillants.
L’exécution de ces analyses en ligne est assez simple. Il vous suffit de saisir l’URL de votre site et les robots d’indexation parcourent votre site à la recherche de logiciels malveillants connus et de codes malveillants.
Maintenant, gardez à l’esprit que la plupart des scanners de sécurité WordPress peuvent uniquement vous avertir si votre site contient des logiciels malveillants. Ils ne peuvent pas retirer les logiciels malveillants ou nettoyer un site WordPress piraté.
Cela nous amène à la section suivante, le nettoyage des logiciels malveillants et des sites WordPress piratés.
Corriger un site WordPress corrompu
De nombreux utilisateurs/utilisatrices de WordPress ne réalisent pas l’importance des sauvegardes et de la sécurité de leur site jusqu’à ce que leur site soit piraté.
Les pirates installent des portes dérobées sur les sites concernés et si ces portes dérobées ne sont pas corrigées correctement, il est probable que votre site sera à nouveau piraté.
Pour les utilisateurs/utilisatrices aventureux/euses et bricoleurs/euses, nous avons compilé un guide étape par étape pour corriger un site WordPress piraté.
Cependant, le nettoyage d’un site WordPress peut être très difficile et prendre beaucoup de temps. Nous vous conseillons donc de confier cette tâche à un professionnel.
Si vous payez pour utiliser le plugin de sécurité Sucuri mentionné ci-dessus, la réparation du site piraté est incluse dans le prix.
Vous pouvez également utiliser le service de réparation de sites piratés de WPBeginner Pro Services. Ce service nécessite un paiement unique de 249 $ et comprend la détermination des fichiers premium, la suppression des codes malveillants, les mises à jour logicielles et de sécurité, ainsi qu’une sauvegarde du site nettoyé.
Nous garantissons la réparation de votre site ou nous vous remboursons. Nous couvrons également votre site web pendant 30 jours après la réparation, de sorte que si vous êtes à nouveau victime d’un piratage pendant cette période, nous serons là pour le réparer.
Nous nettoyons et sécurisons les sites web WordPress depuis plus de 10 ans, vous aurez donc l’esprit tranquille lorsque vous utiliserez notre service de réparation de sites piratés.
Conseil bonus : engager un service de maintenance WordPress
En tant que propriétaire d’une petite entreprise très occupée, vous n’avez peut-être pas le temps de surveiller la sécurité de votre site web et de le protéger contre les vulnérabilités. Pour vous faciliter la tâche et alléger votre charge de travail, vous pouvez donc faire appel à un service de maintenance WordPress qui assurera une surveillance de la sécurité 24 heures sur 24 et 7 jours sur 7.
WPBeginner Pro Services offre une maintenance complète des sites WordPress à un prix abordable. Il comprend la surveillance de la sécurité, les sauvegardes de routine dans le nuage, les mises à jour de WordPress, la surveillance du temps de fonctionnement, et bien plus encore.
Il vous suffit de choisir une formule de maintenance mensuelle adaptée à vos besoins, et vous obtiendrez un site WordPress plus sûr et du temps libre pour travailler sur d’autres aspects de votre activité.
Si vous souhaitez d’autres recommandations, vous pouvez consulter notre sélection des meilleurs services de maintenance de sites Web pour WordPress.
Nous espérons que cet article vous a aidé à apprendre les meilleures pratiques de sécurité WordPress et à découvrir les meilleures extensions de sécurité WordPress pour votre site. Vous pouvez également consulter notre guide ultime de référencement WordPress pour améliorer votre classement SEO, et nos astuces d’experts sur la façon d’accélérer WordPress.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.