19 façons de sécuriser un site Web (7 clés !)

Vous vous inquiétez de la sécurité de WordPress ?

Tu devrais être! Mais ne vous inquiétez pas trop – si vous mettez en œuvre certaines des meilleures pratiques de sécurité de site Web WordPress sur votre site, vous pouvez être sûr que votre site ne rencontrera pas de problèmes.

WordPress est sécurisé. Mais les actions que les utilisateurs entreprennent (et les plugins qu'ils installent) peuvent introduire toutes sortes de vulnérabilités WordPress.

Pour éviter de commettre ces erreurs, il vous suffit de suivre les conseils de cet article.

Pour rendre cet article aussi exploitable que possible, nous allons diviser nos conseils de sécurité WordPress en deux catégories :

Sept bonnes pratiques de sécurité WordPress à suivre absolument

Si vous ne prenez rien d'autre de cet article, je vous recommande de mettre en œuvre au moins ces sept meilleures pratiques de sécurité WordPress sur votre site.

Si vous ne faites pas ces sept choses, vous exposez votre site à d'énormes vulnérabilités.

1. Appliquez les mises à jour du noyau et du plugin dès que possible

L'une des meilleures choses que vous puissiez faire pour assurer la sécurité de WordPress est de toujours appliquer rapidement les mises à jour du noyau, des plugins et des thèmes de WordPress.

Quelle que soit la qualité d'un logiciel, il est naturel que de nouvelles vulnérabilités soient découvertes. Cependant, avec une équipe de développement de qualité, ces vulnérabilités seront corrigées avant qu'elles ne puissent être exploitées par des acteurs malveillants… tant que vous appliquez rapidement les mises à jour !

Un grand nombre des exploits WordPress les plus répandus auraient pu être évités si les gens avaient simplement mis à jour leurs sites .

Pour être alerté des nouvelles mises à jour, faites attention à la zone Tableau de bord → Mises à jour dans votre admin WP.

Si vous craignez des problèmes de compatibilité, vous pouvez tester les mises à jour sur un site intermédiaire avant de les appliquer à votre site en ligne. Vous voudrez également effectuer une sauvegarde avant d'appliquer les mises à jour – nous en reparlerons plus tard.

Remarque - la seule exception à cette règle concerne les mises à jour majeures, qui se concentrent uniquement sur l'ajout de nouvelles fonctionnalités et n'incluent aucun correctif de sécurité. Vous pouvez attendre quelques semaines en toute sécurité pour appliquer ces mises à jour majeures.

• Version majeure (fonctionnalités) - 5.0, 5.1, 6.0, etc. - vous pouvez attendre pour appliquer ces mises à jour.
• Version mineure (corrections de sécurité/bogues ) - 5.0.1, 5.1.2, 6.0.4, etc. - vous devez TOUJOURS les appliquer dès que possible.

2. N'utilisez que des plugins et des thèmes de développeurs réputés (et pas de plugins annulés)

Bien que le logiciel principal de WordPress soit sécurisé, on ne peut pas en dire autant de chaque plugin et thème ( principalement des plugins ).

En ajoutant un nouveau code et en modifiant les fonctionnalités de votre site, les plugins peuvent introduire toutes sortes de vulnérabilités.

Dans le même temps, ne pas utiliser de plugins n'est pas vraiment une option car les plugins font partie intégrante de chaque site WordPress.

Par conséquent, il est important de se concentrer uniquement sur l'utilisation de plugins et de thèmes de développeurs réputés avec un historique de bonne qualité de code et une maintenance rapide.

Autrement dit, faites attention aux plugins que vous installez sur votre site .

Voici quelques conseils pour vous aider à n'utiliser que des plugins et des thèmes de haute qualité :

• Lisez les critiques . De mauvaises critiques peuvent indiquer une mauvaise qualité de code.
• Vérifiez le nombre d'installations actives . Bien que ce ne soit pas une règle stricte, les plugins populaires sont généralement plus susceptibles de recevoir de l'attention.
• Vérifiez les mises à jour récentes . Avoir un développeur actif est important pour corriger les vulnérabilités nouvellement découvertes.
• N'installez pas de plugins inutiles . Étant donné que chaque plugin que vous installez est un vecteur d'attaque potentiel, vous ne devez installer que les plugins qui sont importants pour votre site.

Nous avons également un guide complet sur le choix des plugins WordPress.

Enfin, vous voudrez également éviter les plugins annulés car vous ne savez pas quel code a été ajouté au plugin.

3. Utilisez l'hébergement WordPress sécurisé

Choisir un fournisseur d'hébergement WordPress de qualité peut grandement contribuer à assurer la sécurité de votre site.

Tout d'abord, un fournisseur d'hébergement WordPress de qualité veillera à ce que votre environnement soit optimisé pour la sécurité WordPress, comme les autorisations de fichiers appropriées et un fichier wp-config.php sécurisé.

De nombreux hébergeurs WordPress intégreront également des protections plus proactives, telles que des pare-feu intégrés ou une analyse des logiciels malveillants.

Certains hébergeurs WordPress gérés nettoieront même votre site gratuitement si quelque chose lui arrive.

Fondamentalement, avec un hébergeur de qualité (en particulier un hébergeur WordPress géré), ils prendront en charge un grand nombre de ces meilleures pratiques afin que vous puissiez vous concentrer uniquement sur la croissance de votre site.

Pour trouver des options de qualité, consultez nos articles avec le meilleur hébergement WordPress géré et le meilleur hébergement WordPress en général.

Si vous pouvez vous le permettre, envisagez des options comme Flywheel (ce que nous utilisons pour WPKube – notre revue Flywheel) ou Kinsta (notre revue Kinsta).

4. Verrouillez votre page de connexion et l'accès à votre compte

Tous les conseils de sécurité WordPress dans le monde ne peuvent pas vous aider si un acteur malveillant parvient à accéder à l'un de vos comptes d'utilisateur WordPress légitimes ( en particulier un compte administrateur ).

Pensez-y dans le monde réel - vous pourriez avoir le meilleur système de sécurité domestique au monde, mais il ne fera rien si un voleur a votre clé de maison et votre code de sécurité.

Cela signifie qu'il est essentiel que vous trouviez des moyens de protéger le processus de connexion et les comptes d'utilisateurs de votre site WordPress.

Pour commencer, vous souhaiterez utiliser des informations d'identification de compte solides :

• Nom d'utilisateur - n'utilisez jamais "admin" comme nom d'utilisateur. Au lieu de cela, choisissez un nom d'utilisateur unique que vous n'utilisez nulle part ailleurs.
• Mot de passe – utilisez un mot de passe fort et unique. Pour de meilleurs résultats, utilisez un gestionnaire de mots de passe comme LastPass ou Bitwarden pour générer des mots de passe uniques pour chaque site.

Au-delà de cela, vous pouvez également utiliser des tactiques pour protéger la page de connexion WordPress :

• Changez l'URL de connexion - cela réduit également beaucoup de trafic de robots. Comment? Utilisez le plug-in gratuit WPS Hide Login.
• Limiter les tentatives de connexion - bloquer temporairement une adresse IP si elle fait trop de tentatives de connexion incorrectes (comme le font les banques). Comment? Utilisez le plug-in gratuit Limiter les tentatives de connexion rechargées.
• Exiger une authentification à deux facteurs (2FA) - obligez les gens à saisir un code à partir d'une application d'authentification, d'un SMS ou d'un e-mail en plus de leurs informations d'identification. Comment? Utilisez des plugins gratuits comme WP 2FA ou Two-Factor.

Tous les sites doivent modifier l'URL de connexion et limiter les tentatives de connexion, mais l'utilisation de l'authentification à deux facteurs WordPress n'est vraiment nécessaire que pour les sites critiques.

5. Installez un certificat SSL et utilisez HTTPS

Un certificat SSL vous permet d'utiliser HTTPS sur votre site au lieu de HTTP.

Avec HTTPS, toutes les données qui transitent entre votre navigateur et votre serveur sont cryptées. En plus d'être généralement bon pour la confidentialité, cela est essentiel pour protéger des données importantes telles que votre nom d'utilisateur et votre mot de passe.

Sans HTTPS, un acteur malveillant sur votre réseau internet peut voir toutes les données qui transitent entre votre navigateur et votre site. Par exemple, si vous vous connectez à votre site dans votre café local en utilisant HTTP, quelqu'un sur ce réseau pourra voir votre nom d'utilisateur et votre mot de passe en texte brut.

Lorsque vous utilisez HTTPS, cependant, votre nom d'utilisateur et votre mot de passe (ainsi que toutes les autres données) sont cryptés de manière sécurisée, ce qui signifie que les acteurs malveillants ne verraient qu'un tas de caractères aléatoires.

De nos jours, la plupart des hébergeurs WordPress de qualité proposent des certificats SSL gratuits.

Une fois que vous avez installé un certificat SSL via votre tableau de bord d'hébergement, vous pouvez configurer votre site pour utiliser HTTPS. Si vous avez besoin d'aide pour déplacer votre site vers HTTPS, le plugin gratuit Really Simple SSL offre une configuration en un clic.

Suivez notre guide WordPress HTTPS pour plus de détails.

6. Utiliser les versions PHP prises en charge

WordPress est écrit dans le langage de programmation PHP. Cependant, il existe différentes versions de PHP que vous pouvez utiliser sur votre compte d'hébergement.

Les anciennes versions de PHP ne reçoivent plus de maintenance, ce qui signifie qu'elles peuvent avoir des problèmes de sécurité non corrigés.

Depuis 2022, la version PHP la plus ancienne recevant des mises à jour de sécurité est PHP 7.4. Cependant, à partir de 2023, vous voudrez utiliser PHP 8.0 au minimum.

Vous pouvez vérifier la prise en charge de la version actuelle de PHP sur cette page.

En prime, les nouvelles versions de PHP offrent également de grandes améliorations de performances, ce qui signifie que votre site se chargera plus rapidement en plus d'être plus sécurisé.

Si vous ne savez pas comment mettre à jour PHP, vous pouvez demander l'assistance de votre hébergeur. Nous avons également un guide sur la façon de mettre à jour PHP chez les hébergeurs WordPress populaires.

7. Sauvegardez régulièrement votre site

La sauvegarde de votre site n'empêchera pas les problèmes de sécurité de se produire sur votre site. Cependant, cela empêchera les problèmes de sécurité de se transformer en problèmes plus importants.

Sans sauvegarde, tout incident de sécurité sur votre site peut être absolument dévastateur. Vous risquez de perdre des données, d'avoir beaucoup de temps d'arrêt, etc.

Avec une sauvegarde récente, cependant, le pire des cas d'incident de sécurité est généralement qu'il vous suffit de restaurer la sauvegarde propre de votre site. Toujours ennuyeux – mais beaucoup moins catastrophique.

Si votre hébergeur ne propose pas déjà de sauvegardes automatiques sécurisées, des outils payants tels que Jetpack Backup ou BlogVault offrent le moyen le plus simple d'activer des sauvegardes sécurisées hors site.

Si vous n'avez pas le budget pour payer un outil, UpdraftPlus est également une excellente option gratuite - assurez-vous simplement de le connecter à un fournisseur de stockage hors site tel que Google Drive ou Amazon S3.

Voici notre article complet sur les meilleurs plugins de sauvegarde WordPress.

Douze conseils supplémentaires de renforcement de la sécurité WordPress

Si vous mettez fidèlement en œuvre les meilleures pratiques de sécurité des sites Web WordPress ci-dessus, vous éviterez 99 % des problèmes sur votre site.

Cependant, si vous souhaitez renforcer encore les choses, vous pouvez mettre en œuvre quelques conseils de renforcement supplémentaires pour protéger davantage votre site.

8. Configurer un pare-feu

Un pare-feu peut protéger votre site de manière proactive contre les menaces en bloquant le trafic ou les actions malveillantes avant qu'elles n'affectent votre site ou votre serveur.

De nombreux hébergeurs implémentent déjà leurs propres pare-feu, c'est pourquoi ce n'est peut-être pas indispensable pour les sites si vous utilisez un hébergement WordPress de qualité ( voir ci-dessus ).

Si votre hébergeur ne le fait pas (ou si vous souhaitez plus de protection), vous pouvez ajouter un pare-feu au niveau de l'application avec un plugin comme Wordfence ou au niveau DNS avec un service comme Cloudflare ou Sucuri.

9. Utilisez un plugin de sécurité WordPress

Vous pouvez créer des sites WordPress sécurisés sans plugin de sécurité dédié, donc un plugin de sécurité n'est certainement pas nécessaire pour créer un site sécurisé.

Cela étant dit, un plugin de sécurité peut toujours être utile pour plusieurs raisons :

1. Les plugins de sécurité peuvent offrir des pare-feu en temps réel pour se protéger contre les menaces émergentes.
2. Un plugin de sécurité de qualité facilitera la mise en œuvre de nombreux autres conseils de durcissement de cette liste, ce qui peut vous simplifier les choses et vous faire gagner du temps.

En cas de doute, le plugin Wordfence est une excellente option pour commencer. Vous pouvez trouver plus d'options dans notre collection complète des meilleurs plugins de sécurité WordPress.

10. Masquer la version de WordPress

Masquer le numéro de version de WordPress ajoute une quantité négligeable de "sécurité par obscurité" en rendant légèrement plus difficile pour les acteurs malveillants de détecter le numéro de version de votre site.

Pour le masquer, vous pouvez ajouter le code suivant au fichier functions.php de votre thème enfant ou à un plugin comme Code Snippets.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Si vous voulez aller plus loin, nous avons un guide sur la façon de cacher que votre site utilise WordPress.

11. Vérifiez les autorisations de fichiers

Si vous utilisez un hébergeur de qualité, les autorisations de fichiers de votre site doivent déjà être correctes. Cependant, il peut être utile de revérifier car il est important de disposer des autorisations de fichier correctes.

Pour en savoir plus, consultez notre guide complet sur les autorisations de fichiers WordPress.

12. Utilisez uniquement des connexions sécurisées pour FTP

Chaque fois que vous vous connectez à votre site via FTP ou d'autres technologies, assurez-vous d'utiliser des protocoles sécurisés tels que SFTP.

Tout comme HTTPS protège les données qui circulent entre votre navigateur et votre site Web, SFTP protège la connexion entre votre client FTP et votre serveur.

Vous devez également éviter de stocker vos mots de passe FTP dans votre client FTP, à moins que ces mots de passe ne soient cryptés de manière sécurisée.

13. Configurer la journalisation des activités

La journalisation des activités vous permet de suivre ce que font les utilisateurs dans votre tableau de bord, ce qui peut vous aider à détecter les activités suspectes (surtout si vous accordez l'accès au tableau de bord à d'autres utilisateurs).

Pour configurer cela, vous pouvez utiliser un plugin comme WP Activity Log. Nous avons un tutoriel sur la configuration de la journalisation des activités, ainsi qu'un coupon exclusif WP Activity Log pour vous faire économiser de l'argent.

14. Exécutez des analyses régulières de logiciels malveillants/de sécurité

Bien que votre site ne devrait pas rencontrer de problèmes si vous avez mis en œuvre les meilleures pratiques ci-dessus, il est toujours recommandé d'exécuter périodiquement des analyses de logiciels malveillants/de sécurité sur votre site.

Pour vérifier tout problème sur le frontend de votre site, vous pouvez utiliser l'outil gratuit Sucuri SiteCheck.

Pour exécuter une analyse complète des fichiers de votre serveur, vous pouvez envisager des outils tels que MalCare ou Wordfence.

Votre hébergeur WordPress peut également exécuter ses propres analyses quotidiennes de logiciels malveillants, ce qui peut rendre ces outils redondants.

15. Désactiver XML-RPC

XML-RPC aide les outils externes à se connecter à votre site WordPress, tels que l'application de bureau WordPress.

Cependant, si vous n'utilisez pas ces outils, cela ajoute simplement un vecteur d'attaque inutile à votre site. Pour le désactiver complètement, vous pouvez utiliser le plug-in gratuit Disable XML-RPC.

16. Bloquer les liens directs

Le hotlinking, c'est quand quelqu'un intègre du contenu de votre serveur sur son site (par exemple une image). Cela peut affecter la sécurité de votre site en épuisant les ressources de votre serveur sans votre permission.

Pour bloquer les liens dynamiques, vous pouvez ajouter du code au fichier .htaccess de votre site.

Pour générer le code .htaccess nécessaire pour bloquer le hotlinking, vous pouvez utiliser cet outil gratuit. Il vous permettra de sécuriser certains fournisseurs de liens dynamiques (comme Google Image Search), tout en en bloquant d'autres.

17. Changer le préfixe de la base de données WordPress

Changer le préfixe de la base de données WordPress ajoute une petite quantité de "sécurité par obscurité", bien que certains experts (y compris Wordfence) disent que les avantages en matière de sécurité sont assez insignifiants.

Si vous avez un site WordPress existant, je ne recommande pas de le faire car les risques de casser votre site l'emportent sur les avantages potentiels en matière de sécurité.

Cependant, si vous configurez un nouveau site WordPress, vous pouvez tout aussi bien utiliser un préfixe de base de données personnalisé, même si cela n'a pas un effet énorme.

18. Désactiver l'exécution du fichier PHP dans le dossier wp-content/uploads

Vous pouvez bloquer certaines attaques de cas extrêmes en désactivant l'exécution de fichiers PHP dans votre dossier wp-content/uploads .

Voici comment:

1. Utilisez le Bloc-notes pour créer un nouveau fichier .htaccess.
2. Ajoutez l'extrait de code ci-dessous.
3. Téléchargez ce fichier dans le dossier wp-content/uploads .

 <Files *.php> deny from all </Files>

19. Désactiver l'édition de code dans le tableau de bord

Par défaut, WordPress vous permet de modifier les fichiers de thème et de plug-in à partir du tableau de bord WordPress, ce qui permettrait à un attaquant d'ajouter du code malveillant s'il avait un jour accès à un compte administrateur.

Pour éviter cela, vous pouvez désactiver l'édition de fichiers en ajoutant cet extrait à votre fichier wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

FAQ sur la sécurité des sites Web WordPress

Pour finir, voici quelques questions courantes sur la sécurité de WordPress.

WordPress a-t-il des problèmes de sécurité ?

WordPress lui-même n'a pas de problèmes de sécurité, mais l'installation de plugins sur votre site peut introduire des failles de sécurité, en particulier dans le cas de plugins mal codés et/ou mal entretenus.

WordPress est-il facilement piraté ?

La grande majorité des sites WordPress sont piratés à cause d'une erreur de l'utilisateur, et non à cause du logiciel lui-même. Suivre certaines bonnes pratiques de sécurité essentielles rendra votre site très difficile à pirater.

Pouvez-vous sécuriser WordPress ?

Oui absolument. Tant que vous suivez les meilleures pratiques, WordPress peut être très sécurisé. Il y a une raison pour laquelle tant de grandes marques font confiance à WordPress.

Avez-vous besoin d'un plugin de sécurité WordPress ?

Vous pouvez créer un site WordPress sécurisé sans plugin de sécurité complet. Cependant, ces plugins peuvent simplifier le processus de mise en œuvre des meilleures pratiques de renforcement de la sécurité et vous donner accès à des fonctionnalités utiles telles que les pare-feu et l'analyse de sécurité.

Mettez en œuvre ces meilleures pratiques de sécurité WordPress dès aujourd'hui

Si vous ne prenez rien d'autre de cet article, j'espère que vous mettrez en œuvre au moins les sept conseils de sécurité WordPress à suivre ci-dessus.

Si vous ne faites que ces sept choses, vous pouvez être sûr que vous éviterez 99,9 % des problèmes de sécurité sur votre site.

Si vous souhaitez une protection encore meilleure, vous pouvez continuer et mettre en œuvre les 19 conseils de cette liste.

Avez-vous encore des questions sur la sécurité de WordPress ? Faites le nous savoir dans les commentaires!