Guide détaillé pour sécuriser son site WordPress
La sécurité de votre WordPress est primordiale !
C’est pour cela que nous vous avons préparé ce Guide, détaillant les meilleurs plugins de sécurité, les pratiques de base comme les mises à jour régulières, l’utilisation de mot de passe fort, les sauvegardes régulières.
Ainsi que des pratiques plus avancées, comme la limitation des tentatives de connexion et la modification de l’URL de connexion.
Mise à jour régulière de WordPress, des thèmes et des plugins
La première étape dans la sécurisation de votre site WordPress est de s’assurer que tout est à jour. Les mises à jour de WordPress, des thèmes et des plugins contiennent souvent des correctifs de sécurité pour bloquer les vulnérabilités récemment découvertes.
Conseil pratique : Activez les mises à jour automatiques pour WordPress et vos plugins. Vous pouvez le faire facilement via le tableau de bord WordPress ou en ajoutant le code suivant à votre fichier wp-config.php
:
phpCopy code define('WP_AUTO_UPDATE_CORE', true);
Modification de l'URL de Connexion
Une des techniques efficaces pour renforcer la sécurité de votre site WordPress est de modifier l’URL de connexion par défaut.
Par défaut, WordPress utilise des URL de connexion et d’administration facilement reconnaissables comme wp-admin et wp-login.php.
En les modifiant, vous pouvez réduire considérablement le risque d’attaques par force brute, car les hackers auront plus de difficultés à trouver la porte d’entrée de votre site.
Pourquoi modifier l'URL de connexion ?
- Réduit les attaques automatiques : Beaucoup d’attaques par force brute sont automatisées, visant les URL de connexion par défaut de WordPress.
- Sécurité par l’obscurité : Bien que cela ne soit pas une solution complète, changer les URL de connexion ajoute une couche supplémentaire de protection.
Comment modifier l'URL de connexion ?
Utilisation d’un plugin : La méthode la plus simple est d’utiliser un plugin dédié comme “WPS Hide Login” ou “Solid Security” qui offre cette fonctionnalité.
Étapes avec WPS Hide Login :
- Installez et activez le plugin “WPS Hide Login”.
- Allez dans “Réglages” > “WPS Hide Login” dans votre tableau de bord WordPress.
- Entrez la nouvelle URL de connexion dans le champ “Login url” et cliquez sur “Save Changes”.
- L’URL de connexion à votre site change immédiatement, assurez-vous de la noter.
Modification manuelle via .htaccess : Pour les utilisateurs avancés, une autre méthode consiste à ajouter des règles dans le fichier
.htaccess
. Cette méthode est plus technique et nécessite une certaine connaissance en codage.Exemple de code à ajouter dans .htaccess :
apacheCopy code RewriteRule ^nouvelleconnexion$ /wp-login.php?new-login [L]
Conseils pratiques
- Choisissez une URL unique et difficile à deviner : Évitez les noms simples comme “admin” ou “login”.
- Notez la nouvelle URL : Assurez-vous de ne pas oublier la nouvelle URL de connexion.
- Informez votre équipe : Si vous travaillez avec une équipe, assurez-vous que tout le monde soit informé de la nouvelle URL.
En modifiant l’URL de connexion de base de votre site WordPress, vous pouvez augmenter significativement sa sécurité. C’est une étape simple mais efficace qui, combinée à d’autres mesures de sécurité, peut grandement réduire la vulnérabilité de votre site aux attaques.
Utilisation de mots de passe forts et uniques
Les mots de passe faibles sont une porte d’entrée commune pour les hackers.
Utilisez des mots de passe forts pour votre compte administrateur, ainsi que pour votre base de données MySQL, votre FTP/sFTP, et votre compte d’hébergement.
Conseil pratique : Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe sécurisés.
- LockPass (By LockSelf) : Gestionnaire de mot de passe certifié ANSSI
- 1Password
- Dashlane
Changez régulièrement vos mots de passe et n’utilisez jamais le même mot de passe pour différents services.
Installer un plugin de sécurité
Les plugins de sécurité WordPress peuvent grandement améliorer la sécurité de votre site.
Ils offrent des fonctionnalités comme le pare-feu, la surveillance de sécurité, la protection contre les attaques par force brute, et plus.
Voici le top 5 des plugins de sécurité :
Wordfence Security
- Fonctionnalités : Pare-feu intégré, scan de sécurité, protection contre les attaques par force brute, et surveillance du trafic en temps réel.
- Point fort : Possède une version gratuite très complète et une option premium pour une sécurité renforcée.
- Point faible : Peut être gourmand en ressources, ralentissant les sites avec un hébergement limité. Certains utilisateurs trouvent les notifications et alertes trop fréquentes ou alarmistes.
Sucuri Security
- Fonctionnalités : Surveillance de l’intégrité du site, scan de malware, pare-feu (dans la version premium), et options de hardening.
- Point fort : Excellente réputation pour son pare-feu et ses capacités de nettoyage en cas d’infection.
- Point faible : La version gratuite est assez limitée, et la protection du pare-feu n’est disponible que dans la version premium, ce qui peut être un obstacle financier pour certains.
Solid Security
- Fonctionnalités : Protection contre les attaques par force brute, sécurisation des fichiers, monitoring des fichiers modifiés, et verrouillage des utilisateurs suspects.
- Point fort : Interface conviviale et facile à configurer, même pour les débutants.
- Point faible : Le plugin peut parfois entrer en conflit avec d’autres plugins ou thèmes, nécessitant un dépannage manuel.
All In One WP Security & Firewall
- Fonctionnalités : Pare-feu, protection de la force brute, sécurité du compte utilisateur, et sécurité de la base de données.
- Point fort : Offre un bon équilibre entre des fonctionnalités faciles à utiliser pour les débutants et des options avancées pour les utilisateurs expérimentés.
- Point faible : Certaines fonctionnalités avancées peuvent être un peu complexes pour les utilisateurs novices, et une mauvaise configuration peut causer des problèmes sur le site.
BulletProof Security
- Fonctionnalités : Maintenance du mode de sécurité, surveillance des fichiers de logs, backup de la base de données, et protection contre les injections SQL et CRLF.
- Point fort : Un tableau de bord facile à comprendre avec un setup rapide.
- Point faible : L’interface utilisateur est un peu dépassée et peut sembler complexe pour ceux qui sont habitués aux designs modernes. Des mises à jour moins fréquentes par rapport à d’autres plugins.
Sauvegardes régulières
Les sauvegardes régulières vous permettent de restaurer votre site en cas de problème.
Assurez-vous de stocker vos sauvegardes dans un emplacement sûr, de préférence hors site.
Conseil pratique : De nombreux plugins de sauvegarde WordPress permettent de planifier des sauvegardes automatiques et de les stocker dans des Cloud comme Dropbox, Google Drive ou Amazon S3.
Limiter les tentatives de connexion
Les attaques par force brute impliquant des tentatives répétées de connexion peuvent être contrées en limitant le nombre de tentatives de connexion depuis une même adresse IP.
Conseil pratique : Des plugins comme Wordfence ou Solid Security peuvent mettre en œuvre cette fonctionnalité pour vous.
En suivant ces conseils et en utilisant des plugins de sécurité fiables, vous pouvez considérablement renforcer la sécurité de votre site WordPress.
N’oubliez pas que la sécurité est un processus continu et qu’il est important de rester vigilant et informé des meilleures pratiques et des nouvelles menaces.