Le Blog Maintenance WP

Sécurité WordPress : comment protéger et sécuriser son site ?

18 mars 2022 | Support WordPress

Tic, tac. Tic, tac. Tic, tac. À chaque seconde qui s’égrène sur votre montre, 2 800 attaques cibleraient des sites WordPress.

Le piratage de votre site ? Vous vous dites sûrement que cela n’arrive qu’aux autres. Et puis, un beau jour, voilà que cela vous tombe dessus.

Heureusement, il existe des solutions pour éviter cela, même si aucun site web ne peut revendiquer une protection à 100%.

À la fin de cet article, vous saurez comment renforcer la sécurité de votre site WordPress, grâce à 15 astuces pratiques et détaillées, captures d’écran à l’appui.

Est-ce que WordPress est un CMS sécurisé ?

Avec 65% de parts de marché, WordPress est le CMS (Content management system, Système de gestion de contenu) le plus utilisé à travers la planète, très loin devant ses principaux concurrents Shopify (4,4%) et Wix (2%).

Encore plus parlant, peut-être : 43% des 10 millions de sites web les plus visités sur Internet tournent sous WordPress.

De cette position dominante découle un inconvénient majeur : en raison de son adoption massive par les créateurs de site WordPress, ce CMS est la cible de nombreuses attaques malveillantes.

Malgré cela, il reste un CMS sécurisé. Dans son analyse des vulnérabilités au sein de l’écosystème WordPress, l’expert en sécurité Patchstack rapporte que 96% des failles de sécurité proviennent de code tiers (extensions et thèmes tiers), contre 4% au sein du Core (Noyau) de WordPress. 

Au total, les plugins seraient responsables de 82% des failles relevées, les pirates en profitant le plus souvent pour injecter du contenu malveillant dans leur code.

WordFence va plus loin en indiquant que la menace de sécurité la plus répandue pour la sécurité de WordPress provient de logiciels malveillants issus de plugins et de thèmes crackés (on parle de nulled plugins, en anglais).

Ce type d’extensions et de thèmes sont très recherchés par les webmasters ne désirant pas payer pour se procurer la ou les versions premium d’un thème ou d’une extension.

Par ailleurs, au-delà des thèmes et des extensions, des problèmes liés à la sécurité interviennent aussi en raison des mauvaises pratiques des web ni masters.

Quel type d’attaques peut subir un site WordPress ?

Vous le voyez, WordPress reste une proie de premier choix pour les pirates et autres robots (bots) malveillants. 

Ces derniers s’attaquent à lui de différentes façons. Dans son rapport de sécurité cité plus haut, WordFence Security détache les 5 attaques fréquentes suivantes :

  1. Les attaques par traversée de répertoires (Directory Traversal attacks) représentent la menace la plus répandue, avec 43% des vulnérabilités détectées.
  2. Les injections SQL (21%), qui s’en prennent à votre base de données.
  3. Les téléchargements de fichiers malveillants (11%).
  4. Le script de site à site (8%). Avec le cross-site scripting (ou XSS), du code malveillant est injecté dans le contenu de vos pages.
  5. Les vulnérabilités de contournement d’authentification (Authentication Bypass, 3%), qui exploitent un mécanisme d’authentification (ex : connexion au site web) trop faible.
Les 5 attaques les plus fréquentes à la sécurité d'un site WordPress.
Source : WordFence.

Et malheureusement, les menaces ne s’arrêtent pas là. Les vulnérabilités suivantes peuvent aussi affecter un site WordPress :

  • Les backdoors (portes dérobées), qui donnent un accès à distance à votre site, sans que vous ne vous en rendiez compte.
  • Les tentatives de connexion par force-brute (brute force attacks). Ici, des robots tentent de se connecter à votre site web en testant des combinaisons différentes de mots de passe et identifiants.
  • Les redirections malveillantes, vers des pages non autorisées.
  • Les attaques par déni de service (Dos, Denial of service attack), qui rendent votre site indisponible en bloquant par exemple votre serveur.
  • Les pharma hacks, qui redirigent votre site vers des pages vendant des produits pharmaceutiques type viagra, par exemple.

Enfin, le livre blanc dédié à la sécurité sur WordPress indique qu’une « mauvaise configuration de la sécurité », l’« exposition de données sensibles », ou encore les attaques de type CSRF (Cross Site Request Forgery) représentent des menaces potentielles pour votre site WordPress.

Pourquoi devez-vous sécuriser un site WordPress ?

Face à tous ces risques d’attaques, il est important de renforcer la sécurité de votre site internet WordPress. En effet, un site piraté engendre plusieurs conséquences négatives : 

  • Une perte de temps pour réparer le problème de sécurité. C’est la doléance qui remonte le plus souvent chez les personnes victimes d’un piratage, d’après les conclusions d’une enquête de Sucuri. À cause de cette perte de temps, vous ne pouvez pas vous consacrer sur des tâches à plus haute-valeur ajoutée, génératrices de business.
  • Des dégâts sur votre image de marque. Aucun internaute n’aime se rendre sur un site web piraté. Cela n’inspire pas confiance et n’incite pas à y revenir, à l’avenir. Votre notoriété et celle de votre équipe s’en trouve aussi affectée.
  • Une dégradation de l’expérience utilisateur (UX). Un visiteur apprécie de trouver facilement et rapidement ce qu’il recherche sur un site internet. S’il n’est pas comblé à ce niveau, un utilisateur risque de se tourner vers la concurrence.
  • Un impact négatif sur votre référencement naturel (SEO). L’accès à un site non sécurisé peut être bloqué par les moteurs de recherche, notamment Google. Ce dernier peut même retirer votre site web de sa SERP (sa page de résultats de recherche) si vous êtes victime de spam SEO (spamdexing, en anglais).
  • Une baisse de votre chiffre d’affaires. Si vous êtes un freelance ou une agence web spécialisée sur WordPress, et que vous proposez des produits et/ou services sur une boutique en ligne type WooCommerce, vous ne pourrez plus faire de ventes lorsque votre site devient inaccessible. 
  • Une menace sur vos informations personnelles. Un pirate peut hacker votre site pour récupérer vos informations personnelles et les données bancaires de vos clients et membres de votre équipe. Vous vous exposez à la demande d’une rançon (ransomware) et aussi à une possible usurpation de votre identité.
Un piratage impacte la sécurité d'un site WordPress.

Malheureusement, un piratage n’arrive pas qu’aux autres. Pour autant, inutile de céder à la panique. 

À présent, découvrez comment bien sécuriser son site WordPress à l’aide de conseils et bonnes pratiques qui ont fait leurs preuves.

15 astuces pour sécuriser son site WordPress

Utiliser le HTTPS

C’est probablement la première chose à faire pour renforcer la sécurité de WordPress : utiliser le protocole HTTPS (Hypertext Transfer Protocol Secure / Protocole de transfert hypertexte sécurisé).

Comme le précise la documentation de Google, le HTTPS « protège l’intégrité ainsi que la confidentialité des données lors du transfert d’informations entre l’ordinateur de l’internaute et le site ».

Son usage est prépondérant. Le HTTPS rassure en démontrant que la connexion à votre site est sécurisée, en affichant un cadenas dans la barre de votre navigateur.

C’est donc indispensable pour assurer une protection des données qui circulent sur votre site (bancaires, personnelles), en particulier si vous faites de la vente en ligne.

A contrario, les sites non sécurisés (en HTTP) sont « sanctionnés » par les principaux navigateurs (Chrome, Firefox, Safari, Opera) qui affichent un message d’avertissement lorsqu’un visiteur souhaite y accéder :

Le site du Sénat ne dispose pas du HTTPS.
Le site du Sénat ne dispose pas du HTTPS.

Pour passer votre site WordPress en HTTPS, vous devez d’abord obtenir un certificat SSL (Secure Sockets Layer / Couche de sockets sécurisée). C’est ce certificat qui permet d’afficher le fameux cadenas sur votre navigateur.

La plupart des hébergeurs en proposent un gratuitement dans leur offre, le plus souvent via l’autorité de certification Let’s Encrypt.

Afin d’activer ce certificat, rendez-vous sur votre interface d’hébergement dans la section dédiée à la sécurité :

Activation d’un certificat SSL sur cPanel.
Activation d’un certificat SSL sur cPanel.

Pour terminer de sécuriser un site WordPress en HTTPS, pensez notamment à réaliser des redirections 301 et à résoudre d’éventuels soucis de contenu mixte (du contenu toujours chargé en HTTP et non en HTTPS).  L’extension Really Simple SSL peut notamment s’en charger pour vous en automatique. 

Opter pour des mots de passe forts

Le chiffre donne le tournis. Lors du premier semestre 2021, 86 milliards d’attaques par mots de passe ont été bloquées par l’outil WPScan

Les attaques automatisées de ce type sont en constante augmentation, en particulier parce qu’elles sont un moyen assez simple pour un hacker d’accéder à votre site.

Pour sécuriser WordPress, commencez par compliquer la vie des logiciels et robots malveillants en évitant les mots de passe trop évidents à déceler.

« 123456 », « 123456789 », « qwerty », « password », « 111111 » ou encore«  iloveyou » font par exemple partie des mots de passe les plus faciles et rapides à déchiffrer

Afin de vous protéger, appliquez les bonnes pratiques suivantes : 

  • Ne choisissez pas de mots de passe en rapport avec votre animal de compagnie, votre famille, votre date de naissance, votre nom, votre prénom, vos enfants, des couleurs, des voitures ou encore des pays. En résumé, tout ce qui est trop évident doit être proscrit.
  • Utilisez des chiffres, des caractères spéciaux, des majuscules et des minuscules  dans votre mot de passe. Un exemple de mot de passe fort ? Xuiop5209MLoP654$M*
  • Votre mot de passe WordPress doit être unique : vous ne devez pas l’utiliser pour vous connecter à d’autres outils ou applications.
  • Évitez les mots présents dans le dictionnaire, cibles « d’attaques par dictionnaire », justement.
  • Pour créer des mots de passe forts, servez-vous d’un générateur gratuit, ou d’un gestionnaire payant plus complet comme Dashlane ou 1Password
  • Transférez vos mots de passe par email de façon sécurisée avec un service comme One Time.

Par extension, qui dit mot de passe dit bien souvent identifiant. À ce propos, n’utilisez surtout pas d’identifiant admin, beaucoup trop facile à deviner ! 

Installer des plugins de sécurité WordPress

Renforcer la sécurité de WordPress passe ensuite par l’usage d’extensions de sécurité. Pour cela, vous pouvez agir de deux façons.

La première consiste à utiliser des plugins répondant à un usage ciblé :

La liste est non-exhaustive et vous permet d’avoir un premier aperçu de ce que vous pouvez faire. Ces extensions seront très efficaces mais si vous voulez les utiliser conjointement, il faudra les activer une par une. 

Pour vous simplifier la vie, il existe une seconde façon de procéder : installer un plugin de sécurité WordPress gratuit « généraliste ».

Cette boîte à outils contiendra en quelque sorte plusieurs solutions de sécurité en une, pour vous éviter d’activer différents plugins. 

Il y a trois acteurs principaux très solides dans l’écosystème WordPress, à ce sujet : 

Le plugin iThemes Security est actif sur plus d’un million d’installations WordPress.
Le plugin iThemes Security est actif sur plus d’un million d’installations WordPress.

Ils présentent tous les trois l’avantage de proposer des versions gratuites. Pour le reste, leurs fonctionnalités sont assez proches.

Vous bénéficierez par exemple d’une protection contre les attaques par force-brute, d’un scanner de sécurité, du blocage des adresses IP et des utilisateurs, de l’authentification à deux facteurs, d’une mise à jour des clés secrètes de WordPress, ou encore des réglages de permissions de fichiers etc. 

Pour trancher, consultez le détail des options proposées et prenez en compte votre budget : certaines fonctionnalités majeures ne sont disponibles qu’avec la version Pro de l’extension en question.

Par exemple, WordFence offre un pare-feu (Web Application Firewall, WAF) dès sa version gratuite, alors que Sucuri ne le propose que dans sa version premium.

Mettre à jour son site WordPress régulièrement

S’appuyer sur un plugin tiers reste très important pour renforcer la sécurité de votre installation WordPress, mais cela ne suffira pas, comme vous vous en doutez.

Vous devrez aussi vous y coller, en commençant par mettre à jour votre site WordPress régulièrement, pour utiliser la dernière version du Core de WordPress, de vos plugins et de vos thèmes.

Pour cela, WordPress dispose d’un mécanisme très pratique : il vous notifie automatiquement sur votre tableau de bord dès qu’une mise à jour est disponible. 

Rendez-vous dans le menu Tableau de bord > Mises à jour pour avoir un aperçu de ce qu’il vous reste à accomplir. 

Cliquez sur la case correspondant à l’extension ou au thème qui vous intéresse, puis sur le bouton « Mettre à jour les extensions » :

La mise à jour des extensions de WordPress aide à sécuriser votre site WP.

Réaliser des mises à jour est capital pour assurer la maintenance de votre site WordPress : cela permet de corriger les bugs et failles de sécurité détectées, tout en assurant à votre site de rester performant.

Nous vous recommandons de faire attention à deux choses : 

  • Lors du passage à une nouvelle version majeure de WordPress, attendez quelques jours avant de procéder à la mise à jour sur votre back office. En effet, des bugs sont souvent corrigés dans les heures et jours qui suivent son déploiement. Mieux vaut patienter un peu pour éviter de rencontrer une quelconque incompatibilité.
  • Pensez à sauvegarder WordPress avant de réaliser une mise à jour majeure du Noyau de WordPress (par exemple, passage de WordPress 5.8 à WordPress 5.9). Plus de détails là-dessus dans l’astuce suivante.

Mettez aussi à jour votre version de PHP en utilisant une version récente de ce logiciel. Si votre hébergeur utilise l’interface cPanel, vous pouvez y parvenir dans l’encart « Logiciel » en choisissant « Sélectionner une version de PHP ».

Sauvegarder fréquemment son site

Voilà donc une excellente pratique de webmaster pour sécuriser WordPress : le sauvegarder aussi souvent que possible !

Une sauvegarde comprend l’enregistrement de vos fichiers et de votre base de données. Cette dernière est l’élément le plus important de votre site WordPress, puisqu’elle  liste tous les contenus de votre site (articles, pages, commentaires, options etc.). Ne l’oubliez pas dans la manipulation !

Posséder des sauvegardes de votre site WordPress vous permettra de le restaurer en cas de piratage. 

Vous pouvez sauvegarder votre site en utilisant un client FTP (File Transfer Protocol) comme Filezilla, mais la manipulation reste technique et périlleuse si vous n’êtes pas un technicien averti. 

Finalement, la méthode la plus aisée pour un novice consiste à activer un plugin dédié à la sauvegarde, qui se chargera de tout pour vous en automatique.

La plus populaire sur le répertoire officiel se nomme UpdraftPlus. Très facile à configurer, elle permet notamment de planifier vos sauvegardes et de les exporter vers des services tiers comme Google Drive, Dropbox ou Amazon S3.

UpdraftPlus permet de sauvegarder votre site WordPress.

Autres bons points : UpdraftPlus permet de restaurer une sauvegarde depuis l’interface du plugin, et sa version gratuite est assez complète pour démarrer.

En plus d’un plugin pour sécuriser WordPress, couvrez vos arrières en vous servant aussi d’un module de sauvegarde proposé par votre hébergeur (s’il le propose). Vous ferez ainsi d’une pierre, deux coups.

Choisir un hébergement sécurisé

En parlant d’hébergeur, justement, ce dernier joue aussi un rôle dans la sécurité de votre site web WordPress. 

Il doit proposer un degré de sécurité suffisant pour limiter au maximum les risques d’attaques malveillantes. « La configuration du système d’exploitation et du serveur Web sous-jacent hébergeant le logiciel est tout aussi importante pour préserver la sécurité des applications WordPress », précise à ce propos le guide de sécurité de WordPress.

Un bon hébergeur sécurisé, c’est quoi, justement ? Pour bien le choisir, prêtez attention à : 

  • Sa notoriété. Un hébergeur solide et présent sur le marché depuis plusieurs années aura souvent tendance à être plus crédible.
    Consultez des avis clients et renseignez-vous sur des groupes et forums spécialisés pour vous faire une idée plus précise de l’hébergeur que vous convoitez.
  • Son usage des bonnes pratiques en matière de sécurité : présence d’un pare-feu et d’un anti-virus pour protéger ses serveurs, mises à jour et sauvegardes régulières, utilisation des dernières versions des logiciels, support SSL, analyse des programmes malveillants.
    Lisez avec attention les sites internet des hébergeurs qui vous font de l’œil pour débusquer ces informations.
  • La qualité de son service-clients. Priorisez un support réactif et joignable 24h/24h, en cas de problème.

Dans l’idéal, un hébergeur dédié ou spécialisé WordPress est souvent préférable en matière de sécurité qu’un hébergement mutualisé. Sur ce dernier, vous partagez les ressources en bande passante avec d’autres sites. Si chaque site n’est pas isolé, vous serez aussi affecté en cas de piratage d’un site infecté sur votre serveur.
Néanmoins, un hébergement dédié ou spécialisé sera plus cher qu’un hébergement mutualisé.

Protéger la page de connexion à l’administration de WordPress

Depuis le début de cet article, nous avons évoqué les tentatives de connexion à l’administration de WordPress, dont les robots malveillants sont friands.

Il faut dire que WordPress les « appâte » en rendant visible la page de formulaire de connexion, accessible publiquement de deux façons : 

  • monsite.com/wp-admin
  • monsite.com/wp-login.php

Cela fonctionne sur n’importe quel site WordPress, sauf si son webmaster a changé l’URL de la page de formulaire de connexion pour en renforcer la protection !

Il est possible de réaliser cette manipulation très simplement à l’aide de l’extension gratuite WPS Hide Login.

Comme le précise sa description sur le répertoire officiel,« le répertoire wp-admin et la page wp-login.php deviennent inaccessibles, vous devez donc ajouter un signet ou vous souvenir de l’URL » pour pouvoir vous connecter.

Voici comment procéder. Une fois l’extension activée, allez dans Réglages > WPS Hide Login.

Changez le slug de votre URL de connexion en renseignant quelque chose de complexe, en alliant par exemple des chiffres et des lettres : 

Le plugin WPS Hide Login masque la page de connexion à l'admin WordPress.

Se servir de l’authentification à deux facteurs

Pour aller encore plus loin dans la sécurisation de la connexion à votre interface d’administration (admin), activez l’authentification à deux facteurs. 

Le principe de ce mécanisme est simple : après avoir entré votre identifiant et votre mot de passe, il est nécessaire de valider l’accès à votre site à l’aide d’un code de vérification envoyé sur votre smartphone ou votre tablette

C’est notamment ce système qui est désormais utilisé sur la plupart des sites ecommerce lorsque vous procédez à un achat. Pour pouvoir accepter le paiement, votre banque vous réclame de le confirmer sur son appli ou par SMS.

Plusieurs extensions WordPress gratuites permettent de mettre en place l’authentification à deux facteurs : 

Quelle que soit celle que vous choisirez d’utiliser, vous devrez notamment scanner un QR code pour vous authentifier :

Un exemple de QR code pour vous authentifier à deux facteurs.
Un exemple de QR code pour vous authentifier à deux facteurs.

Bloquer le spam

À présent, évoquons le spam. Sur WordPress, il se présente notamment sous la forme de commentaires indésirables dans lesquels peuvent se glisser du code malicieux et des liens vers des sites peu recommandables.

Pour renforcer la sécurité de votre site, prémunissez-vous contre ce fléau en activant l’extension Akismet, présente par défaut sur chaque installation de WordPress.

Akismet permet de lutter contre le spam.

Cette dernière filtrera la grande majorité des indésirables et vous évitera d’avoir à approuver des centaines de commentaires spam par jour.

Pour le reste, appliquez les réglages suivants au niveau des réglages de vos commentaires : 

  • En tant qu’admin, approuvez toujours les commentaires manuellement.
  • Demandez à l’auteur d’un commentaire de renseigner son nom et son email.
  • Si besoin, vous pouvez aussi fermer les commentaires sur les articles de plus de X jours (à vous de voir la durée).

Pour tout cela, allez dans Réglages > Commentaires comme vous le voyez sur la capture ci-dessous :

Réglages des commentaires sur WordPress pour lutter contre le spam.

Afin de lutter efficacement contre le spam, une bonne pratique consiste aussi à installer un système de captcha sur votre site, afin de différencier les humains des robots. Pour cela, activez l’une des deux extensions suivantes : reCaptcha by BestWebSoft ou Login No Captcha reCAPTCHA. Vous pouvez aussi intégrer directement le système gratuit reCAPTCHA de Google, mais cela nécessite un minimum de connaissances en code.

Améliorer la sécurité du fichier wp-config.php

Sans transition, continuons ce tour d’horizon de la sécurité sur WordPress en parlant à présent d’un fichier clé : wp-config.php. Ce dernier, situé à la racine de votre site, gère son paramétrage.

Par défaut, il contient des directives pour renforcer la sécurité de votre site WordPress, mais rien ne vous empêche d’aller encore plus loin en y ajoutant du code supplémentaire.

Voici notamment ce que vous pouvez faire :

Mettre à jour les clés de sécurité de WordPress

Ces dernières servent notamment à chiffrer les cookies de vos utilisateurs. Remplacez celles par défaut en en proposant de nouvelles au hasard grâce à cet outil gratuit.

Un aperçu des clés de salage proposées par WordPress.
Un aperçu des clés uniques d’authentification proposées par WordPress.

Vérifier le préfixe des tables de votre base de données

Par défaut, WordPress vous propose le préfixe wp_ lors de chaque nouvelle installation du CMS… mais il s’agit d’une mauvaise pratique en matière de sécurité car ce préfixe est facilement décelable par un hacker.

Pour éviter tout problème, le mieux est de le modifier lors de chaque nouvelle installation. S’il est déjà trop tard, vous devrez modifier ce préfixe dans wp-config.php.

Modifier le préfixe des tables de votre base de données renforce la sécurité de WordPress.

Sans oublier de le faire dans chaque table de votre base de données à l’aide du script Database Search and Replace.

Pour un novice, le plus facile et le moins risqué consiste à vous servir d’une extension comme Brozzme DB Prefix & Tools Addon. Mais attention, sauvegardez bien votre site au préalable.

Restreindre l’accès aux éditeurs de fichiers

Enfin, vous pouvez sécuriser la façon d’éditer les fichiers de vos plugins et autres thèmes en interdisant simplement d’éditer des fichiers sur l’admin de WordPress.

Cette simple ligne de code désactivera les menus « Éditer » sur votre back office :

define('DISALLOW_FILE_EDIT',true);

Protéger son site à l’aide du fichier .htaccess

Après le fichier wp-config.php, place à un autre fichier stratégique pour assurer la sécurité de WordPress : le fichier .htaccess.

Ce dernier est un fichier de configuration du serveur Apache, utilisé par la plupart des hébergeurs. Il y a de fortes chances pour que ce soit le cas du vôtre.

Le .htaccess peut s’avérer très utile en matière de SEO, pour lutter contre le spam et donc pour renforcer la sécurité.

Par contre, vous devez le manipuler avec soin : la moindre petite faute de syntaxe en son sein peut déclencher l’affichage d’une erreur 500, par exemple, et rendre votre site inaccessible.

Si vous n’êtes pas sûr de vous (cela vaut aussi pour wp-config.php), abstenez-vous ou faites appel à une équipe de professionnels pour vous épauler.

Vous désirez vous lancer seul ? Ces morceaux de code pourraient vous intéresser :

  • Options All -Indexes permet de désactiver l’affichage du contenu des répertoires de votre site dans un navigateur.
  • <files .htaccess>
    order allow,deny 
    deny from all 
    </files>

    protège l’accès au fichier .htaccess.
  • <files wp-config.php>
    order allow,deny 
    deny from all 
    </files>

    protège l’accès au fichier wp-config.php.

Masquer votre version de WordPress

Par défaut, WordPress affiche la version sur laquelle il tourne dans son code. N’importe qui peut donc y accéder et voir si votre site est à jour, ou s’il utilise une version obsolète du CMS.

Les pirates peuvent profiter de cette information publique pour savoir quelles failles de sécurité connues sont présentes sur votre site, et en profiter pour vous nuire.

Pour limiter leur champ d’action, il est possible de masquer votre version de WordPress en ajoutant cette ligne de code dans votre fichier functions.php :

remove_action("wp_head", "wp_generator");

Pour vérifier que l’affichage de la version a bien disparu, rafraîchissez votre page. Faites un clic droit sur Google Chrome et sélectionnez « Afficher le code source de la page ». 

À l’aide du raccourci clavier Ctrl + F (PC)  ou Cmd + F (Mac), cherchez le mot « generator ». En principe, vous ne devriez rien trouver. Dans le cas contraire, pour info, la ligne de code suivante s’affichera :

Le morceau de code qui affiche la dernière version de WordPress.

Enfin, supprimez le fichier readme.html situé à la racine de votre site, puisqu’il contient aussi votre numéro de version.

Vérifier les droits d’accès aux fichiers et des répertoires

En parlant de fichiers, il est prépondérant de contrôler leurs droits d’accès – ainsi que ceux de leurs répertoires – afin de sécuriser votre site WordPress.

Par défaut, il est possible d’attribuer des permissions de lecture, d’écriture et d’exécution sur vos fichiers et répertoires.

Évidemment, si une permission est mal réglée, des pirates pourraient en profiter pour y accéder et réaliser des actions malveillantes. 

Concernant les droits d’accès (permissions) de fichiers et de dossiers, la documentation de WordPress recommande les choses suivantes

  • Tous les répertoires doivent être en permission 755 ou en 750.
  • Tous les fichiers doivent être en permission 644 ou en 640. Une exception : wp‑config.php qui devrait être en permission 440 ou 400 pour empêcher d’autres utilisateurs sur le serveur de le lire.
  • Aucune permission en 777 ne devrait jamais être donnée à un répertoire.

Pour savoir si vos fichiers et répertoires contiennent les bonnes autorisations, connectez-vous à votre client FTP, puis jetez un œil à la colonne « Droits d’accès ».

Si quelque chose cloche, faites un clic droit sur le fichier ou le répertoire concerné, puis changez sa permission en choisissant « Droits d’accès au fichier » :

Droits d'accès aux fichiers WordPress.

Installer en priorité des plugins et thèmes issus du répertoire officiel

Il a beaucoup été question de plugins et de thèmes tout au long de ces lignes et, justement, vous avez dû remarquer que nous vous recommandions toujours des extensions issues du répertoire officiel WordPress.

WordPress propose un répertoire officiel d'extensions.

Au-delà du nombre faramineux d’extensions qu’il propose – près de 60 000 – le répertoire officiel offre un avantage en matière de sécurité.

Aussi bien pour les extensions que pour les thèmes, tous « sont manuellement passés en revue par des volontaires avant d’être mis à disposition sur le dépôt », indique le livre blanc dédié à la sécurité sur WordPress.

Même si WordPress précise que cela ne garantit pas « qu’ils soient exempts de failles de sécurité », ce premier filtre est quand même appréciable.

Ce formalisme en matière de vérification, vous ne le retrouverez pas forcément sur des boutiques tierces. Faites donc attention à elles lorsque vous recherchez des thèmes ou des extensions.

Misez sur des boutiques qui ont pignon sur rue et bonne réputation et/ou sur des plateformes solides, à l’image de ThemeForest pour les thèmes ou de CodeCanyon pour les plugins WordPress.

Vous n’avez plus besoin d’une extension ou d’un thème sur votre back office ? Désactivez puis supprimez-les pour limiter des risques liés à la sécurité.

Être un webmaster vigilant

Enfin, la dernière astuce prend surtout la forme d’un conseil général, applicable aussi bien sur WordPress que sur votre navigation sur internet : soyez vigilant.

Pour cela :

  • N’ouvrez pas d’emails qui vous semblent suspicieux pour éviter tout risque d’hameçonnage (phishing).
  • Créez des accès séparés pour chaque utilisateur amené à collaborer sur votre site (freelances, membres de votre équipe etc.). Ne leur communiquez pas vos identifiant et votre mot de passe pour se connecter, même si c’est plus simple et que cela va plus vite.
  • Définissez les bons rôles en fonction des actions amenées à être effectuées par chaque utilisateur. Par exemple, un rédacteur n’a pas besoin d’être administrateur de votre site.
  • Évitez d’autoriser le téléchargement de fichiers sur votre site.
  • Nettoyez régulièrement votre base de données, par exemple à l’aide d’une extension multi-tâches comme WP Rocket.
  • Activez un mode maintenance lorsque cela s’y prête, par exemple lors de la réalisation d’une mise à jour d’envergure.

Sécurité sur WordPress : le récapitulatif

La sécurité d’un site internet WordPress doit être érigée en priorité par tous les webmasters. Même si aucun site internet n’est infaillible, la mise en œuvre des astuces et bonnes pratiques présentées dans cet article vous aidera à limiter considérablement les risques de piratage. 

À ce propos, un site piraté peut présenter certaines caractéristiques qui doivent vous alarmer

  • Il devient impossible de s’y connecter.
  • Les liens hypertextes de vos pages redirigent vers des sites tiers que vous ne connaissent (ex : contenu pour adultes).
  • De nouveaux utilisateurs sont ajoutés sur votre site sans votre permission.
  • Votre navigateur ou Google vous indique que votre site a été piraté.

En cas de doute, agissez très vite. L’impact sur votre chiffre d’affaires, votre SEO, votre image de marque et l’expérience utilisateur peut s’avérer désastreux.

Vous avez besoin d’être accompagné pour sécuriser ou remettre à jour un site WordPress victime d’une attaque ?

L’équipe d’experts de Maintenance WP se tient à votre disposition 7 jours/7 pour vous accompagner sur-mesure. Contactez-nous pour en savoir plus.

Sur le même sujet :

Comment créer un custom post type avec WordPress ?

Comment créer un custom post type avec WordPress ?

Avez-vous déjà entendu parler d’un custom post type ? Même si vous débutez sur WordPress, c’est un terme qui a dû vous remonter aux oreilles.  Il faut dire qu’il s’agit de l’un des outils les plus puissants de WordPress. Et pourtant… Nativement, le CMS (Content...

Comment mettre en place des redirections sur WordPress ?

Comment mettre en place des redirections sur WordPress ?

Supprimer une page sur votre site web. À première vue, voilà une opération banale que vous avez déjà dû effectuer à plusieurs reprises. Une paire de clics, et le tour est joué.  C’est simple. C’est rapide… mais attention. Cette action peut avoir des conséquences...

Comment résoudre une erreur 502 sur WordPress ?

Comment résoudre une erreur 502 sur WordPress ?

Error 502, 502 Bad Gateway : en fait, peu importe son libellé. Quand ce genre de message s’affiche sur une page de votre écran, pas besoin de traduction.  Le mal est déjà fait. Et vous comprenez vite qu’il y a un problème. L’écran est (presque) tout blanc. Vous...