Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur reddit

Comment sécuriser son site WordPress, tuto complet 2021

Protégez votre site WordPress contre les attaques en quelques étapes simples.

Gardez WordPress à jour
avec les mises à jour automatiques
Installez un Firewall
et un antimalware
Protégez votre site
contre les attaques de force brute

Auteur : 

Thomas

 | 

2021

La sécurité de son site WordPress est absolument nécessaire dès que vous commencez à avoir du trafic. 

Même si on ne s’en rend pas compte, notre site est constamment attaqué.

Que ce soit par des machines qui tentent de trouver le mot de passe pour se connecter au Tableau de bord, ou par des malwares qui utilisent des failles dans les extensions.

La sécurité de notre site est assez simple à mettre en place et va nous éviter de voir notre site tomber du jour au lendemain à cause d’une attaque.

 

WordPress est le premier CMS en termes d’attaques et d’infections.

C’est normal puis qu’il représente plus de 30% des CMS utilisés par l’ensemble des sites internet.

Sécuriser son site WordPress c’est prendre des mesures faciles pour limiter les risques de hacking et d’infection.

Car le risque zéro n’existe pas.

 

Pour comprendre comment mettre en place la sécurité de son site, on va voir déjà ce qui peut rendre WordPress vulnérable.

Ensuite on va installer un ensemble de pluggins dédiés à la sécurité de notre site.

 

Comment sécuriser son site WordPress :

Voici les différentes étapes simples que nous allons suivre dans ce guide sur la sécurité de notre site :

 

 

Allons-y.

 

 

Qu’est ce qui rend WordPress vulnérable ?

 

Il existe de nombreuses vulnérabilités mais voici les principales pour que vous puissiez vous faire une idée :

 

Les version obsolète de WordPress

 

Une version obsolète de WordPress est une version qui n’a pas été mise à jour.

Un malware peut exploiter la faille et ainsi détourner tout le trafic entrant.

 

Les tentatives de connexion de force brute

 

C’est lorsqu’une personne fait tourner un script automatique pour tenter de déterminer votre identifiant et votre mot de passe WordPress et se connecter à votre tableau de bord.

Je vous laisse imaginer les ravages une fois connecté à votre tableau de bord.

 

Les back doors

 

Les backdoors sont une des méthodes privilégiées pour infecter un site internet.

Ce sont des exploitations de vulnérabilité dans le code de WordPress ou des extensions qui permettent à une personne de se connecter à notre site.

Ils injectent des fichiers dans le système jusque dans la base de données de notre site.

 

Voyons donc maintenant comment sécuriser notre site WordPress face à ce types de risques.

 

 

Maintenir WordPress à jour

 

La première étape et la plus simple pour sécuriser son site est de maintenir WordPress à jour.

En vieillissant, les extensions ou les thèmes créent des vulnérabilités lorsqu’ils ne sont pas maintenus à jour.

Donc la première chose simple maintenez tous les éléments qui composent votre site à jour.

 

Mettre à jour WordPress et les extensions

 

C’est la chose la plus simple et la plus évidentes, mais peu d’utilisateurs de WordPress le font systématiquement.

Les versions obsolètes de WordPress ou des Extensions sont les causes numéro un d’attaques réussies sur votre site.

Donc à chaque connexion à votre tableau de bord, mettez à jours WordPress et vos extensions.

Activez les mises à jour automatiques dans Extensions > extensions installées > sous une extension > Activer les mises à jour automatiques.

Pour vérifier les mises à jour, soit elles sont indiquées dans la barre supérieure du tableau de bord.

Par exemple 6 mises à jours disponibles sur le screenshot ci-dessous :

 

mettre à jour wordpress sécuriser

 

Soit il suffit de se rendre dans Tableau de bord > Mise à jour.

Pour WordPress assurez-vous d’avoir le message vous confirmant que vous avez la dernière version de WordPress.

 

sécuriser site wordpress Mise à jour

 

Et pour les extensions mettez-le systématiquement à jours en cliquant sur le bouton Mettre à jour les extensions :

 

sécuriser site wordpress mise à jour extensions

 

Supprimer les extensions obsolètes et les remplacer

 

WordPress étant une plateforme OpenSource, cela signifie que les extensions et les thèmes sont développés par des personnes ou des entreprises de manière indépendante.

Il n’est pas rare qu’un thème ou qu’une extension soit abandonné par son créateur.

Il n’y a alors plus de mise à jour sur cette extension qui devient obsolète et vulnérable aux attaques.

Rappelez-vous, les extensions sont la faille numéro un dans votre site internet.

Pour sécuriser son site WordPress il faut surtout être vigilant sur les extensions.

 

Pour voir si une extension est obsolète il suffit d’aller dans Tableau de bord > Extensions installées.

Sur une extension cliquer sur Afficher les détails.

 

mettre a jour extension sécurité site WordPress

 

Et par exemple ici pour SJ Elementor Addon, l’application n’est pas testée avec ma version actuelle de WordPress.

De plus la dernière mis à jour date d’il y a 3 ans.

 

extension obsolete sécuriser site wordpress

 

Donc même si cette extension est utile je la supprime immédiatement.

Et j’essaye d’en trouver une autre à jour pour la remplacer.

 

Supprimer les thèmes non utilisés

 

Comme pour les extensions, les thèmes non-utilisés prennent de la place mais également offrent des vulnérabilité supplémentaire à notre site.

Ces thèmes non utilisés sont en général jamais mis à jour par l’utilisateur, car l’intérêt de mettre à jour quelque chose que l’on n’utilise pas est un concept assez flou.

Pourtant même s’ils ne sont pas actifs ils peuvent être utilisés contre nous.

Pour les supprimer on va dans Tableau de bord > Apparence > Thème > Détail du thème.

 

supprimer theme sécurité site

 

Et Supprimer.

 

Voila pour la base de la sécurité.

Règle d’or : ne gardez rien d’obsolète sur votre site.

Ce sont des portes ouvertes pour les attaques donc la première chose pour sécuriser son site est de maintenir WordPress à jour, ses extensions à jour et de supprimer tout ce qui est inutilisé ou obsolète.

Passons maintenant à l’installation d’un firewall et antimalware.

 

 

Installer Wordfence : une extension WordPress firewall et anti-malwares

 

Wordfence est une des meilleures extensions pour sécuriser son site internet WordPress.

Il va nous offrir une solution complète pour la sécurité de notre site :

  • Un firewall (ou pare-feu)
  • Un scanner de malwares
  • Double identification pour la connexion au tableau de bord (double opt-in)

On va tout de suite l’installer et le paramétrer pour qu’il sécurise notre site WordPress.

 

Ajouter l’extension de sécurité Wordfence

Pour l’installer on va dans Tableau de bord > Extensions > Ajouter > on cherche Wordfence Security > Installer > Activer.

 

wordfence sécurité site WordPress

 

Apres activation on va avoir un nouvel onglet Wordfence, dans le menu de notre tableau de bord.

Il nous propose automatiquement de faire l’installation de Wordfence :

 

wordfence sécurité site WordPress

 

Donc on entre un email valide, on récupère la clé API et on termine l’installation de Wordfence.

 

Faire un scan de sécurité de son site WordPress

 

Une fois l’installation effectuée, on va peut commencer par faire un scan de son site WordPress.

Donc dans Wordfence > Scan > Start New Scan.

 

wordfence sécurité site WordPress

 

Puis on va activer le Firewall.

 

Activer le Firewall de Wordfence pour protéger son site

 

Il est recommandé de faire une sauvegarde de votre site avant l’activation du Firewall.

Pour activer le Firewall WordPress de Wordfence, on va dans Wordfence > Firewall

On clique sur le bouton Manage Firewall.

 

wordfence firewall wordpress

 

Puis le bouton Optimize the Wordfence Firewall.

 

wordfence firewall wordpress

 

Ensuite il nous demande de télécharger notre fichier ht.access avant de continuer.

Ce n’est pas utile pour nous si nous avons bien effectué une sauvegarde de notre site avant l’activation du Firewall de WordFence.

Puis on clique sur Continue et on a le message de succès une fois l’installation effectuée :

 

wordfence firewall wordpress

 

Activer la l’authentification à deux facteurs (double opt-in) à son tableau de bord WordPress

 

Une manière quasi imparable pour empêcher les attaques de force brute et la découverte de vos mots de passe est l’authentification à deux facteurs.

C’est quelque chose de plus en plus courant notamment avec les banques ou on utilise, en plus de ses identifiant, un code venant d’un token ou de notre application.

Deux facteurs parce que souvent on va utiliser son ordinateur pour se connecter et son téléphone pour recevoir le code.

Cela réduit quasiment à zéro les chances de connexion frauduleuses en utilisant vos identifiants.

 

Pour activer l’authentification à deux facteurs à son compte WordPress, on peut utiliser Wordfence qui convient parfaitement.

Sous Wordfence > Login Security > Two Factor Authentification.

 

authentification a deux facteurs wordpress

 

Il suffit alors de suivre les étapes.

Avant tout, on télécharge les supercodes qui vont nous servir à nous connecter au cas où on perde notre smartphone par exemple et que l’on ne puisse plus activer le double opt-in.

On pourra alors utiliser ces supercodes.

 

Télécharger sur son téléphone une application d’authentification

Une application d’authentification va nous permettre d’obtenir notre second code pour nous connecter au site.

On peut utiliser Microsoft Authentificator qui est très bien noté et disponible sur IOS et Android.

 

authentificator pour double opt-in sécurité site

 

Scan le QR Code

Une fois l’application installé il suffit juste de prendre en photo le QR code.

L’application nous donne un code, que l’on entre dans Wordfence, ce qui active l’authentification à deux facteurs sur notre site WordPress.

 

Se connecter avec l’authentification à deux facteurs WordPress.

Si maintenant je me déconnecte de mon compte WordPress, pour ensuite me reconnecter :

Première étape, j’entre mes identifiants WordPress :

 

authentification a deux facteurs wordpress sécurité

 

Seconde étape, on me demande un code de validation :

Je lance l’application Microsoft Authentificator qui me donne un code.

Et je le rentre à cette étape pour me connecter :

 

authentification a deux facteurs wordpress sécurité

 

Si j’ai perdu mon téléphone par exemple, il suffit d’utiliser les 5 super codes donnés par Wordfence qu’on pourra regénérer en allant dans Wordfence > Login security et sous Recovery code > Generate new codes.

 

 

Les autres mesures de sécurité de son site WordPress à mettre en place

 

On a fait le principal. Maintenir un site à jour et installé un anti malware et un firewall.

On va voir ici plusieurs autres mesures pour bien sécuriser son site WordPress.

 

Limiter les tentatives de connexion au tableau de bord WordPress avec Login Lockdown

 

Limiter les tentatives de connexion au tableau de bord WordPress va rapidement bloquer tous les IP qui tentent de se connecter plusieurs fois en cherchant le mot de passe.

On peut utiliser l’extension WordPress Login Lockdown

Cette extension vas simplement limiter à 3 le nombre de tentative de connexion.

En cas d’échec il faudra attendre 5 minutes avant de pouvoir réessayer.

Pour l’installer il suffit d’aller dans Extensions > Ajouter > Login Lockdown > Installer > Activer.

 

login lockdown securite connexion tableau de bord

 

Ensuite on retrouvera les réglages de l’extension dans Tableau de bord > Réglages > Login Lockdown.

 

login lockdown securite connexion tableau de bord

 

Et ici on pourra déterminer le nombre de tentatives maximum ou encore le temps d’attente avant une nouvelle tentative.

 

Changer l’adresse de connexion au Tableau de bord wp-admin

 

Par défaut l’adresse de connexion à notre tableau de bord est domaine.com/wp-admin

Rien qu’en changeant cet url /wp-admin par quelque chose d’autre on va pouvoir limiter drastiquement les tentatives de connexions malveillantes.

Pour imager ça, c’est plus dur de crocheter une serrure quand on ne parvient même pas à trouver la porte.

 

Pour changer l’adresse de connexion à notre tableau de bord WordPress, on va utiliser l’extension WPS Hide Login.

 

changer url de connexion tableau bord wp hide login securite

 

Une fois installé et activé, on se rend dans Réglages > WPS Hide Login

Et ici on va pouvoir changer le /wp-admin en autre chose.

 

changer url de connexion tableau bord wp hide login securite

 

Mettre à jour PHP sur son site WordPress

 

PHP est le langage qui va produire vos pages web à partir de votre serveur.

C’est donc quelque chose de très important.

Il y a plusieurs versions de PHP qui est mis à jour régulièrement avec des correctifs de sécurités associés.

Si on ne met pas à jour la version PHP utilisé par son site, on se retrouve donc avec des failles de sécurité grandissantes.

La mise à jour se fait toujours au niveau de votre hébergeur.

Connectez-vous sur l’espace client de votre hébergeur et vous devriez avoir la version PHP associé au domaine.

Vous pourrez alors sélectionner la version PHP à utiliser comme c’est le cas pour OVH ici par exemple :

 

mettre a jour php sécurité wordpress

 

Passer son site en HTTPS avec Really Simple SSL

 

Le HTTPS est la norme sécurité pour vos pages web.

Le navigateur de vos visiteurs va pouvoir vérifier la fiabilité de votre site via un certificat SSL qui est émis par votre hébergeur généralement.

Google indique comme non sécurisé de nombreux sites qui échangent des données privées et qui n’ont pas le certificat, ou dont le certificat est expiré.

 

Comment obtenir un certificat SSL ?

Le certificat SSL, pour activer le https sur vos pages, est généralement gratuit avec votre hébergement.

Connectez-vous à l’espace client de votre hébergeur et commandez ou activez le certificat SSL.

Exemple ci-dessous dans le panneau de bord d’OVH :

 

obtenir certificat ssl wordpress https

 

Une fois votre certificat obtenu il ne vous reste plus qu’à l’activer sur votre site WordPress.

 

Activer le https sur WordPress avec Really Simple SSL

Really Simple SSL va nous permettre de passer notre site internet en https.

Comme son nom le suggère, extension est extrêmement simple d’utilisation.

Il suffit de l’installer pour qu’elle fonctionne.

 

really simple ssl sécurité des pages de son site

 

Faites des sauvegardes régulières de votre site

Enfin sauvegardez votre site WordPress.

Vous n’êtes pas a l’abris d’une attaque et effectuer une sauvegarde régulière de son site (à chaque publication par exemple) et garder des sauvegardes automatiques va réellement vous éviter de perdre des années de travail en cas de piratage.

Pour voir comment sauvegarder votre site WordPress, consultez ce guide complet.

 

 

Sécuriser son site WordPress : Conclusion

 

Tous ces plugins vont vraiment améliorer la sécurité de notre site WordPress.

Ils sont rapides à mettre en place et offrent réellement une protection accrue contre les attaques.

Il ne vous reste plus qu’à mettre en place ces extensions, les paramétrer et ainsi sécuriser votre site WordPress.

 

Si ce guide vous a été utile, alors partagez-le ou faites-le moi savoir en  laissant un commentaire. 

Encore une fois merci de suivre Avalanche Mate, des guides sont publiés régulièrement.

Donc abonnez vous pour les recevoir dans votre boîte mail.

 

A bientôt !

Thomas

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *