[Guide] Renforcer la sécurité d’un site WordPress
- 16 août 2024
- Envoyé par : Benjamin
- Catégorie: CMS
Je chante régulièrement les louanges de WordPress ici-même, sur le blog de SEOBSESSION, notamment car je fais partie des fans inconditionnels du CMS. Je l’utilise depuis plus de 10 ans pour la création de money-sites, le déploiement de PBN ou encore l’élaboration de tests, y compris bien sûr en référencement naturel. J’ai appris dans ce cadre à en maîtriser à la fois les atouts et les défauts, ce qui me permet aujourd’hui d’accompagner plusieurs clients en tant que consultant SEO WordPress. Eh oui, WordPress est un formidable outil qui peut permettre de propulser un site en tête des pages de résultats organiques de Google (et des autres moteurs). Mais, comme je l’évoquais précédemment, il a des défauts. En termes de sécurité, par exemple, des failles persistent. Dans cet article, je vous propose une série d’actions pour la plupart très simples à réaliser pour sécuriser n’importe quel site WordPress, avec et sans plugin.
Comment sécuriser un site WordPress ?
WordPress est régulièrement mis à jour par les équipes éditant la solution afin de proposer une expérience toujours plus aboutie et sécurisée à ses utilisateurs. Mais c’est bien connu : les hackeurs ont toujours un temps d’avance ! Ceux-ci ont recours à des pratiques naturellement illégales, comme les attaques par force brute, pour tenter de prendre le contrôle de sites tiers et les exploiter pour servir leurs propres intérêts. Ces attaques sont d’autant plus efficaces sur les sites qui se contentent des réglages minimaux de WordPress. Voilà pourquoi il est crucial d’aller plus loin, en le dotant d’un véritable bouclier à l’aide de paramètres avancés et de plugins de sécurisation.
1/ Mettez à jour le CMS, le thème et les plugins
J’entends d’ici certains d’entre vous pester à l’idée d’installer les différentes mises à jour de WordPress parfois récurrentes et fastidieuses, je vous l’accorde. Mais il en va du bon état de santé de votre site et donc de votre activité, quelle qu’en soit la nature. Afin de vous faciliter la tâche, vous pouvez activer la mise à jour automatique des plugins que je qualifierai de secondaires. En revanche, pour le cœur de WordPress, votre thème et les autres extensions, je vous conseille d’être vigilant. Aussi importantes et même vitales soient-elles, les updates du CMS ne sont pas sans risque ! Avant de mettre à jour votre site WordPress, sauvegardez vos fichiers et votre base de données. Vous pouvez le faire en quelques clics avec un plugin tel que UdraftePlus, BackWPup ou encore Duplicator. Aussi, en ce qui concerne votre thème, le mieux est d’utiliser un thème enfant. De ce fait, vous pourrez effectuer les mises à jour sans altérer vos développements personnels.
2/ Modifiez vos informations de connexion
Je parlais plus haut d’attaque par force brute. A l’échelle de WordPress, la méthode consiste à forcer la connexion à l’interface d’administration d’un site en rentrant des combinaisons aléatoires de login et de mot de passe jusqu’à ce que cela fonctionne. Si vous utilisez ‘’admin’’ comme pseudo à l’instar de la majorité des sites, je vous laisse imaginer le grand service que vous rendez aux hackeurs. Vous leur mâchez considérablement le travail dans la mesure où ils n’ont plus qu’à forcer le mot de passe correspondant. Personnalisez donc votre pseudo et augmentez la difficulté de votre mot de passe avec davantage de caractères alphanumériques, en incluant des lettres minuscules et majuscules ainsi que des chiffres et même des signes de ponctuation.
3/ Activez l’authentification à double facteur
En plus d’un login personnalisé et d’un mot de passe complexe, je préconise à mes clients de mettre en place l’authentification à double facteur. Comment cela fonctionne ? Après avoir soumis normalement vos identifiants de connexion, WordPress vous demandera de saisir un code unique et temporaire généré par une application tierce sur votre smartphone. En soit, rien de compliqué. Et le jeu en vaut vraiment la chandelle ! Pour ce faire, plusieurs solutions existent. En ce qui me concerne, j’ai pris l’habitude d’installer, ou de faire installer à mes clients, l’extension proposée par miniOrange combinée à l’application mobile Google Authenticator.
4/ Déplacez la page de connexion à l’administration
La page de connexion à l’administration d’un site WordPress est par défaut ‘’/wp-login.php’’ ou ‘’/wp-admin’’. Ce n’est un secret pour personne, et encore moins pour les petits malins qui souhaiteraient y accéder pour tenter de prendre les commandes du CMS. Si vous avez appliqué les recommandations précédentes, il y a peu de chances pour que ces malins arrivent à leurs fins. Mais, sait-on jamais… Comme le dit l’adage, on n’est jamais trop prudent ! Pour limiter encore un peu plus les risques d’attaques par force brute, vous pouvez déplacer cette page, ou modifier son URL si vous préférez. Pour cela, la meilleure solution reste d’installer un plugin de sécurisation de WordPress tel que Solid Security (anciennement iThemes Security). Le coût annuel de la licence pour un site est de 99$ mais, rassurez-vous, pour ce prix-là, vous aurez accès à tout un tas d’autres fonctionnalités très utiles pour sécuriser WordPress dont l’authentification à double facteur.
5/ Protégez le fichier wp-function.php
Le fichier wp-function.php est assurément l’un des plus sensibles de WordPress puisqu’il contient entre autres les informations de connexion à la base de données indispensable au fonctionnement du CMS. Pour le protéger efficacement, rendez-vous à la racine de votre serveur. Vous y trouverez un autre fichier crucial nommé ‘’.htaccess’’ (les vrais savent). Ouvrez-le avec un éditeur tel que Notepad++ et collez-y les lignes suivantes :
<files wp-config.php>
order allow,deny
deny from all
</files>
6/ Désactivez l’affichage des erreurs PHP
Je ne sais pas si vous le saviez, mais il est possible d’afficher un rapport des erreurs de PHP dans l’optique de vérifier que toutes les fonctionnalités de WordPress qui y ont recours s’exécutent correctement. Il va de soi que ce rapport peut être utile, principalement pour les développeurs. Pour les hackeurs, elles sont malheureusement aussi une véritable aubaine. Elles leur fourniront des indications précieuses sur les failles de sécurité auxquelles un site est exposé. Des failles souvent relatives à des plugins obsolètes et/ou des fonctionnalités sur-mesure erronées dans lesquelles il leur sera par conséquent plus facile de s’engouffrer.
7/ N’installez que des extensions vérifiées et actualisées
J’ai pour coutume d’affirmer qu’il existe une extension WordPress pour chaque besoin. Toutefois, ne choisissez pas la voie de la facilité ! Limitez leur usage à l’intégration des fonctionnalités les plus complexes, et ce, afin de ne pas alourdir inutilement le CMS et ainsi éviter d’augmenter le temps de chargement de votre site. Par ailleurs, choisissez-les bien en veillant à ce qu’elles soient référencées sur wordpress.org puis en vérifiant leur compatibilité avec votre version de WordPress, celle de PHP installée sur votre hébergement et, pour finir, la date de leur dernière mise à jour. Une extension doit être actualisée aussi régulièrement ou presque que le CMS en lui-même.
8/ Installez une extension de sécurité tout-en-un
En parlant d’extension, laissez-moi introduire Wordfence Security. C’est l’un des plugins de sécurisation de WordPress les plus populaires. Et c’est tout sauf un hasard car il est à la fois complet et puissant. La licence annuelle pour un site est de 119$. Cela peut paraître beaucoup, d’autant plus pour un « petit » site. Que nenni. La sécurité n’a pas de prix ! Wordfence Security est très apprécié pour son rôle de bouclier. Il s’érigera en effet tel un pare-feu contre ces fameuses attaques par force brute qui sont, comme vous l’aurez compris, un véritable fléau pour les propriétaires de sites WordPress. Wordfence Security gère de surcroît la double authentification et, cerise sur le gâteau, est parfaitement compatible avec Cloudflare. J’aurai l’occasion d’en parler plus longuement et surtout plus précisément dans un article à venir. Sachez pour l’heure que Cloudflare est en quelques sortes l’ultime rempart contre les attaques, et d’ailleurs pas seulement de WordPress.
9/ Optez pour un hébergement adapté à WordPress
Vous êtes évidemment libre de choisir l’hébergeur qui vous plaît. Qui suis-je pour prétendre être légitime à vous l’imposer ? Attention cependant car tous ne se valent pas ! Je sais par expérience que de la qualité de l’infrastructure matérielle et logicielle où seront stockés vos fichiers et votre base de données dépendent la performance de votre site et sa sécurité. A moins que vous génériez un gros volume de trafic, vous n’aurez probablement besoin que d’un serveur mutualisé, ce qui veut dire par définition que votre site sera hébergé avec d’autres sur un serveur commun. Or, si l’un d’eux se fait pirater, et que ladite infrastructure n’est pas suffisamment sécurisée, vous pourriez en payer les pots cassés. Personnellement, je recommande o2switch et LWS pour leur excellent rapport qualité/prix, tant sur le plan technique que relationnel. Ceux-ci vous permettront évidemment d’installer un certificat SSL, qui plus est gratuitement grâce à Let’s Encrypt.
10/ Faites appel à SEOBSESSION !
Tout est dans le titre. Si vous avez besoin d’aide pour sécuriser votre site WordPress, vous pouvez me contacter. Nous envisagerons les solutions les plus adaptées à votre configuration dans le cadre d’un accompagnement individuel et personnalisé.