⇒Tuto N°: 22/25 – Comment sécuriser son site WordPress ?

⇒Tuto N°: 22/25 – Comment sécuriser son site WordPress ?
[Temps de lecture : 6 minutes]

Parce qu’il s’agit d’un moteur open source bien connu des hackers, les sites web animés par WordPress font l’objet de multiples attaques en permanence. Limitez les brèches de sécurité et dressez un véritable rempart contre les pirates.

WordPress alimente plus d’un site web sur quatre : la solution étant gratuite et accessible à tous, de très nombreux pirates l’ont examinée sous toutes les coutures afin d’identifier des failles de sécurité. Ajoutez à cela les milliers d’extensions que l’on retrouve sur le marché et qui ne font l’objet d’aucun contrôle spécifique, et vous comprenez pourquoi WordPress s’apparente parfois à un morceau de gruyère ; les hackers exploitent ces failles pour prendre le contrôle de votre site et, au mieux l’inonder de spams ou, au pire, le mettre totalement à genoux. Dans la plupart des cas, ce ne sont pas des as du piratage : sur des sites web frauduleux, on retrouve des kits prêts à l’emploi qui permettent de tester et d’exploiter la plupart de ces failles sans la moindre connaissance technique. Il existe aussi des méthodes d’attaque par «force brute» ; des PC zombies testent successivement des dizaines de milliers de mots de passe jusqu’à découvrir celui de votre compte d’administrateur. Il existe heureusement des solutions efficaces contre ce type de menaces, même si aucune mesure n’est fiable à 100%. Pour cette raison, vous avez d’ailleurs intérêt à sauvegarder régulièrement votre site web (reportez vous à l’article Comment sauvegarder son site internet WordPress ?)

01 – Choisir un mot de passe complexe dans WordPress

Premier bon réflexe : remplacez le mot de passe de votre compte d’administrateur par une formule plus longue et plus complexe, que les hackers vont avoir plus de difficultés à deviner. Retenez qu’ils utilisent généralement des «dictionnaires» avec des milliers d’expressions courantes ; choisissez une succession de lettres, de chiffres et de signes de ponctuation. Cliquez sur Utilisateurs, sélectionnez votre compte puis cliquez sur le bouton « Générer un mot de passe ».

01 Choisir Mot De Passe Complexe Dans WordPress

02 – Désactiver les extensions inutiles de WordPress

Prenez également le temps de désinstaller les extensions que vous n’utilisez pas : leurs fichiers sont toujours présents sur votre serveur et certains de leurs scripts peuvent constituer des failles de sécurité. Pour cela, reportez-vous à la section Extensions puis cliquez sur le lien Désactiver sous les entrées que vous souhaitez supprimer. Ce lien se voit ensuite remplacé par la mention « Supprimer ». Validez l’opération et renouvelez-la pour tous les éléments concernés.

02 Desactiver Extensions Inutiles WordPress

03 – Supprimer les thèmes superflus dans WordPress

La menace est moindre, mais vous avez tout de même intérêt à la juguler : les thèmes que vous n’utilisez pas occupent eux aussi de la place et s’accompagnent de nombreux fichiers, dont certains scripts pour les plus ambitieux d’entre eux. Reportez-vous à la section Apparence > Thèmes et cliquez sur le bouton « Détails du thème » pour tous les éléments désactivés. Cliquez ensuite sur le bouton Supprimer, en bas à droite de la description.

03 Supprimer Themes Superflus WordPress

04 – Sécuriser les commentaires dans WordPress

Nous avons déjà vu la procédure à dans l’article : ⇒Tuto N°: 18/25 – Comment sécuriser les commentaires sur WordPress ? Mais un rappel est ici utile : pensez à sécuriser les commentaires afin d’éviter une nuée de spams. Cliquez sur Réglages > Discussion et obligez les utilisateurs à disposer d’un compte personnel en cochant la case « Un utilisateur doit être enregistré et connecté pour publier des commentaires ». Complétez en cochant la case « Le commentaire doit être approuvé manuellement » et envisagez d’installer une extension de Captcha.

04 Securiser Les Commentaires WordPress

05 – Installer un pare-feu dans WordPress

Pour renforcer la sécurité de votre site web, vous avez intérêt à faire appel à une extension spécialisée. Nous vous recommandons WordFence, l’un des meilleurs pare-feu du genre : reportez-vous à la section Extensions et cliquez sur le bouton Ajouter. Dans le champ de recherche en haut à droite. saisissez « WordFence » puis cliquez sur le bouton Installer face au premier résultat. A l’issue du téléchargement des fichiers nécessaires, cliquez sur Activer.

05 Installer Un Paref Feu WordPress

06 – Recevoir des alertes sécurités de WordPress

Sitôt l’extension activée, une fenêtre pop-up vous demande de renseigner une adresse e-mail sur laquelle vous recevrez des alertes : saisissez-la dans le champ correspond puis validez en cliquant sur le bouton « Get Alerts ». Vous recevrez ainsi automatiquement des messages lorsque quelqu’un réussit à se connecter a l’interface d’administration de votre site web ou s’il échoue après vingt tentatives successives infructueuses. De bien précieux indices !

06 Recevoir Des Alertes Wordfence

07 – Analyser votre site web WordPress

WordFence va périodiquement analyser l’ensemble des fichiers de votre site web, a la recherche d’éventuelles modifications frauduleuses. Il les compare en réalité avec leurs versions d’origine, telles qu’on les retrouve sur le site officiel de WordPress : c’est un système très pratique pour déceler les intrusions et rétablir les versions correctes des scripts de votre site. Cliquez sur WordFence > Scan puis sur le bouton « Start a WordFence Scan » pour lancer l’analyse.

07 Analyser Votre Site Web WordPress

08 – Mettre à jour vos extensions dans WordPress

Parmi les notifications que vous êtes susceptible de recevoir de la part de WordFence par courrier électronique ou les résultats qui figurent à l’issue de l’analyse précédente, vous retrouverez souvent une série de mises à jour à appliquer. Là encore, WordFence vérifie la parution de mises à jour pour vos extensions et vous invite chaudement à les appliquer. Procédez éventuellement à une sauvegarde de votre site avant d’effectuer cette opération.

09 – Vérifier le trafic en temps réel dans WordPress

L’une des forces maîtresses de WordFence tient a la possibilité de suivre en direct l’origine de vos visiteurs. Reportez-vous à la section WordFence > Live Traffic. Les codes couleur: vous renseignent sur le type de visites et vous remarquez parfois que de multiples tentatives proviennent d’un pays étranger et cherchent à atteindre une page inexistante. Vous découvrez au passage la provenance de chaque visiteur ainsi que son type de navigateur et son système d’exploitation.

09 Verifier Trafic En Temps Reel Wordfence

10 – Bloquer des adresses IP dans WordFence

Une connexion vous parait suspecte ? Cliquez sur le bouton « Block this IP » sous l’entrée correspondante. Reportez-vous ensuite à la section WordFence > Blocked IPs. Le blocage ne dure par défaut que cinq minutes : cliquez sur le lien « make permanent » face a l’adresse IP que vous avez bloquée pour interdire définitivement l’accès à votre site à ce pirate. Évidemment, les hackers utilisent une grande variété d’adresses IP et vous devrez donc être vigilant pour en bloquer le plus possible.

10 Bloquer Ip Suspecte Wordfence

11 – Diagnostiquer votre site web WordPress

Outre l’analyse régulière (et automatiquement reconduite chaque jour !) des fichiers de votre site web, comme nous l’avons à l’étape 7,vous pouvez établir un diagnostic complet de toutes les fonctionnalités de votre serveur web. Reportez-vous à la section WordFence > Diagnostics. vous profiterez d’une vue extrêmement complète des capacités de votre installation de WordPress. Certains détails sont très techniques. interrogez votre hébergeur en cas d’anomalie.

11 Diagnostiquer Site Web WordPress

12 – Configurer les options avancées de WordFence

Dans la rubrique Firewall, vous retrouvez les réglages généraux du pare-feu : par défaut. il est en mode « apprentissage » et crée successivement les règles les mieux adaptées à votre site web. Cliquez également sur la section Options pour adapter les réglages : il est notamment possible de prolonger le blocage d’une adresse IP, d’ajouter d’autres types de notifications que vous recevrez par e-mail ou de tester d’autres types d’éléments lors de l’analyse journalière.

12 Configurer Les Options Avancees Wordfence
Article précédent : ⇒Tuto N°: 21/25 – Comment traduire son site WordPress ?

Ne ratez plus aucune de nos news !

Rejoignez plus de 2 000 personnes inscritent à notre mailing-liste, qui recoivent nos articles dès que nous publions.

A propos de l'auteur


Avatar for Next-conseil
Editorial Next Conseil

Agence web 100% Créative, située dans le sud de la France, à Antibes, nous proposons des services liés à la communication digitale pour les entreprises souhaitant réussir sur le web (Création de site internet, Référencement Google, Campagne d'emailing, Marketing Digital). En plus d'être une agence de communication très réactive, nous éditons sur notre blog des articles étonnants et impressionnants pour les adeptes de la toile.

Laisser un commentaire Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.