⇒Tuto N°: 22/25 – Comment sécuriser son site WordPress ?
![⇒Tuto N°: 22/25 – Comment sécuriser son site WordPress ?](https://www.nextconseil.com/wp-content/uploads/2019/11/comment-securiser-son-site-wordpress-850x347.jpg)
Parce qu’il s’agit d’un moteur open source bien connu des hackers, les sites web animés par WordPress font l’objet de multiples attaques en permanence. Limitez les brèches de sécurité et dressez un véritable rempart contre les pirates.
WordPress alimente plus d’un site web sur quatre : la solution étant gratuite et accessible à tous, de très nombreux pirates l’ont examinée sous toutes les coutures afin d’identifier des failles de sécurité. Ajoutez à cela les milliers d’extensions que l’on retrouve sur le marché et qui ne font l’objet d’aucun contrôle spécifique, et vous comprenez pourquoi WordPress s’apparente parfois à un morceau de gruyère ; les hackers exploitent ces failles pour prendre le contrôle de votre site et, au mieux l’inonder de spams ou, au pire, le mettre totalement à genoux. Dans la plupart des cas, ce ne sont pas des as du piratage : sur des sites web frauduleux, on retrouve des kits prêts à l’emploi qui permettent de tester et d’exploiter la plupart de ces failles sans la moindre connaissance technique. Il existe aussi des méthodes d’attaque par «force brute» ; des PC zombies testent successivement des dizaines de milliers de mots de passe jusqu’à découvrir celui de votre compte d’administrateur. Il existe heureusement des solutions efficaces contre ce type de menaces, même si aucune mesure n’est fiable à 100%. Pour cette raison, vous avez d’ailleurs intérêt à sauvegarder régulièrement votre site web (reportez vous à l’article Comment sauvegarder son site internet WordPress ?)
01 – Choisir un mot de passe complexe dans WordPress
Premier bon réflexe : remplacez le mot de passe de votre compte d’administrateur par une formule plus longue et plus complexe, que les hackers vont avoir plus de difficultés à deviner. Retenez qu’ils utilisent généralement des «dictionnaires» avec des milliers d’expressions courantes ; choisissez une succession de lettres, de chiffres et de signes de ponctuation. Cliquez sur Utilisateurs, sélectionnez votre compte puis cliquez sur le bouton « Générer un mot de passe ».
![01 Choisir Mot De Passe Complexe Dans WordPress 01 Choisir Mot De Passe Complexe Dans WordPress](https://www.nextconseil.com/wp-content/uploads/2019/11/01-choisir-mot-de-passe-complexe-dans-wordpress.jpg)
02 – Désactiver les extensions inutiles de WordPress
Prenez également le temps de désinstaller les extensions que vous n’utilisez pas : leurs fichiers sont toujours présents sur votre serveur et certains de leurs scripts peuvent constituer des failles de sécurité. Pour cela, reportez-vous à la section Extensions puis cliquez sur le lien Désactiver sous les entrées que vous souhaitez supprimer. Ce lien se voit ensuite remplacé par la mention « Supprimer ». Validez l’opération et renouvelez-la pour tous les éléments concernés.
![02 Desactiver Extensions Inutiles WordPress 02 Desactiver Extensions Inutiles WordPress](https://www.nextconseil.com/wp-content/uploads/2019/11/02-desactiver-extensions-inutiles-wordpress.jpg)
03 – Supprimer les thèmes superflus dans WordPress
La menace est moindre, mais vous avez tout de même intérêt à la juguler : les thèmes que vous n’utilisez pas occupent eux aussi de la place et s’accompagnent de nombreux fichiers, dont certains scripts pour les plus ambitieux d’entre eux. Reportez-vous à la section Apparence > Thèmes et cliquez sur le bouton « Détails du thème » pour tous les éléments désactivés. Cliquez ensuite sur le bouton Supprimer, en bas à droite de la description.
![03 Supprimer Themes Superflus WordPress 03 Supprimer Themes Superflus WordPress](https://www.nextconseil.com/wp-content/uploads/2019/11/03-supprimer-themes-superflus-wordpress.jpg)
04 – Sécuriser les commentaires dans WordPress
Nous avons déjà vu la procédure à dans l’article : ⇒Tuto N°: 18/25 – Comment sécuriser les commentaires sur WordPress ? Mais un rappel est ici utile : pensez à sécuriser les commentaires afin d’éviter une nuée de spams. Cliquez sur Réglages > Discussion et obligez les utilisateurs à disposer d’un compte personnel en cochant la case « Un utilisateur doit être enregistré et connecté pour publier des commentaires ». Complétez en cochant la case « Le commentaire doit être approuvé manuellement » et envisagez d’installer une extension de Captcha.
![04 Securiser Les Commentaires WordPress 04 Securiser Les Commentaires WordPress](https://www.nextconseil.com/wp-content/uploads/2019/11/04-securiser-les-commentaires-wordpress.jpg)
05 – Installer un pare-feu dans WordPress
Pour renforcer la sécurité de votre site web, vous avez intérêt à faire appel à une extension spécialisée. Nous vous recommandons WordFence, l’un des meilleurs pare-feu du genre : reportez-vous à la section Extensions et cliquez sur le bouton Ajouter. Dans le champ de recherche en haut à droite. saisissez « WordFence » puis cliquez sur le bouton Installer face au premier résultat. A l’issue du téléchargement des fichiers nécessaires, cliquez sur Activer.
![05 Installer Un Paref Feu WordPress 05 Installer Un Paref Feu WordPress](https://www.nextconseil.com/wp-content/uploads/2019/11/05-installer-un-paref-feu-wordpress.jpg)
06 – Recevoir des alertes sécurités de WordPress
Sitôt l’extension activée, une fenêtre pop-up vous demande de renseigner une adresse e-mail sur laquelle vous recevrez des alertes : saisissez-la dans le champ correspond puis validez en cliquant sur le bouton « Get Alerts ». Vous recevrez ainsi automatiquement des messages lorsque quelqu’un réussit à se connecter a l’interface d’administration de votre site web ou s’il échoue après vingt tentatives successives infructueuses. De bien précieux indices !
![06 Recevoir Des Alertes Wordfence 06 Recevoir Des Alertes Wordfence](https://www.nextconseil.com/wp-content/uploads/2019/11/06-recevoir-des-alertes-wordfence.jpg)
07 – Analyser votre site web WordPress
WordFence va périodiquement analyser l’ensemble des fichiers de votre site web, a la recherche d’éventuelles modifications frauduleuses. Il les compare en réalité avec leurs versions d’origine, telles qu’on les retrouve sur le site officiel de WordPress : c’est un système très pratique pour déceler les intrusions et rétablir les versions correctes des scripts de votre site. Cliquez sur WordFence > Scan puis sur le bouton « Start a WordFence Scan » pour lancer l’analyse.
![07 Analyser Votre Site Web WordPress 07 Analyser Votre Site Web WordPress](https://www.nextconseil.com/wp-content/uploads/2019/11/07-analyser-votre-site-web-wordpress.jpg)
08 – Mettre à jour vos extensions dans WordPress
Parmi les notifications que vous êtes susceptible de recevoir de la part de WordFence par courrier électronique ou les résultats qui figurent à l’issue de l’analyse précédente, vous retrouverez souvent une série de mises à jour à appliquer. Là encore, WordFence vérifie la parution de mises à jour pour vos extensions et vous invite chaudement à les appliquer. Procédez éventuellement à une sauvegarde de votre site avant d’effectuer cette opération.
09 – Vérifier le trafic en temps réel dans WordPress
L’une des forces maîtresses de WordFence tient a la possibilité de suivre en direct l’origine de vos visiteurs. Reportez-vous à la section WordFence > Live Traffic. Les codes couleur: vous renseignent sur le type de visites et vous remarquez parfois que de multiples tentatives proviennent d’un pays étranger et cherchent à atteindre une page inexistante. Vous découvrez au passage la provenance de chaque visiteur ainsi que son type de navigateur et son système d’exploitation.
![09 Verifier Trafic En Temps Reel Wordfence 09 Verifier Trafic En Temps Reel Wordfence](https://www.nextconseil.com/wp-content/uploads/2019/11/09-verifier-trafic-en-temps-reel-wordfence.jpg)
10 – Bloquer des adresses IP dans WordFence
Une connexion vous parait suspecte ? Cliquez sur le bouton « Block this IP » sous l’entrée correspondante. Reportez-vous ensuite à la section WordFence > Blocked IPs. Le blocage ne dure par défaut que cinq minutes : cliquez sur le lien « make permanent » face a l’adresse IP que vous avez bloquée pour interdire définitivement l’accès à votre site à ce pirate. Évidemment, les hackers utilisent une grande variété d’adresses IP et vous devrez donc être vigilant pour en bloquer le plus possible.
![10 Bloquer Ip Suspecte Wordfence 10 Bloquer Ip Suspecte Wordfence](https://www.nextconseil.com/wp-content/uploads/2019/11/10-bloquer-ip-suspecte-wordfence.jpg)
11 – Diagnostiquer votre site web WordPress
Outre l’analyse régulière (et automatiquement reconduite chaque jour !) des fichiers de votre site web, comme nous l’avons à l’étape 7,vous pouvez établir un diagnostic complet de toutes les fonctionnalités de votre serveur web. Reportez-vous à la section WordFence > Diagnostics. vous profiterez d’une vue extrêmement complète des capacités de votre installation de WordPress. Certains détails sont très techniques. interrogez votre hébergeur en cas d’anomalie.
![11 Diagnostiquer Site Web WordPress 11 Diagnostiquer Site Web WordPress](https://www.nextconseil.com/wp-content/uploads/2019/11/11-diagnostiquer-site-web-wordpress.jpg)
12 – Configurer les options avancées de WordFence
Dans la rubrique Firewall, vous retrouvez les réglages généraux du pare-feu : par défaut. il est en mode « apprentissage » et crée successivement les règles les mieux adaptées à votre site web. Cliquez également sur la section Options pour adapter les réglages : il est notamment possible de prolonger le blocage d’une adresse IP, d’ajouter d’autres types de notifications que vous recevrez par e-mail ou de tester d’autres types d’éléments lors de l’analyse journalière.
![12 Configurer Les Options Avancees Wordfence 12 Configurer Les Options Avancees Wordfence](https://www.nextconseil.com/wp-content/uploads/2019/11/12-configurer-les-options-avancees-wordfence.jpg)
Article précédent : ⇒Tuto N°: 21/25 – Comment traduire son site WordPress ?
Vous avez aimé cet article ? Un petit vote et une petite note ça ne mange pas de pain, hein ;-)
Allez allez...On n'hésite pas à partager si vous aimez !!
Ne ratez plus aucune de nos news !
Rejoignez plus de 2 000 personnes inscritent à notre mailing-liste, qui recoivent nos articles dès que nous publions.