';
side-area-logo

Sécurité WordPress : comment protéger & sécuriser un site internet

Plugins, lignes de code, astuces et conseils pour sécuriser efficacement son site internet WordPress

WordPress est un excellent outil pour créer et administrer un site internet dynamique de manière assez simple, qu’on soit un utilisateur débutant ou confirmé.

Néanmoins, tout site internet dynamique est soumis à des failles de sécurité. Et, malheureusement, WordPress ne déroge pas à la règle.

Voici quelques dispositions de sécurité à prendre pour protéger son site WordPress de manière efficace.

La sécurité commence dès l’installation de WordPress

Certains mauvais choix faits dès l’installation peuvent influer sur la sécurité de votre site WordPress. C’est pourquoi il est important de commencer sur de bonnes bases.

Ne pas mettre ou ne pas laisser « admin » comme identifiant d’administrateur

C’est la règle de base. Un hacker essaiera toujours de forcer l’entrée du site site en utilisant l’identifiant « admin ». Pour une meilleure sécurité de votre site WordPress, il est conseillé de choisir un autre identifiant que « admin ».
NB : si vous avez un compte « admin », créez un nouveau compte utilisateur avec les droits d’administrateur puis supprimez le compte « admin ».

Ne pas laisser « wp_ » comme préfixe de base de données

Lors de l’installation, WordPress vous propose par défaut « wp_ » comme préfixe de la base de données. Pour éviter toute injection SQL malveillante, modifiez cette extension en utilisant d’autres lettres, si possible en évitant de reprendre quelque chose de trop évident comme le nom du site, ses initiales, voire les vôtres par exemple.
NB : si vous avez installé votre site WordPress avec le préfixe « wp_ », il est possible de le changer grâce au plugin « WP Security Scan ».

Une fois l’installation terminée, supprimez le fichier « install.php »

Une fois l’installation terminée, il est recommandé de supprimer le fichier d’installation. Pour cela, rendez-vous dans le dossier wp-admin via votre logiciel de transfert FTP (comme FileZilla par exemple), trouvez le fichier « install.php » puis supprimez-le.

Modification du fichier « .htaccess »

Plusieurs réglages essentiels à la sécurité de votre site WordPress sont à faire dans votre fichier « .htaccess », situé à la racine de votre site.

Attention, le fichier « .htaccess » est à manipuler avec beaucoup de précautions. Une lettre en trop ou en moins et un site internet peut se retrouver inaccessible. Mais, rassurez-vous, en suivant les conseils ci-dessous, il n’y a pas de crainte à avoir.

Donc, pour arriver à atteindre votre fichier « .htaccess », utilisez un logiciel de transfert FTP.

Verrouillez l’accès aux fichiers sensibles

Copiez les lignes de codes ci-dessous puis collez-les dans le fichier « .htaccess » pour sécuriser les fichiers sensibles suivants :

<files wp-config.php>
order allow,deny
deny from all
</files>
Pour sécuriser wp-config.php
<files .htaccess>
order allow,deny
deny from all
</files>
Pour sécuriser .htaccess
<files xmlrpc*="">
order deny,allow
deny from all
</files>
Pour sécuriser xmlrpc.php
<files install.php>
order allow,deny
deny from all
</files>
Pour sécuriser install.php
<files readme.html>
order allow,deny
deny from all
</files>
Pour sécuriser readme.html

Interdisez l’accès libre aux fichiers et aux répertoires

Ce réglage permet d’empêcher que tout le monde puisse voir et/ou récupérer les fichiers & images qui composent votre site :

Options All -Indexes
Ligne de code à coller dans le fichier .htaccess

Terminez de protéger vos fichiers sensibles

Après le fichier « .htaccess », d’autres fichiers sensibles sont encore à sécuriser dans votre site WordPress.

Dans « wp-config.php »

Pour sécuriser votre site WordPress, désactivez les éditeurs de thèmes et de plugins dans l’interface d’administration. Pour ce faire, ouvrez « wp-config.php » via votre logiciel FTP et collez le code suivant :

define( 'DISALLOW_FILE_EDIT', true );
Ligne de code à coller dans wp-config.php
securite wordpress proteger site internet modification wp-config

Dans « functions.php »

Pour rendre invisible la version de WordPress qui est utilisée, collez ce texte dans le fichier « functions.php » situé à la racine du répertoire de votre thème : /wp-content/themes/votre-nom-de-theme/

remove_action('wp_head', 'wp_generator');
Ligne de code à coller dans functions.php

Sécurisez votre interface de connexion

Une fois que vous avez réalisé toutes les opérations ci-dessus, votre site WordPress contient encore quelques failles souvent utilisées par les hackers pour forcer l’entrée des sites. Nous allons donc voir comment sécuriser l’interface de connexion à un site WordPress.

Limitez les tentatives de connexion

limit attempts plugin securite wordpress pour proteger site internet
Le plugin « Login Attempts par BestWebSoft » permet de limiter les tentatives de connexion à l’administration de votre site. Vous pouvez définir le nombre de tentatives maximales et le temps de blocage par IP.

Truffé d’options, ce plugin est d’une efficacité redoutable. Néanmoins, prenez bien soin d’afficher tous les réglages et de désactiver l’envoi de votre adresse e-mail dans l’onglet « Error message for blacklisted user ».

Pour finir, dans l’onglet Whitelist, je vous conseille d’ajouter votre (ou vos) IP de connexion(s) habituelle(s). Sait-on jamais… 😉

Renommez l’url de connexion « wp-login.php »

Même en limitant les tentatives de connexion, vous aurez toujours des petits malins pour tenter de forcer l’entrée de votre site WordPress.

Pour ajouter une nouvelle couche de sécurité, je vous invite à renommer votre url de connexion (accessible habituellement sous « /wp-login.php » ou « /wp-admin/ »).

move login plugin securite wordpress pour proteger site internet
Pour cela, deux plugins de sécurité WordPress font le travail de manière simple et efficace : SF Move Login ou WPS Hide Login.

wps hide login plugin securite wordpress pour proteger site internet

Attention à noter ou mettre en favori votre page de connexion si vous souhaitez la retrouver !

Et si vous utilisez un plugin de mise en cache, vous aurez à ajouter le nom de votre nouvelle page de connexion aux pages à ne pas mettre en cache.

Créez des sauvegardes, faîtes des backups !

Malgré toutes ces dispositions pour sécuriser un site internet WordPress, nul n’est à l’abri d’un crash. C’est pourquoi je vous conseille vivement de procéder à des sauvegardes régulières de votre site et de votre base de données (également appelées backups).

Plusieurs plugins font ça très bien donc libre à vous de choisir votre plugin de backup. Pour ma part, j’utilise Updraft Plus et j’en suis pleinement satisfait.

updraft plus plugin securite wordpress pour proteger site internet

Pour aller plus loin…

Si vous avez suivi tous les conseils cités ci-dessus, vous avez déjà bien sécurisé votre site WordPress et vous avez peu de chances d’être inquiétés par des tentatives de piratages.

Néanmoins, voici quelques astuces supplémentaires pour améliorer encore plus la sécurité de votre WordPress.

Masquez les erreurs de connexion

Lors de certaines tentatives de connexion ou d’intrusion, WordPress peut renvoyer des messages d’erreurs explicites.

Pour les masquer, rendez-vous dans votre fichier « functions.php », situé dans « /wp-content/themes/votre-theme/ », puis collez le code suivant :

add_filter('login_errors',create_function('$a', "return null;"));
Ligne de code à coller dans functions.php

Désactivez « Windows Live Writer »

Windows Live Writer est un logiciel Microsoft qui permet de bloguer via une application desktop. Dans un souci de compatibilité, WordPress ajoute une ligne de code dans le header de votre site. Pour des raisons de sécurité, il est conseillé d’ajouter cette ligne de code au fichier funtions.php, situé dans le répertoire « /wp-content/themes/votre-theme/ » :

remove_action('wp_head', 'wlwmanifest_link');
Ligne de code à coller dans functions.php

Autres plugins de sécurité pour WordPress

Pour terminer cette liste de conseils et d’astuces de sécurité WordPress, je vous propose quelques plugins complémentaires ou qui reprennent en partie certaines fonctions évoqués ci-dessus. Il n’est pas nécessaire de tous les installer sur son site internet mais certains peuvent s’avérer utiles selon les projets et les contraintes de sécurité.

Block Bad Queries

block bad queries plugin securite wordpress pour proteger site internet
Le plugin « Block Bad Queries » permet de bloquer l’envoi de « mauvaises requêtes » URL.
Co-développé par Julio Potier, celui-ci nous donne plus d’informations sur ce plugin.

Néanmoins, je vous conseille la plus grande vigilence quant à l’utilisation de ce plugin car il peut créer quelques effets indésirables sur votre site (JavaScript bloqués, problème de backup, etc.).

Wordfence

wordfence plugin securite wordpress pour proteger site internet
« Wordfence » est ce qu’on appelle un plugin « tout en un » puisqu’il rassemble de nombreuses fonctions différentes et complémentaires (dont certaines vues auparavant) :

  • Blocage par ip, par pays ou au bout d’un certain nombre de tentatives (à définir) ;
  • Scan du traffic en live ;
  • Scan des fichiers subissant des modifications non sollicités (avec alertes mails) ;
  • Et bien plus encore…

Pour en savoir plus, je vous invite à lire cet excellent article sur Wordfence réalisé par Fabrice Ducarme de WP Formation.

Pour ma part, j’utilise Wordfence seulement pour certains projets car, bien qu’il offre des options intéressantes afin de sécuriser un site internet WordPress, il reste assez gourmand en terme de ressources et parfois dérangeant au niveau des alertes e-mails.

iThemes Security (anciennement Better WP Security)

ithemes security plugin securite wordpress pour proteger site internet
Le plugin « iThemes Security » (anciennement appelé « Better WP Security ») est également un « tout en un » puisqu’il centralise de nombreuses fonctions pour sécuriser votre site WordPress. Ce plugin très complet reprend aussi une bonne partie des conseils prodigués ci-dessus.

Là encore, je vous invite à lire le test de ce plugin par Pierrepack Sébastien sur WP Formation.

Antivirus

antivirus plugin securite wordpress pour proteger site internet
Pour finir cette liste, le plugin « Antivirus » permet de se prémunir en cas d’infection par un (ou des) virus.

Cette liste de conseils et d’astuces se termine. J’espère qu’elle vous aura été utile à sécuriser votre site WordPress.

Si vous avez d’autres astuces ou plugins pour améliorer la sécurité d’un site internet WordPress, n’hésitez pas à le partager en commentaire.

Dans la même thématique

3 réactions à cet article
  1. —  25 novembre 2014 à 11:01

    Pratique le billet ! merci 🙂

  2. —  02 juillet 2015 à 7:37

    Merci pour ce billet très complet ,pour sécuriser les sites worpress de mes clients j utilise l extension Itheme security ..

  3. —  04 octobre 2017 à 9:35

    Très pratique, merci Philippe !

Commenter cet article