X

Le guide complet de la sécurité de WordPress (pour les débutants)

wordpress-security-guide

Vous cherchez le guide ultime sur la sécurité de WordPress ? Il est important de veiller à la sécurité de votre site web WordPress. Vous voulez prendre toutes les précautions nécessaires pour protéger votre site contre les pirates, les spammeurs et les intrus. Protéger votre site web peut sembler une tâche compliquée, surtout pour les débutants, mais ce n’est pas le cas.

Dans cet article, nous partagerons notre guide ultime de sécurité WordPress afin que vous puissiez facilement protéger votre site web. Comme cet article est long, voici une table des matières pour vous aider à vous y retrouver dans les étapes que nous allons aborder :

Table des matières : Guide de sécurité WordPress

Maintenant, commençons.

Votre site web WordPress est-il en danger ?

is-your-wordpress-site-at-risk

Si vous gérez le site web d’une petite entreprise ou si vous souhaitez créer un blog WordPress personnel, vous pensez peut-être que votre site web n’est pas en danger. Pourtant, il l’est. Tous les sites web sont susceptibles d’être piratés, qu’il s’agisse de sites géants de commerce électronique ou de petits sites personnels.

Vous pourriez également penser que, WordPress étant la plateforme la plus populaire pour la création de sites web, votre site est totalement sécurisé. Mais ce n’est pas tout à fait vrai non plus. Bien que le logiciel de base de WordPress soit très sûr, il y a encore d’autres mesures à prendre pour mieux protéger votre site web. De plus, la popularité de WordPress est en partie ce qui attire les cybercriminels vers votre site web.

Il suffit de jeter un coup d’œil à ces statistiques sur WordPress qui montrent à quel point il est important de protéger votre site web WordPress :

  • 83% de tous les sites web basés sur des CMS qui ont été piratés récemment utilisaient WordPress, ce qui est logique puisque WordPress détient 60% des parts de marché des CMS. (WPBeginner)
  • Les pirates informatiques s’attaquent aux sites WordPress, petits et grands, avec plus de 90 978 attaques par minute(WPPlugins).
  • Les quatre infections les plus courantes de logiciels malveillants sur WordPress sont les portes dérobées, les téléchargements de type “Drive-by”, les piratages pharmaceutiques et les redirections malveillantes.(Smashing Magazine)
  • Chaque semaine, Google met sur sa liste noire environ 20 000 sites web pour des logiciels malveillants et environ 50 000 pour du phishing. (WPBeginner)
  • Wordfence a bloqué 9 495 478 648 attaques sur des sites WordPress.(Wordfence)

Comme vous pouvez le voir dans ces statistiques, toute personne possédant un site WordPress est exposée à un risque d’attaque, d’où l’importance de renforcer la sécurité de votre site WordPress.

Un site web piraté peut vous coûter beaucoup d’argent et nuire à la réputation de votre entreprise. Si vous vendez des produits en ligne ou recueillez des paiements en ligne et des informations sensibles auprès de vos clients, la protection de votre site web doit être une priorité absolue. Les pirates informatiques peuvent voler les informations privées de vos clients, leurs mots de passe, les données de leurs cartes de crédit, etc.

Vous n’avez pas à vous soucier uniquement du vol d’informations sensibles. Les pirates prennent souvent le contrôle de votre site web et de son contenu pour y installer des logiciels malveillants et peuvent même distribuer des logiciels malveillants à vos utilisateurs. Ils peuvent même vous demander une rançon pour récupérer l’accès à votre site web.

Certains pirates n’ont même pas besoin de raison pour attaquer votre site web, certains le font juste pour le “plaisir”.

La protection de votre site web WordPress n’est pas une chose à ignorer. Il existe un certain nombre de mesures faciles à prendre, même si vous n’êtes pas un expert en technologie, pour protéger votre site WordPress contre les piratages. Alors, plongeons dans la première étape de notre guide sur la sécurité de WordPress.

Le moyen le plus simple de protéger votre site ? Utiliser le meilleur plugin de sécurité WordPress

La première façon la plus simple et la plus efficace de protéger votre site WordPress est d’installer un plugin de sécurité WordPress. Un plugin de sécurité WordPress protègera votre site contre les dommages et vous donnera l’esprit tranquille en sachant que votre site est à l’abri des piratages, sans que vous n’ayez besoin d’entrer dans les détails techniques.

Les meilleurs plugins de sécurité WordPress doivent présenter les caractéristiques suivantes :

  • Scan – Un bon plugin de sécurité scannera régulièrement votre site web pour trouver des logiciels malveillants et d’autres menaces potentielles.
  • Pare-feu – Les pare-feu surveillent l’ensemble du trafic vers votre site et empêchent les robots vulnérables d’atteindre le serveur de votre site web.
  • Suppression et corrections – Votre plugin de sécurité doit garantir la suppression des logiciels malveillants et des corrections sur votre site au cas où vous seriez attaqué.

Comme il existe de nombreux plugins de sécurité WordPress, il est difficile de déterminer lequel d’entre eux offrira la meilleure protection à votre site web. Ainsi, pour vous aider à choisir le meilleur plugin de sécurité pour votre site WordPress, voici quelques-uns de nos choix pour les meilleurs plugins de sécurité WordPress.

1. Sucuri

sucuri-wordpress-security-plugin
Sucuri est notre premier choix pour le meilleur plugin de sécurité WordPress. Nous l’utilisons sur notre propre site web et nous l’adorons. Sucuri est une solution complète de sécurité de site web basée sur le cloud qui protégera votre site contre les logiciels malveillants, les attaques par force brute et toute autre menace potentielle.

Lorsque vous utilisez Sucuri, tout le trafic de votre site web passe par leurs serveurs CloudProxy et chaque requête est analysée afin de filtrer les requêtes malveillantes. Cela permet non seulement de protéger votre site web, mais aussi de réduire la charge du serveur et d’améliorer les performances et la vitesse de votre site.

Sucuri signale également les menaces de sécurité potentielles à l’équipe principale de WordPress et aux plugins tiers, dispose d’un antivirus qui surveille votre site toutes les 4 heures pour détecter les menaces, garde une trace de tout ce qui se passe sur votre site web, et bien d’autres choses encore.

Commencez dès aujourd’hui avec Sucuri.

2. SiteLock

sitelock-wordpress-security-plugin
SiteLock est un autre excellent plugin de sécurité WordPress. Il est livré avec toutes les fonctionnalités dont vous avez besoin pour protéger votre site, y compris des analyses de logiciels malveillants, un pare-feu d’application web géré, une prévention DDoS, et plus encore.

Leur technologie basée sur le cloud se déploie et protège votre site en quelques minutes, de sorte qu’elle fonctionne super rapidement pour trouver, corriger et prévenir les vulnérabilités. Chaque jour, SiteLock analyse vos thèmes WordPress, vos plugins et vos fichiers à la recherche de vulnérabilités potentielles qui pourraient entraîner l’inscription de votre site sur la liste noire.

De plus, lorsque SiteLock trouve et corrige automatiquement des vulnérabilités, il vous fournit un rapport facile à comprendre afin que vous puissiez en apprendre davantage sur la sécurité.

Commencez dès aujourd’hui avec SiteLock.

3. Wordfence

wordfence-wordpress-security-plugin
Wordfence est un autre puissant plugin de sécurité WordPress qui offre tout ce dont vous avez besoin pour protéger votre site web.

Wordfence propose un plugin gratuit qui inclut des fonctionnalités importantes telles qu’un pare-feu d’application web, un scanner de logiciels malveillants et une protection contre les attaques par force brute. Ce qui est parfait si vous débutez et que vous avez besoin d’une solution de protection rentable.

Avec Wordfence Premium, vous avez accès à des fonctionnalités encore plus puissantes, comme la liste noire des adresses IP en temps réel, les mises à jour en temps réel des règles de pare-feu et des signatures de logiciels malveillants, l’authentification à deux facteurs, le blocage des pays, et bien d’autres encore.

Le seul inconvénient de Wordfence est qu’il fonctionne sur votre propre serveur, au lieu d’être basé sur le cloud comme les autres plugins de sécurité.

Commencezdès aujourd’hui avec Wordfence.

Maintenant que vous avez quelques bonnes options pour les plugins de sécurité WordPress qui protégeront votre site web et vous mettront à l’aise, regardons d’autres façons de renforcer facilement la sécurité de votre site WordPress.

Choisir un hébergement WordPress sécurisé

Le choix d’un hébergement WordPress sécurisé est une autre étape importante pour garantir la sécurité de votre site web. Une bonne solution d’hébergement mutualisé prendra toujours les mesures nécessaires pour protéger ses serveurs contre les menaces. Les fournisseurs d’hébergement mutualisé tels que Bluehost, Hostinger et Siteground surveillent en permanence leur réseau pour détecter toute activité suspecte, ce qui vous évite d’avoir à vous inquiéter.

Les hébergeurs de ce type maintiennent également à jour les logiciels et le matériel de leurs serveurs, disposent d’outils pour prévenir les attaques DDoS et mettent en place des plans de protection de vos données au cas où un incident se produirait.

Un certificat SSL est un autre élément de sécurité essentiel qui devrait être fourni avec l’hébergement WordPress. Un certificat SSL permet de sécuriser la connexion entre votre site web et vos visiteurs, ce qui permet de protéger les informations personnelles, les transactions de commerce électronique et d’autres données sensibles.

Nous vous recommandons d’utiliser Bluehost pour l’hébergement de votre site WordPress.

bluehost-wordpress-hosting

Non seulement Bluehost est l’une des solutions d’hébergement les plus sûres pour votre site WordPress, mais ils ont également mis en place une offre intéressante pour les lecteurs d’IsItWP.

Lorsque vous vous inscrivez chez Bluehost, vous obtenez un domaine gratuit, un certificat SSL gratuit pour protéger votre site web, et plus de 72% de réduction sur l’hébergement web. Vous pouvez donc démarrer votre site web et vous assurer qu’il est sécurisé pour seulement 2,75 $/mois.

Démarrez avec Bluehost dès aujourd’hui.

D’autre part, si vous souhaitez un fournisseur d’hébergement encore plus sûr, vous pouvez également choisir un service d’hébergement WordPress géré. Le seul inconvénient d’une solution d’hébergement partagé comme Bluehost est que vous devez partager les ressources du serveur avec tous les autres clients. Cela signifie qu’il existe un risque qu’un pirate informatique utilise un site web voisin pour attaquer votre propre site web.

Avec un service d’hébergement WordPress géré comme WPEngine, c’est comme si vous disposiez d’un concierge de sécurité pour votre site WordPress. Les fournisseurs d’hébergement WordPress infogéré font tout le travail pour vous. Ils proposent des mises à jour automatiques de WordPress, des sauvegardes automatiques et des mesures de sécurité plus avancées qui en font une plateforme plus sûre pour votre site.

Utiliser des mots de passe forts et uniques

Un autre moyen très simple de mieux protéger votre site web est d’utiliser des mots de passe forts et uniques. 8 % des failles de sécurité de WordPress sont dues à un mot de passe faible. Le choix d’un mot de passe fort et sécurisé est un changement simple que vous pouvez effectuer et qui protégera votre site web des intrus.

Donc, si vous avez un mot de passe comme “ilovesdogs” ou même le redoutable “12345678”, changez-le maintenant. Consultez les conseils ci-dessous pour savoir comment choisir un mot de passe sûr :

  • Allongez-le – Il ne faut que 15 minutes à un programme de décryptage pour trouver un mot de passe de 8 caractères. Choisissez un mot de passe d’au moins 10 caractères.
  • Rendez-le unique – Ne choisissez pas des phrases courantes ou un mot sorti tout droit du dictionnaire, rendez votre mot de passe unique.
  • Mélangez-le – Ajoutez des caractères spéciaux, des chiffres et un mélange de lettres majuscules et minuscules.
  • N’utilisez pas de détails personnels – Évitez d’utiliser des détails personnels dans votre mot de passe, comme votre date de naissance, votre numéro de sécurité sociale ou votre adresse.

Vous ne voulez pas essayer de trouver un mot de passe sécurisé par vous-même ? Essayez l’outil gratuit de génération de mots de passe forts d’IsItWp.

isitwp-password-generator-tool

Avec notre outil de génération de mot de passe, vous pouvez instantanément obtenir un mot de passe hautement sécurisé pour votre administrateur WordPress qu’aucun pirate ne sera en mesure de comprendre. Vous pouvez décider de la longueur de votre mot de passe, si vous voulez inclure des lettres majuscules, des chiffres ou des caractères spéciaux et si vous voulez un mot de passe plus facile à retenir.

Il vous suffit de cliquer sur le cercle bleu pour générer un mot de passe fort. Si vous n’aimez pas le mot de passe généré, cliquez à nouveau pour obtenir instantanément un autre mot de passe fort.

Avec cet outil, vous pouvez facilement créer un mot de passe pour votre administrateur WordPress que les pirates mettraient plus d’une vie à trouver.

N’oubliez pas qu’une fois que vous avez trouvé un mot de passe sécurisé pour votre administrateur WordPress, n’utilisez pas ce mot de passe pour d’autres comptes.

Choisir un nom d’utilisateur fort pour l’administrateur de WordPress

Puisque nous parlons de la création d’un mot de passe fort, vous devriez également choisir un nom d’utilisateur fort pour votre administrateur WordPress. Un nom d’utilisateur fort est tout aussi important que le choix d’un mot de passe fort. En effet, si un pirate essaie de s’introduire sur votre site web, il doit trouver votre mot de passe et votre nom d’utilisateur.

Un nom d’utilisateur couramment choisi par les utilisateurs de WordPress est “admin” ou leur nom. Si vous avez un nom d’utilisateur simple, vous facilitez la tâche des pirates qui veulent pénétrer sur votre site. Vous devez donc créer un nom d’utilisateur plus fort.

Choisissez un nom d’utilisateur qui n’est pas lié au contenu de votre site web, n’incluez pas d’informations ou de détails personnels, et faites-en quelque chose qui vous soit propre et qui soit difficile à deviner pour d’autres personnes.

Vous pouvez également masquer votre nom d’utilisateur sur votre site web afin que les pirates ne puissent pas le voir. Dans votre tableau de bord WordPress, allez dans Utilisateurs, puis dans Votre profil. Allez dans le champ Afficher le nom publiquement en tant que et choisissez l’option d’afficher un surnom au lieu de votre nom d’utilisateur.

hide-wordpress-username

Conseil important: Ne rendez pas votre nom d’utilisateur trop obscur. Il doit être facile à retenir, car si vous oubliez votre mot de passe, vous aurez besoin de votre nom d’utilisateur pour le retrouver.

Respecter les meilleures pratiques en matière de thèmes et de plugins WordPress

L’un des avantages de l’utilisation de WordPress est l’accès à des milliers de plugins et de thèmes gratuits. Mais certains de ces plugins et thèmes peuvent menacer la sécurité de votre site web. En effet, près de 50 % des sites WordPress sont affectés par une faille de sécurité causée par un thème ou un plugin WordPress obsolète ou mal codé.

C’est pourquoi vous devez faire attention aux thèmes et aux plugins que vous choisissez de télécharger et d’installer sur votre site WordPress.

En règle générale, la meilleure façon de choisir des thèmes et des plugins WordPress sûrs est de choisir les plugins les plus populaires dans le répertoire officiel des plugins de WordPress. La sécurité réside dans le nombre. Si un grand nombre de personnes utilisent un plugin ou un thème et qu’il fait l’objet de nombreuses critiques positives, il s’agit très probablement d’un excellent plugin qui ne vous exposera pas à des vulnérabilités.

popular-wordpress-plugins

Si un plugin ou un thème est rarement mis à jour, qu’il fait l’objet d’un grand nombre d’avis défavorables de la part des clients ou qu’il manque de support, ce n’est probablement pas un plugin ou un thème que vous voulez utiliser sur votre site.

Pour savoir facilement quand un plugin a été mis à jour pour la dernière fois, il suffit d’aller sur la page du plugin dans le répertoire officiel de WordPress. Dans le coin supérieur droit de la page, vous pouvez voir quand le plugin a été mis à jour pour la dernière fois.

really simple ssl last updated

Ne téléchargez aucun plugin sans avoir fait des recherches au préalable. Assurez-vous que les plugins et les thèmes que vous choisissez sont fiables et sûrs.

Maintenez votre site WordPress à jour

L’étape suivante de ce guide de sécurité WordPress consiste à maintenir votre site WordPress à jour. Il est important de garder votre site WordPress à jour pour vous protéger contre les vulnérabilités. En fait, 39 % des sites WordPress piratés utilisaient une version obsolète du logiciel. La raison pour laquelle ces plugins et WordPress sont régulièrement mis à jour est généralement l’ajout d’améliorations de la sécurité et de corrections de bogues, vous devez donc rester à jour.

WordPress étant un logiciel libre, il est régulièrement entretenu et mis à jour. Alors que WordPress installe automatiquement les mises à jour mineures, pour les mises à jour majeures, vous devez lancer manuellement la mise à jour. Vous pouvez lire notre guide sur la mise à jour de WordPress.

Vous devez également veiller à ce que tous les plugins que vous avez installés en même temps que votre site WordPress soient mis à jour.

Heureusement, WordPress facilite la mise à jour de votre site, de vos plugins et de vos thèmes. Dans votre tableau de bord WordPress, vous trouverez une section ” Mises à jour”. Chaque fois qu’un de vos plugins tiers a besoin d’une mise à jour, vous recevez une notification à ce sujet. Il vous suffit de cliquer sur Mises à jour pour voir quels sont les plugins qui doivent être mis à jour. Vous pouvez sélectionner chaque plugin et cliquer sur le bouton Mettre à jour les plugins pour effectuer la mise à jour instantanément.

updates in wordpress

Dans cette zone, vous pouvez également vous assurer que vous avez installé toutes les dernières mises à jour de WordPress.

Installer un plugin de sauvegarde WordPress

Si votre site web est infecté par des virus ou des logiciels malveillants ou s’il est compromis par un pirate informatique, il est important qu’il soit sauvegardé. Idéalement, vous voudrez une sauvegarde complète de l’ensemble de votre site web, y compris de votre base de données et de tous vos fichiers WordPress. Cela peut sembler être un projet long et délicat, mais heureusement, il existe un certain nombre de plugins de sauvegarde WordPress géniaux qui feront tout le travail pour vous.

Voici quelques-uns de nos choix pour les meilleurs plugins de sauvegarde pour sécuriser et sauvegarder votre site web WordPress :

1. Duplicateur

Duplicator WordPress Backup and Migration Plugin

Duplicator est le meilleur plugin de sauvegarde et de migration pour WordPress. Il permet de garder facilement une sauvegarde à jour de l’ensemble de votre site avec des sauvegardes programmées de tout votre contenu WordPress.

Vous pouvez envoyer votre sauvegarde à plusieurs endroits dans le nuage pour vous assurer que vous avez toujours une copie de votre site à restaurer lorsque vous en avez besoin. Duplicator vous permet de vous connecter à Dropbox, FTP, Google Drive, OneDrive ou Amazon S3 pour un stockage sécurisé.

La restauration de vos sauvegardes est également simple, tout ce que vous avez à faire est de cliquer sur quelques boutons et le plugin fera le reste pour vous. Voir notre testcomplet de Duplicator “

Démarrez avec Duplicator dès aujourd’hui.

2. UpdraftPlus

updraftplus-backup-plugin

Avec plus d’un million d’installations actives, UpdraftPlus est l’un des plugins de sauvegarde les plus populaires. UpdraftPlus propose une version gratuite et une version payante de son plugin et avec les deux, vous pouvez facilement configurer des sauvegardes complètes, manuelles ou programmées de tous les fichiers de votre site web. Cela inclut votre base de données, vos plugins et vos thèmes.

Vous pouvez sauvegarder dans le nuage directement sur Dropbox, Google Drive, Amazon S3, et plus encore. De plus, vous pouvez restaurer vos fichiers en un seul clic – pas besoin d’être un as de l’informatique.

Démarrez avec UpdraftPlus dès aujourd’hui.

3. BackupBuddy

backupbuddy-backup-plugin

BackupBuddy protège un demi-million de sites web depuis 2010, c’est donc un autre choix populaire dans les plugins de sauvegarde. En quelques clics, BackupBuddy sauvegardera l’intégralité de votre site WordPress directement depuis votre tableau de bord WordPress.

Une fois que vous avez sauvegardé les pages de votre site, les articles, les thèmes, les plugins, les téléchargements de la bibliothèque de médias, et plus encore, BackupBuddy vous fournira un fichier zip téléchargeable de l’ensemble de votre site WordPress. Ainsi, si vous vous faites pirater, tout votre travail sera sauvegardé.

Commencez avec BackupBuddy dès aujourd’hui.

Limiter les tentatives de connexion

Protégez les pirates de l’accès à votre site WordPress en limitant les tentatives de connexion. Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent. Ce n’est pas l’idéal si vous voulez empêcher les pirates d’essayer de découvrir votre mot de passe et d’entrer sur votre site web. Limitez donc les tentatives de connexion pour empêcher la découverte de mots de passe par force brute.

Si vous utilisez un plugin de sécurité avec un pare-feu d’application web comme nous l’avons recommandé plus haut, ce problème est couvert par votre plugin de sécurité. Mais si ce n’est pas le cas, vous devrez télécharger un plugin comme Login LockDown.

login-lockdown-wordpress-security-guide

Login LockDown enregistre l’adresse IP et l’horodatage de chaque tentative de connexion échouée. Si plus d’un certain nombre de tentatives sont détectées dans un court laps de temps à partir de la même plage d’adresses IP, la fonction de connexion est désactivée pour toutes les demandes provenant de cette plage d’adresses IP.

Dans les paramètres du plugin, vous pouvez choisir le nombre maximum de tentatives de connexion, la période de restriction des tentatives, la durée du verrouillage, etc.

Ajouter des questions de sécurité au login WordPress

Une autre façon de renforcer la sécurité de votre connexion WordPress est d’ajouter des questions de sécurité. Les questions de sécurité agissent comme des mots de passe supplémentaires pour votre connexion WordPress, ce qui rend l’accès à votre site encore plus difficile pour les intrus.

Vous pouvez ajouter des questions de sécurité à votre connexion WordPress en utilisant un plugin comme WP Security Question. Avec ce plugin, vous pouvez définir une question de sécurité de votre choix pour le login WordPress, les écrans de mot de passe oublié et les enregistrements.

Il est également important de protéger les autres formulaires de votre site web. Par exemple, si vous souhaitez créer des formulaires de contact, des formulaires de soumission d’articles d’invités, des formulaires de commande, etc. pour votre site web, vous devez vous assurer que ces formulaires sont également sécurisés. Les pirates informatiques peuvent utiliser vos formulaires pour exposer des vulnérabilités et accéder à votre site web, c’est pourquoi il est important d’utiliser des formulaires sécurisés.

Lorsque vous utilisez un générateur de formulaire sécurisé tel que WPForms, vos formulaires seront déjà sécurisés, mais vous pouvez également ajouter des couches de sécurité supplémentaires à vos formulaires.

Avec WPForms, vous pouvez personnaliser les champs d’entrée de vos formulaires. Ainsi, un pirate ne peut pas saisir des lettres et des chiffres au hasard pour essayer d’accéder à votre site web, il ne peut saisir que les données que vous souhaitez voir saisies.

Vous pouvez également activer la fonction reCAPTCHA sur vos formulaires. Cela oblige tous les visiteurs qui soumettent un formulaire sur votre site à cliquer sur la case à cocher “Je ne suis pas un robot” avant de soumettre le formulaire. Cette fonction permet de lutter contre le spam des formulaires et d’éviter que les commentaires et les forums de votre site ne soient pénétrés et ne reçoivent des tonnes de commentaires non sollicités.

recaptcha-form-security

WPForms propose également un addon CAPTCHA personnalisé qui vous permet de personnaliser les questions et les réponses en tant que CAPTCHA sur vos formulaires.

Démarrez avec WPForms dès aujourd’hui.

Déconnexion automatique des utilisateurs inactifs

Saviez-vous que lorsque les utilisateurs laissent leur écran sans surveillance (comme laisser votre site web ouvert et s’éloigner de leur ordinateur), c’est en fait un risque pour la sécurité de votre site web ? Lorsqu’un utilisateur s’éloigne de son écran, des intrus peuvent prendre le contrôle de sa session, modifier son mot de passe ou d’autres informations sensibles relatives à son compte. Pour éviter cela, installez un plugin tel que Inactive Logout.

inactive-logout-ultimate-wordpress-security-guide

Une fois que vous avez installé et activé le plugin, vous pouvez aller dans Paramètres pour configurer les paramètres du plugin. Ici, vous pouvez décider de la durée en minutes pendant laquelle les utilisateurs sont autorisés à rester inactifs avant d’être déconnectés et vous pouvez également choisir le message qu’ils verront lors de la déconnexion.

Désactiver l’édition de fichiers sur votre site

Si un intrus parvient à accéder à votre site web, il peut facilement modifier les fichiers PHP des plugins et des thèmes à l’intérieur de l’interface d’administration de WordPress. En raison du risque de sécurité que cela représente, nous vous suggérons de désactiver cette fonctionnalité.

Si vous avez téléchargé le plugin de sécurité Sucuri que nous vous avons recommandé plus haut, vous pouvez le faire facilement grâce à sa fonction de durcissement.

Vous pouvez également désactiver cette fonctionnalité en ajoutant un petit morceau de code à votre site. Dans le fichier wp-config.php, ajoutez le code suivant :

// Interdire l'édition de fichiers
define('DISALLOW_FILE_EDIT', true ) ;

Cliquez ici pour obtenir des instructions détaillées sur la manière de modifier le fichier wp-config.phph dans WordPress.

Signes que votre site WordPress a été piraté

Si vous êtes novice en matière de WordPress et de création de sites web, vous vous demandez peut-être comment vous pouvez savoir que votre site WordPress a été piraté. Il est important de reconnaître que votre site a été piraté dès que possible. En effet, plus les pirates ont accès à votre site sans que vous vous en rendiez compte, plus ils peuvent faire de dégâts.

Soyez donc vigilant et consultez cette liste de signes indiquant que votre site WordPress a été piraté :

  • Impossibilité de se connecter à l’administration de WordPress – Si vous ne parvenez pas à vous connecter à l’administration de WordPress, et que vous savez que ce n’est pas parce que vous avez oublié votre mot de passe, c’est le signe qu’un intrus a accédé à votre site et a modifié vos données de connexion.
  • Site web lent ou non réactif – Si votre site web met plus de temps que d’habitude à se charger ou s’il n’est pas réactif, il y a de fortes chances qu’il ait été piraté. Cela peut se produire lorsqu’un pirate ajoute un morceau de code à votre site web ou lors d’une attaque connue sous le nom de déni de service.
  • Page d’accueil défigurée – Si la page d’accueil de votre site web change d’aspect ou affiche un message du pirate, c’est un signe évident que vous avez été piraté.
  • Baisse soudaine du trafic – Les pirates peuvent détourner le trafic de votre site web. Si vous constatez une baisse soudaine et importante du trafic sur votre site web, il se peut que vous ayez été victime d’un piratage.
  • Popups ou publicités indésirables – Si vous voyez des popups ou des publicités indésirables sur votre site web, vous avez été piraté par des intrus qui essaient d’envoyer le trafic de votre site web vers un site spammeur ou illégal.
  • Comptes d’utilisateurs suspects – La présence de comptes d’utilisateurs suspects dans WordPress est un autre signe de piratage. Si votre site dispose d’un système d’enregistrement ouvert et d’aucune protection contre le spam, de nombreux comptes de spam peuvent être créés, ce qui n’est pas très grave. Mais si vous n’avez pas d’enregistrement ouvert et que vous trouvez des comptes d’utilisateurs suspects avec des privilèges d’administrateur, c’est un signe que vous avez été piraté.
  • Activité inhabituelle dans les journaux du serveur – Les journaux du serveur sont de simples fichiers texte qui enregistrent les différentes activités qui se déroulent sur votre site web. Vous pouvez consulter ces journaux dans votre tableau de bord WordPress, sous la rubrique ” Statistiques“. Si vous constatez une activité inhabituelle dans vos journaux, c’est peut-être parce que vous avez été piraté.

Si vous ne disposez pas d’un plugin de sécurité qui surveille les activités suspectes pour vous, vous devez être vigilant lorsque vous recherchez les signes d’un piratage. Le plus tôt vous attraperez un intrus, le plus tôt vous pourrez rendre votre site web sûr.

Vous pouvez également utiliser notre scanner gratuit de sécurité des sites Web WordPress pour vérifier si votre site Web contient des logiciels malveillants ou des erreurs connues. Consultez également notre article sur les meilleurs livres WordPress, y compris les livres sur la sécurité.

isitwp-website-security-scanner

Avec notre outil gratuit développé par Sucuri, tout ce que vous avez à faire est d’entrer l’URL de votre site web et l’outil scanne instantanément votre site à la recherche de vulnérabilités potentielles. Une fois l’analyse terminée, vous obtiendrez un rapport complet sur la santé et la sécurité de votre site web.

Que faire si votre site a été piraté ?

Si vous constatez l’un des signes ci-dessus sur votre site WordPress, vous commencerez probablement à paniquer. Si votre site n’a jamais été piraté auparavant, il est difficile de savoir quelle est la prochaine étape à suivre. Mais ne vous inquiétez pas, vous pouvez récupérer votre site web.

La première étape pour réparer un site web piraté consiste à identifier la zone problématique. Utilisez les critères de la section précédente pour déterminer d’où vient le piratage. Par exemple, vous n’arrivez pas à vous connecter à l’interface d’administration de WordPress ? Ou votre site redirige-t-il les utilisateurs vers un autre site web ? Vous devez savoir d’où vient le problème pour pouvoir le résoudre.

Contactez ensuite votre hébergeur. La plupart des sociétés d’hébergement ont l’habitude de gérer ce type de situation et devraient donc être en mesure de vous aider à résoudre le problème. Ils pourront peut-être même vous donner des informations supplémentaires sur la manière dont le pirate a accédé à votre site, afin que vous puissiez éviter que cela ne se reproduise à l’avenir. Votre société d’hébergement devrait également être en mesure de vous aider à résoudre le problème, mais si ce n’est pas le cas, vous pouvez également vous adresser à d’autres organismes.

Si votre hébergeur peut réparer votre site web piraté, cela ne signifie pas que vous êtes seul. Vous pouvez vous tourner vers un service qui propose de réparer les sites piratés, comme Sucuri, le plugin dont nous avons parlé plus haut. Non seulement Sucuri protège votre site web contre les attaques potentielles, mais si votre site est piraté, il peut également le réparer.

Vous pouvez choisir votre plan tarifaire en fonction du temps de réponse que vous souhaitez, le temps de réponse garanti le plus rapide étant de 4 heures. Une fois votre site Web réparé, vous recevrez un rapport complet. Suivez notre tutoriel étape par étape : Comment réparer un site WordPress piraté et prévenir de futurs piratages

Nous espérons que ce guide ultime de la sécurité WordPress vous a aidé à apprendre comment protéger votre site web contre tous les types d’attaquants et d’intrus. La sécurité de WordPress ne doit pas être difficile, il suffit de mettre en œuvre ces conseils et votre site sera sécurisé. Si vous avez apprécié cet article, consultez notre autre article sur Comment mettre à jour correctement WordPress.

Commentaires   laisser une réponse

  1. Luke Cavanagh mars 20, 2020 à 8:46 pm

    Have seen Wordfence cause performance issues on sites.

Ajouter un commentaire

Nous sommes heureux que vous ayez choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre privacy policy, et que tous les liens sont en nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Engageons une conversation personnelle et constructive.

WordPress Launch Checklist

L'ultime liste de contrôle pour le lancement de WordPress

Nous avons rassemblé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi le gratuit !