WordPress est le SGC le plus utilisé au monde. Actuellement, près de 40 % de tous les sites utilisent WordPress. Sa grande popularité en fait malheureusement une cible régulièrement visée par les hackers. C'est la raison pour laquelle nous vous conseillons de renforcer la sécurité de votre site WordPress afin de limiter les risques de piratage.
Vous trouverez ci-dessous une liste des recommandations que vous pouvez mettre en œuvre pour sécuriser davantage votre site WordPress.
- Toujours mettre à jour
- Supprimez les plug-ins et les thèmes que vous n'utilisez pas
- Suivre le statut de votre site
- Protégez le répertoire wp-admin avec un mot de passe
- Créez un identifiant administratif personnalisé
- Désactivez l'exécution de PHP dans votre répertoire de téléchargement.
Toujours mettre à jour
Une partie des mises à jour WordPress consiste à résoudre les problèmes de sécurité susceptibles d'être exploités par des hackers. Il est donc essentiel de procéder aux mises à jour régulièrement. Vous pouvez facilement mettre à jour votre version, plugins et thèmes WordPress depuis votre WP Admin. Si vous n'avez pas accès à votre WP Admin, vous pouvez également faire la mise à jour manuellement.
- Comment maintenir mon site WordPress à jour ?
- Mettre à jour WordPress manuellement (sans accès à WP Admin)
En plus de l'installation WordPress de base, il est essentiel de vérifier régulièrement si de nouvelles mises à jour des plugins et thèmes que vous utilisez sont disponibles.
Conseil : Si vous ne souhaitez pas vous embêter à faire les mises à jour manuellement, apprenez-en davantage sur WordPress géré sur one.com et son Update Manager intégré.
Supprimez les plug-ins et les thèmes que vous n'utilisez pas
Chaque plug-in et thème que vous avez installé peut poser un risque de sécurité, donc moins vous en avez, mieux c'est.
Nous vous recommandons de supprimer tous les thèmes que vous n'utilisez pas, à l'exception des thèmes WordPress par défaut (Twenty Nineteen, Twenty Twenty, etc.). Procédez de même avec les plugins que vous n'utilisez plus. Vous pouvez les supprimer directement depuis votre WP Admin ou les supprimer depuis votre espace web.
N'oubliez pas de supprimer toute ancienne installation WordPress que vous auriez sur votre espace web, peut-être pour faire des tests ou des sauvegardes. Ces installations sont aussi vulnérables aux pirates.
Conseil : Installez uniquement les plugins et thèmes provenant de sources sûres. Si vous trouvez une version gratuite d'un thème normalement payant, il s'agit très probablement d'un malware « gratuit ».
Suivre le statut de votre site
Vérifiez que vous avez installé le plugin parent one.com gratuit afin de profiter des fonctionnalités d'analyse de site intéressantes telles que Health Monitor.
Health Monitor réalise des vérifications de base de votre site web. Cette fonctionnalité permet par exemple de vérifier que vous utilisez effectivement la dernière version WordPress. Cet outil vous permet de rester à jour sur les points essentiels de sécurité et de performance, et vous informe également sur les points essentiels qui requièrent votre attention. Selon les cas, le message « Tout est bon » ou une liste des recommandations sur les actions à prendre s'affichera.
Conseil : Grâce à Health Monitor Pro,vous pouvez ajouter les compléments WordPress géré afin de résoudre les problèmes en seulement un clic de souris.
Protégez le répertoire wp-admin avec un mot de passe
Bloquez les hackers et protégez votre dossier wp-admin avec un mot de passe afin de renforcer les paramètres de sécurité de votre profil administrateur WordPress.
Vous pouvez suivre notre guide pour protéger votre site web en utilisant .htaccess. N'oubliez pas de protéger uniquement votre répertoire wp-admin, et non pas votre site entier, sinon votre site web ne sera pas accessible. Placez les fichiers dans le dossier wp-admin.
Remarque : S'il existe déjà un fichier .htaccess dans le répertoire wp-admin, ajoutez le code généré au fichier existant. Ne le remplacez pas.
Une autre façon de prévenir les attaques sur votre site WordPress consiste à rediriger votre page de connexion WordPress par l'intermédiaire de votre panneau de configuration grâce à la fonctionnalité Advanced Login Protection.
Créez un identifiant administratif personnalisé
La plupart du temps les hackers essaient d'accéder à votre administration WordPress par une attaque par force brute au cours de laquelle les robots testent des millions de combinaisons de mots de passe et de noms d'utilisateurs pour parvenir à se connecter. Nous vous conseillons de créer un nom d'utilisateur unique afin que les hackers rencontrent davantage de difficultés à trouver vos identifiants.
Vous pouvez changer votre identifiant administratif dans phpMyAdmin, dans la table wp_users. Consultez notre guide sur comment accéder votre base de données.
Une fois que vous êtes connecté :
- Localisez le tableau wp_users (encore appelé 0_users dans certains cas).
- Identifiez le nom d'utilisateur de l'admin et cliquez sur Modifier.
- Dans user_login, saisissez un nouveau nom d'utilisateur sans le champ Valeur.
- Cliquez sur Poursuivre pour enregistrer.
Désactivez l'exécution de PHP dans votre répertoire de téléchargement.
Si vous avez installé WordPress manuellement, nous vous conseillons de désactiver l'exécution des scripts PHP dans votre dossier de téléchargements. Si vous avez utilisé l'installation en 1 clic, vous pouvez ignorer cette section. Pour l'installation WordPress en 1 clic, l'exécution des scripts PHP est désactivée par défaut.
Il s'agit d'une porte dérobée dans PHP facilement identifiable localisée dans le répertoire des téléchargements. À partir de cela, le malware se répand facilement sur votre site. Vous ne pouvez pas empêcher la porte dérobée d'être téléchargée, mais vous pouvez la neutraliser en évitant qu'elle ne se propage sur votre site en bloquant l'exécution des scripts PHP.
Vous pouvez désactiver l'exécution PHP en ajoutant ces lignes de code à votre fichier .htaccess situé dans le dossier de chargement (wp-content/uploads).
# Block executables
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
deny from all
</FilesMatch>
Consultez notre guide vous présentant toutes les étapes sur comment créer un fichier .htaccess et désactiver l'exécution des fichiers.
Remarque : Si vous avez déjà un fichier.htaccess existant sur votre espace web, vous n'avez pas besoin de créer un nouveau fichier. Au lieu de cela, vous pouvez ajouter le code au fichier existant.
Articles associés :
