WordPress est le CMS (SGC - système de gestion de contenu) le plus utilisé au monde. Aujourd'hui, environ 25 % de tous les sites web opèrent sur WordPress. Malheureusement, à cause de cette popularité, il est également très apprécié par les pirates. Pour cette raison, nous vous conseillons de renforcer les mesures de sécurité de votre site WordPress, afin de minimiser le risque de piratage.
- Toujours mettre à jour
- Supprimez les plug-ins et les thèmes que vous n'utilisez pas
- Protégez le répertoire wp-admin avec un mot de passe
- Créez un identifiant administratif personnalisé
- Désactivez l'exécution de PHP dans votre répertoire de téléchargement.
Toujours mettre à jour
Certaines mises à jour WordPress sont destinées à réparer des fautes de sécurité qui peuvent être exploitées par les pirates. Il est ainsi très important d'effectuer ces mises à jour dès que possible. Vous pouvez les effectuer depuis votre administration WordPress ou manuellement.
Outre votre installation WordPress de base, il est aussi important de vérifier s'il y a des mises à jour disponibles pour les plugins et les thèmes que vous avez installés. Supprimez tout plugin ou thème que vous n'utilisez pas. Vous pourrez toujours les réinstaller après.
Astuce : Si vous ne souhaitez pas vous embêter avec des mises à jour manuelles, vous pouvez installer un plugin appelé Easy Updates Manager, qui gérera toutes les mises à jour WordPress.
Supprimez les plug-ins et les thèmes que vous n'utilisez pas
Chaque plug-in et thème que vous avez installé peut poser un risque de sécurité, donc moins vous en avez, mieux c'est.
Nous vous recommandons de supprimer tous les thèmes que vous n'utilisez pas, à l'exception des thèmes WordPress par défaut (2017, 2018, etc.). Il en va de même pour les plug-ins dont vous n'avez plus besoin.
N'oubliez pas de supprimer toute ancienne installation WordPress que vous auriez sur votre espace web, peut-être pour faire des tests ou des sauvegardes. Ces installations sont aussi vulnérables aux pirates.
Conseil :Installez uniquement les plugins et les thèmes provenant de sources fiables. Si vous trouvez une version gratuite d'un thème normalement payant, il y a de grandes chances qu'il soit accompagné de logiciels malveillants "gratuits".
Protégez le répertoire wp-admin avec un mot de passe
Une autre manière de se défendre contre les pirates est de protéger votre dossier wp-admin avec un mot de passe. Ainsi, vous ajoutez une couche de sécurité en plus à votre administration WordPress.
Vous pouvez suivre notre guide pour protéger votre site web en utilisant .htaccess. N'oubliez pas de protéger uniquement votre répertoire wp-admin, et non pas votre site entier, sinon votre site web ne sera pas accessible. Placez les fichiers dans le dossier wp-admin.
Remarque : S'il existe déjà un fichier .htaccess dans le répertoire wp-admin, ajoutez le code généré au fichier existant. Ne le remplacez pas.
Créez un identifiant administratif personnalisé
Les pirates essaient souvent d'avoir accès à votre administration WordPress par une Attaque par force brute : des robots essaient des milliers de combinaisons d'identifiants et de mots de passe différents pour pouvoir se connecter. Afin de rendre la connexion plus difficile, nous vous conseillons de créer un identifiant unique.
Vous pouvez changer votre identifiant administratif dans phpMyAdmin, dans la table wp_users. Consultez notre guide sur comment accéder votre base de données.
Une fois que vous êtes connecté :
- Localisez la table appelée wp_users (peut aussi être appelée 0_users).
- Retrouvez l'identifiant administratif et cliquez Modifier.
- Sous user-login, entrez un nouveau identifiant dans le champ Valeur.
- Cliquez Exécuter pour enregistrer.
Astuce :Il existe également plusieurs plugins qui peuvent améliorer la sécurité. Nous vous conseillons d'utiliser Wordfence Security ou iThemes Security.
Désactivez l'exécution de PHP dans votre répertoire de téléchargement.
Si vous avez fait une installation manuelle de WordPress, nous vous recommandons de désactiver l'exécution de PHP dans votre dossier de téléchargement. Si vous avez utilisé le programme d'installation en 1 clic, l'exécution est désactivée par défaut.
Il est courant qu'une porte dérobée PHP soit située dans le répertoire uploads. À partir de là, les logiciels malveillants se propagent à d'autres endroits de votre site. Vous ne pouvez pas empêcher la porte dérobée d'être téléchargée, mais en désactivant l'exécution de PHP, vous pouvez l'empêcher de se propager ailleurs.
# Block executables
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
deny from all
</FilesMatch>
# Block javascript except for visualcomposer (VC) plugin
RewriteEngine On
RewriteCond %{REQUEST_URI} !^.*wp-content/uploads/visualcomposer-assets/.*\.js$
RewriteRule ^(.*\.js)$ - [F,L]
Remarque : Si vous avez déjà un fichier.htaccess existant sur votre espace web, vous n'avez pas besoin de créer un nouveau fichier. Au lieu de cela, vous pouvez ajouter le code au fichier existant.
Articles associés :
