La sécurité de WordPress est un sujet d’une importance capitale pour tout propriétaire de site web.
Si vous prenez votre site au sérieux, vous devez faire attention aux meilleures pratiques de sécurité de WordPress. Sinon, vous risquez de faire partie des plus de 10 000 sites que Google inscrit chaque jour sur sa liste noire pour cause de logiciels malveillants et d’hameçonnage.
Dans ce guide, nous partagerons nos meilleures astuces de sécurité WordPress pour vous aider à protéger votre site contre les pirates et les logiciels malveillants.
Bien que le cœur du logiciel WordPress soit très sûr et fasse l’objet d’audits réguliers par des centaines de développeurs/développeuses, il reste encore beaucoup à faire pour assurer la sécurité de votre site.
Chez WPBeginner, nous pensons que la sécurité n’est pas seulement une question d’élimination des risques. Il s’agit également de réduire les risques. En tant que propriétaire de site, il y a beaucoup de choses que vous pouvez faire pour améliorer la sécurité de WordPress, même si vous n’êtes pas un expert en technologie.
C’est pourquoi nous avons dressé une liste des mesures à prendre pour protéger votre site contre les failles de sécurité.
Pour vous faciliter la tâche, nous avons créé une table des matières qui vous aidera à naviguer facilement dans notre guide ultime sur la sécurité de WordPress.
Table des matières
Les bases de la sécurité de WordPress
- Pourquoi la sécurité de WordPress est-elle importante ?
- Maintenir WordPress à jour
- Utiliser des mots de passe forts et des droits d’utilisateurs/utilisatrices
- Comprendre le rôle de l’hébergeur WordPress
La sécurité de WordPress en étapes par étapes (Aucun codage)
- Installer une solution de sauvegarde pour WordPress
- Installer une extension de sécurité WordPress réputée
- Activer un pare-feu d’application Web (WAF)
- Passez votre site WordPress en SSL/HTTPS
La sécurité de WordPress pour les utilisateurs/utilisatrices
- Modifier l’identifiant de l’administrateur par défaut
- Désactiver la modification des fichiers
- Désactiver l’exécution de fichiers PHP dans certains répertoires de WordPress
- Limiter les tentatives de connexion
- Ajouter l’authentification à deux facteurs (2FA)
- Modifier le préfixe de la base de données de WordPress
- Protéger par mot de passe la page d’administration et de connexion de WordPress
- Désactiver l’indexation et la navigation dans le répertoire
- Désactiver XML-RPC dans WordPress
- Journaliser automatiquement les utilisateurs/utilisatrices déconnectés sur WordPress
- Ajouter des questions de sécurité à la connexion WordPress
- Recherche de logiciels malveillants et de vulnérabilités sur WordPress
- Corriger un site WordPress corrompu
Vous êtes prêts ? Premiers pas.
Pourquoi la sécurité des sites web est-elle importante ?
Un site WordPress piraté peut causer de graves dommages au chiffre d’affaires et à la réputation de votre entreprise. Les pirates peuvent voler les informations et les mots de passe des utilisateurs, installer des logiciels malveillants et même distribuer des logiciels malveillants à vos utilisateurs/utilisatrices.
Pire, vous pouvez vous trouver à payer des ransomwares à des pirates informatiques juste pour retrouver l’accès à votre site.
Chaque jour, Google avertit 12 à 14 millions d’utilisateurs/utilisatrices qu’un site qu’ils essaient de visiter peut contenir des logiciels malveillants ou voler des informations.
En outre, Google inscrit chaque jour sur sa liste noire plus de 10 000 sites pour cause de logiciels malveillants ou d’hameçonnage.
Tout comme les propriétaires d’entreprises ayant un emplacement physique ont la responsabilité de protéger leur propriété, les propriétaires d’entreprises en ligne doivent accorder une attention particulière à la sécurité de leur WordPress.
Maintenir WordPress à jour
WordPress est un logiciel libre et il est régulièrement entretenu et mis à jour. Par défaut, WordPress installe automatiquement les mises à jour mineures.
Pour les versions majeures, vous devez lancer manuellement la mise à jour.
WordPress est également livré avec des milliers d’extensions et de thèmes que vous pouvez installer sur votre site. Ces extensions et thèmes sont gérés par des développeurs/développeuses tiers, qui publient régulièrement des mises à jour.
Ces mises à jour WordPress sont cruciales pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que votre cœur WordPress , vos extensions et votre thème sont à jour.
Utiliser des mots de passe forts et des droits d’utilisateurs/utilisatrices
Les tentatives de piratage de WordPress les plus courantes utilisent des mots de passe volés. Vous pouvez rendre cela difficile en utilisant des mots de passe plus forts et uniques pour votre site.
Nous ne parlons pas seulement de la zone d’administration de WordPress. N’oubliez pas de créer des mots de passe forts pour vos comptes FTP, vos bases de données, vos comptes d’hébergement WordPress et les adresses électroniques personnalisées qui utilisent le nom de domaine de votre site.
De nombreux débutants n’aiment pas utiliser des mots de passe forts parce qu’ils sont difficiles à retenir. La bonne chose est que vous n’avez plus besoin de vous souvenir des mots de passe car vous pouvez simplement utiliser un gestionnaire de mots de passe.
En savoir plus, consultez notre guide sur la gestion des mots de passe WordPress.
Une autre façon de réduire les risques est de ne donner à personne l’accès à votre compte d’administration WordPress, sauf en cas d’absolue nécessité.
Si vous avez une grande équipe ou des auteurs/autrices invités, assurez-vous de bien comprendre les rôles et permissions des utilisateurs/autrices dans WordPress avant d’ajouter de nouveaux comptes d’utilisateurs/autrices à votre site WordPress.
Comprendre le rôle de l’hébergeur WordPress
Votre service d’hébergement WordPress joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon fournisseur d’hébergement mutualisé comme Hostinger, Bluehost ou SiteGround prend des mesures supplémentaires pour protéger ses serveurs contre les menaces courantes.
Voici quelques exemples de la façon dont les bonnes entreprises d’hébergement web travaillent en arrière-plan pour protéger vos sites et vos données :
- Ils surveillent en permanence leur réseau à la recherche d’activités suspectes.
- Toutes les bonnes entreprises d’hébergement disposent d’outils pour prévenir les attaques DDoS à grande échelle.
- Ils maintiennent à jour le logiciel de leur serveur, les versions de PHP et le matériel afin d’empêcher les pirates d’exploiter une faille de sécurité connue dans une ancienne version.
- Ils disposent d’offres prêtes à l’emploi en matière de reprise après sinistre et d’accidents qui leur permettent de protéger vos données en cas d’accident majeur.
Avec une offre d’hébergement mutualisé, vous partagez les ressources du serveur avec de nombreux autres clients/clientes. Il existe un risque de contamination intersites, un pirate pouvant utiliser un site voisin pour attaquer votre site.
En revanche, l’utilisation d’un service d’hébergement WordPress infogéré constitue une plateforme plus sécurisée pour votre site. Les entreprises d’hébergement WordPress infogérées proposent des sauvegardes automatiques, des mises à jour WordPress automatiques et des configurations de sécurité plus avancées pour protéger votre site
Nous recommandons WP Engine comme notre fournisseur d’hébergement WordPress géré préféré. Il s’agit également de l’hébergeur le plus populaire du secteur.
Confirmez que vous faites une bonne affaire en utilisant notre coupon spécial WP Engine.
La sécurité de WordPress en quelques étapes par étapes (Aucun codage)
Nous savons que l’amélioration de la sécurité de WordPress peut être une idée terrifiante pour les débutants, en particulier si vous n’êtes pas technicien. Devinez quoi : vous n’êtes pas seul.
Nous avons aidé des milliers d’utilisateurs/utilisatrices de WordPress à renforcer leur sécurité.
Nous allons vous afficher comment vous pouvez améliorer la sécurité de WordPress en quelques clics (aucun codage nécessaire).
Si vous savez pointer et cliquer, vous pouvez le faire !
1. Installer une solution de sauvegarde pour WordPress
Les sauvegardes sont votre première défense contre toute attaque de WordPress. N’oubliez pas que rien n’est sûr à 100 %. Si les sites gouvernementaux peuvent être piratés, il en va de même pour le vôtre.
Les sauvegardes vous permettent de restaurer rapidement votre site WordPress en cas de problème.
Il existe de nombreuses extensions de sauvegarde WordPress gratuites et payantes que vous pouvez utiliser. La chose la plus importante que vous devez savoir en ce qui concerne les sauvegardes est que vous devez régulièrement enregistrer des sauvegardes de sites complets vers un emplacement distant (pas votre compte d’hébergeur).
Nous vous recommandons de le stocker sur un service de cloud comme Amazon, Dropbox, ou sur des clouds privés comme Stash.
En fonction de la fréquence des mises à jour de votre site, le réglage idéal pourrait être une sauvegarde quotidienne ou en temps réel.
Heureusement, cela peut être facilement fait en utilisant des extensions comme Duplicator, UpdraftPlus, ou BlogVault. Ils sont à la fois fiables et surtout faciles à utiliser (aucun codage n’est nécessaire).
Pour plus de détails, consultez notre guide sur la sauvegarde de votre site WordPress.
Installer une extension de sécurité WordPress réputée
Après les sauvegardes, la prochaine chose à faire est de configurer un système d’audit et de surveillance qui garde une trace de tout ce qui se passe sur votre site.
Cela comprend la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, l’analyse des logiciels malveillants, etc.
Heureusement, vous pouvez facilement vous en occuper en installant l’une des meilleures extensions de sécurité WordPress, comme Sucuri.
Vous devez installer et activer l’extension gratuite Sucuri Security. Pour plus de détails, veuillez consulter notre guide étape par étape sur l’installation d’une extension WordPress.
Vous pouvez maintenant vous rendre sur le tableau de bord de Sucuri Security « pour voir si le plugin a trouvé des problèmes immédiats avec votre code WordPress.
La prochaine chose à faire est de naviguer sur la page » Réglages » de Sucuri Security et de cliquer sur l’onglet » Durcissement « .
Les réglages par défaut fonctionnent bien pour la plupart des sites, vous pouvez donc les activer en cliquant sur le bouton « Appliquer le durcissement » pour chaque option.
Cela vous aide à verrouiller les zones clés que les pirates utilisent souvent dans leurs attaques.
Astuce : Nous aborderons d’autres moyens de durcir votre site ultérieurement dans cet article, comme la modification du préfixe de la base de données et de l’identifiant de l’administrateur. Cependant, ces méthodes sont plus techniques et peuvent nécessiter des connaissances en codage.
Après le durcissement, les autres réglages par défaut de l’extension sont suffisants pour la plupart des sites et ne nécessitent aucune modification.
La seule chose que nous vous recommandons de personnaliser, ce sont les alertes par e-mail, que vous trouverez dans l’onglet « Alertes » de la page des Réglages.
Par défaut, vous recevrez de nombreux e-mails d’alerte qui risquent d’encombrer votre boîte de réception.
Nous vous recommandons d’activer les alertes uniquement pour les actions clés dont vous souhaitez être informé, telles que les modifications d’extensions et les inscriptions de nouveaux utilisateurs/utilisatrices.
Ce plugin de sécurité WordPress est très puissant, alors parcourez tous les onglets et les Réglages pour voir tout ce qu’il fait comme l’analyse des logiciels malveillants, les Journaux d’audit, le suivi des tentatives de connexion échouées, et plus encore.
En savoir plus, vous pouvez consulter notre avis détaillé sur Sucuri.
Activer un pare-feu d’application Web (WAF)
Le moyen le plus simple de protéger votre site et d’avoir confiance en la sécurité de WordPress est d’utiliser un pare-feu d’application web (WAF).
Un pare-feu pour site web bloque tout trafic malveillant avant même qu’il n’atteigne votre site.
- Un pare-feu de site web au niveau DNS achemine le trafic de votre site via ses serveurs proxy dans le cloud. Cela vous permet d’envoyer uniquement du trafic authentique à votre serveur web.
- Un pare-feu au niveau de l’application examine le trafic une fois qu’il atteint votre serveur, mais avant de charger la plupart des scripts WordPress. Cette méthode n’est pas aussi efficace que le pare-feu au niveau du DNS pour réduire la charge du serveur.
Pour en savoir plus, consultez notre liste des meilleures extensions de pare-feu WordPress.
Nous avons utilisé Sucuri sur WPBeginner pendant de nombreuses années et nous le recommandons toujours comme l’un des meilleurs pare-feu d’application web pour WordPress. Nous sommes récemment passés de Sucuri à Cloudflare parce que nous avions besoin d’un réseau CDN plus grand avec des fonctionnalités plus axées sur les clients d’entreprise.
Vous pouvez lire comment Sucuri nous a aidés à bloquer 450 000 attaques WordPress en un mois.
La meilleure partie du pare-feu de Sucuri est qu’il est également livré avec une garantie de nettoyage des logiciels malveillants et de suppression de la liste noire. Cela signifie que si vous deviez être piraté sous leur surveillance, ils garantissent de corriger votre site, quel que soit le nombre de pages que vous avez.
Il s’agit d’une garantie assez solide, car la réparation des sites piratés est coûteuse. Les experts en sécurité facturent normalement plus de 250 $ de l’heure, alors que vous pouvez obtenir l’ensemble de la pile de sécurité Sucuri pour 199 $ pour toute l’année.
Cela dit, Sucuri n’est pas le seul fournisseur de pare-feu au niveau DNS. L’autre concurrent populaire est Cloudflare. Voir notre comparaison entre Sucuri et Cloudflare (avantages et inconvénients).
Passez votre site WordPress en SSL/HTTPS
SSL (Secure Sockets Layer) est un protocole qui permet de chiffrer le transfert de données entre votre site et le navigateur de l’utilisateur/utilisatrice. Grâce à ce chiffrement, il est plus difficile pour quelqu’un de renifler et de voler des informations.
Une fois que vous aurez activé le SSL, l’adresse de votre site utilisera HTTPS au lieu de HTTP. Vous verrez également un cadenas ou un signe iconique similaire à côté de l’adresse de votre site dans le navigateur.
Les certificats SSL sont généralement délivrés par des auteurs/autrices de certificats, et leur prix varie de 80 à plusieurs centaines de dollars par an. En raison des coûts supplémentaires, la plupart des propriétaires de sites ont, par le passé, choisi de continuer à utiliser ce protocole non sécurisé.
Pour corriger ce problème, une organisation à but non lucratif appelée Let’s Encrypt a décidé d’offrir des certificats SSL gratuits aux propriétaires de sites. Leur projet est supporté par Google Chrome, Facebook, Mozilla, et bien d’autres entreprises.
Il est plus facile que jamais de commencer à utiliser le SSL pour tous vos sites WordPress. De nombreuses entreprises d’hébergement proposent désormais un certificat SSL gratuit pour votre site WordPress.
Si votre entreprise d’hébergement n’en propose pas, vous pouvez acheter un certificat SSL auprès de Domain.com. Ils proposent les offres SSL les meilleures et les plus fiables du marché. Le certificat est assorti d’une garantie de sécurité de 10 000 $ et d’un sceau de sécurité TrustLogo.
La sécurité de WordPress pour les utilisateurs/utilisatrices
Si vous faites tout ce que nous avons mentionné jusqu’à présent, vous êtes en bonne position.
Mais comme toujours, vous pouvez faire plus pour renforcer la sécurité de WordPress.
N’oubliez pas que certaines de ces étapes peuvent nécessiter des connaissances en matière de codage.
Modifier l’identifiant de l’administrateur par défaut
Autrefois, le nom d’utilisateur par défaut de l’administrateur WordPress était « admin ». Comme les identifiants représentent la moitié des informations de connexion, il était plus facile pour les pirates de procéder à des attaques par force brute.
Heureusement, WordPress a depuis modifié cette règle et vous demande désormais de sélectionner un identifiant personnalisé au moment de l’installation de WordPress.
Cependant, certains programmes d’installation de WordPress en un clic définissent toujours l’identifiant administrateur par défaut à « admin ». Si vous notifiez que c’est le cas, il est probablement préférable de changer d’hébergeur.
Comme WordPress ne vous permet pas de modifier les noms d’utilisateur par défaut, il existe trois méthodes pour modifier le nom d’utilisateur.
- Créez un nouvel identifiant d’administrateur et supprimez l’ancien.
- Utiliser l’extension Username Changer
- Mise à jour de l’identifiant depuis phpMyAdmin
Nous avons abordé ces trois points dans notre guide détaillé sur la façon de modifier correctement votre identifiant WordPress.
Note : Pour être clair, il s’agit de modifier le nom d’utilisateur « admin », et non le rôle de l’administrateur/administratrices, qui est aussi parfois appelé « admin ».
Désactiver la modification des fichiers
WordPress est livré avec un éditeur de code intégré qui vous permet de modifier les fichiers de votre thème et de vos extensions directement à partir de votre zone d’administration WordPress.
Entre de mauvaises mains, cette fonctionnalité peut constituer un risque pour la sécurité, c’est pourquoi nous vous recommandons de l’inactif.
Vous pouvez facilement le faire en ajoutant le code suivant à votre fichier wp-config.php ou avec une extension d’extraits de code comme WPCode (recommandé) :
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Nous vous affichons la marche à suivre étape par étape dans notre guide sur la désactivation des éditeurs de thèmes et de plugins depuis le panneau d’administration de WordPress.
Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri mentionnée ci-dessus.
Désactiver l’exécution de fichiers PHP dans certains répertoires de WordPress
Une autre façon de renforcer la sécurité de WordPress est de désactiver l’exécution des fichiers PHP dans les répertoires qui n’en ont pas besoin, comme /wp-content/uploads/.
Vous pouvez le faire en ouvrant un éditeur de texte tel que Notepad et en collant ce code :
<Files *.php>
deny from all
</Files>
Ensuite, vous devez enregistrer ce fichier en tant que .htaccess et le téléverser dans le dossier /wp-content/uploads/
de votre site à l’aide d’un client FTP.
Pour une explication plus détaillée, consultez notre guide sur la désactivation de l’exécution de PHP dans certains répertoires WordPress.
Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri que nous avons mentionnée plus haut.
Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs/utilisatrices d’essayer de se connecter autant de fois qu’ils le souhaitent. Votre site WordPress est donc vulnérable aux attaques par force brute. C’est là que les pirates essaient de craquer les mots de passe en essayant de se connecter avec différentes combinaisons.
Ce problème peut être facilement corrigé en limitant le nombre de tentatives de connexion infructueuses qu’un compte peut effectuer. Si vous utilisez le pare-feu d’application web mentionné plus haut, ce problème est automatiquement résolu.
Toutefois, si vous n’avez pas configuré de pare-feu, vous pouvez suivre les étapes ci-dessous.
Tout d’abord, vous devez installer et activer le plugin gratuit Limit Login Attempts Reloaded. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’un plugin WordPress.
Dès son activation, l’extension commencera à limiter le nombre de tentatives de connexion des utilisateurs/utilisatrices.
Les paramètres par défaut fonctionneront pour la plupart des sites web, mais vous pouvez les personnaliser en visitant la page Paramètres » Limiter les tentatives de connexion et en cliquant sur l’onglet « Paramètres » en haut de la page. Par exemple, pour vous conformer aux lois GDPR, vous pouvez cliquer sur la case à cocher « Conformité GDPR ».
Pour des instructions détaillées, consultez notre guide sur comment et pourquoi limiter les tentatives de connexion dans WordPress.
Ajouter l’authentification à deux facteurs (2FA)
La méthode d’authentification à deux facteurs nécessite deux étapes par lesquelles les utilisateurs/utilisatrices se connectent :
- La première étape est l’identifiant et le mot de passe.
- La deuxième étape nécessite l’utilisation d’un code provenant d’un appareil ou d’une application en votre possession auquel les pirates ne peuvent pas accéder, comme votre smartphone.
La plupart des sites en ligne de premier plan, comme Google, Facebook et Twitter, vous permettent de l’activer pour vos comptes. Vous pouvez également ajouter la même fonctionnalité à votre site WordPress.
Tout d’abord, vous devez installer et activer le plugin WP 2FA – Two-factor Authentication. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’un plugin WordPress.
Un assistant convivial vous aidera à configurer l’extension, puis vous recevrez un code QR.
Vous devrez numériser le code QR à l’aide d’une application d’authentification sur votre téléphone, telle que Google Authenticator, Authy et LastPass Authenticator.
Nous vous recommandons d’utiliser LastPass Authenticator ou Authy car ils vous permettent de sauvegarder vos comptes sur le cloud. C’est très utile au cas où votre téléphone est perdu, réinitialisé ou que vous achetez un nouveau téléphone. Toutes les connexions de vos comptes seront facilement restaurées.
La plupart de ces apps fonctionnent de manière similaire, et si vous utilisez Authy, il vous suffit alors de cliquer sur le bouton » + » ou » Ajouter un compte » dans l’app d’authentification.
Cela vous permettra de scanner le code QR sur votre ordinateur à l’aide de l’appareil photo de votre téléphone. Il se peut que vous deviez d’abord donner à l’application le droit d’accéder à l’appareil photo.
Après avoir donné un nom au compte, vous pouvez l’enregistrer.
La prochaine fois que vous vous connecterez à votre site, le code d’authentification à deux facteurs vous sera demandé après avoir saisi votre mot de passe.
Ouvrez simplement l’application d’authentification sur votre téléphone et vous verrez apparaître un code à usage unique.
Vous pouvez ensuite saisir le code sur votre site pour finir de vous connecter.
Modifier le préfixe de la base de données de WordPress
Par défaut, WordPress utilise wp_
comme préfixe pour toutes les tables de votre base de données WordPress.
Si votre site WordPress utilise le préfixe de base de données par défaut, alors il est plus facile pour les pirates de deviner le nom de votre table. C’est pourquoi nous recommandons de le modifier.
Vous pouvez modifier le préfixe de votre base de données en suivant notre tutoriel étape par étape sur la modification du préfixe de la base de données de WordPress pour améliorer la sécurité.
Note : La modification du préfixe de la base de données peut endommager votre site si elle n’est pas effectuée correctement. Faites-le uniquement si vous vous sentez à l’aise avec vos compétences en matière de codage.
Protéger par mot de passe la page d’administration et de connexion de WordPress
Normalement, les pirates peuvent demander votre dossier wp-admin et votre page de connexion sans aucune restriction. Cela leur permet d’essayer leurs astuces de piratage ou de lancer des attaques DDoS.
Vous pouvez ajouter une protection supplémentaire par mot de passe au niveau du module du serveur, ce qui bloquera effectivement ces demandes.
Il vous suffit de suivre nos instructions étape par étape pour savoir comment protéger votre répertoire d’administration WordPress (wp-admin) par un mot de passe.
Désactiver l’indexation et la navigation dans le répertoire
Lorsque vous tapez l’adresse de l’un des dossiers de votre site dans un navigateur web, vous affichez la page web appelée index.html
si elle existe. Si elle n’existe pas, vous verrez s’afficher une liste de fichiers dans ce dossier. C’est ce qu’on appelle la navigation dans les répertoires.
La navigation dans les répertoires peut être utilisée par les pirates pour trouver si vous avez des fichiers présentant des vulnérabilités connues, afin qu’ils puissent tirer parti de ces fichiers pour obtenir un accès.
L’exploration des répertoires peut également être utilisée par d’autres personnes pour consulter vos fichiers, copier des images, trouver la structure de vos répertoires et d’autres informations. C’est pourquoi il est fortement recommandé d’inactiver l’indexation et l’exploration des répertoires.
Vous devez vous connecter à votre site en utilisant le protocole FTP ou le gestionnaire de fichiers de votre fournisseur d’hébergement. Ensuite, localisez le fichier .htaccess
dans le répertoire racine de votre site. Si vous ne le voyez pas, consultez notre guide sur les raisons pour lesquelles vous ne pouvez pas voir le fichier .htaccess dans WordPress.
Ensuite, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :
Options -Index
N’oubliez pas d’enregistrer et de téléverser le fichier .htaccess sur votre site.
Pour en savoir plus sur ce Sujet, consultez notre article sur la désactivation de la navigation dans les répertoires sur WordPress.
Désactiver XML-RPC dans WordPress
XML-RPC est une API cœur de WordPress qui aide à connecter votre site WordPress avec des applications web et mobiles. Elle est activée par défaut depuis WordPress 3.5.
Toutefois, en raison de sa puissance, XML-RPC peut amplifier considérablement les attaques par force brute.
Par exemple, si un pirate voulait essayer 500 mots de passe différents sur votre site, il devrait faire 500 tentatives de connexion distinctes. Cette situation peut être détectée et bloquée par l’extension Limit Login Attempts Reloaded.
Mais avec XML-RPC, un pirate peut utiliser la fonction system.multicall
pour essayer des milliers de mots de passe avec 20 ou 50 demandes.
C’est pourquoi, si vous n’utilisez pas XML-RPC, nous vous recommandons de le désactiver.
Il y a 3 façons de désactiver XML-RPC dans WordPress, et nous les avons toutes couvertes dans notre tutoriel étape par étape sur la façon de désactiver XML-RPC dans WordPress.
Astuce : La méthode .htaccess est la meilleure car elle est la moins gourmande en ressources. Les autres méthodes sont plus faciles pour les débutants.
Sinon, cela est pris en charge automatiquement si vous utilisez un pare-feu d’application web (WAF) comme nous l’avons mentionné plus haut.
Journaliser automatiquement les utilisateurs/utilisatrices déconnectés sur WordPress
Les utilisateurs/utilisatrices connectés peuvent parfois s’éloigner de l’écran, ce qui présente un risque pour la sécurité. Quelqu’un peut détourner leur session, modifier leur mot de passe ou apporter des modifications à leur compte.
C’est pourquoi de nombreux sites bancaires et financiers connectent automatiquement un utilisateur inactif. Vous pouvez configurer une fonctionnalité similaire sur votre site WordPress.
Vous devez installer et activer l’extension Déconnexion inactive. Une fois activé, visitez la page Réglages » Déconnexion inactive pour personnaliser les paramètres de déconnexion.
Il vous suffit de définir la durée et d’ajouter un message de déconnexion. N’oubliez pas de cliquer sur le bouton « Enregistrer les modifications » en bas de la page pour stocker vos réglages.
Pour obtenir des instructions étape par étape, Veuillez consulter notre guide sur la façon de connecter automatiquement les utilisateurs/utilisatrices inactifs dans WordPress.
Ajouter des questions de sécurité à l’écran de connexion de WordPress
En ajoutant une question de sécurité à votre écran de connexion WordPress, il est encore plus difficile pour quelqu’un d’obtenir un accès non autorisé.
Vous pouvez ajouter des questions de sécurité en installant le plugin Two Factor Authentication. Après l’activation, vous devez visiter la page Authentification multifactorielle » Authentification à deux facteurs pour configurer les paramètres du plugin.
Cela vous permettra d’ajouter différents types d’authentification à deux facteurs à votre site, y compris des questions de sécurité.
Pour des instructions plus détaillées, consultez notre tutoriel sur l’ajout de questions de sécurité à l’écran de connexion de WordPress.
Recherche de logiciels malveillants et de vulnérabilités sur WordPress
Si vous avez installé une extension de sécurité WordPress, celle-ci vérifiera régulièrement la présence de logiciels malveillants et de signes de failles de sécurité.
Cependant, si vous constatez une Avancée soudaine dans le trafic du site ou le classement des recherches, alors vous voudrez peut-être rechercher des logiciels malveillants manuellement. Vous pouvez le faire en utilisant votre extension de sécurité WordPress ou l’un des meilleurs scanners de sécurité et de logiciels malveillants.
L’exécution de ces analyses en ligne est assez simple. Il vous suffit de saisir l’URL de votre site et les robots d’indexation parcourent votre site à la recherche de logiciels malveillants connus et de codes malveillants.
Maintenant, gardez à l’esprit que la plupart des scanners de sécurité WordPress peuvent uniquement vous avertir si votre site contient des logiciels malveillants. Ils ne peuvent pas retirer les logiciels malveillants ou nettoyer un site WordPress piraté.
Cela nous amène à la section suivante, le nettoyage des logiciels malveillants et des sites WordPress piratés.
Corriger un site WordPress corrompu
De nombreux utilisateurs/utilisatrices de WordPress ne réalisent pas l’importance des sauvegardes et de la sécurité de leur site jusqu’à ce que leur site soit piraté.
Les pirates installent des portes dérobées sur les sites concernés et si ces portes dérobées ne sont pas corrigées correctement, il est probable que votre site sera à nouveau piraté.
Pour les utilisateurs/utilisatrices aventureux/euses et bricoleurs/euses, nous avons compilé un guide étape par étape pour corriger un site WordPress piraté.
Cependant, le nettoyage d’un site WordPress peut être très difficile et prendre beaucoup de temps. Nous vous conseillons donc de confier cette tâche à un professionnel.
Si vous payez pour utiliser le plugin de sécurité Sucuri mentionné ci-dessus, la réparation du site piraté est incluse dans le prix.
Vous pouvez également utiliser le service de réparation de sites piratés de WPBeginner Pro Services. Ce service nécessite un paiement unique de 249 $ et comprend la détermination des fichiers premium, la suppression des codes malveillants, les mises à jour logicielles et de sécurité, ainsi qu’une sauvegarde du site nettoyé.
Nous garantissons la réparation de votre site ou nous vous remboursons. Nous couvrons également votre site web pendant 30 jours après la réparation, de sorte que si vous êtes à nouveau victime d’un piratage pendant cette période, nous serons là pour le réparer.
Nous nettoyons et sécurisons les sites web WordPress depuis plus de 10 ans, vous aurez donc l’esprit tranquille lorsque vous utiliserez notre service de réparation de sites piratés.
Conseil bonus : engager un service de maintenance WordPress
En tant que propriétaire d’une petite entreprise très occupée, vous n’avez peut-être pas le temps de surveiller la sécurité de votre site web et de le protéger contre les vulnérabilités. Pour vous faciliter la tâche et alléger votre charge de travail, vous pouvez donc faire appel à un service de maintenance WordPress qui assurera une surveillance de la sécurité 24 heures sur 24 et 7 jours sur 7.
WPBeginner Pro Services offre une maintenance complète des sites WordPress à un prix abordable. Il comprend la surveillance de la sécurité, les sauvegardes de routine dans le nuage, les mises à jour de WordPress, la surveillance du temps de fonctionnement, et bien plus encore.
Il vous suffit de choisir une formule de maintenance mensuelle adaptée à vos besoins, et vous obtiendrez un site WordPress plus sûr et du temps libre pour travailler sur d’autres aspects de votre activité.
Si vous souhaitez d’autres recommandations, vous pouvez consulter notre sélection des meilleurs services de maintenance de sites Web pour WordPress.
Nous espérons que cet article vous a aidé à apprendre les meilleures pratiques de sécurité WordPress et à découvrir les meilleures extensions de sécurité WordPress pour votre site. Vous pouvez également consulter notre guide ultime de référencement WordPress pour améliorer votre classement SEO, et nos astuces d’experts sur la façon d’accélérer WordPress.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Kushal Phalak says
Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.
Ayanda Temitayo says
Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login
I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.
What’s your opinion about changing the default login route?
WPBeginner Support says
Changing your login URL is personal preference and not specifically for security.
Administrateur
al amin Sheikh says
Two important things in a website – Performance and Security.
Nicely explained how we can protect our site from hackers. Thanks, WPB.
WPBeginner Support says
You’re welcome
Administrateur
mohadese esmaeeli says
Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.
WPBeginner Support says
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Administrateur
Fajri says
Whoa, the method to Disable XML-RPC in WordPress is totally new for me.
I am gonna try to applicate it to add more security for my websites. Thanks for this information team!
WPBeginner Support says
Glad you found our article helpful
Administrateur
Murad Prodhan says
WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.
WPBeginner Support says
You’re welcome, glad the guide was helpful
Administrateur
Jiří Vaněk says
This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.
WPBeginner Support says
You’re welcome, glad our guide was helpful
Administrateur
Etop Udoekene says
Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
I am really grateful.
WPBeginner Support says
You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.
Administrateur
Mark Ellsworth says
Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.
WPBeginner Support says
Glad you found our security guide helpful
Administrateur
Ifakayode Femi says
I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way
Thanks for taking your time to compose this
Thanks a million times
WPBeginner Support says
Glad you found our guide and recommendations helpful!
Administrateur
Nikhil says
thankyou sir it’s information is to important thankyou so much sir
WPBeginner Support says
You’re welcome, glad to hear our article was helpful!
Administrateur
Yasin says
I am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support says
You’re welcome glad you found our guide helpful!
Administrateur
Belinda Viret says
Thank you for the great advice!
WPBeginner Support says
You’re welcome!
Administrateur
Marko Kozlica says
Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!
WPBeginner Support says
Glad you found our article helpful!
Administrateur
Federico says
Really good guide, very useful!
WPBeginner Support says
Glad you think so!
Administrateur
Claudio Lopes says
Following the tips and feeling that my site is more secure.
WPBeginner Support says
Glad to hear our guide could help you!
Administrateur
Bob De Maria says
Hi,
I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.
I can’t thank you enough for a very well written and much appreciated tutorial.
Best Regards,
Bob De Maria
WPBeginner Support says
Glad to hear our guide was helpful!
Administrateur
Kimberly says
FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.
WPBeginner Support says
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Administrateur
MS says
Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???
WPBeginner Support says
These should not cause a major change to your site’s speed.
Administrateur
john says
nice Article ,
Do use reCAPTCHA in forms is helpful in securing?
WPBeginner Support says
reCAPTCHA is for preventing spam more than security.
Administrateur
tim jackz says
Hello team,
If i install two security plugin in my wordpress website, is there any disadvantages for my website?
WPBeginner Support says
You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.
Administrateur
Diego says
My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.
I don’t quite understands all these different branches of WP.
Should I still need to upgrade?
WPBeginner Support says
Rather than upgrade, you need to update your site, you can take a look at our guide below for how to safely update your site:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Administrateur
Julia says
So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.
WPBeginner Support says
That would be a WordPress.com limitation, for the difference between WordPress.com and WordPress.org we would recommend taking a look at our article below:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Administrateur
Trisha says
Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?
WPBeginner Support says
That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.
Administrateur
Ish says
I took over a word press site how would i know if my site has a cloud backup account prior before me?
WPBeginner Support says
You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.
Administrateur
Lu says
How can you find out if your site uses XML-RPC? Really useful as always. Thank you.
WPBeginner Support says
If your version of WordPress is up to date it should be active on your site normally.
Administrateur
Julie Taylor says
Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?
WPBeginner Support says
The security recommendations should not affect your site’s SEO
Administrateur
MooN Minhas says
Thanks for sharing nice information.
WPBeginner Support says
Glad you found it helpful
Administrateur
Samuel says
is this guide also applies to WordPress.com users?
WPBeginner Support says
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Administrateur
Leanne says
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support says
You’re welcome and glad you’ve found our content helpful
Administrateur
Daniel says
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support says
You’re welcome
Administrateur
Power says
Thanks for the article, its really useful
WPBeginner Support says
You’re welcome
Administrateur
Mydas says
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support says
You’re welcome, glad our guide was helpful
Administrateur
Splendor Edesiri says
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support says
No, that is not required
Administrateur
Kam says
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support says
While some hosts offer backups, we still recommend creating your own backups for safety
Administrateur
Kyle B. says
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support says
Thanks for sharing your opinion and glad you liked our article
Administrateur
kalmoa says
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support says
Thank you for sharing this for the users who specifically are using Nginx for their site.
Administrateur
Tom says
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support says
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Administrateur
Kartik Satija says
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support says
Glad you found our guide helpful
Administrateur
MIMIFTAH says
Very Informative content. Thanks
WPBeginner Support says
You’re welcome
Administrateur
Liz says
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support says
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Administrateur
Gary Starling says
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support says
You’re welcome, glad our article could be helpful
Administrateur
Andrei says
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support says
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Administrateur
Andrei says
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter says
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support says
You’re welcome, glad our guide was helpful
Administrateur
Aqib khan says
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support says
Thank you, glad you’ve enjoyed our content
Administrateur
mahmoud says
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support says
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrateur
Krishna says
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support says
You’re welcome, glad our article was helpful
Administrateur
Kushal says
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support says
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrateur
Leighann says
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support says
You’re welcome, glad our guide could be helpful
Administrateur
Dietrich says
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support says
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Administrateur