1. Accueil
  2. Base de connaissances
  3. Hébergement web
  4. Sauvegarde & Sécurité
  5. Comment protéger votre site web WordPress contre le hacking ?

Comment protéger votre site web WordPress contre le hacking ?

Les conseils repris dans cet article ont été fournis par Brecht Ryckaert – notre expert de WordPress en interne. Le livre qu’il a publié sur la sécurité de WordPress traduit parfaitement ses nombreuses années d’expérience dans le domaine du célèbre SGC. 

Que vous ayez votre propre site web codé sur mesure ou que vous utilisiez un SGC, vous devez avant tout toujours suivre les règles générales pour éviter que votre site web soit hacké. Il s’agit de règles de bon sens dont vous devez tenir compte à tout moment.

Dans cet article, vous trouverez également des mesures anti-hacking que vous pourrez adopter pour protéger votre site web, et qui sont spécifiquement axées sur WordPress :

DANS CET ARTICLE

Installez un plugin de sécurité efficace : Wordfence

Vous avez besoin d’un plugin de sécurité qui soit efficace au sein de WordPress. Pour ma part, j’utilise Wordfence à cette fin, étant donné qu’il a largement fait ses preuves en ce qui concerne les mises à jour, qu’il ne génère aucune faille de sécurité et qu’il permet de déployer rapidement des correctifs ou des mesures contre les nouvelles attaques et/ou failles de sécurité développées par les hackers. De plus, vous pouvez paramétrer Wordfence de manière très stricte en configurant les options suivantes (c’est du moins ce que je fais) :

Paramètres recommandés pour Wordfence

  • Protection contre les attaques par force brute :
      • Verrouillage après 2 tentatives de connexion échouées
      • Verrouillage après 2 tentatives de connexion avec mot de passe oublié
      • Période au cours de laquelle les échecs sont comptabilisés : 1 jour
      • Période au cours de laquelle l’utilisateur reste en situation de verrouillage : 2 mois
      • Bloquer automatiquement un nom d’utilisateur incorrect : activé
  • Empêcher les mots de passe d’être divulgués lors de violations de données : Pour tous les utilisateurs
  • (Facultatif) Limitez le « Nombre maximal d’alertes par e-mail à envoyer par heure » dans les « Préférences d’alerte par e-mail » à 5 par heure ou moins. De cette façon, vous éviterez que les fonctions de messagerie de votre e-mail soient bloquées en raison du trop grand nombre d’e-mails envoyés en tant qu’alertes.

Bonnes pratiques pour une sécurité optimale de WordPres

Il va de soi qu’à lui seul, un plugin de sécurité ne suffit pas. Au sein même de WordPress, il existe un certain nombre de bonnes pratiques que vous devez suivre :

  • N’utilisez pas de noms d’utilisateurs génériques. Les noms d’utilisateurs tels que « admin », « administrator » ou « webmaster » ne sont pas sûrs. Ce sont en effet les premiers noms d’utilisateurs que les hackers essaieront d’utiliser dans le cadre d’une attaque par force brute. Votre nom figure-t-il quelque part sur le site web ? Dans ce cas, évitez de l’utiliser comme identifiant, car les hackers essaieront aussi d’utiliser ce nom.
  • Soyez vigilant en ce qui concerne les permissions accordées aux administrateurs. Ne donnez pas systématiquement un compte administrateur à chaque utilisateur. Accordez plutôt un minimum de permissions. N’oubliez pas qu’un utilisateur disposant de permissions de modification aura déjà la possibilité de modifier votre contenu.
  • Activez l’authentification à deux facteurs. Mettez en place (lorsque cela est possible) une méthode d’authentification à deux facteurs pour chaque utilisateur.
  • Maintenez tout à jour. WordPress est une plateforme très populaire, ce qui signifie qu’elle est soutenue par une immense communauté de développeurs (ce qui permet de résoudre les problèmes et les failles plus rapidement grâce aux mises à jour), et que WordPress attire davantage l’attention des hackers (ce qui signifie que les failles peuvent être exploitées plus rapidement). C’est pourquoi il est essentiel d’installer rapidement les mises à jour disponibles. Je vous recommande de vérifier la disponibilité de nouvelles mises à jour quotidiennement, ou au minimum tous les deux jours, et d’installer ces dernières dès leur mise à disposition.
    ManageWP

    Si vous avez beaucoup de sites à gérer, un système de gestion tel que ManageWP, MainWP ou InfiniteWP peut offrir une solution provisoire. J’utilise moi-même MainWP pour gérer mes propres sites web WordPress. (vous pouvez créer un lien pointant vers ces sites web) Vous n’avez pas envie de vous charger de tout cela ? Dans ce cas, hébergez vos sites web sur notre plateforme WordPress infogérée, et nous les maintiendrons automatiquement à jour en y installant les dernières versions exploitables de vos plugins, de vos thèmes et de WordPress.

  • Supprimez les plugins qui ne sont pas (ou plus) mis à jour.
    Vérifiez également si les plugins que vous utilisez sont toujours en cours de développement. Parfois, les plugins sont « abandonnés », ce qui signifie que le plugin est toujours disponible dans le référentiel, mais que le développeur ne travaille plus dessus. Vous pouvez vérifier cela sur la page du plugin sur WordPress.org.
    Sur le côté droit de la page, vous pouvez voir quand le plugin a été mis à jour pour la dernière fois. Il est fortement déconseillé d’utiliser un plugin qui n’a pas été mis à jour au cours des 12 derniers mois. Si vous utilisez un outil de gestion tel que MainWP, ce dernier portera également à votre attention les plugins qui ne sont plus mis à jour (et qui constituent donc un risque potentiel).

Sécurisez votre serveur via .htaccess

En plus de travailler avec votre WordPress pour le protéger, vous pouvez également fournir une certaine sécurité nécessaire au niveau du serveur.

Vous pouvez limiter l’accès à certains fichiers via le fichier .htaccess. Vous trouverez quelques exemples concrets de ce principe sur le blog de Brecht : https://brechtryckaert.com/wordpress/improving-wordpress-security-with-the-htaccess/ . Bien entendu, il s’agit là de l’essentiel ; pour bien faire, vous pouvez sécuriser d’autres fichiers et répertoires via le fichier .htaccess, en fonction des spécificités de votre site web.
Nous espérons que cet article vous a été utile. Pour compléter les efforts que vous déployez pour protéger votre site web WordPress, n’oubliez jamais de suivre les règles générales pour éviter que votre site web soit hacké.
Mis à jour le 20 juillet 2021

Cet article a-t-il été utile ?

Need Support?
Can't find the answer you're looking for?
Contact Support

Avez-vous trouvé une solution ?

support_bottom_contact_alt

Nos spécialistes sont prêts à vous fournir une assistance gratuite 24 h/24 et 7 j/7. N’hésitez pas à contacter Joachim et ses collègues via e-mail ou téléphone.

support_bottom_contact_alt
Joachim Coessens Assistance fournie par des spécialistes