Cet article a été publié pour la première fois le 8 septembre 2021 et mis à jour le 22 décembre 2023
Protéger son site WordPress contre les attaques peut paraitre délicat. En réalité, vous pouvez appliquer quelques principes et astuces relativement accessibles.
Certains des liens figurant dans cet article sont des « liens affiliés ». Cela signifie que si vous cliquez sur le lien et réalisez un achat, je recevrai une commission d’affiliation, sans frais supplémentaires pour vous. Si c’est le cas, merci de soutenir ce blog !
1. Pourquoi protéger son site WordPress
En étant victime d’un piratage, vous pourriez perdre tout votre travail, les données de vos utilisateurs et utilisatrices ou encore une partie de vos revenus. Vous pourriez également être déclassé.e.s ou mis.e.s sur liste noire par certains moteurs de recherche.
De plus, sachez que nettoyer un site qui contient du code malveillant peut s’avérer laborieux, chronophage et coûter très cher. Les efforts que vous investissez aujourd’hui diminueront drastiquement ces risques.
1.1 Règle d’or de la sécurité digitale
Enfin, notez que l’une des règles d’or pour se protéger en ligne est celle-ci : soyez un peu plus difficile à pirater que vos voisin.e.s ! C’est certes cynique, mais vrai. Les attaques exploitant des failles connues demeurent majoritaires et les sites mal ou non sécurisés sont les premières victimes. C’est pourquoi il est essentiel de protéger son site WordPress.
2. Protéger son site WordPress grâce à un hébergeur fiable
La première étape, et sans doute la plus importante, pour protéger son site WordPress porte sur le choix d’un hébergement de qualité. En plus de ce qu’on attend normalement d’un hébergeur (disponibilité des serveurs presque continue, assistance technique accessible en permanence, interface facile d’utilisation, etc.), la sécurité est également un aspect essentiel de ce service.
En effet, vous devriez bénéficier d’une installation de certificat SSL gratuite, de scans réguliers de votre serveur, d’une aide en cas de piratage, mais encore des versions les plus récentes de PHP, SQL, MariaDB, etc. Autrement dit, les technologies exploitées par WordPress doivent être à jour. Voici deux hébergeurs fiables et sécurisés qui offrent tous ces services et bien d’autres.
2.1 Kinsta
Kinsta est un excellent hébergeur web, spécialisé dans l’hébergement WordPress infogéré, c’est-à-dire en grande partie géré pour vous. Renommée pour son infrastructure qui permet d’accélérer la vitesse de chargement de votre site, cette entreprise offre les technologies les plus récentes pour héberger et sécuriser un site WordPress. L’assistance technique et les services proposés existent en français.
2.2 Cloudways
Alternative moins coûteuse, Cloudways est un des bons hébergeurs du moment. Leur assistance technique (disponible uniquement en anglais) est professionnelle et efficace. Cloudways propose des serveurs privés virtuels à bas prix, ce qui permet d’obtenir à la fois vitesse et sécurité pour un site. Par ailleurs, l’installation ou la migration de sites WordPress se fait très facilement.
3. Installer un certificat SSL
Une tâche essentielle pour protéger son site WordPress sera d’installer un certificat SSL. Celui-ci permet de chiffrer le trafic entrant sur votre site et d’empêcher son détournement. Ce certificat emploie le protocole HTTPS, version sécurisée du HTTP. Avantage supplémentaire, les moteurs de recherche, notamment Google, privilégient légèrement les sites qui ont recours à ce protocole.
Aujourd’hui, les certificats SSL sont gratuits grâce à Let’s Encrypt, une autorité de certification, et s’installent le plus souvent en quelques clics depuis le tableau de bord de votre hébergeur ou votre cPanel. Kinsta et Cloudways, mentionnés plus haut, offrent un certificat SSL délivré par Let’s Encrypt.
3.1 Alternative à Let’s Encrypt
En revanche, si votre hébergeur ne fournit pas de certificat SSL gratuitement, vous pouvez sécuriser un site WordPress en utilisant Cloudflare. Ce système est un réseau de livraison de contenu ou Content Delivery Network (CDN) en anglais. Il a le double avantage de protéger votre site de certains types d’attaques, notamment par l’installation d’un certificat SSL, et d’améliorer sa vitesse de chargement.
4. Installer une extension de sécurité pour protéger son site WordPress
Une autre étape importante pour protéger son site WordPress consiste en l’installation d’une extension de sécurité. Il en existe plusieurs très bonnes et il vous faudra choisir celle qui correspond le mieux à vos besoins. En voici deux parmi les plus populaires.
4.1 Wordfence
Avec plusieurs millions d’installations, Wordfence est une des extensions incontournables de la sécurité sur WordPress. C’est aussi l’extension de sécurité que je recommande.
Wordfence permet de protéger son site WordPress grâce à un scan régulier à l’échelle du serveur et en bloquant les attaques. Elle est aussi dotée de nombreuses fonctionnalités renforçant la sécurité de votre site (désactivation XML-RPC, authentification en deux étapes, reCAPTCHA) qui font d’elle un véritable couteau suisse.
4.2 Sucuri
Sucuri est une autre, voire l’autre, extension incontournable en matière de sécurité sur WordPress. Elle propose de nombreuses fonctionnalités identiques à celles de Wordfence pour protéger son site WordPress, mais agit de manière différente. Le trafic vers votre site est scanné et filtré dans le cloud. Sucuri supprime donc les attaques avant qu’elles n’atteignent votre site.
En revanche, Sucuri n’offre pas les mêmes fonctionnalités de protection de votre installation que Wordfence. Si vous choisissez Sucuri, vous devrez peut-être ajouter des extensions supplémentaires pour combler ces lacunes.
5. Protéger les identifiants
Dans WordPress, il est facile de découvrir les noms d’utilisateurs, mais Wordfence permet de protéger ceux-ci des attaques automatisées. En accédant à cette URL en navigation privée :
exemple.com/wp-json/wp/v2/users
et en remplaçant « exemple.com » par votre site vous pourrez vérifier si la récolte automatique de vos identifiants est possible. Si oui, je vous recommande dès lors d’utiliser Wordfence pour les protéger.
5.1 Diminuer l’efficacité des attaques
Sachez que découvrir votre identifiant ou ceux de vos utilisateurs et utilisatrices reste possible, notamment en accédant directement à votre site. Cependant, la plupart des attaques sont automatisées. En cachant vos identifiants, elles seront moins efficaces. C’est une forme de sécurité par évitement : vous rendez la tâche plus difficile aux pirates au lieu de leur fournir tous les éléments dont ils ont besoin.
Modifier l’identifiant par défaut
Il est donc essentiel de changer l’identifiant par défaut « admin » pour protéger son site WordPress, parce que c’est celui que les pirates essayeront en premier. N’utilisez pas non plus le nom de votre site ou votre URL, à l’envers ou en partie. Ces variantes sont connues et se retrouvent dans les bases de données employées pour les attaques par force brute. Ces dernières consistent en l’automatisation de tentatives de connexion pour deviner des combinaisons identifiants et mots de passe.
5.2 Identifiants uniques
Choisissez donc plutôt un identifiant unique et difficile à découvrir pour sécuriser un site WordPress. Celui-ci ne peut pas être modifié par défaut dans WordPress, mais vous pouvez tout de même procéder de la manière suivante pour le changer si votre identifiant actuel paraît trop simple.
Créez un nouvel utilisateur avec un identifiant complexe. Déconnectez-vous de WordPress et reconnectez-vous avec l’utilisateur que vous venez de créer. Puis, supprimez votre ancien utilisateur en prenant bien soin d’attribuer tout son contenu à votre nouvel utilisateur.
Notez que vous aurez toujours la possibilité de déterminer votre nom d’affichage, celui qui apparaît lorsque vous publiez un article ou répondez à un commentaire, par exemple.
6. Protéger son site WordPress grâce à des mots de passe complexes
L’utilisation de mots de passe uniques et complexes constitue un ingrédient crucial pour protéger son site WordPress. L’outil qui vous permet d’accomplir ceci aisément est un gestionnaire de mots de passe. Il chiffre et enregistre ces derniers pour que vous ne deviez en retenir qu’un seul. Les gestionnaires les plus connus restent sans doute LastPass et 1Password, mais d’autres tels que Bitwarden sont également efficaces.
Voici comment utiliser LastPass :
Notez que depuis la publication de cette vidéo, LastPass est devenu payant si vous souhaitez l’employer sur plusieurs appareils.
6.1 Alternatives analogiques
Vous pouvez aussi recourir à des méthodes analogiques pour consigner vos mots de passe. Par exemple, vous pouvez les écrire dans un carnet d’une façon difficile à déchiffrer (mais ne perdez pas le carnet !) Peu importe la technique, ce qui compte c’est qu’ils soient uniques, longs et complexes à trouver. Et même si cette étape semble insignifiante, elle constitue l’un des éléments les plus importants pour sécuriser un site WordPress.
7. Désactiver XML-RPC
Certaines attaques par force brute, mentionnées plus haut, utilisent XML-RPC. Ce protocole permet notamment de se connecter à WordPress à distance, mais l’API REST de WordPress le remplace progressivement. En réalité, la plupart du temps, XML-RPC n’est pas nécessaire et il est conseillé de le bloquer pour protéger son site WordPress.
Vous pouvez le désactiver facilement grâce à Wordfence, mais vous avez aussi la possibilité de le faire dans votre fichier .htaccess en y ajoutant ce morceau de code.
# Désactiver les requêtes pour xmlrpc.php <Files xmlrpc.php> order deny,allow deny from all </Files>
Vérifiez bien que cet ajout ne crée pas d’erreurs. Si vous constatez des problèmes, vous utilisez certainement une extension ou un thème qui nécessite XML-RPC.
8. Protéger son site WordPress en activant l’authentification multifacteurs
L’authentification multifacteurs est un principe de bonne hygiène numérique à adopter, non seulement dans WordPress, mais en général. Elle renforce la sécurité de vos comptes en y ajoutant une couche de protection supplémentaire si votre mot de passe est volé ou déchiffré.
Wordfence contient un module qui vous permet de paramétrer votre connexion en deux étapes.
Vous pouvez aussi installer l’extension suivante comme alternative à cette fonctionnalité de Wordfence : WP 2FA.
8.1 Connexion via un téléphone
Ensuite, vous devrez vous munir de votre téléphone lors de vos connexions. Vous aurez également la possibilité d’enregistrer votre appareil pendant 30 jours et de n’entrer votre code d’authentification qu’une fois par mois. Notez que l’authentification à deux facteurs combinée à des mots de passe forts est le facteur qui aura le plus d’impact pour sécuriser un site WordPress.
9. Choisir des thèmes fiables
La structure d’un site WordPress repose sur son thème. Il faudra impérativement le choisir de qualité, bien codé et régulièrement actualisé pour protéger son site WordPress. Les pirates affectionnent le code obsolète puisqu’en l’inspectant, ils trouvent souvent des vulnérabilités à exploiter.
Il existe de nombreux thèmes excellents, gratuits ou non. Si vous optez pour un thème payant, vous bénéficierez de mises à jour et d’une assistance technique. C’est précisément pour cela que vous payez. Mais les thèmes libres, notamment ceux qui sont développés par WordPress, constituent de bonnes alternatives.
9.1 Recommandations
Le thème Twenty Twenty-Four devrait déjà être préinstallé avec WordPress. Vous pouvez le personnaliser pour qu’il corresponde aux besoins de votre site.
Si vous souhaitez aller plus loin, le thème que je recommande en priorité pour le moment est GeneratePress. Il permet d’obtenir un site rapide, sécurisé et bien optimisé pour le référencement. Il existe une version gratuite pour créer un site simple ou une version payante qui permet de créer un site entièrement personnalisé.
Divi est une autre bonne option de thème payant qui propose de nombreuses fonctionnalités vous permettant de créer des éléments complexes, même si vous ne savez pas coder. L’atout principal de Divi est sa facilité d’utilisation. Cependant, cette facilité présente un inconvénient : Divi, comme la plupart des constructeurs de pages, tend à être plus lent.
10. Choisir des extensions fiables
Vos extensions sont importantes. Elles doivent être bien structurées et maintenues régulièrement, c’est-à-dire mises à jour. Fuyez celles qui n’ont pas été actualisées depuis plusieurs années et qui semblent à l’abandon. Leur code peut présenter des vulnérabilités qui anéantiront toute tentative de sécuriser un site WordPress. Tout comme pour les thèmes, un acteur malveillant pourrait exploiter ces failles.
10.1 Extensions populaires
De même, si le nombre d’installations d’une extension est peu élevé, elle pourrait se révéler de facture douteuse. Il y a évidemment des exceptions, à l’instar de projets neufs ou d’extensions de bonne qualité qui ne remportent simplement pas le succès qu’elles méritent.
En règle générale, plus une extension est connue et utilisée, plus l’équipe de développement peut créer une véritable entreprise. Et par conséquent, prendre le temps et avoir les moyens de fournir un travail rigoureux, mais aussi de la maintenir à jour et sécurisée. Les mises à jour régulières permettront donc de protéger son site WordPress.
11. Protéger son site WordPress en effectuant une maintenance régulièrement
Si vous passez du temps à rechercher un thème de qualité et des extensions fiables régulièrement entretenues, il faut ensuite que vous fassiez les mises à jour sur votre site, sinon vos efforts seront inutiles !
11.1 Faire les mises à jour
Il peut être délicat d’effectuer des mises à jour, car il arrive qu’elles « cassent » votre site. En effet, une nouvelle version d’une extension ou d’un thème peut engendrer un problème de compatibilité et défigurer l’aspect de vos pages, ou pire encore, empêcher l’accès à votre tableau de bord. Il y a donc une marche à suivre qui demande un peu de préparation, mais qui vous évitera de mauvaises surprises à long terme.
Tester les mises à jour
Tout d’abord, je vous recommande de créer un site de développement (ou staging en anglais), sous la forme d’une copie de votre site actif, pour tester vos mises à jour. La plupart des hébergeurs proposent aujourd’hui ce service en quelques clics.
Cette copie vous permet de vérifier non seulement les mises à jour de vos thèmes et extensions, mais aussi d’expérimenter les nouvelles fonctionnalités que vous souhaitez ajouter ou les mises en page que vous désirez modifier.
Appliquer les mises à jour
Après avoir effectué vos tests et confirmé qu’aucune erreur ne s’est produite, vous pouvez mettre à jour la version en ligne, manuellement ou à l’aide d’une extension. Dès lors, si quelque chose engendre un problème, votre site n’en pâtira pas. Notez que Wordfence peut être configurée pour envoyer des avertissements par e-mail des mises à jour disponibles, afin de sécuriser un site WordPress contenant des extensions vulnérables.
Mises à jour automatiques
Vous avez également la possibilité de les faire automatiquement, ce qui comporte des risques et des avantages. D’une part, vous pouvez avoir une mauvaise surprise avec un site défiguré après une mise à jour qui crée une incompatibilité ; d’autre part, vous ne devrez pas réaliser ce processus manuellement.
Toute mise à jour peut occasionner des dégâts, même si WordPress, vos extensions ou votre thème vous garantissent l’inverse. Néanmoins, c’est la solution que je privilégie actuellement pour des raisons de sécurité et de gain de temps. Si votre site est constamment à jour, vous limitez les risques d’incompatibilité entre vos extensions.
11.2 Effectuer des sauvegardes automatiques
Réaliser des sauvegardes régulières est indispensable pour sécuriser un site WordPress. S’il arrive quoi que ce soit à votre serveur, votre ordinateur ou encore votre hébergeur, comme ce fut le cas en mars 2021 chez OVH, par exemple, vos fichiers et vos données sont préservés. Vous ne perdrez donc pas tout votre travail.
Les sauvegardes s’effectuent facilement grâce à une extension. Pour minimiser les risques de destruction, vous devriez en garder au moins deux exemplaires sur deux supports différents et en dehors de votre serveur. Pour automatiser ce processus, je vous conseille d’utiliser UpdraftPlus.
Sauvegarde vers un stockage distant
Grâce à cette extension, vous pouvez envoyer vos fichiers vers Google Drive, Dropbox et autres. Vous pouvez également les télécharger sur votre ordinateur ou sur un disque dur externe, par exemple. Vous disposerez alors de trois versions : votre site actif ; une copie sur un espace de stockage en ligne ; et une sauvegarde hors-ligne.
12. Conclusion pour protéger son site WordPress
Sécuriser un site WordPress comprend un ensemble de principes à mettre en œuvre puis à actualiser régulièrement. Enfin, en appliquant l’un ou l’autre des dix points ci-dessus il est possible de mieux protéger votre site web.
Certains procédés sont spécifiques à WordPress, d’autres font partie des règles de prévention générales. Dans tous les cas, chaque fois que vous renforcez la sécurité de votre site, vous diminuez les risques de le voir endommagé ou détruit par une attaque malveillante.
N’hésitez pas à me faire part de vos questions dans les commentaires.