Aucun cookie, aucun chatbot, aucun popup gossant, juste un bon vieux site web comme on les aime !

😎 Horaire d'été en vigueur pour les consultations express 😎

Réserve ta consultation maintenant !

🇵🇸 Je remettrai 3% de mon chiffre d'affaires de 2025 en soutien à la Palestine 🇵🇸

Crescent Moon IconPleine confianceCrescent Moon Icon

Sécuriser ton site WordPress


1,720 mots - Temps de lecture estimé: 10 minutes

Comme plus de 60 % des entreprises, tu utilises probablement WordPress pour héberger ton site web. Dans ce tutoriel, je vais te présenter quelques techniques pour mieux protéger ton site WordPress.

🌘 La structure de l'application WordPress

WordPress est un gestionnaire de contenu (Content Management System, abrégé en CMS) basé sur le langage de programmation PHP et une base de données MySQL (ou MariaDB).

C'est une combinaison très populaire de technologies pour construire des applications web depuis près de 30 ans. Cependant, ça la rend aussi plus intéressante pour orchestrer des attaques contre des sites web.

L'ensemble des technologies utilisant le langage PHP et la base de données MySQL est souvent appelé LAMP Stack, pour Linux, Apache, MySQL et PHP. Aujourd'hui, le serveur web Nginx est plus populaire que celui d'Apache, httpd, mais c'est ce dernier qui a sa place dans l'acronyme parce que c'est le plus ancien.

🌘 MySQL

Les bases de données MySQL sont généralement sécuritaires. Cependant, une base de données n'a aucun mécanisme pour détecter des commandes dites "injectées" et prévenir leur exécution. C'est l'application qui est responsable de filtrer ce qu'elle envoie à la base de données.

Il faut donc limiter le plus possible la saisie de données pouvant interagir avec la base de données. C'est pourquoi on va bloquer les inscriptions et les commentaires.

🌘 Le langage de programmation PHP

Les développeurs n'ont pas conçu le langage PHP pour être sécuritaires, malgré de nombreuses améliorations au fil des années. Comme beaucoup de gens utilisent le langage PHP, ça en fait une cible de choix.

C'est pourquoi on va limiter les extensions installées dans Wordpress le plus possible.

008001-wordpress-extensions001.png

Chaque extension va ouvrir des portes additionnelles que les pirates peuvent exploiter. C'est ce qu'on appelle la surface d'attaque en cybersécurité. Le risque est encore plus important si elles ne sont pas mises à jour aussi souvent que le cœur de Wordpress.

🌘 Prenons action

🌘 Désactiver les inscriptions

Sur certaines installations de Wordpress, le système ouvre la création de comptes par défaut. Ces comptes permettent notamment de publier des commentaires ou de configurer certaines préférences. Ils permettent aussi de publier, si on donne les permissions appropriées.

Ce n'est généralement pas une bonne idée de laisser la création de comptes ouverts parce que ça peut créer une opportunité pour les pirates d'avoir plus d'accès dans ton site.

Tu peux désactiver les inscriptions dans le panneau Réglages, dans la section Général

wordpress-desactiver-inscriptions.png

🌘 Désactiver les commentaires

wordpress-comments.png

WordPress inclut un module de commentaires.

Les utilisateurs l'utilisent de moins en moins et les attaquants le ciblent de plus en plus dans certains types d'attaques.

C'est mieux de le désactiver si on ne l'utilise pas activement. Tu peux y accéder par la section Réglages, puis Commentaires de ton panneau d'administration, ou via cette page (remplace`<mon.site>` par ton nom de domaine) :

https://<mon.site>/wp-admin/options-discussion.php

Une fois sur la page de configuration, tu peux désactiver toutes les cases sauf celle qui mentionne ce message :

"L’auteur ou l’autrice d’un commentaire doit renseigner son nom et son adresse e-mail".

wordpress-comments002.png

Ceci devrait désactiver la majorité des commentaires. Cependant, certains robots vont quand même réussir à en créer, mais le système ne les affichera jamais.

🌘 Mettre à jour sa version de WordPress

Lorsqu'une nouvelle version de révision ou mineure de WordPress est disponible, tu peux généralement l'installer sans souci.

Le truc, c'est de désactiver les extensions avant de le faire, puis de les réactiver une par une. Tu peux le faire depuis cette page : https://<ton.site>ton-site.com/wp-admin/plugins.php.

Je te conseille aussi de les désactiver une par une, ça diminue les risques d'erreurs. Comme ça, s'il arrive de quoi, tu sais que c'est à cause de la dernière manipulation que tu as faite. C'est aussi une bonne occasion pour supprimer toutes celles qui ne servent plus à rien. Chaque extension ouvre la porte à des failles de sécurité de plus.

Moins d'extensions = moins de portes d'entrée pour les pirates.

Assure-toi de les avoir mises à jour avant de faire celle de WordPress. De toute façon, elles ne se mettront jamais à jour avec une version plus récente que celle de WordPress qu'elles supportent.

C'est donc possible qu'après une mise à jour de WordPress, tu aies à faire une mise à jour des extensions à nouveau. Si des extensions ne fonctionnent plus avec la nouvelle version de WordPress, c'est mieux de les laisser désactivées et d'attendre leur mise à jour, ou de les supprimer.

Il ne faut pas laisser passer une mise à jour mineure ou de révision de WordPress pour une extension. Sécurité avant tout!

🌘 Companion Auto Update

Il y a une extension pour faire des mises à jour automatiques qui se nomment Companion Auto Update. C'est une bonne chose de la mettre en place lorsque tu as stabilisé ton site web et que tu n'as pas installé trop d'extensions.

https://wordpress.com/plugins/companion-auto-update

🌘 Sauvegarder manuellement ton site Wordpress

Depuis le menu Outils > Exporter, tu peux obtenir un fichier au format XML qui contient tout le contenu texte ainsi que toutes les métadonnées de ton site web, ou via cette page (remplace`<mon.site>` par ton nom de domaine) : https://<mon.site>/wp-admin/export.php

Attention : La page "Exporter les données" est pour répondre aux normes de portabilités des données du RGPD et de la loi 25 (en septembre 2024), ce n'est pas ça qu'on utilise ici.

wordpress-sauvegarde001.png

Ce fichier n'inclut cependant pas le contenu de ta médiathèque WordPress. Tu peux l'obtenir en deux étapes :

  1. Installer l'extension Export Media Library: https://fr.wordpress.org/plugins/export-media-library/

    export-media-extension.png

  2. Depuis le menu Médias, tu as maintenant l'option`Export`. Choisis Nested Folders et Yes, puis lance l'exportation.

    export-media-extension-usage.png

Je t'invite maintenant à sauvegarder ces deux fichiers sur ton disque externe chiffré et ton stockage infonuagique.

Il y a plusieurs extensions pour sauvegarder WordPress, donc UpdraftPlus, mais, de base, tu as tout ce qu'il te faut pour restaurer un site WordPress avec ces deux fichiers-là.

Si tu utilises un builder tel que Divi ou Elementor, je te réfère à leur documentation parce que ces systèmes altèrent le fonctionnement normal de Wordpress. Ils vont généralement te recommander d'installer UpdraftPlus.

C'est ce qu'on va faire à la prochaine section.

🌘 Installer UpdraftPlus

Je vais ici te montrer comment installer la sauvegarde automatique avec UpdraftPlus. C'est facultatif et si tu es à l'aise de faire une sauvegarde manuelle de temps en temps, ce n'est pas requis.

https://fr.wordpress.org/plugins/updraftplus/

Depuis la section des Extensions, clique sur le bouton Ajouter, puis recherche Updraft Plus. Clique sur Installer Maintenant, puis sur Activer. Suis ensuite les instructions guidées.

wordpress-sauvegarde002.png

La version gratuite te permet de sélectionner une seule destination, avec des fonctionnalités limitées. Tu peux choisir ton fournisseur de stockage infonuagique préféré.

C'est probable que tu aies rapidement à installer la version payante pour faire ce que tu souhaites. C'est pourquoi à la section précédente, je t'ai aussi offert une méthode manuelle et gratuite.

🌘 Installer l'authentification à double facteur

Tu ne t'en sauveras pas ici non plus! Les pirates prisent WordPress comme l'un des systèmes de contenu les plus populaires. Un des meilleurs moyens de protéger nos accès, ça demeure l'authentification à double facteur.

Je te recommande l'extension Wordfence Login Security, que tu pourras trouver sur le site web https://wordpress.org/plugins/wordfence-login-security/.

Pour l'installer directement depuis ton panneau d'administration Wordpress, va dans Extensions, puis clique sur Ajouter.

wordpress-extensions-login-security-001.png

Recherche Wordfence Login Security, puis, clique sur Installer maintenant, puis sur le bouton Activer.

wordpress-extensions-login-security-002.png

Suis les instructions pour activer le "2FA".

L'application Wordfence va apparaître sous le nom Wordfence dans ton gestionnaire de double authentification et non Wordpress. Si tu veux qu'elle soit plus facile à retrouver, tu peux la renommer Wordpress, ou avec le nom de ton site web, suivi de Wordpress.

Ensuite, n'oublie pas d'imprimer ou de sauvegarder les codes de récupération "Recovery Codes". C'est ton dernier recours si tu n'as plus accès à ton application.

🌘 Changer le nom de la page de connexion

Les robots des pirates vont fouiller le web à la recherche de pages de connexion Wordpress, pour ensuite lancer leurs différentes attaques qu'ils ont préconfigurées. En changeant le nom de la page de connexion, on évite de nombreuses attaques automatisées.

L'extension WPS Hide Login permet de changer l'URL de connexion et de renvoyer la page wp-admin vers une erreur 404.

Paramètres de l'extension WPS Hide Login

🌘 Conclusion

Tu peux augmenter la sécurité de ton site WordPress avec des actions simples.

Si tu désactives les fonctionnalités inutiles, comme les inscriptions et les commentaires, minimises le nombre d'extensions et les gardes à jour, tu réduis considérablement ta surface d'attaque.

Tu peux mettre en place des sauvegardes régulières, manuelles ou automatisées avec UpdraftPlus. Ça va te permettre la récupération en cas d'incident ou d'erreur de ta part.

Enfin, tu peux améliorer la sécurité applicative de ton site avec l'authentification à double facteur par Wordfence Login Security et en modifiant l'URL de connexion avec WPS Hide Login.

En adoptant ces bonnes pratiques, tu assures une meilleure protection pour ton site et tes données. Si tu veux un coup de main, on peut le faire ensemble dans une Consultation Express

Crescent Moon IconAccompagnement Pleine confianceCrescent Moon Icon

Six rencontres thématiques pour ta cybersécurité, conformité à la loi 25 et réputation web

Découvre Pleine Confiance

Étiquettes

cybersecurite wordpress site-web authentification extensions wordfence sauvegarde