![\"\"](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2022\/12\/FR_Intext-banners_Mega-WordPress-Cheat-Sheet-1024x283-1.png\/public\")
<\/a><\/figure>Ce dont vous aurez besoin<\/strong><\/h2>Pour sécuriser un site WordPress, assurez vous d’avoir avec vous les éléments suivants :<\/p>
\n- Un accès à la section Administrateur WordPress<\/li>\n\n\n\n
- Un accès à votre compte d’hébergement (facultatif)<\/li>\n<\/ul>
Étape 1 – Gardez votre WordPress mis à jour<\/strong><\/h2>Ceci va vous permettre de sécuriser WordPress efficacement, croyez moi ! Et oui, cela semble simple, mais seulement 22% des sites sous WordPress utilisent la dernière version ! Entre nous, qui n’a jamais eu la paresse de ne pas mettre à jour son site ? Si vous voulez avoir un site Web propre et sans virus, c’est obligatoire !<\/p>
WordPress a incorporé la mise à jour automatique dans la version 3.7, cependant, elle ne fonctionne que pour les petites mises à jour de sécurité. Ainsi, les mises à jour majeures doivent être effectuées manuellement pour sécuriser un site WordPress !<\/p>
Étape 2 – Utilisez des informations de connexion moins communes<\/strong><\/h2>\n![\"Ne](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/adminuser.png\")
<\/figure><\/div>Utilisez-vous admin<\/strong> comme nom d’utilisateur administrateur WordPress ? Si votre réponse est oui, sachez qu’il sera plus simple de vous pirater. Alors modifiez maintenant le nom d’utilisateur ! Vous pouvez aussi créer un nouveau compte Administrateur avec un nom d’utilisateur différent et supprimer l’ancien. Si vous préférez la cette méthode, suivez ces étapes simples :<\/p>\n- Accédez au tableau de bord WordPress<\/li>\n\n\n\n
- Accédez à la section Utilisateurs et appuyez sur Ajouter<\/strong>.<\/li>\n<\/ol>\n
![\"Ajouter](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/wordpress-ajouter-utilisateur.png\")
<\/figure><\/div>\n- Créez un nouvel utilisateur et attribuez-lui un rôle Administrateur.<\/li>\n<\/ol>\n
![\"Créer](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/wordpress-creer-utilisateur.png\")
<\/figure><\/div>\n- Re-login à WordPress avec votre nouveau nom d’utilisateur.<\/li>\n\n\n\n
- Revenez à la section Utilisateurs et supprimez l’utilisateur Admin.<\/li>\n<\/ol>\n
![\"Supprimer](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/wordpress-supprimer-admin.png\")
<\/figure><\/div>Un bon mot de passe est la clé de voûte pour sécuriser WordPress efficacement. Il est beaucoup plus difficile de forcer un mot de passe composé de chiffres, de lettres majuscules et minuscules et de caractères spéciaux. Des outils comme LastPass<\/a> et 1Password<\/a> peuvent vous aider à créer et surtout à gérer des mots de passe complexes !<\/p>Étape 3 – Activation de l’authentification en deux étapes<\/strong><\/h2>La validation en deux étapes vous permet de renforcer la sécurité de WordPress au mieux. Comme son nom l’indique, il ajoute une autre étape que vous devrez remplir pour vous connecter. Il est fort probable que vous l’utilisiez déjà pour accéder à vos mails, à votre banque ou à tout autre compte contenant des informations sensibles. Alors pourquoi ne pas l’utiliser sur WordPress?<\/p>
Bien que cela puisse sembler compliqué, il existe aujourd’hui des solutions simples pour utiliser cette vérification en deux étapes. Tout ce que vous avez besoin de faire est d’installer une application d’authentification en 2 étapes (sur votre téléphone par exemple) et de configurer WordPress. <\/p>
Étape 4 – Désactivation des rapports d’erreurs PHP<\/strong><\/h2>Les rapports d’erreur de PHP peuvent être utiles si êtes développeur Web et que vous voulez vous assurer que tout fonctionne correctement. Cependant, montrer les erreurs publiquement est une faille de sécurité majeure !<\/p>
Vous devez corriger cela dès que possible ! Rassurez vous, vous n’avez pas besoin d’être un codeur pour désactiver les rapports d’erreurs PHP pour WordPress ! De nombreux fournisseurs d’hébergement vous proposeront de désactiver les rapports d’erreurs dans le panneau de contrôle. S’il ne le vous proposent pas, ajoutez simplement les lignes suivantes à votre fichier wp-config.php. Vous pouvez utiliser votre client FTP<\/a> ou le Gestionnaire de fichiers pour éditer wp-config.php<\/strong>.<\/p>error_reporting(0);\n@ini_set(‘display_errors’, 0);<\/pre>C’est tout ! Les rapports d’erreur sont maintenant désactivés<\/p>
Étape 5 – N’utilisez pas d’extensions WordPress crackées<\/strong><\/h2>« Si c’est gratuit, vous êtes le produit » Il en va de même pour une majorité de logiciels pirates ! Si vous voulez garantir la sécurité de WordPress et l’utiliser notamment à des fins professionnelles, utilisez ce qui est payant !<\/p>
Il y a des milliers de plugins et de thèmes pirates sur Internet. Les utilisateurs peuvent les télécharger gratuitement à partir de divers sites de Warez ou de torrent. Malheureusement, la plupart d’entre eux sont infectés par des liens malveillants ou du blackhat SEO.<\/p>
Si vous voulez un site sain, arrêtez de télécharger des extensions crackées car vous finirez par payer plus pour qu’un développeur chevronné nettoie votre site web !<\/p>
Étape 6 – Scannez WordPress avec un anti-virus<\/strong><\/h2>Les pirates utilisent souvent des failles dans les thèmes ou les plugins afin d’infecter WordPress avec des logiciels malveillants. Par conséquent, il est crucial de scanner votre blog fréquemment pour sécuriser WordPress ! Il existe de nombreux plugins extrêmement bien codés pour cet usage ! WordFence<\/a> est le plugin qui se démarque. Il est simple d’utilisation et complet ! Il offre des options de balayage manuel et automatique ainsi que de nombreux réglages différents. Vous pouvez même restaurer des fichiers modifiés \/ infectés en quelques clics . Et en plus de cela, il est gratuit et open source. Alors, empressez vous d’installer ce plugin !<\/p>D’autres plugins de sécurité WordPress<\/a> populaires:<\/p>\n- BulletProof Security<\/a> – à la différence de WordFence, que nous avons décrit précédemment, BulletProof n’analysera pas vos fichiers, mais il vous fournira principalement un pare-feu et une sécurité supplémentaire pour la base de données. Ce qui est bien avec ce plugin c’est qu’il sera configuré et installé en quelques clics seulement !<\/li>\n\n\n\n
- Sucuri Security<\/a> – ce plugin vous protégera des attaques DDoS, il tiendra une liste noire, analysera votre site Web et contrôlera votre pare-feu. S’il détecte quelque chose, il vous en informera par courrier électronique. Google, Norton, McAfee – tous ces moteurs sont inclus dans ce plugin pour vous permettre une sécurité maximale.<\/li>\n<\/ul>
Au mieux, essayez les tous ! Vous pouvez trouver un guide complet sur l’installation des plugins WordPress<\/a>.<\/p>Étape 7 – Migrez votre site WordPress vers un hébergement plus sécurisé<\/strong><\/h2>Cela peut sembler être un conseil étrange, mais les statistiques montrent que plus de 40% des sites WordPress ont été piratés en raison de failles de sécurité dans les comptes d’hébergement même ! C’est un donc un conseil là aussi très important si vous voulez sécuriser WordPress ! Cette statistique devrait vous faire reconsidérer votre choix d’hébergement actuel et vous faire migrer votre site WordPress<\/a> vers un hébergement plus sécurisé. Quelques faits clés sont à prendre en compte lors de la recherche d’un nouvel hébergement:<\/p>\n- S’il s’agit d’un hébergement mutualisé, assurez-vous que votre compte soit isolé des autres utilisateurs et qu’il n’y a aucun risque qu’un seul des sites Web infecte tous les autres sur le serveur.<\/li>\n\n\n\n
- Il doit faire des sauvegardes automatiques.<\/li>\n\n\n\n
- Il doit disposer d’un pare-feu côté serveur (server side) et d’un antivirus.<\/li>\n<\/ul>
Étape 8 – Sauvegardez aussi souvent que possible<\/strong><\/h2>\n![\"Sécuriser](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/backup.png\")
<\/figure><\/div>Même les plus grands sites Web sont piratés chaque jour malgré le fait que leurs propriétaires dépensent des milliers pour sécuriser WordPress.<\/p>
Même si vous avez de bonnes habitudes et remplissez les autres conseils de cet article, il est toujours crucial de sauvegarder votre site WordPress<\/a> régulièrement.<\/p>Il existe plusieurs façons de créer une sauvegarde. Par exemple, vous pouvez télécharger manuellement les fichiers WordPress et exporter la base de données ou utiliser l’outil de sauvegarde de votre hébergeur. Mais vous pouvez aussi utiliser des plugins de sauvegarde. Les plugins de sauvegarde WordPress les plus populaires sont :<\/p>
\n- VaultPress<\/a><\/li>\n\n\n\n
- BackUpWordPress<\/a><\/li>\n\n\n\n
- BackupGuard<\/a><\/li>\n<\/ul>
Vous pouvez même automatiser le processus de sauvegarde et stocker vos sauvegardes WordPress dans Dropbox.<\/p>
Étape 9 – Désactivation de l’édition de fichier<\/strong><\/h2>Comme vous le savez peut-être, WordPress a un éditeur de fichiers incorporé qui permet l’édition de fichiers PHP. Bien que cette fonctionnalité soit très utile pour les développeurs, elle peut aussi être fatale ! Si l’attaquant obtient l’accès à votre tableau d’administration, la première chose qu’il recherchera est ce même éditeur. Il saccagera tous vos fichiers et c’en sera fini avec votre site. Certaines personnes (comme nous) désactivent complètement cette fonctionnalité pour sécuriser WordPress. Elle peut être désactivée<\/strong> en éditant le fichier wp-config.php<\/strong> et en incluant la ligne de code suivante:<\/p>define( 'DISALLOW_FILE_EDIT', true );<\/pre>Oui, comme vous le voyez, avec juste quelques lignes de code, on peut mieux sécuriser WordPress !
IMPORTANT Si vous souhaitez réactiver cette fonctionnalité, utilisez votre client FTP ou le gestionnaire de fichiers de votre hébergeur et supprimez ce même code du fichier wp-config.php.<\/p><\/div><\/p>
Étape 10 – Supprimez les thèmes et plugins inutilisés<\/strong><\/h2>Pour avoir une meilleure sécurité sur WordPress, effectuez un nettoyage de votre site WordPress et supprimez tous les plugins et thèmes inutilisés. Les pirates cherchent souvent des thèmes et des plugins désactivés et obsolètes (même officiels !) et ils les utilisent pour accéder à votre tableau de bord ou envoyer des fichiers malveillants sur votre serveur. En supprimant les plugins et les thèmes que vous avez cessé d’utiliser (et avez peut-être oublié d’exécuter une mise à jour), vous réduirez le risque de piratage de WordPress.<\/p>
Étape 11 – Utilisez le htaccess à son plein potentiel<\/strong><\/h2>Le fichier .htaccess WordPress<\/a> est nécessaire pour que les liens WordPress fonctionnent correctement. Sans règles correctes dans ce même fichier .htaccess, vous obtiendriez beaucoup d’erreurs 404. Cela peut sembler compliqué, je vous l’avoue. Mais rassurez-vous, tout a été fait pour vous !<\/p>Peu d’utilisateurs savent que .htaccess peut être utilisé pour sécuriser WordPress. Par exemple, avec .htaccess, vous pouvez bloquer l’accès de PHP à des dossiers spécifiques. Les exemples ci-dessous montrent comment utiliser .htaccess pour sécuriser WordPress
<\/p>
\n\n\n
IMPORTANT Avant d’apporter des modifications, il est fortement recommandé de sauvegarder le fichier .htaccess et d’en garder une copie, au cas où. Vous pouvez utiliser votre client FTP<\/a> ou le Gestionnaire de fichiers<\/a> -en anglais- pour cela.<\/p><\/div>\n\n\n\n<\/p>Interdire l’accès à la zone Administrateur WordPress<\/strong><\/p>Le code ci-dessous permettra d’autoriser l’accès à la zone d’administration à certaines adresses IP seulement (la vôtre ?).<\/p>
AuthUserFile \/dev\/null\nAuthGroupFile \/dev\/null\nAuthName \"WordPress Admin Access Control\"\nAuthType Basic\n<LIMIT GET>\norder deny,allow\ndeny from all\nallow from xx.xx.xx.xxx\nallow from xx.xx.xx.xxx\n<\/LIMIT><\/pre>Vous devez modifier XX.XX.XX.XXX et le remplacer par votre adresse IP. Vous pouvez utiliser ce site Web<\/a> pour connaître votre IP actuelle. Si vous utilisez plus d’une connexion pour gérer votre site WordPress, assurez-vous d’inclure toutes les autres IP que vous utilisez (n’hésitez pas à ajouter autant de lignes que vous le souhaitez). Par contre n’utilisez pas ce code si vous avez une adresse IP dynamique.<\/p>Désactivation de l’exécution de PHP dans certains dossiers<\/strong><\/p>Les pirates aiment télécharger des scripts backdoor vers le dossier de téléchargement de WordPress. Par défaut, ce dossier est utilisé pour télécharger des fichiers multimédias uniquement. Ainsi, il ne devrait pas contenir de fichiers PHP. Vous pouvez facilement désactiver l’exécution de PHP en créant un nouveau fichier .htaccess dans \/wp-content\/uploads\/<\/strong> avec ces règles:<\/p><files *.php>\ndeny from all\n<\/files><\/pre>Protéger le fichier wp-config.php<\/strong><\/p>Le fichier wp-config.php contient les paramètres de base de WordPress et les détails de la base de données MySQL. C’est donc le fichier WordPress le plus important. C’est pourquoi il est la cible principale de tous les pirates WordPress. Toutefois, vous pouvez facilement protéger ce fichier en utilisant les règles .htaccess:<\/p>
<files wp-config.php>\norder allow,deny\ndeny from all\n<\/files><\/pre>Avec ces quelques lignes vous venez d’améliorer significativement la sécurité de WordPress !<\/p>
Étape 12 – Modifiez le préfixe de base de données WordPress par défaut pour éviter les injections SQL<\/strong><\/h2>La base de données SQL contient et stocke toutes les informations nécessaires à votre site pour fonctionner. En conséquence, il devient une cible de choix pour les pirates informatiques et les spammeurs qui exécutent alors un code automatisé et effectuent des injections SQL. Lors de l’installation de WordPress, la plupart des gens ne prennent pas la peine de changer le préfixe de base de données par défaut qui est wp_<\/strong> . Selon WordFence<\/a> , 1 sur 5 cas de piratage de WordPress est dû à des injections SQL. Puisque wp_<\/strong> est le paramètre<\/strong> par défaut, les pirates choisiront<\/strong> de cibler cette valeur en premier. Dans cette étape, nous vous expliquerons brièvement comment vous pouvez sécuriser WordPress contre de telles attaques.<\/p>Modification du préfixe de table pour un site WordPress existant<\/strong><\/h3>\n\n\n
IMPORTANT! Puisque l’on parle de sécurité WordPress, assurez-vous de sauvegarder votre base de données MySQL<\/a> -en anglais- avant de continuer.<\/p><\/div>\n\n\n\n<\/p>Partie 1 – Changement de préfixe grâce à wp-config.php<\/strong><\/h4>
Étape 1 – Gardez votre WordPress mis à jour<\/strong><\/h2>Ceci va vous permettre de sécuriser WordPress efficacement, croyez moi ! Et oui, cela semble simple, mais seulement 22% des sites sous WordPress utilisent la dernière version ! Entre nous, qui n’a jamais eu la paresse de ne pas mettre à jour son site ? Si vous voulez avoir un site Web propre et sans virus, c’est obligatoire !<\/p>
WordPress a incorporé la mise à jour automatique dans la version 3.7, cependant, elle ne fonctionne que pour les petites mises à jour de sécurité. Ainsi, les mises à jour majeures doivent être effectuées manuellement pour sécuriser un site WordPress !<\/p>
Étape 2 – Utilisez des informations de connexion moins communes<\/strong><\/h2>\n<\/figure><\/div>Utilisez-vous admin<\/strong> comme nom d’utilisateur administrateur WordPress ? Si votre réponse est oui, sachez qu’il sera plus simple de vous pirater. Alors modifiez maintenant le nom d’utilisateur ! Vous pouvez aussi créer un nouveau compte Administrateur avec un nom d’utilisateur différent et supprimer l’ancien. Si vous préférez la cette méthode, suivez ces étapes simples :<\/p>\n- Accédez au tableau de bord WordPress<\/li>\n\n\n\n
- Accédez à la section Utilisateurs et appuyez sur Ajouter<\/strong>.<\/li>\n<\/ol>\n
<\/figure><\/div>\n- Créez un nouvel utilisateur et attribuez-lui un rôle Administrateur.<\/li>\n<\/ol>\n
<\/figure><\/div>\n- Re-login à WordPress avec votre nouveau nom d’utilisateur.<\/li>\n\n\n\n
- Revenez à la section Utilisateurs et supprimez l’utilisateur Admin.<\/li>\n<\/ol>\n
<\/figure><\/div>Un bon mot de passe est la clé de voûte pour sécuriser WordPress efficacement. Il est beaucoup plus difficile de forcer un mot de passe composé de chiffres, de lettres majuscules et minuscules et de caractères spéciaux. Des outils comme LastPass<\/a> et 1Password<\/a> peuvent vous aider à créer et surtout à gérer des mots de passe complexes !<\/p>Étape 3 – Activation de l’authentification en deux étapes<\/strong><\/h2>La validation en deux étapes vous permet de renforcer la sécurité de WordPress au mieux. Comme son nom l’indique, il ajoute une autre étape que vous devrez remplir pour vous connecter. Il est fort probable que vous l’utilisiez déjà pour accéder à vos mails, à votre banque ou à tout autre compte contenant des informations sensibles. Alors pourquoi ne pas l’utiliser sur WordPress?<\/p>
Bien que cela puisse sembler compliqué, il existe aujourd’hui des solutions simples pour utiliser cette vérification en deux étapes. Tout ce que vous avez besoin de faire est d’installer une application d’authentification en 2 étapes (sur votre téléphone par exemple) et de configurer WordPress. <\/p>
Étape 4 – Désactivation des rapports d’erreurs PHP<\/strong><\/h2>Les rapports d’erreur de PHP peuvent être utiles si êtes développeur Web et que vous voulez vous assurer que tout fonctionne correctement. Cependant, montrer les erreurs publiquement est une faille de sécurité majeure !<\/p>
Vous devez corriger cela dès que possible ! Rassurez vous, vous n’avez pas besoin d’être un codeur pour désactiver les rapports d’erreurs PHP pour WordPress ! De nombreux fournisseurs d’hébergement vous proposeront de désactiver les rapports d’erreurs dans le panneau de contrôle. S’il ne le vous proposent pas, ajoutez simplement les lignes suivantes à votre fichier wp-config.php. Vous pouvez utiliser votre client FTP<\/a> ou le Gestionnaire de fichiers pour éditer wp-config.php<\/strong>.<\/p>error_reporting(0);\n@ini_set(‘display_errors’, 0);<\/pre>C’est tout ! Les rapports d’erreur sont maintenant désactivés<\/p>
Étape 5 – N’utilisez pas d’extensions WordPress crackées<\/strong><\/h2>« Si c’est gratuit, vous êtes le produit » Il en va de même pour une majorité de logiciels pirates ! Si vous voulez garantir la sécurité de WordPress et l’utiliser notamment à des fins professionnelles, utilisez ce qui est payant !<\/p>
Il y a des milliers de plugins et de thèmes pirates sur Internet. Les utilisateurs peuvent les télécharger gratuitement à partir de divers sites de Warez ou de torrent. Malheureusement, la plupart d’entre eux sont infectés par des liens malveillants ou du blackhat SEO.<\/p>
Si vous voulez un site sain, arrêtez de télécharger des extensions crackées car vous finirez par payer plus pour qu’un développeur chevronné nettoie votre site web !<\/p>
Étape 6 – Scannez WordPress avec un anti-virus<\/strong><\/h2>Les pirates utilisent souvent des failles dans les thèmes ou les plugins afin d’infecter WordPress avec des logiciels malveillants. Par conséquent, il est crucial de scanner votre blog fréquemment pour sécuriser WordPress ! Il existe de nombreux plugins extrêmement bien codés pour cet usage ! WordFence<\/a> est le plugin qui se démarque. Il est simple d’utilisation et complet ! Il offre des options de balayage manuel et automatique ainsi que de nombreux réglages différents. Vous pouvez même restaurer des fichiers modifiés \/ infectés en quelques clics . Et en plus de cela, il est gratuit et open source. Alors, empressez vous d’installer ce plugin !<\/p>D’autres plugins de sécurité WordPress<\/a> populaires:<\/p>\n- BulletProof Security<\/a> – à la différence de WordFence, que nous avons décrit précédemment, BulletProof n’analysera pas vos fichiers, mais il vous fournira principalement un pare-feu et une sécurité supplémentaire pour la base de données. Ce qui est bien avec ce plugin c’est qu’il sera configuré et installé en quelques clics seulement !<\/li>\n\n\n\n
- Sucuri Security<\/a> – ce plugin vous protégera des attaques DDoS, il tiendra une liste noire, analysera votre site Web et contrôlera votre pare-feu. S’il détecte quelque chose, il vous en informera par courrier électronique. Google, Norton, McAfee – tous ces moteurs sont inclus dans ce plugin pour vous permettre une sécurité maximale.<\/li>\n<\/ul>
Au mieux, essayez les tous ! Vous pouvez trouver un guide complet sur l’installation des plugins WordPress<\/a>.<\/p>Étape 7 – Migrez votre site WordPress vers un hébergement plus sécurisé<\/strong><\/h2>Cela peut sembler être un conseil étrange, mais les statistiques montrent que plus de 40% des sites WordPress ont été piratés en raison de failles de sécurité dans les comptes d’hébergement même ! C’est un donc un conseil là aussi très important si vous voulez sécuriser WordPress ! Cette statistique devrait vous faire reconsidérer votre choix d’hébergement actuel et vous faire migrer votre site WordPress<\/a> vers un hébergement plus sécurisé. Quelques faits clés sont à prendre en compte lors de la recherche d’un nouvel hébergement:<\/p>\n- S’il s’agit d’un hébergement mutualisé, assurez-vous que votre compte soit isolé des autres utilisateurs et qu’il n’y a aucun risque qu’un seul des sites Web infecte tous les autres sur le serveur.<\/li>\n\n\n\n
- Il doit faire des sauvegardes automatiques.<\/li>\n\n\n\n
- Il doit disposer d’un pare-feu côté serveur (server side) et d’un antivirus.<\/li>\n<\/ul>
Étape 8 – Sauvegardez aussi souvent que possible<\/strong><\/h2>\n<\/figure><\/div>Même les plus grands sites Web sont piratés chaque jour malgré le fait que leurs propriétaires dépensent des milliers pour sécuriser WordPress.<\/p>
Même si vous avez de bonnes habitudes et remplissez les autres conseils de cet article, il est toujours crucial de sauvegarder votre site WordPress<\/a> régulièrement.<\/p>Il existe plusieurs façons de créer une sauvegarde. Par exemple, vous pouvez télécharger manuellement les fichiers WordPress et exporter la base de données ou utiliser l’outil de sauvegarde de votre hébergeur. Mais vous pouvez aussi utiliser des plugins de sauvegarde. Les plugins de sauvegarde WordPress les plus populaires sont :<\/p>
\n- VaultPress<\/a><\/li>\n\n\n\n
- BackUpWordPress<\/a><\/li>\n\n\n\n
- BackupGuard<\/a><\/li>\n<\/ul>
Vous pouvez même automatiser le processus de sauvegarde et stocker vos sauvegardes WordPress dans Dropbox.<\/p>
Étape 9 – Désactivation de l’édition de fichier<\/strong><\/h2>Comme vous le savez peut-être, WordPress a un éditeur de fichiers incorporé qui permet l’édition de fichiers PHP. Bien que cette fonctionnalité soit très utile pour les développeurs, elle peut aussi être fatale ! Si l’attaquant obtient l’accès à votre tableau d’administration, la première chose qu’il recherchera est ce même éditeur. Il saccagera tous vos fichiers et c’en sera fini avec votre site. Certaines personnes (comme nous) désactivent complètement cette fonctionnalité pour sécuriser WordPress. Elle peut être désactivée<\/strong> en éditant le fichier wp-config.php<\/strong> et en incluant la ligne de code suivante:<\/p>define( 'DISALLOW_FILE_EDIT', true );<\/pre>Oui, comme vous le voyez, avec juste quelques lignes de code, on peut mieux sécuriser WordPress !
IMPORTANT Si vous souhaitez réactiver cette fonctionnalité, utilisez votre client FTP ou le gestionnaire de fichiers de votre hébergeur et supprimez ce même code du fichier wp-config.php.<\/p><\/div><\/p>
Étape 10 – Supprimez les thèmes et plugins inutilisés<\/strong><\/h2>Pour avoir une meilleure sécurité sur WordPress, effectuez un nettoyage de votre site WordPress et supprimez tous les plugins et thèmes inutilisés. Les pirates cherchent souvent des thèmes et des plugins désactivés et obsolètes (même officiels !) et ils les utilisent pour accéder à votre tableau de bord ou envoyer des fichiers malveillants sur votre serveur. En supprimant les plugins et les thèmes que vous avez cessé d’utiliser (et avez peut-être oublié d’exécuter une mise à jour), vous réduirez le risque de piratage de WordPress.<\/p>
Étape 11 – Utilisez le htaccess à son plein potentiel<\/strong><\/h2>Le fichier .htaccess WordPress<\/a> est nécessaire pour que les liens WordPress fonctionnent correctement. Sans règles correctes dans ce même fichier .htaccess, vous obtiendriez beaucoup d’erreurs 404. Cela peut sembler compliqué, je vous l’avoue. Mais rassurez-vous, tout a été fait pour vous !<\/p>Peu d’utilisateurs savent que .htaccess peut être utilisé pour sécuriser WordPress. Par exemple, avec .htaccess, vous pouvez bloquer l’accès de PHP à des dossiers spécifiques. Les exemples ci-dessous montrent comment utiliser .htaccess pour sécuriser WordPress
<\/p>
\n\n\n
IMPORTANT Avant d’apporter des modifications, il est fortement recommandé de sauvegarder le fichier .htaccess et d’en garder une copie, au cas où. Vous pouvez utiliser votre client FTP<\/a> ou le Gestionnaire de fichiers<\/a> -en anglais- pour cela.<\/p><\/div>\n\n\n\n<\/p>Interdire l’accès à la zone Administrateur WordPress<\/strong><\/p>Le code ci-dessous permettra d’autoriser l’accès à la zone d’administration à certaines adresses IP seulement (la vôtre ?).<\/p>
AuthUserFile \/dev\/null\nAuthGroupFile \/dev\/null\nAuthName \"WordPress Admin Access Control\"\nAuthType Basic\n<LIMIT GET>\norder deny,allow\ndeny from all\nallow from xx.xx.xx.xxx\nallow from xx.xx.xx.xxx\n<\/LIMIT><\/pre>Vous devez modifier XX.XX.XX.XXX et le remplacer par votre adresse IP. Vous pouvez utiliser ce site Web<\/a> pour connaître votre IP actuelle. Si vous utilisez plus d’une connexion pour gérer votre site WordPress, assurez-vous d’inclure toutes les autres IP que vous utilisez (n’hésitez pas à ajouter autant de lignes que vous le souhaitez). Par contre n’utilisez pas ce code si vous avez une adresse IP dynamique.<\/p>Désactivation de l’exécution de PHP dans certains dossiers<\/strong><\/p>Les pirates aiment télécharger des scripts backdoor vers le dossier de téléchargement de WordPress. Par défaut, ce dossier est utilisé pour télécharger des fichiers multimédias uniquement. Ainsi, il ne devrait pas contenir de fichiers PHP. Vous pouvez facilement désactiver l’exécution de PHP en créant un nouveau fichier .htaccess dans \/wp-content\/uploads\/<\/strong> avec ces règles:<\/p><files *.php>\ndeny from all\n<\/files><\/pre>Protéger le fichier wp-config.php<\/strong><\/p>Le fichier wp-config.php contient les paramètres de base de WordPress et les détails de la base de données MySQL. C’est donc le fichier WordPress le plus important. C’est pourquoi il est la cible principale de tous les pirates WordPress. Toutefois, vous pouvez facilement protéger ce fichier en utilisant les règles .htaccess:<\/p>
<files wp-config.php>\norder allow,deny\ndeny from all\n<\/files><\/pre>Avec ces quelques lignes vous venez d’améliorer significativement la sécurité de WordPress !<\/p>
Étape 12 – Modifiez le préfixe de base de données WordPress par défaut pour éviter les injections SQL<\/strong><\/h2>La base de données SQL contient et stocke toutes les informations nécessaires à votre site pour fonctionner. En conséquence, il devient une cible de choix pour les pirates informatiques et les spammeurs qui exécutent alors un code automatisé et effectuent des injections SQL. Lors de l’installation de WordPress, la plupart des gens ne prennent pas la peine de changer le préfixe de base de données par défaut qui est wp_<\/strong> . Selon WordFence<\/a> , 1 sur 5 cas de piratage de WordPress est dû à des injections SQL. Puisque wp_<\/strong> est le paramètre<\/strong> par défaut, les pirates choisiront<\/strong> de cibler cette valeur en premier. Dans cette étape, nous vous expliquerons brièvement comment vous pouvez sécuriser WordPress contre de telles attaques.<\/p>Modification du préfixe de table pour un site WordPress existant<\/strong><\/h3>\n\n\n
IMPORTANT! Puisque l’on parle de sécurité WordPress, assurez-vous de sauvegarder votre base de données MySQL<\/a> -en anglais- avant de continuer.<\/p><\/div>\n\n\n\n<\/p>Partie 1 – Changement de préfixe grâce à wp-config.php<\/strong><\/h4>
<\/figure><\/div>Utilisez-vous admin<\/strong> comme nom d’utilisateur administrateur WordPress ? Si votre réponse est oui, sachez qu’il sera plus simple de vous pirater. Alors modifiez maintenant le nom d’utilisateur ! Vous pouvez aussi créer un nouveau compte Administrateur avec un nom d’utilisateur différent et supprimer l’ancien. Si vous préférez la cette méthode, suivez ces étapes simples :<\/p> Un bon mot de passe est la clé de voûte pour sécuriser WordPress efficacement. Il est beaucoup plus difficile de forcer un mot de passe composé de chiffres, de lettres majuscules et minuscules et de caractères spéciaux. Des outils comme LastPass<\/a> et 1Password<\/a> peuvent vous aider à créer et surtout à gérer des mots de passe complexes !<\/p> La validation en deux étapes vous permet de renforcer la sécurité de WordPress au mieux. Comme son nom l’indique, il ajoute une autre étape que vous devrez remplir pour vous connecter. Il est fort probable que vous l’utilisiez déjà pour accéder à vos mails, à votre banque ou à tout autre compte contenant des informations sensibles. Alors pourquoi ne pas l’utiliser sur WordPress?<\/p> Bien que cela puisse sembler compliqué, il existe aujourd’hui des solutions simples pour utiliser cette vérification en deux étapes. Tout ce que vous avez besoin de faire est d’installer une application d’authentification en 2 étapes (sur votre téléphone par exemple) et de configurer WordPress. <\/p> Les rapports d’erreur de PHP peuvent être utiles si êtes développeur Web et que vous voulez vous assurer que tout fonctionne correctement. Cependant, montrer les erreurs publiquement est une faille de sécurité majeure !<\/p> Vous devez corriger cela dès que possible ! Rassurez vous, vous n’avez pas besoin d’être un codeur pour désactiver les rapports d’erreurs PHP pour WordPress ! De nombreux fournisseurs d’hébergement vous proposeront de désactiver les rapports d’erreurs dans le panneau de contrôle. S’il ne le vous proposent pas, ajoutez simplement les lignes suivantes à votre fichier wp-config.php. Vous pouvez utiliser votre client FTP<\/a> ou le Gestionnaire de fichiers pour éditer wp-config.php<\/strong>.<\/p> C’est tout ! Les rapports d’erreur sont maintenant désactivés<\/p> « Si c’est gratuit, vous êtes le produit » Il en va de même pour une majorité de logiciels pirates ! Si vous voulez garantir la sécurité de WordPress et l’utiliser notamment à des fins professionnelles, utilisez ce qui est payant !<\/p> Il y a des milliers de plugins et de thèmes pirates sur Internet. Les utilisateurs peuvent les télécharger gratuitement à partir de divers sites de Warez ou de torrent. Malheureusement, la plupart d’entre eux sont infectés par des liens malveillants ou du blackhat SEO.<\/p> Si vous voulez un site sain, arrêtez de télécharger des extensions crackées car vous finirez par payer plus pour qu’un développeur chevronné nettoie votre site web !<\/p> Les pirates utilisent souvent des failles dans les thèmes ou les plugins afin d’infecter WordPress avec des logiciels malveillants. Par conséquent, il est crucial de scanner votre blog fréquemment pour sécuriser WordPress ! Il existe de nombreux plugins extrêmement bien codés pour cet usage ! WordFence<\/a> est le plugin qui se démarque. Il est simple d’utilisation et complet ! Il offre des options de balayage manuel et automatique ainsi que de nombreux réglages différents. Vous pouvez même restaurer des fichiers modifiés \/ infectés en quelques clics . Et en plus de cela, il est gratuit et open source. Alors, empressez vous d’installer ce plugin !<\/p> D’autres plugins de sécurité WordPress<\/a> populaires:<\/p> Au mieux, essayez les tous ! Vous pouvez trouver un guide complet sur l’installation des plugins WordPress<\/a>.<\/p> Cela peut sembler être un conseil étrange, mais les statistiques montrent que plus de 40% des sites WordPress ont été piratés en raison de failles de sécurité dans les comptes d’hébergement même ! C’est un donc un conseil là aussi très important si vous voulez sécuriser WordPress ! Cette statistique devrait vous faire reconsidérer votre choix d’hébergement actuel et vous faire migrer votre site WordPress<\/a> vers un hébergement plus sécurisé. Quelques faits clés sont à prendre en compte lors de la recherche d’un nouvel hébergement:<\/p> Même les plus grands sites Web sont piratés chaque jour malgré le fait que leurs propriétaires dépensent des milliers pour sécuriser WordPress.<\/p> Même si vous avez de bonnes habitudes et remplissez les autres conseils de cet article, il est toujours crucial de sauvegarder votre site WordPress<\/a> régulièrement.<\/p> Il existe plusieurs façons de créer une sauvegarde. Par exemple, vous pouvez télécharger manuellement les fichiers WordPress et exporter la base de données ou utiliser l’outil de sauvegarde de votre hébergeur. Mais vous pouvez aussi utiliser des plugins de sauvegarde. Les plugins de sauvegarde WordPress les plus populaires sont :<\/p> Vous pouvez même automatiser le processus de sauvegarde et stocker vos sauvegardes WordPress dans Dropbox.<\/p> Comme vous le savez peut-être, WordPress a un éditeur de fichiers incorporé qui permet l’édition de fichiers PHP. Bien que cette fonctionnalité soit très utile pour les développeurs, elle peut aussi être fatale ! Si l’attaquant obtient l’accès à votre tableau d’administration, la première chose qu’il recherchera est ce même éditeur. Il saccagera tous vos fichiers et c’en sera fini avec votre site. Certaines personnes (comme nous) désactivent complètement cette fonctionnalité pour sécuriser WordPress. Elle peut être désactivée<\/strong> en éditant le fichier wp-config.php<\/strong> et en incluant la ligne de code suivante:<\/p> Oui, comme vous le voyez, avec juste quelques lignes de code, on peut mieux sécuriser WordPress ! IMPORTANT Si vous souhaitez réactiver cette fonctionnalité, utilisez votre client FTP ou le gestionnaire de fichiers de votre hébergeur et supprimez ce même code du fichier wp-config.php.<\/p><\/div><\/p> Pour avoir une meilleure sécurité sur WordPress, effectuez un nettoyage de votre site WordPress et supprimez tous les plugins et thèmes inutilisés. Les pirates cherchent souvent des thèmes et des plugins désactivés et obsolètes (même officiels !) et ils les utilisent pour accéder à votre tableau de bord ou envoyer des fichiers malveillants sur votre serveur. En supprimant les plugins et les thèmes que vous avez cessé d’utiliser (et avez peut-être oublié d’exécuter une mise à jour), vous réduirez le risque de piratage de WordPress.<\/p> Le fichier .htaccess WordPress<\/a> est nécessaire pour que les liens WordPress fonctionnent correctement. Sans règles correctes dans ce même fichier .htaccess, vous obtiendriez beaucoup d’erreurs 404. Cela peut sembler compliqué, je vous l’avoue. Mais rassurez-vous, tout a été fait pour vous !<\/p> Peu d’utilisateurs savent que .htaccess peut être utilisé pour sécuriser WordPress. Par exemple, avec .htaccess, vous pouvez bloquer l’accès de PHP à des dossiers spécifiques. Les exemples ci-dessous montrent comment utiliser .htaccess pour sécuriser WordPress \n\n\n IMPORTANT Avant d’apporter des modifications, il est fortement recommandé de sauvegarder le fichier .htaccess et d’en garder une copie, au cas où. Vous pouvez utiliser votre client FTP<\/a> ou le Gestionnaire de fichiers<\/a> -en anglais- pour cela.<\/p><\/div>\n\n\n\n<\/p> Interdire l’accès à la zone Administrateur WordPress<\/strong><\/p> Le code ci-dessous permettra d’autoriser l’accès à la zone d’administration à certaines adresses IP seulement (la vôtre ?).<\/p> Vous devez modifier XX.XX.XX.XXX et le remplacer par votre adresse IP. Vous pouvez utiliser ce site Web<\/a> pour connaître votre IP actuelle. Si vous utilisez plus d’une connexion pour gérer votre site WordPress, assurez-vous d’inclure toutes les autres IP que vous utilisez (n’hésitez pas à ajouter autant de lignes que vous le souhaitez). Par contre n’utilisez pas ce code si vous avez une adresse IP dynamique.<\/p> Désactivation de l’exécution de PHP dans certains dossiers<\/strong><\/p> Les pirates aiment télécharger des scripts backdoor vers le dossier de téléchargement de WordPress. Par défaut, ce dossier est utilisé pour télécharger des fichiers multimédias uniquement. Ainsi, il ne devrait pas contenir de fichiers PHP. Vous pouvez facilement désactiver l’exécution de PHP en créant un nouveau fichier .htaccess dans \/wp-content\/uploads\/<\/strong> avec ces règles:<\/p> Protéger le fichier wp-config.php<\/strong><\/p> Le fichier wp-config.php contient les paramètres de base de WordPress et les détails de la base de données MySQL. C’est donc le fichier WordPress le plus important. C’est pourquoi il est la cible principale de tous les pirates WordPress. Toutefois, vous pouvez facilement protéger ce fichier en utilisant les règles .htaccess:<\/p> Avec ces quelques lignes vous venez d’améliorer significativement la sécurité de WordPress !<\/p> La base de données SQL contient et stocke toutes les informations nécessaires à votre site pour fonctionner. En conséquence, il devient une cible de choix pour les pirates informatiques et les spammeurs qui exécutent alors un code automatisé et effectuent des injections SQL. Lors de l’installation de WordPress, la plupart des gens ne prennent pas la peine de changer le préfixe de base de données par défaut qui est wp_<\/strong> . Selon WordFence<\/a> , 1 sur 5 cas de piratage de WordPress est dû à des injections SQL. Puisque wp_<\/strong> est le paramètre<\/strong> par défaut, les pirates choisiront<\/strong> de cibler cette valeur en premier. Dans cette étape, nous vous expliquerons brièvement comment vous pouvez sécuriser WordPress contre de telles attaques.<\/p> \n\n\n IMPORTANT! Puisque l’on parle de sécurité WordPress, assurez-vous de sauvegarder votre base de données MySQL<\/a> -en anglais- avant de continuer.<\/p><\/div>\n\n\n\n<\/p>\n
<\/figure><\/div>\n
<\/figure><\/div>\n
<\/figure><\/div>Étape 3 – Activation de l’authentification en deux étapes<\/strong><\/h2>
Étape 4 – Désactivation des rapports d’erreurs PHP<\/strong><\/h2>
error_reporting(0);\n@ini_set(‘display_errors’, 0);<\/pre>
Étape 5 – N’utilisez pas d’extensions WordPress crackées<\/strong><\/h2>
Étape 6 – Scannez WordPress avec un anti-virus<\/strong><\/h2>
\n
Étape 7 – Migrez votre site WordPress vers un hébergement plus sécurisé<\/strong><\/h2>
\n
Étape 8 – Sauvegardez aussi souvent que possible<\/strong><\/h2>
<\/figure><\/div>\n
Étape 9 – Désactivation de l’édition de fichier<\/strong><\/h2>
define( 'DISALLOW_FILE_EDIT', true );<\/pre>
Étape 10 – Supprimez les thèmes et plugins inutilisés<\/strong><\/h2>
Étape 11 – Utilisez le htaccess à son plein potentiel<\/strong><\/h2>
<\/p>AuthUserFile \/dev\/null\nAuthGroupFile \/dev\/null\nAuthName \"WordPress Admin Access Control\"\nAuthType Basic\n<LIMIT GET>\norder deny,allow\ndeny from all\nallow from xx.xx.xx.xxx\nallow from xx.xx.xx.xxx\n<\/LIMIT><\/pre>
<files *.php>\ndeny from all\n<\/files><\/pre>
<files wp-config.php>\norder allow,deny\ndeny from all\n<\/files><\/pre>
Étape 12 – Modifiez le préfixe de base de données WordPress par défaut pour éviter les injections SQL<\/strong><\/h2>
Modification du préfixe de table pour un site WordPress existant<\/strong><\/h3>
Partie 1 – Changement de préfixe grâce à wp-config.php<\/strong><\/h4>
![\"Changement](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/wp-config-table-prefix.png\")
<\/figure><\/div>![\"Changer](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/wp-config-database-name.png\")
<\/figure><\/div>![\"choisir](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/06\/hpanel-databases-phpmyadmin-sidebar-fr.png\/public\" "\\"choisir-base-de-données-phpmyadmin-hpanel\\"")
<\/figure><\/div>![\"Bouton](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/06\/hpanel-databases-phpmyadmin-fr.png\/public\" "\\"Bouton-accédez-à-phpMyAdmin-sur-hpanel\\"")
<\/figure><\/div>![\"Accéder](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/phpmyadmin-requete-sql.png\")
<\/figure><\/div>![\"Changer](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/phpmyadmin-sql-meta-key.png\")
<\/figure><\/div>![\"Modification](\"https:\/\/www.hostinger.com\/fr\/tutoriels\/wp-content\/uploads\/sites\/46\/2017\/04\/wp-table-prefix-new-install.png\")
<\/figure><\/div>![\"\"](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2022\/12\/FR-New-WP_in-text-banner.png\/public\")
<\/a><\/figure><\/div>