WordPress alimente plus de 40 % des sites web dans le monde. Cette popularité en fait une cible privilégiée pour les pirates informatiques. Heureusement, il existe des mesures concrètes pour renforcer la sécurité de votre site et protéger vos données ainsi que celles de vos visiteurs.
Dans ce guide, nous vous présentons des conseils pratiques et accessibles pour sécuriser efficacement votre installation WordPress.
En résumé :
- Choisissez un mot de passe fort et unique pour votre compte administrateur WordPress.
- Maintenez WordPress, vos thèmes et vos extensions à jour pour corriger les vulnérabilités connues.
- Installez une extension de sécurité pour renforcer la protection de votre site.
- Activez l'authentification à deux facteurs pour ajouter une couche supplémentaire de sécurité à la connexion.
- Effectuez des sauvegardes régulières de votre site pour pouvoir le restaurer en cas de besoin.
- Limitez l'accès au tableau de bord en restreignant les utilisateurs aux rôles nécessaires.
- Utilisez un certificat SSL pour sécuriser les échanges de données entre votre site et ses utilisateurs.
Maintenez WordPress, vos thèmes et plugins à jour
Les mises à jour régulières constituent votre première ligne de défense contre les vulnérabilités de sécurité. Chaque nouvelle version de WordPress corrige des failles potentielles que les pirates pourraient exploiter.
Nos conseils :
- Activez les mises à jour automatiques pour WordPress core, notamment pour les correctifs de sécurité
- Vérifiez les mises à jour disponibles régulièrement dans votre tableau de bord
- Testez les mises à jour majeures sur un environnement de test avant de les déployer en production
- Supprimez tous les thèmes et plugins inutilisés, même désactivés
Un plugin inactif peut toujours être exploité par un attaquant. Si vous n'avez pas utilisé une extension depuis 30 jours, supprimez-la définitivement.
Renforcez l'authentification de vos utilisateurs
Les identifiants compromis représentent l'une des principales portes d'entrée pour les pirates. Protégez l'accès à votre administration WordPress avec des mesures d'authentification robustes.
Mettez en place ces protections :
- Activez l'authentification à deux facteurs (2FA) pour tous les comptes administrateurs. Cette mesure garantit qu'un mot de passe volé ne suffit pas pour accéder à votre site.
- Exigez des mots de passe complexes : minimum 12 caractères incluant majuscules, minuscules, chiffres et symboles
- Limitez les tentatives de connexion pour bloquer les attaques par force brute. Configurez un verrouillage après 3 tentatives infructueuses.
- Évitez les noms d'utilisateur génériques comme "admin" ou "webmaster" qui sont les premiers testés par les pirates
Encouragez votre équipe à utiliser un gestionnaire de mots de passe pour créer et stocker des identifiants uniques et sécurisés.
Sécurisez votre fichier wp-config.php
Le fichier wp-config.php contient les informations sensibles de votre site, notamment vos identifiants de base de données. Sa protection est essentielle.
Mesures de sécurisation :
- Définissez des permissions restrictives sur wp-config.php (600 ou 640) pour que seuls les processus système nécessaires puissent le lire
- Déplacez wp-config.php dans le répertoire parent de votre installation WordPress si votre hébergement le permet
- Supprimez toutes les copies temporaires ou de sauvegarde de ce fichier
- Ajoutez la directive DISALLOW_FILE_EDIT dans wp-config.php pour désactiver l'éditeur de fichiers du tableau de bord :
define( 'DISALLOW_FILE_EDIT', true );
Cette dernière mesure empêche les pirates qui auraient obtenu un accès administrateur de modifier directement vos fichiers de thèmes et plugins.
Configurez des permissions de fichiers appropriées
Les permissions de fichiers mal configurées peuvent permettre à un attaquant de modifier le contenu de votre site.
Nos recommandations de permissions :
- Répertoires : 755 (lecture et exécution pour tous, écriture pour le propriétaire uniquement)
- Fichiers : 644 (lecture pour tous, écriture pour le propriétaire uniquement)
- wp-config.php : 600 ou 640 (lecture et écriture limitées)
Pour appliquer ces permissions via SSH, utilisez ces commandes :
find /chemin/vers/wordpress/ -type d -exec chmod 755 {} \;
find /chemin/vers/wordpress/ -type f -exec chmod 644 {} \;
Assurez-vous également de désactiver l'exécution de fichiers PHP dans le répertoire wp-content/uploads, qui ne devrait contenir que des médias.
Installez un pare-feu d'application web (WAF)
Un WAF analyse le trafic entrant vers votre site et bloque les requêtes malveillantes avant qu'elles n'atteignent WordPress.
Options disponibles :
- Plugins de sécurité WordPress : Wordfence, Sucuri Security, All In One WP Security proposent des fonctionnalités de pare-feu
- Services cloud externes : Cloudflare, Sucuri et Incapsula offrent une protection au niveau DNS, filtrant le trafic avant qu'il n'atteigne votre serveur
- ModSecurity : solution open source configurable directement sur votre serveur web
Un bon WAF reçoit des mises à jour régulières de ses règles pour vous protéger contre les menaces émergentes spécifiques à WordPress.
Effectuez des sauvegardes régulières
Même avec toutes les précautions, un incident de sécurité peut survenir. Des sauvegardes récentes et fiables transforment une catastrophe potentielle en simple désagrément.
Pour la sauvegarde de votre site WordPress :
- Automatisez vos sauvegardes au minimum hebdomadaires, idéalement quotidiennes pour les sites à fort trafic
- Sauvegardez les fichiers ET la base de données WordPress complètement
- Stockez les sauvegardes hors site dans un cloud sécurisé et chiffré
- Utilisez plusieurs solutions : combinez un plugin de sauvegarde avec le service de votre hébergeur
- Testez régulièrement vos restaurations pour vérifier que vos sauvegardes fonctionnent
Ne considérez jamais une sauvegarde comme fiable tant que vous n'avez pas vérifié qu'elle peut être restaurée correctement.
Passez votre site WordPress en HTTPS
Le protocole HTTPS chiffre les données échangées entre votre site et vos visiteurs, protégeant notamment les identifiants de connexion et les informations sensibles.
Étapes de migration d’un site WordPress :
- Installez un certificat SSL (la plupart des hébergeurs proposent Let's Encrypt gratuitement)
- Vérifiez votre configuration SSL avec un outil comme SSL Labs
- Modifiez les URL WordPress dans Réglages > Général pour utiliser https://
- Ajoutez des redirections HTTPS dans votre fichier .htaccess
- Configurez HSTS (HTTP Strict Transport Security) pour forcer l'utilisation de HTTPS
Un site en HTTPS inspire également davantage confiance à vos visiteurs et bénéficie d'un meilleur référencement Google.
Surveillez votre site activement
La détection précoce d'une intrusion limite considérablement les dégâts potentiels.
Vous pouvez mettre en place ces surveillances concernant la sécurité de votre site internet :
- Installez un scanner de sécurité qui vérifie régulièrement votre site à la recherche de malwares et de modifications suspectes
- Activez les journaux d'activité pour tracer toutes les actions administratives
- Configurez des alertes par email pour les événements de sécurité critiques
- Visitez régulièrement votre site pour repérer les changements visuels inattendus
- Inscrivez votre site à Google Search Console pour recevoir des alertes en cas de détection de malware
- Surveillez les pics de trafic inexpliqués qui peuvent indiquer une attaque en cours
Prenez au sérieux tout rapport de visiteur signalant un comportement anormal de votre site.
Appliquez le principe du moindre privilège
Limitez les accès administratifs au strict nécessaire pour réduire les risques en cas de compte compromis.
Bonnes pratiques :
- Attribuez le rôle le plus restrictif possible à chaque utilisateur (Abonné, Contributeur, Auteur, Éditeur, Administrateur)
- Révisez régulièrement la liste des utilisateurs et supprimez les comptes inactifs
- Supprimez immédiatement les accès des anciens collaborateurs
- Limitez le nombre d'administrateurs au minimum indispensable
Un compte Éditeur compromis cause moins de dégâts qu'un compte Administrateur. Accordez les privilèges administratifs uniquement quand c'est absolument nécessaire.
Choisissez un hébergement sécurisé pour votre site WordPress
Votre hébergeur constitue la fondation de votre sécurité WordPress. Un serveur mal configuré ou obsolète compromet tous vos autres efforts de sécurisation.
Les critères de sélection de votre hébergeur web :
- Versions logicielles à jour (PHP, MySQL, serveur web)
- Protection DDoS intégrée
- Sauvegardes automatiques fournies par l'hébergeur
- Support réactif en cas d'incident de sécurité
- Isolation des comptes en hébergement mutualisé (technologies PHP-FPM, suEXEC)
Pour les sites critiques, privilégiez un serveur dédié ou VPS qui vous offre un contrôle total et une isolation complète.
Sécurisez votre poste de travail
La sécurité de votre site WordPress dépend aussi de celle de votre ordinateur.
Protégez votre environnement de travail :
- Maintenez votre système d'exploitation et vos logiciels à jour
- Utilisez un antivirus réputé et gardez-le actif
- Connectez-vous via SFTP plutôt que FTP pour chiffrer vos transferts de fichiers
- Utilisez un VPN lorsque vous administrez votre site depuis un réseau public
- Méfiez-vous des attaques de phishing visant à voler vos identifiants
Un ordinateur compromis rend inutiles toutes les mesures de sécurité côté serveur, car un pirate pourrait capturer vos mots de passe directement.
Renforcez la sécurité de votre site dès aujourd'hui avec notre agence
La sécurité WordPress n'est pas une destination, mais un processus continu. En appliquant ces recommandations, vous réduisez considérablement les risques de piratage et protégez votre investissement digital.
Commencez par les mesures les plus accessibles : activez les mises à jour automatiques, installez un plugin de sécurité, et configurez des sauvegardes régulières. Progressez ensuite vers les configurations plus avancées selon vos besoins.
Besoin d'accompagnement pour sécuriser votre site WordPress ? Les experts de notre agence Webperfect peuvent auditer votre site et mettre en place une stratégie de sécurité adaptée à votre activité. Contactez-nous au 05 56 96 63 85 ou réservez un créneau en ligne pour un diagnostic personnalisé.
