X

Le guide complet de la sécurité WordPress (adapté aux débutants)

Last updated on by Editorial Team
LinkedInPinShares3
guide-securite-wordpress

Vous recherchez le guide ultime de la sécurité WordPress ? Garder votre site web WordPress en sécurité est important.

Vous voulez prendre toutes les précautions nécessaires pour protéger votre site contre les pirates malveillants, les spammeurs et les intrus.

Protéger votre site web peut sembler une tâche compliquée, surtout pour les débutants, mais ce n'est pas le cas.

J'ai créé une liste de contrôle détaillée de la sécurité WordPress, mais la meilleure façon de l'utiliser est de comprendre d'abord ce guide.

Dans cet article, nous partagerons notre guide ultime de la sécurité WordPress afin que vous puissiez facilement protéger votre site web.

Comme cet article est assez long, voici une table des matières pour vous aider à naviguer dans les étapes que nous allons aborder :

Table des matières : Guide de la sécurité WordPress

Maintenant, commençons.

Votre site web WordPress est-il en danger ?

votre-site-wordpress-est-il-en-danger

Si vous gérez un site web de petite entreprise ou si vous voulez créer un blog personnel WordPress, vous pourriez penser que votre site web n'est pas en danger.

Mais il l'est.

Chaque site web risque d'être piraté, des sites de commerce électronique géants aux petits sites personnels.

Vous pourriez aussi penser que, comme WordPress est la plateforme la plus populaire pour créer des sites web, votre site est totalement sécurisé.

Mais ce n'est pas tout à fait vrai non plus. Bien que le logiciel de base de WordPress soit très sécurisé, il existe toujours d'autres mesures que vous devez prendre pour protéger davantage votre site web.

De plus, la popularité écrasante de WordPress est en partie ce qui attire ces cybercriminels sur votre site web.

Jetez un coup d'œil à certaines de ces statistiques WordPress qui montrent l'importance de protéger votre site WordPress :

  • 83 % de tous les sites web basés sur un CMS qui ont été piratés récemment fonctionnaient sous WordPress, ce qui est logique étant donné que WordPress détient 60 % de la part de marché des CMS. (WPBeginner)
  • Les pirates attaquent les sites WordPress, petits et grands, avec plus de 90 978 attaques par minute. (WPPlugins)
  • Les quatre infections de logiciels malveillants WordPress les plus courantes sont les portes dérobées (Backdoors), les téléchargements furtifs (Drive-by downloads), les piratages pharmaceutiques (Pharma hacks) et les redirections malveillantes. (Smashing Magazine)
  • Google blackliste environ 20 000 sites Web pour logiciels malveillants et environ 50 000 pour hameçonnage, chaque semaine. (WPBeginner)
  • Wordfence a bloqué 9 495 478 648 attaques sur des sites WordPress. (Wordfence)

Comme vous pouvez le constater d'après ces statistiques, toute personne possédant un site WordPress risque une attaque, il est donc extrêmement important de renforcer la sécurité de votre site WordPress.

Un site Web piraté peut vous coûter très cher et nuire à la réputation de votre entreprise.

Si vous vendez des produits en ligne ou collectez des paiements en ligne et des informations sensibles auprès de vos clients, la protection de votre site Web doit être une priorité absolue.

Les pirates peuvent voler les informations privées de vos clients, leurs mots de passe, leurs informations de carte de crédit, et plus encore.

Vous n'avez pas seulement à vous soucier du vol d'informations sensibles.

Les pirates informatiques prennent également couramment le contrôle de votre site Web et de son contenu pour installer des logiciels malveillants et peuvent même distribuer des logiciels malveillants à vos utilisateurs.

Ils pourraient même vous demander une rançon pour retrouver l'accès à votre propre site Web.

Certains pirates n'ont même pas besoin de raison pour attaquer votre site Web, certains le font juste pour le « plaisir ».

Protéger votre site Web WordPress n'est pas quelque chose que vous voulez ignorer. Il existe un certain nombre d'étapes faciles que vous pouvez suivre, même si vous n'êtes pas un expert en technologie, pour rendre votre site Web WordPress à l'épreuve des piratages.

Alors, plongeons dans la 1ère étape facile de notre guide de sécurité WordPress.

Le moyen le plus simple de protéger votre site ? Utilisez le meilleur plugin de sécurité WordPress

Le moyen le plus simple et le plus efficace de protéger votre site Web WordPress est d'installer un plugin de sécurité WordPress.

Un plugin de sécurité WordPress protégera votre site contre les dommages et vous apportera la tranquillité d'esprit en sachant que votre site est à l'épreuve des piratages, sans que vous ayez à vous impliquer dans quoi que ce soit de technique.

Les meilleurs plugins de sécurité WordPress devraient inclure les fonctionnalités suivantes :

  • Analyse – Un bon plugin de sécurité analysera régulièrement votre site Web pour détecter les logiciels malveillants et autres menaces potentielles.
  • Pare-feu – Les pare-feu surveillent tout le trafic de votre site et bloquent les robots vulnérables qui tentent d'accéder au serveur de votre site Web.
  • Suppression et corrections – Votre plugin de sécurité doit garantir la suppression des logiciels malveillants et les corrections sur votre site en cas d'attaque.

Comme il existe de nombreux plugins de sécurité WordPress disponibles, il est difficile de déterminer lesquels offriront à votre site Web le plus de protection.

Ainsi, pour vous aider à choisir le meilleur plugin de sécurité pour votre site WordPress, voici quelques-unes de nos sélections des meilleurs plugins de sécurité WordPress.

1. Sucuri

plugin-securite-wordpress-sucuri
Sucuri is our top pick for the best WordPress security plugin. We use it on our own website and we love it.

Sucuri est une solution de sécurité complète pour sites Web basée sur le cloud qui protégera votre site contre les logiciels malveillants, les attaques par force brute et toute autre menace potentielle.

Lorsque vous utilisez Sucuri, tout le trafic de votre site Web passe par leurs serveurs CloudProxy et chaque requête est analysée afin de filtrer les requêtes malveillantes.

Cela protège non seulement votre site Web, mais réduit également la charge du serveur et améliore les performances et la vitesse de votre site.

Sucuri signale également les menaces de sécurité potentielles à l'équipe principale de WordPress et aux plugins tiers, et dispose d'un package antivirus qui surveille votre site toutes les 4 heures pour détecter les menaces.

Cela permet de suivre tout ce qui se passe sur votre site Web, et plus encore.

Commencez avec Sucuri dès aujourd'hui.

2. SiteLock

plugin-securite-wordpress-sitelock
SiteLock is another amazing WordPress security plugin. It comes with all of the features you need to protect your site including malware scans, managed web app firewall, DDoS prevention, and more.

Leur technologie basée sur le cloud déploie et protège votre site en quelques minutes, il fonctionne donc très rapidement pour trouver, corriger et prévenir les vulnérabilités.

Chaque jour, SiteLock analyse vos thèmes WordPress, plugins et fichiers à la recherche de vulnérabilités potentielles qui pourraient entraîner le blacklisting de votre site.

De plus, lorsque SiteLock trouve et corrige automatiquement les vulnérabilités, il vous fournit un rapport facile à comprendre afin que vous puissiez en apprendre davantage sur la sécurité.

Commencez avec SiteLock dès aujourd'hui.

3. Wordfence

plugin-securite-wordpress-wordfence
Wordfence is another powerful WordPress security plugin that offers everything you need to protect your website.

Wordfence propose un plugin gratuit qui inclut des fonctionnalités importantes telles qu'un pare-feu d'application web, un scanner de logiciels malveillants et une protection contre les attaques par force brute.

Ce qui est parfait si vous débutez et avez besoin d'une solution de protection économique.

Avec Wordfence Premium, vous avez accès à des fonctionnalités encore plus puissantes comme la liste noire d'adresses IP en temps réel, les mises à jour en temps réel des règles de pare-feu et des signatures de logiciels malveillants, l'authentification à 2 facteurs, le blocage par pays, et plus encore.

Le seul inconvénient de Wordfence est qu'il s'exécute sur votre propre serveur, au lieu d'être basé sur le cloud comme les autres plugins de sécurité.

Commencez avec Wordfence dès aujourd'hui.

Maintenant que vous avez d'excellentes options de plugins de sécurité WordPress qui protégeront votre site web et vous rassureront, examinons d'autres moyens d'améliorer facilement la sécurité de votre site WordPress.

Choisissez un hébergement WordPress sécurisé

Choisir un hébergement WordPress sécurisé est une autre étape importante pour garantir la sécurité de votre site web. Une bonne solution d'hébergement mutualisé prendra toujours les mesures nécessaires pour protéger ses serveurs contre les menaces.

Les fournisseurs d'hébergement mutualisé comme Bluehost, Hostinger, et SiteGround surveillent constamment leur réseau pour détecter les activités suspectes, ce qui est une chose de moins à laquelle vous devez penser.

Les fournisseurs d'hébergement comme ceux-ci maintiendront également leurs logiciels et matériels serveur à jour, disposeront d'outils pour prévenir les attaques DDoS et auront des plans en place pour protéger vos données en cas d'incident.

Une autre fonctionnalité de sécurité clé qui devrait être incluse avec l'hébergement WordPress est un certificat SSL.

Un certificat SSL aide à sécuriser la connexion entre votre site Web et vos visiteurs, ce qui permet de protéger les informations personnelles, les transactions de commerce électronique et d'autres données sensibles.

Nous recommandons d'utiliser Bluehost pour héberger votre site WordPress.

bluehost-wordpress-hosting

Non seulement Bluehost est l'une des solutions d'hébergement les plus sécurisées pour votre site WordPress, mais ils ont également négocié une excellente offre pour les lecteurs d'IsItWP.

Lorsque vous vous inscrivez chez Bluehost, vous obtenez un domaine gratuit, un certificat SSL gratuit pour protéger votre site Web, et plus de 72 % de réduction sur l'hébergement Web. Ainsi, vous pouvez lancer votre site Web et vous assurer qu'il est sécurisé pour seulement 2,75 $/mois.

Commencez avec Bluehost dès aujourd'hui.

D'autre part, si vous souhaitez un fournisseur d'hébergement encore plus sécurisé, vous pouvez également choisir un service d'hébergement WordPress géré.

Le seul inconvénient d'une solution d'hébergement mutualisé comme Bluehost est que vous devez partager les ressources du serveur avec tous les autres clients.

Cela signifie qu'il existe un risque qu'un pirate informatique utilise un site Web voisin pour attaquer votre propre site Web.

Avec un service d'hébergement WordPress géré comme WPEngine, c'est comme obtenir un concierge de sécurité pour votre site Web WordPress. Les fournisseurs d'hébergement WordPress géré font tout le travail pour vous.

Ils offrent des mises à jour automatiques de WordPress, des sauvegardes automatiques et des mesures de sécurité plus avancées qui en font une plateforme plus sécurisée pour votre site.

Utilisez des mots de passe forts et uniques

Une autre façon très simple de mieux protéger votre site Web est d'utiliser des mots de passe forts et uniques. 8 % des violations de sécurité WordPress se produisent à la suite d'un mot de passe faible.

Choisir un mot de passe fort et sécurisé est un changement simple que vous pouvez apporter pour protéger votre site Web contre les intrus.

Donc, si vous avez un mot de passe comme « jaimeleschiens » ou même le redouté « 12345678 », changez-le maintenant. Jetez un œil aux conseils ci-dessous pour savoir comment choisir un mot de passe sécurisé :

  • Rendez-le plus long – Il ne faut que 15 minutes à un programme de décryptage pour trouver un mot de passe de 8 caractères. Faites en sorte que votre mot de passe ait au moins 10 caractères.
  • Rendez-le unique – Ne choisissez pas de phrases courantes ou un mot choisi directement dans le dictionnaire, rendez votre mot de passe unique.
  • Mélangez – Ajoutez des caractères spéciaux, des chiffres et un mélange de lettres majuscules et minuscules.
  • N'utilisez pas de détails personnels – Évitez d'utiliser des détails personnels dans votre mot de passe comme votre date de naissance, votre numéro de sécurité sociale ou votre adresse.

Vous ne voulez pas essayer de trouver un mot de passe sécurisé par vous-même ? Essayez l'outil gratuit de génération de mots de passe forts d'IsItWp : Générateur de mots de passe forts gratuit.

isitwp-outil-generateur-mot-de-passe

Avec notre outil de génération de mots de passe, vous pouvez obtenir instantanément un mot de passe hautement sécurisé pour votre administrateur WordPress qu'aucun pirate informatique ne pourra deviner.

Vous pouvez décider de la longueur de votre mot de passe, si vous souhaitez inclure des lettres majuscules, des chiffres ou des caractères spéciaux, et si vous souhaitez un mot de passe plus facile à retenir.

Cliquez simplement sur le cercle bleu pour générer un mot de passe fort. Si le mot de passe généré ne vous plaît pas, cliquez à nouveau pour en obtenir un autre instantanément.

Avec cet outil, vous pouvez facilement trouver un mot de passe pour votre administrateur WordPress qu'il faudrait plus d'une vie aux pirates informatiques pour deviner.

N'oubliez pas qu'une fois que vous avez un mot de passe sécurisé pour votre administrateur WordPress, ne l'utilisez pas pour aucun autre compte.

Choisissez un nom d'utilisateur fort pour l'administrateur WordPress

Tant que nous parlons de la création d'un mot de passe fort, vous devriez également choisir un nom d'utilisateur fort pour votre administrateur WordPress.

Un nom d'utilisateur fort est aussi important que le choix d'un mot de passe fort. Parce que bien sûr, si un pirate informatique essaie de pirater votre site Web, il doit deviner votre mot de passe et votre nom d'utilisateur.

Un nom d'utilisateur courant que les utilisateurs de WordPress choisissent est « admin » ou leur nom. Si vous avez un nom d'utilisateur simple, vous facilitez la tâche aux pirates informatiques pour accéder à votre site. Vous devez donc créer un nom d'utilisateur plus fort.

Choisissez un nom d'utilisateur qui n'est pas lié au contenu de votre site Web, n'incluez pas d'informations personnelles ou de détails, et faites-en quelque chose d'unique pour vous et difficile à deviner pour les autres.

Vous pouvez également masquer votre nom d'utilisateur pour qu'il ne soit pas affiché sur votre site Web afin que les pirates informatiques ne puissent pas le voir.

Dans votre tableau de bord WordPress, allez dans Utilisateurs, puis dans Votre profil. Allez dans le champ Afficher publiquement sous le nom et choisissez l'option d'afficher un pseudonyme au lieu de votre nom d'utilisateur.

masquer-nom-utilisateur-wordpress

Conseil important : Ne rendez pas votre nom d'utilisateur trop obscur. Il doit s'agir de quelque chose dont vous vous souvenez facilement, car si vous oubliez votre mot de passe, vous aurez besoin de votre nom d'utilisateur pour le récupérer.

Suivez les meilleures pratiques pour les plugins et thèmes WordPress

L'un des avantages de l'utilisation de WordPress est d'avoir accès à des milliers de plugins gratuits et à des thèmes WordPress gratuits. Mais certains de ces plugins et thèmes peuvent en fait menacer la sécurité de votre site Web.

En fait, près de 50 % des sites WordPress sont affectés par une vulnérabilité de sécurité causée par un plugin ou un thème WordPress obsolète ou mal codé.

Pour cette raison, vous devez être prudent quant aux thèmes et plugins que vous choisissez de télécharger et d'installer sur votre site WordPress.

En général, la meilleure façon de choisir des plugins et des thèmes WordPress sécurisés est de choisir les plugins les plus populaires du répertoire officiel des plugins WordPress.

Il y a de la sécurité dans les nombres. Si beaucoup de gens utilisent un plugin ou un thème et qu'il a beaucoup de bonnes critiques, c'est très probablement un excellent plugin qui ne vous exposera à aucune vulnérabilité.

plugins-wordpress-populaires

Si un plugin ou un thème est rarement mis à jour, a de nombreuses critiques clients négatives ou manque de support, ce n'est probablement pas un plugin ou un thème que vous souhaitez utiliser sur votre site.

Pour savoir facilement quand un plugin a été mis à jour pour la dernière fois, il suffit d'aller sur la page du plugin dans le répertoire officiel de WordPress. Dans le coin supérieur droit de la page, vous pouvez voir quand le plugin a été mis à jour pour la dernière fois.

really simple ssl dernière mise à jour

Ne téléchargez aucun plugin sans avoir fait vos recherches au préalable. Assurez-vous que les plugins et les thèmes que vous choisissez sont fiables et sécurisés.

Gardez votre site WordPress à jour

La prochaine étape de ce guide de sécurité WordPress est de maintenir votre site WordPress à jour. Maintenir votre site WordPress à jour est important pour vous protéger contre les vulnérabilités.

En fait, 39 % des sites Web WordPress piratés utilisaient une version obsolète du logiciel.

La raison pour laquelle ces plugins et WordPress reçoivent des mises à jour régulières est généralement pour ajouter des améliorations de sécurité et des corrections de bugs, vous devez donc rester à jour.

Comme WordPress est un logiciel open source, il est régulièrement entretenu et mis à jour. Bien que WordPress installe automatiquement les mises à jour mineures, pour les mises à jour majeures, vous devez lancer manuellement la mise à jour.

Vous pouvez lire notre guide pour mettre à jour WordPress.

Vous devez également garder tous les plugins que vous avez installés ainsi que vos thèmes WordPress à jour.

Heureusement, WordPress facilite la mise à jour de votre site, de vos plugins et de vos thèmes. Dans votre tableau de bord WordPress, vous verrez une section Mises à jour.

Chaque fois qu'un de vos plugins tiers a besoin d'une mise à jour, vous recevrez une notification.

Cliquez simplement sur Mises à jour et vous verrez quels plugins doivent être mis à jour. Vous pouvez sélectionner chaque plugin et cliquer sur le bouton Mettre à jour les plugins pour les mettre à jour instantanément.

mises à jour dans wordpress

Dans cette zone, vous pouvez également vous assurer que vous avez installé toutes les dernières mises à jour de WordPress.

Installez un plugin de sauvegarde WordPress

Dans le cas où votre site web serait infecté par des virus ou des logiciels malveillants, ou si votre site était compromis par un pirate informatique, il est important que votre site soit sauvegardé.

Idéalement, vous voudrez une sauvegarde complète de votre site entier, y compris votre base de données et tous vos fichiers WordPress.

Cela peut sembler un projet long et délicat, mais heureusement, il existe un certain nombre de excellents plugins de sauvegarde WordPress qui feront tout le travail pour vous.

Voici quelques-unes de nos sélections des meilleurs plugins de sauvegarde pour sécuriser et sauvegarder votre site WordPress :

1. Duplicator

Plugin de sauvegarde et de migration WordPress Duplicator

Duplicator est le meilleur plugin de sauvegarde et de migration pour WordPress. Il permet de conserver facilement une sauvegarde à jour de votre site entier avec des sauvegardes planifiées de tout votre contenu WordPress.

Vous pouvez envoyer votre sauvegarde vers plusieurs emplacements cloud pour vous assurer d'avoir toujours une copie de votre site à restaurer lorsque vous en avez besoin. Duplicator vous permet de vous connecter à Dropbox, FTP, Google Drive, OneDrive ou Amazon S3 pour un stockage sécurisé.

La restauration de vos sauvegardes est également simple, il vous suffit de cliquer sur quelques boutons et le plugin fera le reste pour vous. Consultez notre critique complète de Duplicator »

Commencez avec Duplicator dès aujourd'hui.

2. UpdraftPlus

updraftplus-plugin-de-sauvegarde

Avec plus d'un million d'installations actives, UpdraftPlus est l'un des plugins de sauvegarde les plus populaires.

UpdraftPlus propose une version gratuite et payante de son plugin et avec les deux, vous pouvez facilement configurer des sauvegardes complètes, manuelles ou planifiées de tous les fichiers de votre site web. Cela inclut votre base de données, vos plugins et vos thèmes.

Vous pouvez sauvegarder directement dans le cloud vers Dropbox, Google Drive, Amazon S3, et plus encore. De plus, vous pouvez restaurer vos fichiers en 1 clic — pas besoin d'être un as de l'informatique.

Commencez avec UpdraftPlus dès aujourd'hui.

3. BackupBuddy

backupbuddy-plugin-de-sauvegarde

BackupBuddy protège un demi-million de sites web depuis 2010, c'est donc un autre choix populaire parmi les plugins de sauvegarde.

En quelques clics, BackupBuddy sauvegardera l'intégralité de votre site WordPress directement depuis votre tableau de bord WordPress.

Une fois que vous aurez sauvegardé les pages de votre site web, les articles, les thèmes, les plugins, les téléversements de la médiathèque, et plus encore, BackupBuddy vous fournira un fichier zip téléchargeable de l'intégralité de votre site WordPress.

Ainsi, si vous vous faites pirater, tout votre travail acharné sera sauvegardé.

Commencez avec BackupBuddy dès aujourd'hui.

Limiter les tentatives de connexion

Protégez votre site WordPress des pirates en limitant les tentatives de connexion. Par défaut, WordPress permet aux utilisateurs de tenter de se connecter autant de fois qu'ils le souhaitent.

Ce n'est pas idéal si vous voulez empêcher les pirates d'essayer de deviner votre mot de passe et d'accéder à votre site web. Limitez donc les tentatives de connexion pour empêcher la découverte de mots de passe par force brute.

Si vous utilisez un plugin de sécurité avec un pare-feu d'application web comme nous l'avons recommandé ci-dessus, cela est pris en charge pour vous par votre plugin de sécurité. Mais sinon, vous voudrez télécharger un plugin comme Login LockDown.

guide-securite-wordpress-login-lockdown

Login LockDown enregistre l'adresse IP et l'horodatage de chaque tentative de connexion échouée.

Si plus d'un certain nombre de tentatives sont détectées dans une courte période à partir de la même plage d'adresses IP, la fonction de connexion est désactivée pour toutes les requêtes provenant de cette plage d'adresses IP.

Dans les paramètres du plugin, vous pouvez choisir le nombre maximum de tentatives de connexion, la restriction de la période de temps de la tentative, la durée du verrouillage, et plus encore.

Ajoutez des questions de sécurité à la connexion WordPress

Une autre façon de renforcer la sécurité de votre connexion WordPress est d'ajouter des questions de sécurité. Les questions de sécurité agissent comme des mots de passe supplémentaires pour votre connexion WordPress, rendant encore plus difficile pour les intrus d'accéder à votre site.

Vous pouvez ajouter des questions de sécurité à votre connexion WordPress en utilisant un plugin tel que WP Security Question.

Avec ce plugin, vous pouvez définir une question de sécurité de votre choix pour la connexion WordPress, les écrans de mot de passe oublié et les inscriptions.

Il est également important de protéger les autres formulaires de votre site web.

Par exemple, si vous souhaitez créer des formulaires de contact, des formulaires de soumission d'articles invités, des formulaires de commande, et plus encore pour votre site web, vous devez vous assurer que ces formulaires sont également sécurisés.

Les pirates peuvent utiliser vos formulaires pour exposer des vulnérabilités et accéder à votre site Web, il est donc important d'utiliser des formulaires sécurisés.

Lorsque vous utilisez un constructeur de formulaires sécurisé tel que WPForms, vos formulaires seront déjà sécurisés, mais vous pouvez également ajouter des couches de sécurité supplémentaires à vos formulaires.

Avec WPForms, vous pouvez personnaliser les entrées de vos champs de formulaire. De cette façon, un pirate ne peut pas entrer de lettres et de chiffres aléatoires pour tenter d'accéder à votre site Web, il ne peut entrer que les données que vous souhaitez voir entrer.

Vous pouvez également activer reCAPTCHA sur vos formulaires. Cela oblige tous les visiteurs du site soumettant un formulaire sur votre site à cliquer sur la case à cocher « Je ne suis pas un robot » avant de soumettre.

Cette fonctionnalité aidera à lutter contre le spam de formulaire et peut également empêcher les commentaires et les forums de votre site d'être piratés et inondés de commentaires spam.

securite-formulaire-recaptcha

WPForms propose également un module complémentaire Custom CAPTCHA qui vous permet de personnaliser les questions et les réponses en tant que CAPTCHA sur vos formulaires.

Commencez avec WPForms dès aujourd'hui.

Déconnectez automatiquement les utilisateurs inactifs

Saviez-vous que lorsque les utilisateurs laissent leurs écrans sans surveillance (comme laisser votre site Web ouvert et s'éloigner de leur ordinateur), c'est en fait un risque de sécurité pour votre site Web ?

Lorsqu'un utilisateur s'éloigne de son écran, les intrus peuvent prendre le contrôle de sa session, changer son mot de passe ou modifier d'autres informations sensibles de son compte.

Pour éviter que cela ne se produise, installez un plugin comme Inactive Logout.

guide-securite-wordpress-inactive-logout-ultimate

Une fois que vous avez installé et activé le plugin, vous pouvez accéder à Paramètres pour configurer les paramètres du plugin.

Ici, vous pouvez décider combien de minutes les utilisateurs sont autorisés à être inactifs avant d'être déconnectés et vous pouvez également choisir le message qu'ils verront lors de la déconnexion.

Désactivez l'édition de fichiers sur votre site

Si un intrus parvient à accéder à votre site Web, il peut facilement modifier les fichiers PHP des plugins et des thèmes à l'intérieur de l'interface d'administration de WordPress.

En raison du risque de sécurité que cela représente, nous vous suggérons de désactiver cette fonctionnalité.

Si vous avez téléchargé le plugin de sécurité Sucuri que nous avons recommandé précédemment, vous pouvez le faire facilement avec leur fonctionnalité de renforcement.

Alternativement, vous pouvez désactiver cette fonctionnalité en ajoutant un petit morceau de code à votre site. Dans le fichier wp-config.php, ajoutez le code suivant :

// Interdire la modification de fichiers
define( 'DISALLOW_FILE_EDIT', true );

Cliquez ici pour des instructions détaillées sur comment modifier le fichier wp-config.php dans WordPress.

Signes que votre site WordPress a été piraté

Si vous êtes nouveau sur WordPress et que vous créez des sites web, vous vous demandez peut-être comment savoir si votre site WordPress a été piraté.

Il est important de reconnaître que votre site a été piraté dès que possible. Car plus les pirates ont accès à votre site sans que vous ne vous en rendiez compte, plus ils peuvent causer de dégâts.

Alors, soyez vigilant et consultez cette liste de signes indiquant que votre site WordPress a été piraté :

  • Impossible de se connecter à l'administration WordPress – Si vous ne parvenez pas à vous connecter à votre administration WordPress, et que vous savez que ce n'est pas parce que vous avez oublié votre mot de passe, c'est un signe qu'un intrus a accédé à votre site et a modifié vos informations de connexion.
  • Site web lent ou ne répondant pas – Si votre site web met plus de temps que d'habitude à se charger ou s'il ne répond pas, il y a une forte probabilité que votre site web ait été piraté. Cela peut se produire lorsqu'un pirate ajoute un morceau de code à votre site web ou lors d'une attaque connue sous le nom de déni de service.
  • Page d'accueil dégradée – Si l'apparence de la page d'accueil de votre site web change ou affiche un message du pirate, c'est un signe évident que vous avez été piraté.
  • Baisse soudaine du trafic – Les pirates peuvent rediriger le trafic de votre site Web. Par conséquent, si vous constatez une baisse soudaine et drastique du trafic de votre site Web, vous avez peut-être été piraté.
  • Pop-ups ou publicités indésirables – Si vous voyez des pop-ups ou des publicités indésirables sur votre site Web que vous n'y avez pas placées, vous avez été piraté par des intrus qui essaient d'envoyer le trafic de votre site Web vers un site Web de spam ou illégal.
  • Comptes utilisateurs suspects – Voir des comptes utilisateurs suspects dans WordPress est un autre signe que vous avez été piraté. Si votre site a une inscription ouverte et aucune protection anti-spam, de nombreux comptes de spam peuvent être créés, ce qui n'est pas grave. Mais si vous n'avez pas d'inscription ouverte et que vous trouvez des comptes utilisateurs suspects avec des privilèges d'administrateur, c'est un signe que vous avez été piraté.
  • Activité inhabituelle dans les journaux du serveur – Les journaux du serveur sont de simples fichiers texte qui enregistrent les différentes activités qui se déroulent sur votre site Web. Vous pouvez consulter ces journaux dans votre tableau de bord WordPress sous Statistiques. Si vous constatez une activité inhabituelle dans vos journaux, cela pourrait être dû à un piratage.

Si vous n'avez pas de plugin de sécurité qui surveille les activités suspectes pour vous, vous devez être vigilant lorsque vous recherchez les signes de piratage.

Plus tôt vous surprenez un intrus, plus tôt vous pouvez rendre votre site Web sûr à nouveau.

Alternativement, vous pouvez utiliser notre Scanner de sécurité gratuit pour sites Web WordPress pour vérifier votre site Web à la recherche de tout logiciel malveillant connu ou d'erreurs de site Web. Consultez également notre article sur les meilleurs livres WordPress, y compris les livres sur la sécurité.

isitwp-scanner-securite-site-web

Avec notre outil gratuit alimenté par Sucuri, tout ce que vous avez à faire est d'entrer l'URL de votre site Web et l'outil analyse instantanément votre site à la recherche de toute vulnérabilité potentielle.

Une fois l'analyse terminée, vous obtiendrez un rapport complet sur la santé et la sécurité de votre site Web.

Que faire si votre site a été piraté

Si vous constatez l'un des signes ci-dessus sur votre site Web WordPress, vous commencerez probablement à paniquer.

Si votre site Web n'a jamais été piraté auparavant, il est difficile de savoir quelle est la prochaine étape à suivre. Mais ne vous inquiétez pas, vous pouvez récupérer votre site Web.

La première étape pour réparer un site Web piraté consiste à identifier la zone problématique. Utilisez les critères de la section précédente pour déterminer d'où vient le piratage.

Par exemple, êtes-vous incapable de vous connecter à l'administration WordPress ? Ou votre site redirige-t-il les utilisateurs vers un autre site Web ? Vous devrez savoir quel est le problème afin de le résoudre.

Ensuite, contactez votre société d'hébergement. La plupart des sociétés d'hébergement ont de l'expérience dans la gestion de ce type de situation, elles devraient donc être en mesure de vous guider pour résoudre le problème.

Ils pourront même vous donner des informations supplémentaires sur la manière dont le pirate a accédé à votre site afin que vous puissiez éviter que cela ne se reproduise à l'avenir.

Votre société d'hébergement devrait également être en mesure de résoudre le problème dans son ensemble, mais sinon, vous avez d'autres options.

Maintenant, si votre société d'hébergement peut réparer votre site Web piraté, cela ne signifie pas que vous êtes seul. Vous pouvez vous tourner vers un service qui propose de réparer les sites Web piratés comme Sucuri, le plugin que nous avons mentionné précédemment.

Non seulement Sucuri protège votre site Web contre les attaques potentielles, mais si votre site est piraté, ils peuvent également le réparer.

Vous pouvez choisir votre plan tarifaire en fonction de la rapidité avec laquelle vous souhaitez leur temps de réponse, le temps de réponse garanti le plus rapide étant de 4 heures.

Une fois votre site Web réparé, vous recevrez un rapport complet. Suivez notre tutoriel étape par étape : Comment réparer un site WordPress piraté et prévenir les futurs piratages

Nous espérons que ce guide ultime de sécurité WordPress vous a aidé à apprendre comment protéger votre site Web contre tous les types d'attaquants et d'intrus.

La sécurité de WordPress ne doit pas être compliquée ; implémentez simplement ces conseils et votre site sera sécurisé. Si vous avez apprécié cet article, consultez notre autre article sur Comment mettre à jour correctement WordPress.

En plus de cela, une fois que vous avez sécurisé votre site, utilisez cette liste de contrôle pour améliorer la vitesse et les performances.

LinkedInPinShares3

Commentaires   Laisser une réponse

  1. Luke Cavanagh March 20, 2020 at 8:46 pm

    J'ai vu Wordfence causer des problèmes de performance sur des sites.

    Reply

Ajouter un commentaire

Nous sommes ravis que vous ayez choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés conformément à notre politique de confidentialité, et tous les liens sont nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

Liste de contrôle de lancement WordPress

La checklist ultime pour lancer un WordPress

Nous avons compilé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi l'eBook gratuit !
Copyright © 2015 - 2026 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTE ÉDITORIALE : Les opinions exprimées ici sont celles de l'auteur seul, et non de toute société d'hébergement, fournisseur de plugins, société de thèmes, Syed Balkhi ou de la Fondation WordPress, et n'ont pas été examinées, approuvées ou autrement cautionnées par l'une de ces entités.

AVIS DE NON-RESPONSABILITÉ : Nous déployons de grands efforts pour maintenir des données fiables sur toutes les offres présentées. Cependant, ces données sont fournies sans garantie. Les utilisateurs doivent toujours vérifier le site Web officiel du fournisseur pour connaître les conditions et les détails actuels. Les offres de produits qui apparaissent sur le site Web proviennent des sociétés d'hébergement, des sociétés de plugins et des sociétés de thèmes respectives auprès desquelles IsItWP reçoit une compensation. Cette compensation peut avoir un impact sur la manière et l'endroit où les produits apparaissent sur ce site (y compris, par exemple, l'ordre dans lequel ils apparaissent). Ce site n'inclut pas tous les produits WordPress ni toutes les offres de produits disponibles.