Lorsqu’un site internet est en place et accessible avec le meilleur CMS du monde, il faut penser à sécuriser WordPress. Lorsqu’on utilise un ordinateur, la sécurité de ce dernier est un aspect essentiel pour protéger ses données. Avec un site internet, la problématique est exactement la même.

En effet, vous souhaitez protéger votre travail qui est peut-être de surcroît votre gagne-pain. A noter que certaines parties de ce tutoriel sont applicables sur d’autres types de sites (autre CMS comme Joomla!, Drupal, Prestashop, Magento…).

Surtout, un site est accessible 24 heures / 24 et 7 jours / 7, alors que vous éteignez par exemple votre ordinateur régulièrement. C’est pour cela qu’il faut sécuriser WordPress. Voyons plus en détail les raisons qui doivent vous pousser à améliorer ce point.

Sécuriser WordPress

Sécuriser WordPress

Sommaire de l’article :

1. Pourquoi sécuriser WordPress ?
1.1. Les points faibles de WordPress
2. Les bonnes pratiques pour sécuriser WordPress
2.1. Avoir un bon hébergement
2.2. Avoir un certificat SSL
2.3. Faire les mises à jour de WordPress régulièrement
2.4. Faire les mises à jour du thème et des plugins
2.5. Attention au choix du thème et des plugins
2.6. Installer une extension de sécurité
2.7. Utiliser un mot de passe compliqué
2.8. Masquer la version de WordPress utilisée
2.9. Modifier le préfixe
2.10. Supprimer le compte admin
2.11. Changer l’adresse URL de la partie administration
2.12. Empêcher le brute force sur le login admin (nombre de tentatives)
2.13. Navigation dans l’arborescence d’un site internet
2.14. Désactiver le fichier d’édition
2.15. Bloquer l’accès aux fichiers wp-config.php et .htaccess
2.16. Sauvegarder votre hébergement et votre base de données
2.17. Ne piratez pas de plugin
2.18. Bannir des adresses IP et des pays
2.19. Détecter les changements de fichier
2.20. Ajouter Cloudfare
2.21. Eviter les attaques XSS ou MIME
2.22. Tester la sécurité de votre site
3. Attention à votre PC également
4. Conclusion

1. Pourquoi sécuriser WordPress ?

La raison principale pour sécuriser WordPress, c’est que bien souvent vous n’êtes pas la cible. Pardon ? Je n’ai pas compris ce que tu viens de dire. Je m’explique. En réalité, la majorité des attaques sont faites par des robots dédiés à cette tâche.

En effet, dès qu’une faille est découverte, les pirates informatiques créés des petits programment qui vont aller de site en site pour découvrir si cette faille est exploitable sur ce dernier. Si c’est possible, il exploite. Généralement, l’objectif est de créer un Botnet ou de créer des liens artificiels et à votre insu vers d’autres sites. Mais il peut y avoir d’autres fonctions plus avancées.

Un botnet est un ensemble d’ordinateurs contrôlé par un pirate, notamment pour faire des dénis de service vers d’autres cibles. Autrement dit, le pirate demande à tous les ordinateurs (ou serveur pour le coup) de se connecter en même vers une cible. Objectif, saturer cette dernière et la rendre inaccessible. Il existe des centaines de millions de sites internet qui sont donc des cibles potentielles.

Les attaques directes sont plus rares, elles sont également plus difficiles à contrer. Dans ce cas, le pirate va prendre le temps d’étudier le site avant de l’attaquer. C’est donc essentiel de sécuriser WordPress, sinon vous risquez d’être infecté même sans être ciblé et c’est encore plus important si vous êtes la cible directe pour décourager l’attaquant.

1.1. Les points faibles de WordPress

Avant de présenter les bonnes pratiques pour « sécuriser WordPress », il est intéressant de présenter les points faibles que le CMS peut avoir. En effet, il n’y a pas qu’un point faible, car un CMS est un assemblage de code plus ou moins complexe sur lequel on ajoute d’autres éléments. Ci-dessous les quatre principaux points vulnérables pour WordPress :

  • Hébergement
  • Thèmes
  • Plugins
  • Le mot de passe

D’ailleurs, un peu plus de 80 % des sites internet WordPress qui ont été piratés n’étaient pas à jour. C’est la principale cause. Par jour, il y a 30 000 sites qui sont piratés dans le monde.

2. Les bonnes pratiques pour sécuriser WordPress

Ci-dessous, je vous propose une liste des bonnes pratiques pour sécuriser WordPress. Celle-ci évoluera certainement dans le temps. Vous pouvez également ajouter vos propres expériences et avis dans les commentaires, le partage et les retours d’expériences sont vraiment intéressants dans ce type de cas.

Si vous respectez l’ensemble des paramètres ci-dessous, vous ne devriez pas avoir d’ennui avec votre site internet. Surtout pour ce qui concerne les attaques automatiques par l’intermédiaire de robots.

2.1. Avoir un bon hébergement

Avoir un bon hébergement est un des piliers pour sécuriser WordPress. Beaucoup de personnes créant leur site internet souhaitent avoir du tout gratuit ou faire des économies sur tout. Très franchement, c’est une très mauvaise idée. Il vaut mieux payer pour quelque chose de qualité qu’obtenir gratuitement quelque chose de bancal qui risque de vous porter préjudice. A noter aussi que certains hébergeurs proposent gratuitement des pares-feux applicatifs pour protéger votre site.

En effet, un hébergeur va avoir un rôle primordial dans la sécurité, car c’est lui qui doit surveiller et mettre à jour les serveurs sur lesquels votre site est installé. Si cela est mal fait, c’est la porte ouverte aux problèmes. Vous pouvez sélectionner ce dernier parmi la liste des meilleurs hébergeurs francophone. De plus, les hébergements payants ne sont vraiment pas chers désormais, pour 1,99 € HT par mois, vous pouvez avoir un hébergement (entrée de gamme, mais fonctionnel).

2.2. Avoir un certificat SSL

De même, en fonction du choix de votre hébergeur, vous aurez la possibilité de mettre en place un certificat SSL pour votre site. Plusieurs hébergeurs (comme OVH), le proposent gratuitement par l’intermédiaire de Let’s Encrypt. Une autre solution est d’utiliser Cloudfare (que je vous présenterais en fin d’article).

Cela permet de sécuriser la connexion entre votre site internet et les visiteurs. C’est le fameux HTTPS que vous voyez au début des adresses URLs. Celles-ci sont de plus en plus utilisées, si vous n’en avez pas, faites la migration de votre site avec cette dernière. A noter qu’il s’agit désormais d’un critère pris en compte par les moteurs de recherche pour le référencement.

2.3. Faire les mises à jour de WordPress régulièrement

Cela peut sembler un peu bateau, mais il est important de les faire. C’est une des principales raisons de piratage. Faire des mises à jour régulières permet de sécuriser WordPress. Certaines mises à jour sont automatiques et d’autres non. Il faut les faire manuellement. Pour ces dernières, il ne faut pas trop tarder pour les réaliser. C’est pour cela qu’il est important de se connecter régulièrement à son espace administration.

Si votre WordPress affiche sa version dans le code source, il est fortement recommandé que ce soit la dernière, sinon les pirates peuvent utiliser les failles de la version que vous utilisez. Je vous montrerais par la suite comment masquer la version.

2.4. Faire les mises à jour du thème et des plugins

Faire la mise à jour de WordPress, mais ne pas faire celles des plugins et de votre thème n’a pas de sens. D’ailleurs, les mises à jour sont régulières. Si vous ne les faites pas, vous risquez d’avoir très rapidement des problèmes.

Les mises à jour étant courantes pour les plugins et les thèmes, on peut être tenté de les laisser de côté par fainéantise ou par ce qu’on ne se connecte pas souvent à son espace administrateur. C’est une mauvaise idée, je connais plusieurs personnes qui ont été piratées, car elles n’avaient pas fait les mises à jour depuis pas mal de temps.

2.5. Attention au choix du thème et des plugins

De même, soyez très vigilant sur le choix de votre thème et de vos extensions. J’en parlais déjà dans deux articles pour installer une extension et installer un thème. En effet, si vous utilisez un plugin ou un thème qui n’est pas suivi au niveau des mises à jour, vous vous exposez aux attaques. Il faut donc choisir ceux qui seront développés dans le temps, généralement les plus téléchargés ou les payants. D’ailleurs les plus téléchargés sont souvent des freemiums, une partie gratuite et des options complémentaires payantes.

Pour développer un site internet dans le temps, il ne faut pas hésiter à payer un peu pour avoir des plugins et un thème de qualité qui ne poseront pas de problème de stabilité. En effet, pour les versions uniquement gratuites, les développeurs peuvent laisser le projet à l’abandon et sans mise à jour, et vous exposerez dès lors votre site.

2.6. Installer une extension de sécurité

Pour sécuriser WordPress, je vous conseille d’installer une extension de sécurité. Il en existe plusieurs. Les plus connues sont certainement WordFence et iTheme. Ma préférence allant à la seconde, c’est avec celle-ci que je vais vous présenter comment sécuriser WordPress davantage.

Installer iTheme Security

Installer iTheme Security

C’est un plugin très complet qui a été téléchargé près d’un million de fois (à l’heure où ces lignes sont écrites). Il est freemium, donc gratuit, mais avec des options complémentaires payantes. Ci-dessous, plusieurs méthodes seront présentées avec la version gratuite, qui suffit largement dans la majorité des cas.

2.7. Utiliser un mot de passe compliqué

Une des principales causes de piratage, ce sont les mots de passe. Pourtant, on a souvent l’impression que ce point est pris à la légère. Il faut voir les études qui ont été faites sur le sujet. Par exemple avec le fameux « 123456 » qui a la vie dure.

Donc, vous devez créer des mots de passe forts, qui alterne les majuscules, les chiffres et même les symboles. Cela va fortement atténuer les chances pour un attaquant de trouver le mot de passe. Il suffit d’utiliser des générateurs de mots de passe en ligne.

2.8. Masquer la version de WordPress utilisée

Vous ne le savez peut-être pas, mais WordPress affiche la version qui est utilisée par la CMS. Mais où celle-ci est-elle affichée. Dans le code source. Il suffit d’aller sur une page de votre site, faire un clic droit, puis afficher le code source. Dans l’en-tête, la version s’affiche. Si vous êtes toujours à jour, cela n’est pas très grave, mais si vous utilisez une version obsolète, le pirate n’a plus qu’à utiliser les failles de cette dernière.

Pour la masquer, il faut agir sur le fichier « function.php » de votre thème et supprimer le fichier readme.html qui se trouve à la racine de WordPress (je ne comprends pas pourquoi il le laisse d’ailleurs).

Voyons comment supprimer le fichier « readme.html », il suffit de vous connecter à votre serveur FTP avec un logiciel comme Filezilla et de supprimer le fichier. Pour accéder au fichier function.php de votre thème. Vous pouvez le faire sur le serveur FTP (dans le dossier de votre thème). Il est également possible de le faire par l’intermédiaire de l’espace administration « Apparence => Editeur => function.php ». Mais nous verrons par la suite qu’il vaut mieux désactiver cette fonction.

L’idéal est donc d’accéder directement au fichier sur son espace FTP. Le fichier se trouve dans « wp-content » => « themes » => « nomDeVotreTheme » => « function.php ».

Dans ce dernier, rendez-vous à la dernière ligne, soit vous trouvez une fermeture de balise PHP qui ressemble à ceci « ?> » et vous devez insérer le code avant, soit il n’y a pas de balise et il suffit de mettre le code ci-dessous sur cette dernière ligne.

remove_action("wp_head", "wp_generator"); 
function supprimer_versions( $src ){
$parts = explode( '?', $src );
$ver = '?ver=' . md5( wp_salt( 'nonce' ) . $parts[1] );
return $parts[0] . $ver;
}
add_filter( 'script_loader_src', 'supprimer_versions', 15, 1 );
add_filter( 'style_loader_src', 'supprimer_versions', 15, 1 );

La première ligne du code va désactiver l’affichage de la version, et le reste du code va chiffrer les versions des scripts utilisés par votre site.

Attention, quand il y aura des mises à jour, le fichier sera effacé et remplacé par un nouveau. Si vous souhaitez maintenir le code, il faudra créer ce qu’on appelle un thème enfant.

2.9. Modifier le préfixe

Lorsque vous créez votre site WordPress, vous avez la possibilité de modifier le préfixe des bases de données. C’est au moment au vous devez renseigner les paramètres de la base de données qui sera utilisée. Par défaut, c’est « wp_ » qui est utilisé. Si vous êtes à cette étape, vous pouvez le changer immédiatement. Pour cela, remplacer le préfixe par autre chose, par exemple « vnsue_ ». Cela complique l’extraction des données en cas d’injonction SQL.

Mais si vous avez déjà fait l’installation, il est possible de changer très facilement le préfixe. Avec l’extension iTheme. Il suffit d’accéder aux options avancées « Change Database Table Prefix », de sélectionne « oui » à côté de « Change prefix »  et de valider. Un message confirme le changement. Faites une sauvegarde de votre base de données au cas où un problème surviendrait.

Changer le préfixe de la base de données

Changer le préfixe de la base de données

2.10. Supprimer le compte admin

Le compte Admin est celui qui est créé par défaut lorsqu’on créer un site avec WordPress. Si vous ne faites rien, il reste accessible depuis l’espace de connexion. Autrement dit, les pirates connaissent un compte avec les droits absolus sur votre site. Il suffit de découvrir le mot de passe et on peut accéder à l’administration.

L’idée est donc de supprimer ce compte. Pour cela, il suffit de créer un nouvel utilisateur possédant les droits « Administrateur ». Ensuite, vous vous connectez avec le compte que vous venez de créer. Vous pouvez supprimer le compte Admin.

Une autre bonne pratique est de créer un compte supplémentaire qui sera dédié uniquement à la rédaction du contenu (article, page…). Ainsi, si vous créez une page auteur, cela évite de communiquer l’identifiant de connexion d’un compte administrateur (certains thèmes l’affichent), ce sera celui d’un compte ayant peu de droits.

2.11. Changer l’adresse URL de la partie administration

Une solution radicale pour empêcher les tentatives de connexion à la partie administration de votre site WordPress, c’est de la déplacer. Par défaut, l’adresse URL est votresite.com/wp-admin. Autrement dit, si vous laissez cet accès, tout le monde peut arriver sur votre page de connexion, car elle est connue de tous.

L’idée, c’est donc de modifier cet accès en changeant la valeur wp-admin qui devient erroné et la remplacer par un autre nom. Par exemple, votredomaine.com/monaccess. Cela masque la connexion au tableau d’administration.

Pour cela, vous pouvez faire la modification directement dans le fichier .htaccess qui se trouve à la racine de WordPress. Vous y accédez par l’intermédiaire du client FTP , comme pour le fichier function.php  du thème. C’est une solution un peu technique, alors je vous propose plus simple en utilisant le plugin iTheme.

Vous devez aller dans la partie « Options avancées ». Dans celle-ci, vous trouverez le bloc « Cacher l’administration ». Dans la fenêtre, vous devez renseigner activer la fonction et renseigner le nom que vous souhaitez donner à votre espace d’administration. Utilisez des minuscules et des lettres « classiques » dans le champ « Identifiant de connexion ». Dans l’exemple ci-dessous, il faudra désormais utiliser « wplogin ».

Une fois que c’est fait, vous pouvez accéder à votre espace par l’intermédiaire de cette nouvelle URL. Donc votredomaine.com/wplogin.

Cacher la partie administration de WordPress

Cacher la partie administration de WordPress

2.12. Empêcher le brute force sur le login admin (nombre de tentative)

Si vous avez laissé votre espace de connexion administrateur accessible ou si un pirate trouve la nouvelle adresse de ce dernier, il peut tenter d’utiliser une méthode qui s’appelle, le brute force.

Pour cela, il va tenter une multitude de combinaison possible par l’intermédiaire d’un logiciel qui test les mots de passe et le login jusqu’au moment où la combinaison tombe juste. S’il a déjà le login (par exemple admin), il a juste à se concentrer sur le mot de passe. Cette technique permet de trouver un mot de passe après un délai long (car il faut tout tester). Pour gagner du temps, les pirates peuvent utiliser des dictionnaires contenant les mots de passe les plus courants, mais ce n’est pas la question.

Une solution pour empêcher cette attaque est de mettre en place un bannissement de l’adresse IP après un certain nombre de tentatives. Il faut des milliers ou des centaines de milliers de tentatives pour réussir, mais l’attaquant à tous sont temps si on ne le détecte pas. Si vous bloquez l’adresse IP rapidement, l’attaque s’arrête.

Le plugin iTheme permet de mettre en place cela. Il faut aller dans l’option « Local Brute Force Protection ». Dans cette partie, il suffit de renseigner le nombre de tentatives maximum autorisé. Par exemple 5. Et le délai pendant laquelle l’IP sera bannie. Par exemple, 60 minutes. De même, si vous avez enlevé le compte Admin, vous pouvez bannir automatiquement une IP qui tente une connexion avec cet identifiant.

Eviter le bruteforce

Eviter le brute force

2.13. Empêcher la navigation dans l’arborescence de votre site internet

Par défaut, il est possible d’accéder au contenu des dossiers d’un site internet si la navigation n’est pas empêchée. Autrement dit, cela va lister le contenu d’un dossier ce qui est très intéressant pour un pirate informatique. Ce qui lui permettra de parcourir l’arborescence de votre serveur.

Il faut donc cacher cette possibilité, pour cela vous pouvez utiliser plusieurs solutions. La plus simple, mettre un fichier index.html vide dans chaque dossier. Cela affichera une page blanche à chaque fois qu’un visiteur tente d’accéder à un dossier de l’arborescence. S’il y a beaucoup de dossiers, cela peut devenir problématique.

Une autre possibilité est de modifier le fichier .htaccess en ajoutant la ligne « Options -Indexes ». Cette option empêche de lister le contenu des dossiers.

Une dernière possibilité est d’utiliser l’extension iTheme. Il suffit d’accéder à la partie « Modifications Systèmes ». Ensuite, il faut cocher l’option « Désactiver l’exploration des répertoires » et sauvegarder.

Désactiver l'exploration des dossiers

Désactiver l’exploration des dossiers

2.14. Désactiver le fichier d’édition

Connaissez-vous le fichier d’édition ? Non, alors vous n’avez surement pas besoin de le conserver, car cela augmentera la sécurité de votre site internet. Il permet de faire des modifications de code pour vos thèmes par exemple. Si vous le modifiez sans précaution, vous risquez également de faire planter votre site.

C’est pourquoi il est peut-être plus utile de le désactiver. Pour cela, on peut utiliser une option dans iTheme. Il suffit d’accéder à la partie « Modifications WordPress », puis dans celle-ci « Editeur de fichier ». Il ne reste plus qu’à désactiver en cochant et en enregistrant.

Désactiver éditeur WordPress

Désactiver éditeur WordPress

2.15. Bloquer l’accès aux fichiers wp-config.php et .htaccess

Vous pouvez protéger vos fichiers wp-config.php et .htaccess. Il s’agit de deux fichiers essentiels pour sécuriser WordPress. En effet, ce sont deux cibles très sollicitées par les pirates. Le .htaccess permet de contrôler de nombreux paramètres pour votre site et le wp-config.php contient de nombreuses informations essentielles.

Il est donc très important de les protéger. Avec l’extension iTheme, vous pouvez les protéger et même aller encore plus loin. Rendez-vous dans « Modifications systèmes »,  il suffit de cocher « Protéger les fichiers système ». Cela va empêcher l’accès à ces fichiers aux visiteurs. En plus des deux fichiers (wp-config.php et .htaccess), cela va protéger l’accès aux fichiers readme.html ou readme.txt.

Il est aussi intéressant de cocher « Retirer les permissions d’écritures sur les fichiers ». Cela va empêcher l’écriture dans les fichiers .htaccess et wp-config.php. Il devient donc impossible aux utilisateurs de faire des modifications. Certains plugins pourront par contre être gênés par cette manipulation, car ils ont besoin d’écrire dans le .htaccess (notamment les plugins de cache). Le problème apparaîtra au moment des mises à jour. Il faudra redonner les droits d’écritures. Si vous avez un doute, ne cochez pas la case.

Protéger les fichiers système

Protéger les fichiers système

2.16. Sauvegarder votre hébergement et votre base de données

Il est très important de faire des sauvegardes régulières de votre hébergement (espace FTP) et de votre base de données. En cas de problème ou de piratage, vous pourrez rapidement restaurer votre site WordPress. Il faut aussi penser aux cas de dysfonctionnement (par exemple le syndrome de la page blanche) ou des mises à jour qui provoquent un bug. Une sauvegarde vous permet de remettre le site en fonctionnement rapidement.

Vous pouvez consulter cet article présentant la sauvegarde d’un site internet. Le choix de l’hébergeur sera important ici également. Par exemple, avec OVH, vous pouvez restaurer votre espace FTP en 2 clics depuis l’espace de gestion avec différentes dates (J -1, J -2, 1 semaine…). Et c’est la même chose pour les bases de données. Vous pouvez facilement les exporter, les sauvegarder et les restaurer. D’où l’importance d’avoir un bon hébergeur.

Pour la base de données, vous pouvez utiliser le plugin iTheme avec la partie « Sauvegarde de la base de données ». Dans celle-ci, vous accédez aux options de gestion. Vous pouvez choisir de recevoir la sauvegarde par mail (à partir d’une certaine taille, c’est problématique) ou sur le serveur, choisir le nombre de sauvegardes à conserver, choisir les tables à sauvegarder…

2.17. Ne piratez pas de plugin

Cela peut paraître évident, mais il est toujours bon de le rappeler. N’utilisez pas de thème ou de plugin payant piraté. En effet, on peut tout trouver sur internet. C’est une très mauvaise idée d’utiliser des éléments provenant de sources non connues.

Pourquoi ? Car ces derniers sont souvent mis en ligne par des pirates qui ont ajouté des lignes de code pour servir leurs intérêts. Dès lors, vous risquez davantage de compromettre la sécurité de votre site WordPress que de faire une bonne affaire.

Personnellement, j’utilise un thème premium et quelques plugins payants. J’ai acquis toutes les licences. C’est un coût, mais je sais que j’ai des éléments sains pour mes sites internet. De plus, il y a le problème des mises à jour, les versions piratées risquent de ne plus fonctionner du jour au lendemain ou de ne pas pouvoir accès à ces dernières ce qui les expose à des attaques.

Il vaut mieux payer un peu pour acquérir des thèmes et plugins de qualité. Sinon, si vous ne souhaitez pas payer, utilisez des thèmes ou plugins gratuits qui ont pignon sur rue et qui proviennent des dépôts officiels de WordPress. Peut-être que cela vous bloquera des options (qui sont dans les versions payantes, mais cela vous évitera surtout bien des ennuis).

2.18. Bannir des adresses IP et des pays

Une solution qui peut également être intéressante, c’est de bannir certaines adresses IP ou certains pays. Par exemple, vous êtes une boutique en ligne qui vend uniquement en France, qu’elle est l’intérêt de laissé des IP provenant du Panama venir sur votre site ? Aucune, car vous n’enverrez pas vos produits là-bas. Et généralement, les adresses IP de certains pays sont connues pour ne pas être très amicales. Bien sûr, ne bannissez pas les adresses des Etats-Unis, car les robots des moteurs de recherche ont souvent ces IPs.

Pour faire cela, vous devez accéder à l’option « « dans iTheme. Vous pouvez cocher la case pour activer le bannissement des adresses connues pour le piratage et répertoriées par HackRepair.com. Sinon, vous pouvez ajouter des adresses IP ou des plages d’adresses IP (pour un pays par exemple) dans le champ prévu à cet effet.

Bannier des IPs

Bannir des IPs

2.19. Détecter les changements de fichier

Sécuriser WordPress, c’est aussi surveiller les mouvements suspects sur votre site. Pour cela, vous pouvez utiliser les logs de votre serveur qui doivent être fournis par votre hébergeur. Je ne sais pas si vous avez déjà vu à quoi ressemble le fichier, c’est plutôt imbuvable et encore plus pour quelqu’un qui ne connait pas les logs.

Dans l’extension iTheme, vous pouvez consulter les logs enregistrés par cette dernière et les conserver sur une certaine durée (pour éviter qu’il y ait trop d’enregistrements dans la base de données).  Mais vous pouvez aussi détecter les modifications de fichiers et recevoir les informations par e-mail dès que des fichiers sont modifiés. Vous verrez que vous en recevrez de temps en temps, c’est normal, car il y a des modifications de fichier qui sont faites par le CMS lui-même (par exemple les mises à jour).

2.20. Ajouter cloudfare

Connaissez-vous Cloudfare ? C’est un plus intéressant pour sécuriser WordPress. Surtout, il améliore également la vitesse de chargement de vos pages. Ce qui est bon pour le référencement naturel.

Il s’agit d’une application qui va se placer entre le site internet et le visiteur. Surtout, elle est gratuite pour sa version de base qui est déjà suffisante. Sur le plan de la sécurité, elle va filtrer les requêtes des visiteurs vers votre site pour bloquer les tentatives de piratages. Pour installer Cloudfare, vous pouvez consulter l’article sur Numelion.

2.21. Eviter les attaques XSS ou MIME

Pour éviter les attaques et sécuriser WordPresse encore davantage, il suffit d’accéder au fichier .htaccess dans votre espace FTP. N’oubliez pas de faire une copie de ce dernier avant de le modifier. En effet, c’est un fichier sensible qui peut bloquer l’accès à votre site internet en cas de fausse manipulation.

Dans celui-ci, il faut ajouter le code ci-dessous (à la fin si vous le souhaitez) :

<IfModule mod_headers.c>
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block" 
</IfModule>

2.22. Tester la sécurité de votre site

Une fois toutes les bonnes pratiques pour sécuriser WordPress mises en place, vous pouvez lancer des tests pour vérifier les grandes lignes et vous assurez que votre site est bien protégé.

Vous pouvez utiliser Dareboost en lançant une recherche sur une page de votre site internet. Ce service va beaucoup plus loin que la sécurité. Il s’intéresse à toutes les composantes de votre site (comme le référencement…). Mais il ressort tous les dysfonctionnements constatés et vous explique comment les résoudre. Une vraie mine d’or. Vous pouvez lancer un test gratuitement sur une URL.

Lorsque le test est fini, il suffit d’aller sous le ruban du rapport généré et de sélectionner la catégorie qui nous intéresse dans le cadre de cet article. Il faut donc sélectionner « Sécurité ». Vous avez alors tous les problèmes qui s’affichent, ceux à régler en priorités et ceux d’une importance moyenne avec les explications.

3. Attention à votre PC également

Peut-être une faille à laquelle vous n’avez pas pensé. Votre PC est un maillon faible de la chaîne. Pourquoi ? Un exemple simple, un enregistreur de frappe est installé à votre insu sur votre ordinateur. Les mots de passe pour vous connecter à votre espace administrateur, votre login, l’URL modifiée seront récupérés par le pirate qui pourra en faire ce qu’il veut. De même, pour les identifiants de votre compte hébergeur ou de la connexion FTP.

C’est pour cela que votre PC est aussi important. Vous devez donc être très vigilant avec ce dernier et mettre en place une politique de sécurité (antivirus, pare-feu, anti malware…).

4. Conclusion

Voilà, cet article se termine. Il vous permet de mettre en place des bonnes pratiques pour sécuriser WordPress. Je souhaitais que les méthodes présentées soient les plus simples possible. En effet, bon nombre d’entre elles  auraient pu être réalisées sans l’utilisation du plugin « iTheme ». Pour cela, il aurait fallu utiliser des codes à insérer directement dans les fichiers de votre espace FTP.

Cela peut-être déroutant pour ceux qui ne sont pas habitués. J’ai donc privilégié le plus possible la simplicité et la fonctionnalité. En procédant de la sorte, vous obtenez les mêmes résultats, sans connaissances particulières. Désormais, vous pouvez rapidement sécuriser WordPress.