La sécurité de WordPress est un sujet brûlant dans la blogosphère en ce moment. Les récentes attaques de botnet sur un grand nombre de sites WordPress ont amené certaines personnes à se démener pour récupérer leurs précieuses données et vous devriez agir rapidement pour renforcer votre sécurité WordPress.

Ensuite, il y a ceux qui ont anticipé et ont agi avant que cela ne soit nécessaire. Il y a de fortes chances qu'ils n'aient rencontré aucun problème parce qu'ils se sont fait une cible difficile.

Le fait est le suivant : bien qu'il n'existe pas de site 100 % sécurisé, on peut réduire considérablement la probabilité d'être piraté en consacrant un peu de temps à rendre votre site plus sécurisé que 99 % des autres. Dans cet esprit, dans cet article, je vais vous guider à travers un processus simple en cinq étapes qui transformera votre site d'une cible souple en un véritable cookie coriace.

Étape 1 : Tout mettre à jour

Les éléments obsolètes de votre site représentent des risques de sécurité potentiels car ils peuvent être utilisés par des pirates pour se frayer un chemin dans le backend de votre site. C'est pourquoi il est si important de tout garder à jour.

Et quand je dis tout, je signifier tout:

  • Le noyau WordPress
  • Thèmes
  • Plugins

Les thèmes et plugins désactivés doivent également être tenus à jour – leur simple présence sur votre site en fait un risque potentiel pour la sécurité, vous devez donc les tenir à jour pour renforcer votre sécurité WordPress.

Gestionnaire de mises à jour facile

Vous ne vous connectez pas très souvent ? Pas de soucis – vous pouvez utiliser un plugin comme le Gestionnaire de mises à jour facile pour activer les mises à jour automatiques de votre noyau, thème et plugins WordPress. Il existe également des tonnes de paramètres avancés intégrés pour personnaliser vos mises à jour et des journaux pour voir ce qui a été mis à jour et quand.

Beaucoup de gens iront jusqu'ici puis s'arrêteront, mais il y a en fait une étape supplémentaire à franchir : vous devriez très sérieusement envisager de supprimer tous les thèmes et plugins de votre site qui n'ont pas été récemment mis à jour. Vous pouvez facilement surveiller quand les plugins ont été mis à jour pour la dernière fois avec Plugin Last Updated. Cela ajoute la date de la dernière mise à jour à votre liste de plugins sur le back-end (qui devrait sans doute être affichée par défaut).

D'une manière générale, je dirais que tout plugin non mis à jour au cours des douze derniers mois doit être supprimé.

Étape 2 : Sauvegardez tout (et régulièrement)

Je sais que c'est une suggestion évidente, mais ce serait négligent de ma part de ne pas inclure les sauvegardes WordPress. Le simple fait est que peu de choses (voire rien) sont plus importantes pour la sécurité de votre site.

Si votre site fait l'objet d'un piratage vraiment destructeur (qui est toujours possible), votre dernière ligne de défense est une sauvegarde récente. Cela signifie que même si le pire devait arriver, vous aurez toujours quelque chose sur quoi vous appuyer. Si vous ne fais pas gardez des sauvegardes régulières, alors pour être tout à fait franc, vous êtes foutu.

Il existe un nombre énorme de solutions de sauvegarde, mais ma première suggestion serait de choisir un fournisseur d'hébergement qui inclut des sauvegardes automatiques dans son service. Si vous êtes victime d'une tentative de piratage qui endommage votre site, vous devriez constater que votre fournisseur est rapide pour restaurer le site à sa gloire d'antan.

VaultPress pour WordPress

Au-delà de cela, les options de la crème de la crème sont VaultPress et BackupBuddy. Ils coûtent de l'argent, mais mon conseil est de jamais lésinez sur votre solution de sauvegarde. Personnellement, je suis un utilisateur de VaultPress (tout comme WPExplorer) – ils offrent une solution de sauvegarde complète ainsi que des fonctionnalités de sécurité supplémentaires.

Étape 3 : Modifier votre nom d'utilisateur par défaut

Si vous utilisez toujours le profil “admin” par défaut fourni avec votre installation WordPress, il est maintenant temps de changer.

Pourquoi? Parce que la première étape de toute tentative de connexion par force brute consiste à tenter de se connecter avec le nom d'utilisateur “admin”, puis à exécuter un nombre énorme de tentatives de mot de passe pour entrer. Si vous créez un nom d'utilisateur plus unique, vous arrêtez cette tentative de piratage dans son élan.

Changer de profil et tout ce qui y est potentiellement associé (transférer la propriété des publications, etc.) peut sembler une tâche assez ardue, mais c'est une étape importante dans la sécurisation de votre site et c'est beaucoup plus facile qu'il n'y paraît. Consultez YouTube pour des tutoriels si vous souhaitez des conseils supplémentaires.

Étape 4 : Créez un mot de passe fort unique (et modifiez-le régulièrement)

La plupart des gens sont assez avertis ces jours-ci pour savoir que leur mot de passe ne devrait pas être “mot de passe”. Ce qu'ils peuvent ne pas savoir est que les tentatives de piratage par force brute essaieront un nombre étonnant de combinaisons de mots de passe pour tenter d'accéder à des sites Web. Si votre mot de passe a un sens ou est prévisible de quelque manière que ce soit (par exemple, s'il est composé de mots ou de modèles de chiffres reconnaissables), votre site est à risque.

En réalité, il existe trois règles d'or pour la génération de mots de passe de bonnes pratiques :

  1. Ce doit être vraiment aléatoire et unique
  2. Il ne doit être utilisé qu'une seule fois (c'est-à-dire pas sur plusieurs sites)
  3. Il doit être changé périodiquement (par exemple une fois par mois)

Si vous suivez ces trois règles, votre site sera beaucoup plus sécurisé. En termes de génération de mots de passe vraiment aléatoires, vous pouvez utiliser un générateur en ligne gratuit tel que je vous recommande de vous inscrire pour un compte gratuit avec Dernier passage et utiliser ce service pour (a) générer et (b) stocker tous vos mots de passe.

Étape 5 : Installer la protection des plugins

Il existe un grand nombre de plugins qui prétendent renforcer la sécurité de votre site. Le simple choix peut être écrasant, mais je vais passer à travers l'ivraie et recommander ce que je considère être le plugin le plus simple et le plus efficace que vous puissiez utiliser.

ordfence Security Firewall & Malware Scan

Ce plugin est Clôture des mots: un plugin gratuit populaire et hautement coté. Il comprend une grande variété de fonctionnalités de sécurité, y compris (mais sans s'y limiter) :

  • Un pare-feu
  • Protection IP malveillante
  • Analyses de porte dérobée
  • Analyses de logiciels malveillants
  • Sécurité de connexion renforcée

Bien que Wordfence soit un modèle freemium et dispose d'une version payante avec plus d'options, le plugin lui-même et le service de base ne vous coûtent rien. L'installer sur votre site est une évidence.


En réalité, je ne fais qu'effleurer la surface ici. Bien que la mise en place des mesures de sécurité ci-dessus aidera à renforcer votre sécurité WordPress au-dessus de la grande majorité des autres, vous pouvez toujours faire plus et toujours une chance que vous puissiez toujours être piraté de toute façon.

J'ai couvert des moyens simples de renforcer votre sécurité WordPress dans cet article. Si vous les avez tous implémentés et que vous en voulez toujours plus, je vous conseille de commencer par consulter la page officielle de sécurité de WordPress sur le Codex WordPress.org.

Maintenant, c'est à votre tour – j'aimerais savoir quelles recommandations simples vous avez pour renforcer votre sécurité WordPress. Il peut s'agir de simples trucs et astuces, de suggestions de plugins ou même d'un service premium recommandé comme VaultPress susmentionné. Lancez-vous dans la section des commentaires!

Laisser un commentaire