Tous les propriétaires de sites WordPress que nous connaissons ont eu ce moment de panique lorsqu'ils réalisent que leur site web pourrait être vulnérable aux pirates. Nous avons appris cette leçon à nos dépens au début de notre parcours lorsque nous avons vu ce que les violations de sécurité pouvaient faire aux entreprises.
C'est pourquoi, au fil des ans, nous avons réussi à protéger WPBeginner contre des attaques répétées en utilisant les meilleurs plugins de sécurité et en suivant les meilleures pratiques de sécurité WordPress.
La sécurité WordPress ne doit pas être compliquée ou coûteuse. La plupart des propriétaires de sites pensent qu'ils doivent engager des experts ou dépenser des milliers en outils de sécurité, mais ce n'est tout simplement pas vrai. Avec la bonne approche et des stratégies éprouvées, vous pouvez protéger votre site web comme nous protégeons le nôtre.
Nous avons passé des années à tester des plugins de sécurité, à mettre en œuvre les meilleures pratiques et à aider des milliers d'utilisateurs de WordPress à sécuriser leurs sites. Dans ce guide, nous vous guiderons à travers chaque étape que nous utilisons pour garder notre site en sécurité, afin que vous puissiez dormir paisiblement en sachant que votre site WordPress est protégé.
Bien que le logiciel de base de WordPress soit très sécurisé et audité régulièrement par des centaines de développeurs, il reste encore beaucoup à faire pour garder votre site sécurisé.
Chez WPBeginner, nous pensons que la sécurité ne consiste pas seulement à éliminer les risques. Il s'agit aussi de réduire les risques. En tant que propriétaire de site web, vous pouvez faire beaucoup pour améliorer la sécurité de votre WordPress, même si vous n'êtes pas un expert en technologie.
C'est pourquoi nous avons élaboré une liste de contrôle de sécurité WordPress avec des étapes concrètes que vous pouvez suivre pour protéger votre site web contre les vulnérabilités de sécurité.
Pour vous faciliter la tâche, nous avons créé une table des matières pour vous aider à naviguer facilement dans notre guide ultime de la sécurité WordPress.
Table des matières
Bases de la sécurité WordPress
- Pourquoi la sécurité WordPress est importante
- Garder WordPress à jour
- Utilisez des mots de passe forts et des autorisations utilisateur
- Comprendre le rôle de l'hébergement WordPress
Sécurité WordPress en quelques étapes simples (sans codage)
- Installer une solution de sauvegarde WordPress
- Installer un plugin de sécurité WordPress réputé
- Activer un pare-feu d'application Web (WAF)
- Déplacer votre site WordPress vers SSL/HTTPS
Sécurité WordPress pour les utilisateurs autonomes
- Changer le nom d'utilisateur administrateur par défaut
- Désactiver l'édition de fichiers
- Désactiver l'exécution de fichiers PHP dans certains répertoires WordPress
- Limiter les tentatives de connexion
- Ajouter l'authentification à deux facteurs (2FA)
- Changer le préfixe de la base de données WordPress
- Protéger par mot de passe la page d'administration et de connexion WordPress
- Désactiver l'indexation et la navigation des répertoires
- Désactiver XML-RPC dans WordPress
- Déconnexion automatique des utilisateurs inactifs dans WordPress
- Ajouter des questions de sécurité à la connexion WordPress
- Analyser WordPress à la recherche de logiciels malveillants et de vulnérabilités
- Réparer un site WordPress piraté
Prêt ? Commençons.
Pourquoi la sécurité du site Web est importante
Un site WordPress piraté peut causer de graves dommages aux revenus et à la réputation de votre entreprise. Les pirates peuvent voler des informations et des mots de passe d'utilisateurs, installer des logiciels malveillants et même distribuer des logiciels malveillants à vos utilisateurs.
Pire encore, vous pourriez vous retrouver à payer une rançon aux pirates simplement pour retrouver l'accès à votre site Web.
Chaque jour, Google avertit 12 à 14 millions d'utilisateurs qu'un site Web qu'ils essaient de visiter peut contenir des logiciels malveillants ou voler des informations.
De plus, Google met sur liste noire plus de 10 000 sites Web chaque jour pour cause de logiciels malveillants ou de phishing.
Tout comme les propriétaires d'entreprises ayant un emplacement physique sont responsables de la protection de leurs biens, les propriétaires d'entreprises en ligne doivent accorder une attention particulière à la sécurité de leur WordPress.
Garder WordPress à jour
WordPress est un logiciel open-source et est régulièrement entretenu et mis à jour. Par défaut, WordPress installe automatiquement les mises à jour mineures.
Pour les versions majeures, vous devez initier manuellement la mise à jour.
WordPress est également livré avec des milliers de plugins et de thèmes que vous pouvez installer sur votre site Web. Ces plugins et thèmes sont maintenus par des développeurs tiers, qui publient régulièrement des mises à jour également.
Ces mises à jour WordPress sont cruciales pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que votre cœur, vos plugins et votre thème WordPress sont à jour.
Utilisez des mots de passe forts et des autorisations utilisateur
Les tentatives de piratage WordPress les plus courantes utilisent des mots de passe volés. Cependant, vous pouvez rendre cela difficile en utilisant des mots de passe plus forts et uniques pour votre site web.
Nous ne parlons pas seulement de la zone d'administration de WordPress. N'oubliez pas de créer des mots de passe forts pour vos comptes FTP, vos bases de données, vos comptes d'hébergement WordPress et vos adresses e-mail personnalisées qui utilisent le nom de domaine de votre site.
De nombreux débutants n'aiment pas utiliser des mots de passe forts car ils sont difficiles à retenir. La bonne nouvelle est que vous n'avez plus besoin de retenir les mots de passe car vous pouvez simplement utiliser un gestionnaire de mots de passe.
Consultez notre guide sur la gestion des mots de passe WordPress pour plus d'informations.
Une autre façon de réduire le risque est de ne donner accès à votre compte d'administration WordPress à personne, sauf si vous y êtes absolument obligé.
Si vous avez une grande équipe ou des auteurs invités, assurez-vous de bien comprendre les rôles et permissions des utilisateurs dans WordPress avant d'ajouter de nouveaux comptes utilisateurs et auteurs à votre site WordPress.
Comprendre le rôle de l'hébergement WordPress
Votre service d'hébergement WordPress joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon fournisseur d'hébergement mutualisé comme Hostinger, Bluehost, ou SiteGround prend des mesures supplémentaires pour protéger ses serveurs contre les menaces courantes.
Voici quelques exemples des mesures prises par les bonnes sociétés d'hébergement web en arrière-plan pour protéger vos sites web et vos données :
- Ils surveillent en permanence leur réseau pour détecter toute activité suspecte.
- Toutes les bonnes sociétés d'hébergement disposent d'outils pour prévenir les attaques DDoS à grande échelle.
- Ils maintiennent leurs logiciels de serveur, leurs versions PHP et leur matériel à jour pour empêcher les pirates d'exploiter une vulnérabilité de sécurité connue dans une ancienne version.
- Ils disposent de plans de reprise après sinistre et d'accident prêts à être déployés, ce qui leur permet de protéger vos données en cas d'accident majeur.
Sur un plan d'hébergement mutualisé, vous partagez les ressources du serveur avec de nombreux autres clients. Il existe un risque de contamination inter-sites où un pirate peut utiliser un site voisin pour attaquer votre site Web.
En revanche, l'utilisation d'un service d'hébergement WordPress géré offre une plateforme plus sécurisée pour votre site Web. Les sociétés d'hébergement WordPress géré offrent des sauvegardes automatiques, des mises à jour automatiques de WordPress et des configurations de sécurité plus avancées pour protéger votre site Web.
Nous recommandons SiteGround comme notre fournisseur d'hébergement WordPress géré préféré. Ils ont un support réactif, des serveurs rapides et une excellente fiabilité.
Assurez-vous d'obtenir la meilleure offre en utilisant notre coupon SiteGround spécial.
Sécurité WordPress en quelques étapes simples (sans codage)
Nous savons que l'amélioration de la sécurité WordPress peut être une pensée terrifiante pour les débutants, surtout si vous n'êtes pas un expert en technologie. Devinez quoi : vous n'êtes pas seul.
Nous avons aidé des milliers d'utilisateurs WordPress à renforcer la sécurité de leur WordPress.
Nous vous montrerons comment vous pouvez améliorer la sécurité de votre WordPress en quelques clics (aucun codage requis).
Si vous pouvez pointer et cliquer, vous pouvez le faire !
1. Installez une solution de sauvegarde WordPress
Les sauvegardes sont votre première ligne de défense contre toute attaque WordPress. N'oubliez pas que rien n'est sécurisé à 100 %. Si des sites Web gouvernementaux peuvent être piratés, le vôtre aussi.
Les sauvegardes vous permettent de restaurer rapidement votre site WordPress en cas de problème.
Il existe de nombreux plugins de sauvegarde WordPress gratuits et payants que vous pouvez utiliser. La chose la plus importante à savoir concernant les sauvegardes est que vous devez régulièrement enregistrer des sauvegardes complètes du site dans un emplacement distant (pas sur votre compte d'hébergement).
Nous vous recommandons de les stocker sur un service cloud comme Amazon, Dropbox, ou des clouds privés comme Stash.
En fonction de la fréquence à laquelle vous mettez à jour votre site Web, le réglage idéal pourrait être soit une sauvegarde quotidienne, soit des sauvegardes en temps réel.
Heureusement, cela peut être facilement fait en utilisant des plugins comme Duplicator, UpdraftPlus, ou BlogVault. Ils sont tous deux fiables et, plus important encore, faciles à utiliser (aucun codage nécessaire).
Pour plus de détails, consultez notre guide sur comment sauvegarder votre site WordPress.
Installer un plugin de sécurité WordPress réputé
Après les sauvegardes, la prochaine chose à faire est de mettre en place un système d'audit et de surveillance qui suit tout ce qui se passe sur votre site Web.
Cela inclut la surveillance de l'intégrité des fichiers, les tentatives de connexion échouées, l'analyse des logiciels malveillants, et plus encore.
Heureusement, vous pouvez facilement y remédier en installant l'un des meilleurs plugins de sécurité WordPress, comme Sucuri.
Vous devez installer et activer le plugin gratuit Sucuri Security. Pour plus de détails, veuillez consulter notre guide étape par étape sur comment installer un plugin WordPress.
Vous pouvez maintenant aller dans Sucuri Security » Tableau de bord pour voir si le plugin a trouvé des problèmes immédiats avec votre code WordPress.
La prochaine chose à faire est de naviguer vers la page Sucuri Security » Settings et de cliquer sur l'onglet « Hardening ».
Les paramètres par défaut fonctionnent bien pour la plupart des sites Web, vous pouvez donc les activer en cliquant sur le bouton « Apply Hardening » pour chaque option.
Cela vous aide à verrouiller les zones clés que les pirates utilisent souvent dans leurs attaques.
Astuce : Nous aborderons d'autres moyens de renforcer votre site Web plus loin dans cet article, tels que la modification du préfixe de la base de données et du nom d'utilisateur administrateur. Cependant, ceux-ci sont plus techniques et peuvent nécessiter des connaissances en codage.
Après le renforcement, les autres paramètres par défaut du plugin sont suffisants pour la plupart des sites Web et ne nécessitent aucune modification.
La seule chose que nous recommandons de personnaliser sont les alertes par e-mail, qui se trouvent dans l'onglet « Alerts » de la page des paramètres.
Par défaut, vous recevrez de nombreuses alertes par e-mail qui peuvent encombrer votre boîte de réception.
Nous vous recommandons d'activer les alertes uniquement pour les actions clés dont vous souhaitez être informé, telles que les modifications de plugins et les nouvelles inscriptions d'utilisateurs.
Ce plugin de sécurité WordPress est très puissant, alors parcourez tous les onglets et paramètres pour voir tout ce qu'il fait, comme l'analyse des logiciels malveillants, les journaux d'audit, le suivi des tentatives de connexion échouées, et plus encore.
Pour plus d'informations, vous pouvez consulter notre avis détaillé sur Sucuri.
Activer un pare-feu d'application Web (WAF)
L'utilisation d'un pare-feu d'application Web (WAF) est le moyen le plus simple de protéger votre site et d'avoir confiance en la sécurité de votre WordPress.
Un pare-feu de site Web bloque tout le trafic malveillant avant même qu'il n'atteigne votre site Web.
- Un pare-feu de site Web au niveau DNS achemine le trafic de votre site Web via ses serveurs proxy cloud. Cela lui permet de n'envoyer que le trafic légitime à votre serveur Web.
- Un pare-feu au niveau de l'application examine le trafic une fois qu'il atteint votre serveur mais avant le chargement de la plupart des scripts WordPress. Cette méthode n'est pas aussi efficace qu'un pare-feu au niveau DNS pour réduire la charge du serveur.
Pour en savoir plus, consultez notre liste des meilleurs plugins de pare-feu WordPress.
Nous avons utilisé Sucuri sur WPBeginner pendant de nombreuses années et nous le recommandons toujours comme l'un des meilleurs pare-feu d'applications Web pour WordPress. Nous sommes récemment passés de Sucuri à Cloudflare car nous avions besoin d'un réseau CDN plus vaste avec des fonctionnalités axées davantage sur les clients d'entreprise.
Vous pouvez lire comment Sucuri nous a aidés à bloquer 450 000 attaques WordPress en un mois.
Le meilleur atout du pare-feu Sucuri est qu'il est également assorti d'une garantie de nettoyage des logiciels malveillants et de suppression des listes noires. Cela signifie que si vous étiez piraté sous leur surveillance, ils garantissent de réparer votre site Web, peu importe le nombre de pages que vous avez.
C'est une garantie assez solide car la réparation de sites Web piratés est coûteuse. Les experts en sécurité facturent normalement plus de 250 $ par heure, alors que vous pouvez obtenir l'ensemble de la suite de sécurité Sucuri pour 199 $ pour toute une année.
Cela dit, Sucuri n'est pas le seul fournisseur de pare-feu au niveau DNS. L'autre concurrent populaire est Cloudflare. Consultez notre comparaison de Sucuri vs. Cloudflare (Avantages et inconvénients).
Déplacer votre site WordPress vers SSL/HTTPS
Le SSL (Secure Sockets Layer) est un protocole qui chiffre le transfert de données entre votre site web et le navigateur de l'utilisateur. Ce chiffrement rend plus difficile pour quelqu'un de fouiner et de voler des informations.
Une fois que vous activez le SSL, l'adresse de votre site web utilisera HTTPS au lieu de HTTP. Vous verrez également un cadenas ou une icône similaire à côté de l'adresse de votre site web dans le navigateur.
Les certificats SSL sont généralement émis par des autorités de certification, et leurs prix commencent à 80 $ pour atteindre des centaines de dollars par an. En raison du coût supplémentaire, la plupart des propriétaires de sites web ont par le passé choisi de continuer à utiliser le protocole non sécurisé.
Pour résoudre ce problème, une organisation à but non lucratif appelée Let’s Encrypt a décidé d’offrir des certificats SSL gratuits aux propriétaires de sites Web. Leur projet est soutenu par Google Chrome, Facebook, Mozilla et de nombreuses autres entreprises.
Il est plus facile que jamais de commencer à utiliser le SSL pour tous vos sites Web WordPress. De nombreuses sociétés d’hébergement proposent désormais un certificat SSL gratuit pour votre site Web WordPress.
Si votre société d’hébergement n’en propose pas, vous pouvez acheter un certificat SSL auprès de Domain.com. Ils ont les meilleures et les plus fiables offres SSL du marché. Le certificat est accompagné d’une garantie de sécurité de 10 000 $ et d’un sceau de sécurité TrustLogo.
Sécurité WordPress pour les utilisateurs autonomes
Si vous faites tout ce que nous avons mentionné jusqu’à présent, alors vous êtes plutôt bien parti.
Mais comme toujours, il y a plus que vous pouvez faire pour renforcer la sécurité de votre WordPress.
Gardez à l’esprit que certaines de ces étapes peuvent nécessiter des connaissances en codage.
Changer le nom d'utilisateur administrateur par défaut
Dans le passé, le nom d’utilisateur administrateur WordPress par défaut était « admin ». Les noms d’utilisateur constituant la moitié des identifiants de connexion, cela facilitait les attaques par force brute pour les pirates.
Heureusement, WordPress a depuis changé cela et vous oblige désormais à sélectionner un nom d’utilisateur personnalisé au moment de l’installation de WordPress.
Cependant, certains installateurs WordPress en 1 clic définissent toujours le nom d’utilisateur administrateur par défaut sur « admin ». Si vous constatez que c’est le cas, il est probablement judicieux de changer votre hébergement Web.
Comme WordPress ne vous permet pas de changer de nom d'utilisateur par défaut, il existe trois méthodes que vous pouvez utiliser pour changer le nom d'utilisateur.
- Créez un nouveau nom d'utilisateur administrateur et supprimez l'ancien.
- Utilisez le plugin Username Changer
- Mettez à jour le nom d'utilisateur depuis phpMyAdmin
Nous avons couvert ces trois méthodes dans notre guide détaillé sur comment changer correctement votre nom d'utilisateur WordPress.
Remarque : Pour être clair, nous parlons de changer le nom d'utilisateur appelé « admin », et non le rôle utilisateur administrateur, qui est également parfois appelé « admin ».
Désactiver l'édition de fichiers
WordPress est livré avec un éditeur de code intégré qui vous permet de modifier vos fichiers de thème et de plugin directement depuis votre zone d'administration WordPress.
Entre de mauvaises mains, cette fonctionnalité peut présenter un risque de sécurité, c'est pourquoi nous recommandons de la désactiver.
Vous pouvez facilement le faire en ajoutant le code suivant à votre fichier wp-config.php ou avec un plugin de snippet de code comme WPCode (recommandé) :
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Nous vous montrons comment faire cela étape par étape dans notre guide sur comment désactiver les éditeurs de thème et de plugin depuis le panneau d'administration WordPress.
Alternativement, vous pouvez le faire en 1 clic en utilisant la fonctionnalité de renforcement dans le plugin gratuit Sucuri mentionné ci-dessus.
Désactiver l'exécution de fichiers PHP dans certains répertoires WordPress
Une autre façon de renforcer la sécurité de votre WordPress est de désactiver l'exécution des fichiers PHP dans les répertoires où elle n'est pas nécessaire, tels que /wp-content/uploads/.
Vous pouvez le faire en ouvrant un éditeur de texte comme le Bloc-notes et en collant ce code :
<Files *.php>
deny from all
</Files>
Ensuite, vous devez enregistrer ce fichier sous le nom .htaccess et le téléverser dans le dossier /wp-content/uploads/ de votre site web à l'aide d'un client FTP.
Pour une explication plus détaillée, consultez notre guide sur comment désactiver l'exécution de PHP dans certains répertoires WordPress.
Alternativement, vous pouvez le faire en un clic en utilisant la fonctionnalité de renforcement du plugin gratuit Sucuri que nous avons mentionné ci-dessus.
Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs d'essayer de se connecter autant de fois qu'ils le souhaitent. Cela rend votre site WordPress vulnérable aux attaques par force brute. C'est là que les pirates essaient de casser les mots de passe en essayant de se connecter avec différentes combinaisons.
Cela peut être facilement résolu en limitant le nombre de tentatives de connexion échouées qu'un utilisateur peut effectuer. Si vous utilisez le pare-feu d'application Web mentionné précédemment, cela est automatiquement pris en charge.
Cependant, si vous n'avez pas configuré le pare-feu, vous pouvez continuer en suivant les étapes ci-dessous.
Tout d'abord, vous devez installer et activer le plugin gratuit Limit Login Attempts Reloaded. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.
Après l'activation, le plugin commencera à limiter le nombre de tentatives de connexion que les utilisateurs peuvent effectuer.
Les paramètres par défaut fonctionneront pour la plupart des sites Web. Cependant, vous pouvez les personnaliser en visitant la page Paramètres » Limit Login Attempts et en cliquant sur l'onglet « Paramètres » en haut. Par exemple, pour vous conformer aux lois RGPD, vous pouvez cocher la case « Conformité RGPD ».
Pour des instructions détaillées, consultez notre guide sur comment et pourquoi limiter les tentatives de connexion dans WordPress.
Ajouter l'authentification à deux facteurs (2FA)
La méthode d'authentification à deux facteurs nécessite 2 étapes différentes pour que les utilisateurs se connectent :
- La première étape est le nom d'utilisateur et le mot de passe.
- La deuxième étape vous demande d'utiliser un code provenant d'un appareil ou d'une application en votre possession, auquel les pirates ne peuvent pas accéder, comme votre smartphone.
La plupart des sites web en ligne les plus populaires comme Google, Facebook et Twitter, vous permettent de l'activer pour vos comptes. Vous pouvez également ajouter la même fonctionnalité à votre site WordPress.
Tout d'abord, vous devez installer et activer le plugin WP 2FA – Two-factor Authentication. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.
Un assistant convivial vous aidera à configurer le plugin, puis un code QR vous sera fourni.
Vous devrez scanner le code QR à l'aide d'une application d'authentification sur votre téléphone, telle que Google Authenticator, Authy ou LastPass Authenticator.
Nous recommandons d'utiliser LastPass Authenticator ou Authy car ils vous permettent de sauvegarder vos comptes dans le cloud. Ceci est très utile si votre téléphone est perdu, réinitialisé ou si vous achetez un nouveau téléphone. Toutes vos connexions de compte seront facilement restaurées.
La plupart de ces applications fonctionnent de manière similaire, et si vous utilisez Authy, il vous suffit de cliquer sur le bouton « + » ou « Ajouter un compte » dans l'application d'authentification.
Cela vous permettra de scanner le code QR sur votre ordinateur à l'aide de l'appareil photo de votre téléphone. Vous devrez peut-être d'abord autoriser l'application à accéder à l'appareil photo.
Après avoir donné un nom au compte, vous pouvez l'enregistrer.
La prochaine fois que vous vous connecterez à votre site Web, le code d'authentification à deux facteurs vous sera demandé après avoir saisi votre mot de passe.
Ouvrez simplement l'application d'authentification sur votre téléphone, et vous verrez un code unique.
Vous pouvez ensuite saisir le code sur votre site Web pour terminer la connexion.
Changer le préfixe de la base de données WordPress
Par défaut, WordPress utilise wp_ comme préfixe pour toutes les tables de votre base de données WordPress.
Si votre site WordPress utilise le préfixe de base de données par défaut, il est plus facile pour les pirates de deviner le nom de votre table. C'est pourquoi nous recommandons de le modifier.
Vous pouvez changer votre préfixe de base de données en suivant notre tutoriel étape par étape sur comment changer le préfixe de la base de données WordPress pour améliorer la sécurité.
Remarque : Changer le préfixe de la base de données peut casser votre site s'il n'est pas fait correctement. Ne faites cela que si vous êtes à l'aise avec vos compétences en codage.
Protéger par mot de passe la page d'administration et de connexion WordPress
Normalement, les pirates peuvent accéder à votre dossier wp-admin et à votre page de connexion sans aucune restriction. Cela leur permet d'essayer leurs astuces de piratage ou de lancer des attaques DDoS.
Vous pouvez ajouter une protection par mot de passe supplémentaire au niveau du serveur, ce qui bloquera efficacement ces requêtes.
Suivez simplement nos instructions étape par étape sur comment protéger par mot de passe votre répertoire d'administration WordPress (wp-admin).
Désactiver l'indexation et la navigation des répertoires
Lorsque vous tapez l'adresse d'un de vos dossiers de site Web dans un navigateur Web, la page Web appelée index.html vous sera affichée si elle existe. Si elle n'existe pas, une liste des fichiers de ce dossier vous sera alors affichée. C'est ce qu'on appelle la navigation dans les répertoires.
La navigation dans les répertoires peut être utilisée par les pirates pour découvrir si vous avez des fichiers présentant des vulnérabilités connues, afin qu'ils puissent exploiter ces fichiers pour obtenir un accès.
La navigation dans les répertoires peut également être utilisée par d'autres personnes pour examiner vos fichiers, copier des images, découvrir la structure de vos répertoires et obtenir d'autres informations. C'est pourquoi il est fortement recommandé de désactiver l'indexation et la navigation dans les répertoires.
Vous devez vous connecter à votre site Web en utilisant FTP ou le gestionnaire de fichiers de votre fournisseur d'hébergement. Ensuite, localisez le fichier .htaccess dans le répertoire racine de votre site Web. Si vous ne le voyez pas, consultez notre guide sur pourquoi vous ne trouvez pas le fichier .htaccess dans WordPress.
Après cela, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :
Options -Indexes
N'oubliez pas d'enregistrer et de téléverser le fichier .htaccess sur votre site.
Pour en savoir plus sur ce sujet, consultez notre article sur comment désactiver la navigation dans les répertoires dans WordPress.
Désactiver XML-RPC dans WordPress
XML-RPC est une API WordPress principale qui aide à connecter votre site WordPress avec des applications Web et mobiles. Il est activé par défaut depuis WordPress 3.5.
Cependant, en raison de sa nature puissante, XML-RPC peut amplifier considérablement les attaques par force brute.
Par exemple, si un pirate informatique voulait traditionnellement essayer 500 mots de passe différents sur votre site Web, il devrait faire 500 tentatives de connexion distinctes. Le plugin Limit Login Attempts Reloaded peut intercepter et bloquer cela.
Mais avec XML-RPC, un pirate informatique peut utiliser la fonction system.multicall pour essayer des milliers de mots de passe avec, disons, 20 ou 50 requêtes.
C'est pourquoi si vous n'utilisez pas XML-RPC, nous vous recommandons de le désactiver.
Il existe 3 façons de désactiver XML-RPC dans WordPress, et nous les avons toutes couvertes dans notre tutoriel étape par étape sur comment désactiver XML-RPC dans WordPress.
Astuce : La méthode .htaccess est la meilleure car elle consomme le moins de ressources. Les autres méthodes sont plus faciles pour les débutants.
Alternativement, cela est pris en charge automatiquement si vous utilisez un pare-feu d'application Web (WAF) comme nous l'avons mentionné précédemment.
Déconnexion automatique des utilisateurs inactifs dans WordPress
Les utilisateurs connectés peuvent parfois s'éloigner de l'écran, ce qui présente un risque de sécurité. Quelqu'un peut détourner leur session, changer les mots de passe ou apporter des modifications à leur compte.
C'est pourquoi de nombreux sites bancaires et financiers déconnectent automatiquement un utilisateur inactif. Vous pouvez également configurer une fonctionnalité similaire sur votre site WordPress.
Vous devrez installer et activer le plugin Inactive Logout. Après l'activation, visitez la page Réglages » Inactive Logout pour personnaliser les paramètres de déconnexion.
Définissez simplement la durée et ajoutez un message de déconnexion. Ensuite, n'oubliez pas de cliquer sur le bouton « Enregistrer les modifications » en bas de la page pour enregistrer vos paramètres.
Pour des instructions étape par étape, veuillez consulter notre guide sur comment déconnecter automatiquement les utilisateurs inactifs dans WordPress.
Ajouter des questions de sécurité à l'écran de connexion WordPress
L'ajout d'une question de sécurité à votre écran de connexion WordPress rend encore plus difficile l'accès non autorisé.
Vous pouvez ajouter des questions de sécurité en installant le plugin Two Factor Authentication. Après activation, vous devrez visiter la page Multi-factor Authentication » Two Factor pour configurer les paramètres du plugin.
Cela vous permettra d'ajouter divers types d'authentification à deux facteurs à votre site, y compris des questions de sécurité.
Pour des instructions plus détaillées, consultez notre tutoriel sur comment ajouter des questions de sécurité à l'écran de connexion WordPress.
Analyser WordPress à la recherche de logiciels malveillants et de vulnérabilités
Si vous avez un plugin de sécurité WordPress installé, il vérifiera régulièrement les logiciels malveillants et les signes d'atteintes à la sécurité.
Cependant, si vous constatez une baisse soudaine du trafic sur votre site Web ou des classements de recherche, vous voudrez peut-être rechercher manuellement les logiciels malveillants. Vous pouvez le faire en utilisant votre plugin de sécurité WordPress ou l'un des meilleurs scanners de logiciels malveillants et de sécurité.
L'exécution de ces analyses en ligne est assez simple. Il vous suffit d'entrer l'URL de votre site Web, et leurs robots parcourent votre site pour rechercher les logiciels malveillants et le code malveillant connus.
Gardez à l'esprit que la plupart des scanners de sécurité WordPress ne peuvent que vous avertir si votre site contient des logiciels malveillants. Ils ne peuvent pas supprimer les logiciels malveillants ni nettoyer un site WordPress piraté.
Cela nous amène à la section suivante, le nettoyage des logiciels malveillants et des sites WordPress piratés.
Réparer un site WordPress piraté
De nombreux utilisateurs de WordPress ne réalisent pas l'importance des sauvegardes et de la sécurité du site Web jusqu'à ce que leur site Web soit piraté.
Les pirates installent des portes dérobées sur les sites affectés, et si ces portes dérobées ne sont pas correctement corrigées, votre site Web sera probablement piraté à nouveau.
Pour les utilisateurs aventureux et autonomes, nous avons compilé un guide étape par étape sur la réparation d'un site WordPress piraté.
Cependant, le nettoyage d'un site WordPress peut être très difficile et prendre beaucoup de temps. Notre conseil serait de laisser un professionnel s'en occuper.
Si vous payez pour utiliser le plugin de sécurité Sucuri que nous avons mentionné ci-dessus, la réparation de site piraté est incluse dans le prix.
Sinon, vous pouvez consulter nos recommandations des meilleures agences de support WordPress pour trouver des professionnels qui peuvent réparer votre site piraté pour vous.
FAQ sur la sécurité WordPress
Parce que la sécurité WordPress est si importante, nous recevons régulièrement des questions à ce sujet. Voici les réponses aux questions fréquemment posées sur la protection des sites Web WordPress contre les attaques.
WordPress est-il sûr à utiliser ?
WordPress est conçu pour être sécurisé, surtout si vous le maintenez à jour régulièrement. Cependant, en raison de sa popularité, les pirates ciblent souvent les sites Web WordPress.
Ne vous inquiétez pas, cependant. En suivant des conseils de sécurité simples comme ceux de cet article, vous pouvez réduire considérablement les risques que quelqu'un pirate votre site Web.
Qu'est-ce qui peut mettre mon site Web WordPress en danger ?
Il existe différentes manières dont les pirates tentent d'accéder aux sites Web. Les menaces courantes incluent la devinette de mots de passe, l'installation de logiciels malveillants (malware) et la recherche de failles dans le code de votre site Web pour voler des informations ou en prendre le contrôle.
À quelle fréquence dois-je mettre à jour mon site Web WordPress ?
Maintenir votre site WordPress, vos thèmes et vos plugins à jour est très important. Les nouvelles mises à jour incluent souvent des correctifs pour les problèmes de sécurité. Essayez d'utiliser les mises à jour automatiques ou vérifiez vous-même les mises à jour au moins une fois par semaine et installez-les rapidement.
Ai-je besoin d'un plugin spécial pour la sécurité ?
Vous n'êtes pas obligé d'utiliser un plugin de sécurité, mais ils peuvent rendre votre site web beaucoup plus sûr. Les plugins de sécurité agissent comme des gardes supplémentaires pour votre site web, vous protégeant des pirates et des logiciels malveillants.
Comment savoir si quelqu'un a piraté mon site web ?
Si vous remarquez des choses étranges sur votre site web, cela pourrait être un signe que vous avez été piraté. Cela peut inclure la découverte de nouveaux utilisateurs ou fichiers que vous n'avez pas créés, votre site redirigeant les visiteurs vers d'autres sites web, votre site fonctionnant lentement, ou des avertissements de Google ou de votre hébergeur web.
Que dois-je faire si mon site web est piraté ?
Si vous pensez que votre site web a été piraté, ne paniquez pas, mais agissez rapidement. Vous pouvez contacter votre hébergeur web et demander de l'aide. Vous pouvez également utiliser un plugin de sécurité ou demander à un expert en sécurité de nettoyer votre site web.
Si vous avez une sauvegarde de votre site web, restaurez-la à partir de cette sauvegarde. Assurez-vous de changer tous vos mots de passe, y compris ceux de votre espace d'administration WordPress, de votre base de données et de votre FTP.
Nous espérons que cet article vous a aidé à apprendre les meilleures pratiques pour protéger votre site Web et notre liste de contrôle de sécurité WordPress recommandée. Vous voudrez peut-être aussi consulter notre liste des principales raisons pour lesquelles les sites WordPress sont piratés et nos meilleurs choix de plugins de sécurité WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Fred Laxton
Très bon guide complet, merci !
J'ajouterais qu'il est bon de changer l'URL de connexion WP, en utilisant un plugin comme :
WPS Hide Login
J'utilise une connexion personnalisée pour chaque site WP que je construis en utilisant ce plugin. Cela aide beaucoup (avec les limiteurs de taux de connexion comme vous l'avez mentionné, etc.) à bloquer les tentatives de piratage.
Support WPBeginner
Changing your login URL is not a security measure, it is more for customizing the login experience. For changing the login URL we would recommend taking a look at our article below
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
Admin
Olaf
Wow, c'est vraiment un guide incroyablement complet sur la sécurité de WordPress. Je donne la priorité à la sécurité du site web avant tout, mais honnêtement, même moi, je n'ai probablement jamais mis en œuvre autant de mesures différentes pour rendre WordPress plus difficile à pirater. J'ose dire que si quelqu'un applique ne serait-ce que 50% des solutions et techniques que vous avez listées, son site sera pratiquement à l'épreuve des balles.
Moinuddin Waheed
Pour la sécurité du site WordPress, j'aimerais attirer l'attention sur l'utilisation de plugins de pare-feu.
L'utilisation du bon plugin, comme Cloudflare CDN ou Sucuri, peut protéger le site contre toutes sortes d'attaques car il filtre les accès malveillants.
J'utilise Cloudflare depuis longtemps et je peux témoigner de son utilité pour la sécurité et les performances.
Oyatogun Oluwaseun Samuel
C'est très instructif. J'ajouterais également que la protection de l'accès à votre poste de travail ou à votre laboratoire informatique est très importante, car de nos jours, dans le cadre de la sécurité, nous utilisons des mots de passe forts pour accéder à nos sites WordPress, qui ne sont pas faciles à retenir, ce qui nous oblige à les stocker dans le navigateur web utilisé pour accéder à nos sites WordPress. Toute personne ayant accès à votre ordinateur et à ces navigateurs pourrait facilement utiliser le nom d'utilisateur et le mot de passe stockés pour se connecter à votre site WordPress et causer des ravages. Deuxièmement, je pense qu'il est vraiment préférable de se prémunir contre les ransomwares, car retrouver l'accès à votre site WordPress n'est pas garanti, même après avoir payé la rançon. S'il vous plaît, puis-je demander comment savoir si Google blacklist un site web à cause de logiciels malveillants et de phishing ?
Support WPBeginner
Vous voudrez consulter notre guide ci-dessous si vous êtes préoccupé par votre site après une attaque de logiciels malveillants ou de phishing, afin de vous aider à trouver et à vous remettre d'une pénalité.
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
Admin
Oyatogun Oluwaseun Samuel
Merci pour votre réponse, je vais suivre le lien et acquérir plus de connaissances. Je suis heureux de cette réponse.
uzoma ichetaonye
Wow... c'est un article très chargé sur les moyens de protéger votre site web contre les pirates.
MAIS LAISSEZ-MOI VOUS DONNER CE CONSEIL : Lorsque vous naviguez sur Internet, NE, je répète, NE cliquez PAS sur un lien aléatoire qui semble très suspect et spammy, ni ne téléchargez de fichiers qui apparaissent de manière inattendue sur votre écran ou n'importe où sans y être invité. Optez toujours pour des logiciels authentiques plutôt que pour des versions crackées.
C'est par ce moyen que les pirates accèdent à vos identifiants de connexion et les utilisent pour accéder à votre site Web.
J'ai fait l'erreur de cliquer sur un lien particulier au hasard pour télécharger un lien spécifique et mon site Web a été piraté, mais j'ai finalement repris le contrôle.
Alors, contentez-vous de rester à l'écart des liens non autorisés et suspects qui promettent des offres spéciales pour vous attirer.
SOYEZ JUSTE PRUDENT ET EN SÉCURITÉ.
Dayo Olobayo
Merci Uzoma de partager votre expérience. C'est un excellent rappel que les pirates peuvent être sournois. Vous avez absolument raison d'éviter les liens et les téléchargements suspects. C'est une étape super importante pour la sécurité du site Web. Content que vous ayez récupéré votre site !
Jiří Vaněk
C'est généralement le problème avec tous les plugins crackés. Beaucoup de gens, pensant économiser beaucoup d'argent sur les logiciels originaux, optent pour une version crackée téléchargée à partir de sources non officielles. La partie délicate est que le plugin fonctionne et fait ce qu'il est censé faire. Ce qui est formidable pour ces personnes, c'est que c'est gratuit et qu'elles ont économisé potentiellement des centaines de dollars. Mais le plugin ne fait pas seulement ce qu'il est censé faire - il fait aussi ce que le pirate veut qu'il fasse. Après un certain temps, ces propriétaires de sites Web réalisent qu'ils ont perdu le contrôle, et restaurer le site dans son état d'origine peut coûter plus cher que s'ils avaient payé le plugin auprès d'une source officielle. Parfois, réparer le site peut même être impossible. J'ai vu plusieurs sites Web où, à la fin, toutes les données ont dû être supprimées, et tout a dû recommencer, correctement, avec des plugins payants, pas des versions crackées.
Moinuddin Waheed
Je ne peux qu'être d'accord avec ce fait que les liens malveillants sont des portes d'entrée vers les menaces de sécurité.
Les spammeurs utilisent des liens douteux et essaient d'accéder au site Web par tous les moyens.
Il ne faut donc jamais assez insister sur le fait de cliquer uniquement sur ce dont vous êtes sûr et de ne jamais cliquer sur des liens aléatoires.
Mrteesurez
Aucune entreprise sérieuse ne sous-estimera la puissance de la sécurité concernant les sites Web, en particulier Wordpress. Sa popularité en fait un centre d'attention pour les pirates.
Je conseille aux sites Wordpress nouvellement installés de mettre en œuvre en premier lieu la plupart de ces mesures de sécurité avant de lancer ou de commencer leurs opérations.
Kushal Phalak
Excellent article ! L’année dernière, mon site web a été piraté (il redirigeait vers un autre site web suspect), donc je pense qu’il est indispensable d’utiliser des mesures de sécurité. Dans mon cas, j’ai dû supprimer mon site web et j’ai eu de la chance que mon fournisseur d’hébergement dispose d’une fonction de sauvegarde. Depuis, j’ai utilisé Wordfence pour sécuriser mes sites web, mais je suis passé à Sucuri car il offrait des services tels que la protection DDoS et le CDN.
Moinuddin Waheed
J'ai été dans une situation similaire où je travaillais pour le site web d'un institut réputé.
Après avoir tout finalisé, le directeur m'a demandé une date afin qu'il puisse programmer un communiqué de presse.
Je lui ai suggéré avec confiance une date particulière et avant la date prévue,
mon site web a été corrompu et malheureusement, je n'avais aucun plan de sauvegarde prêt.
J'étais complètement dans le pétrin et j'ai travaillé toute la journée pour essayer de restaurer l'état de fonctionnement précédent.
Je pense qu'il est nécessaire que nous prêtions attention à chaque détail lié à la sécurité.
Ayanda Temitayo
S'il vous plaît, je voudrais demander s'il est judicieux en matière de sécurité de changer l'URL de la page de connexion par défaut vers une autre URL personnalisée. Comme de votresite.com/wp-login à votresite.com/autreNom-login
J'ai utilisé une fois un plugin pour changer mon URL de connexion vers une autre URL où personne ne pouvait facilement accéder à ma page de connexion. Donc, un de mes experts SEO a dit qu'il serait facile pour les pirates de pirater mon site si le plugin était vulnérable et que je perdrais tout sur mon site web si je continuais à utiliser une route personnalisée pour la page de connexion.
Quel est votre avis sur le changement de la route de connexion par défaut ?
Support WPBeginner
Changer votre URL de connexion est une préférence personnelle et pas spécifiquement pour la sécurité.
Admin
al amin Sheikh
Deux choses importantes dans un site web – Performance et Sécurité.
Bien expliqué comment nous pouvons protéger notre site des pirates informatiques. Merci, WPB.
Support WPBeginner
You’re welcome
Admin
Moinuddin Waheed
Bien dit à propos des deux choses les plus importantes de tout site web.
la sécurité et la performance.
Je pense qu'en cas de WordPress, ces deux éléments peuvent être réalisés dans une large mesure grâce à un bon fournisseur d'hébergement et à l'utilisation de bons thèmes et plugins.
La plupart du temps, un mauvais plugin peut causer une faille de sécurité sans que vous ne vous en rendiez compte.
Bien sûr, d'autres aspects sont également importants à considérer.
mohadese esmaeeli
Bonjour, merci pour cet excellent article. Je souhaite également ajouter quelques éléments supplémentaires à cette liste, tels que l'utilisation du plugin Google reCAPTCHA, l'emploi de matériel de sécurité lié au serveur, l'examen des outils de sécurité dans l'environnement d'hébergement, tels qu'Imunify360, et le changement régulier des mots de passe à de courts intervalles.
Support WPBeginner
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Admin
Fajri
Wow, la méthode pour désactiver XML-RPC dans WordPress est totalement nouvelle pour moi.
Je vais essayer de l'appliquer pour ajouter plus de sécurité à mes sites web. Merci pour cette information, l'équipe !
Support WPBeginner
Glad you found our article helpful
Admin
Murad Prodhan
WPbeginner est l'un des meilleurs sites pour notre communauté. Cet article m'est très utile. Merci WPbeginner.
Support WPBeginner
You’re welcome, glad the guide was helpful
Admin
Jiří Vaněk
C'est un excellent article. Il y a beaucoup de choses ici auxquelles je n'avais pas pensé, même si j'ai essayé de sécuriser WordPress autant que possible. Je viens de copier un extrait pour masquer les messages d'erreur lors de la connexion à WordPress et je vais l'appliquer à mon site web. Cela ne s'arrêtera probablement pas là. Cet article est vraiment une liste fantastique de bons conseils. Merci d'accroître la sensibilisation à la sécurité. Excellent travail.
Support WPBeginner
You’re welcome, glad our guide was helpful
Admin
Etop Udoekene
Merci beaucoup. Ces informations me parviennent au bon moment, car je suis en train de réinstaller mon site web après avoir perdu mon ancien ordinateur portable et mon téléphone Android au profit de voleurs.
Je vous suis vraiment reconnaissant.
Support WPBeginner
De rien, espérons que les choses s'amélioreront et nous espérons que notre guide vous aidera à sécuriser votre site par la suite.
Admin
Mark Ellsworth
Merci – très bien organisé et complet ! Cela aidera certainement avec ce qui est un problème continu et difficile avec les installations WordPress.
Support WPBeginner
Glad you found our security guide helpful
Admin
Ifakayode Femi
J'ai adoré cet article et je mets cette page en favoris pour plus tard car je pourrais ne pas me souvenir des noms de la plupart des plugins listés ici, mais sincèrement cet article aide beaucoup.
Merci d'avoir pris votre temps pour composer ceci
Merci mille fois
Support WPBeginner
Glad you found our guide and recommendations helpful!
Admin
Nikhil
merci monsieur, c'est une information très importante, merci beaucoup monsieur
Support WPBeginner
De rien, heureux d'apprendre que notre article a été utile !
Admin
Yasin
Je suis très reconnaissant pour cet article, tous mes remerciements à wpbeginner.com.
Support WPBeginner
De rien, heureux que vous ayez trouvé notre guide utile !
Admin
Belinda Viret
Merci pour ces excellents conseils !
Support WPBeginner
De rien !
Admin
Marko Kozlica
Wow ! Article complet et approfondi pour les débutants comme pour les utilisateurs expérimentés de WordPress. Continuez votre bon travail !
Support WPBeginner
Heureux que vous ayez trouvé notre article utile !
Admin
Federico
Très bon guide, très utile !
Support WPBeginner
Heureux que vous pensiez cela !
Admin
Claudio Lopes
En suivant les conseils, j'ai l'impression que mon site est plus sécurisé.
Support WPBeginner
Ravi d'apprendre que notre guide a pu vous aider !
Admin
Bob De Maria
Bonjour,
Je suis tout nouveau dans ce domaine et ceci était mon premier e-mail et je suis tellement heureux de m'être inscrit. Vous avez abordé l'une de mes préoccupations qui est en tête de ma liste.
Je ne vous remercierai jamais assez pour ce tutoriel très bien écrit et très apprécié.
Cordialement,
Bob De Maria
Support WPBeginner
Nous sommes heureux d'apprendre que notre guide vous a été utile !
Admin
Kimberly
Pour info : Problème de sécurité sur le plugin WP Security Questions. Il a été retiré de wordpress.org.
Support WPBeginner
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Admin
MS
Salut les gars ! Merci beaucoup pour ces ressources utiles. Une question, est-ce que cela affectera le temps de chargement de mon site web/mes pages ???
Support WPBeginner
Cela ne devrait pas causer de changement majeur dans la vitesse de votre site.
Admin
john
Bel article,
L'utilisation de reCAPTCHA dans les formulaires est-elle utile pour la sécurité ?
Support WPBeginner
reCAPTCHA sert plus à prévenir le spam qu'à assurer la sécurité.
Admin
tim jackz
Bonjour l'équipe,
Si j'installe deux plugins de sécurité sur mon site WordPress, y aura-t-il des inconvénients pour mon site ?
Support WPBeginner
Vous devriez vérifier auprès du support des plugins que vous souhaitez utiliser, certains fonctionnent ensemble mais d'autres essaient de faire les mêmes tâches, ce qui peut causer des conflits.
Admin
Diego
Mon site WordPress fonctionne avec WordPress 5.1.8, qui fait partie de la branche 5.1, mise à jour pour la dernière fois en novembre 2020. La version actuelle de WordPress est 5.6.2.
Je ne comprends pas bien toutes ces différentes branches de WP.
Devrais-je quand même mettre à niveau ?
Support WPBeginner
Plutôt que de mettre à niveau, vous devez mettre à jour votre site. Vous pouvez consulter notre guide ci-dessous pour savoir comment mettre à jour votre site en toute sécurité :
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Admin
Julia
Donc je paie cher et les plugins gratuits sont uniquement pour les entreprises, y a-t-il un moyen de contourner cela. Ils ne nous permettent pas de payer pour des plugins. Les versions Premium et inférieures ne sont pas autorisées à les utiliser du tout.
Support WPBeginner
Ce serait une limitation de WordPress.com. Pour connaître la différence entre WordPress.com et WordPress.org, nous vous recommandons de consulter notre article ci-dessous :
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Admin
Trisha
Excellent tutoriel, merci ! En parcourant mes journaux d'erreurs 404, je vois beaucoup de bots accéder à des plugins inexistants dans mon dossier /plugins... Je ne suis pas trop inquiet car les plugins qu'ils recherchent n'existent pas (d'où le 404) MAIS existe-t-il un moyen de protéger mon dossier /plugins sans interférer avec les opérations normales des plugins ? Est-ce conseillé ? Dois-je m'en inquiéter ?
Support WPBeginner
Normalement, cela ne devrait pas être une préoccupation, sauf si le plugin est sur votre site, auquel cas vous voudrez peut-être vous assurer que ce plugin est à jour au cas où le bot recherchait un plugin avec une vulnérabilité de sécurité.
Admin
Ish
J'ai repris un site WordPress, comment savoir si mon site a un compte de sauvegarde cloud avant mon arrivée ?
Support WPBeginner
Vous devrez vérifier vos plugins actifs et contacter votre fournisseur d'hébergement pour voir ce qui est actif pour votre site.
Admin
Lu
Comment savoir si votre site utilise XML-RPC ? Très utile comme toujours. Merci.
Support WPBeginner
Si votre version de WordPress est à jour, elle devrait être active sur votre site normalement.
Admin
Julie Taylor
Informations très utiles. J'aimerais connaître votre avis sur ce qui suit : si j'implémentais toutes ces mesures de sécurité, en particulier celles impliquant du code, etc., cela affecterait-il la capacité de Google à trouver le site et le bon fonctionnement du SEO ?
Support WPBeginner
Les recommandations de sécurité ne devraient pas affecter le référencement de votre site
Admin
MooN Minhas
Merci de partager de bonnes informations.
Support WPBeginner
Glad you found it helpful
Admin
Samuel
ce guide s'applique-t-il également aux utilisateurs de WordPress.com ?
Support WPBeginner
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Admin
Leanne
C'est l'un des meilleurs sites de tutoriels (sur n'importe quel sujet) que j'ai trouvés. Merci, je recommanderai wpbeginner à d'autres – site génial !
Support WPBeginner
You’re welcome and glad you’ve found our content helpful
Admin
Daniel
Vous savez qu'il y a des gens qui facturent plus de 50 $ ou 100 $ pour vous apprendre à faire tout cela, et vous l'avez donné gratuitement ! Merci beaucoup les gars !
Support WPBeginner
You’re welcome
Admin
Power
Merci pour l'article, c'est vraiment utile
Support WPBeginner
You’re welcome
Admin
Mydas
C'était super utile. J'ai les compétences en codage pour tout mettre en œuvre, et maintenant je peux mieux prendre soin de mes installations WordPress et de celles de mes clients. Merci pour l'info, c'est tellement complet que je n'arrive pas à croire que c'est gratuit xD
Support WPBeginner
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri
Ai-je besoin d'un VPN pour accéder à mon site WordPress depuis le backend dans le cadre de la sécurité de mon site WordPress ?
Support WPBeginner
Non, ce n'est pas nécessaire
Admin
uzoma ichetaonye
Je ne pense pas que vous ayez besoin d'un VPN pour accéder à votre site Web via son backend.
Les VPN sont utilisés pour masquer ou aider votre identité ou accéder à un site qui a été bloqué depuis votre emplacement.
Kam
Merci pour cet article. C'est une lecture essentielle !
Si vous avez un hébergeur comme Bluehost, est-il essentiel d'avoir une sauvegarde avec un plugin comme Updraft plus + stockage distant ? Après tout, les fournisseurs d'hébergement devraient fournir des sauvegardes ?
Support WPBeginner
Bien que certains hébergeurs proposent des sauvegardes, nous vous recommandons toujours de créer vos propres sauvegardes par sécurité.
Admin
Kyle B.
Changer le préfixe de la base de données ne fera aucune différence. À part ça, ce n'est pas un mauvais article.
Support WPBeginner
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa
Juste pour information, avec Nginx, il n'y a pas de fichier de configuration au niveau du répertoire comme le .htaccess d'Apache. Toute la configuration doit être effectuée au niveau du serveur par un administrateur, et WordPress ne peut pas modifier la configuration, comme il le peut avec Apache. Donc, la partie sur 'Désactiver l'exécution des fichiers PHP' ne peut pas être réalisée par les installations WordPress fonctionnant sur Nginx. Cela m'inclut, moi qui exécute mon installation WordPress sur Vultr. Leur installation WordPress en un clic est déployée sur Nginx (ubuntu 18.04)
Support WPBeginner
Merci d'avoir partagé cela pour les utilisateurs qui utilisent spécifiquement Nginx pour leur site.
Admin
Tom
Quelle est la meilleure méthode pour mettre à jour les plugins si j'en ai plusieurs qui nécessitent une mise à jour ? Mettre à jour un par un et voir si le plugin mis à jour casse une fonctionnalité du site web ?
Support WPBeginner
Si vous craignez qu'une mise à jour ne casse votre site, nous vous recommandons de tester la mise à jour en suivant notre guide sur la création d'un environnement de staging ci-dessous :
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija
Article incroyable, très bien articulé et documenté.
Merci beaucoup à tous pour cela.
Plus de puissance à vous, continuez votre bon travail.
Cordialement,
Kartik.
Support WPBeginner
Glad you found our guide helpful
Admin
MIMIFTAH
Contenu très informatif. Merci
Support WPBeginner
You’re welcome
Admin
Liz
Excellent article. J'ai une question concernant les options de renforcement. J'ai lu que l'activation du renforcement sur toutes les options peut entraîner des problèmes avec certains plugins ou le thème, qui pourraient ne pas fonctionner correctement. Si cela se produit, est-il difficile de le résoudre ? Il semble qu'il y ait plus à faire que de simplement annuler l'option de renforcement. Toute information que vous pourriez m'offrir serait grandement appréciée. Merci !
Support WPBeginner
Cela dépendrait de la recommandation de renforcement spécifique, du plugin et du message d'erreur pour la difficulté en cas d'erreur. Sinon, la plupart des plugins ne devraient pas poser de problème
Admin
Gary Starling
Suggestions très utiles et bien expliquées, du niveau de base au niveau complexe.
Merci pour vos explications
Support WPBeginner
You’re welcome, glad our article could be helpful
Admin
Andrei
Salut les gars,
Après la première énumération d'utilisateurs, un plugin de sécurité par force brute bloquera cette adresse IP.
Si vous protégez par mot de passe le répertoire wp-admin, le plugin ne pourra plus bloquer cette adresse IP.
Est-ce une évaluation correcte ?
Support WPBeginner
Correct, il y aurait une charge similaire à celle d'une IP bloquée, mais si vous avez besoin que de nombreux nouveaux utilisateurs accèdent à votre site, limiter les tentatives de connexion serait préférable à la protection par mot de passe de votre wp-admin.
Admin
Andrei
Ok, j'ai enfin compris comment cela fonctionne et je partage ici pour tout le monde. La protection par mot de passe de wp-admin se fait au niveau du serveur (Apache/Nginx). Si une énumération d'utilisateurs ou une attaque par force brute ne parvient pas à contourner le niveau du serveur, elle ne pourra pas toucher PHP/MySQL. Ainsi, la protection par mot de passe de wp-admin n'ajoute pas de charge supplémentaire à la base de données.
Peter
Très informatif et utile, j'ai configuré toutes les procédures de renforcement que vous avez mentionnées, merci beaucoup.
Support WPBeginner
You’re welcome, glad our guide was helpful
Admin