Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coupe WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Le guide ultime de la sécurité WordPress – étape par étape (2024)

Note éditoriale : Nous percevons une commission sur les liens des partenaires sur WPBeginner. Les commissions n'affectent pas les opinions ou les évaluations de nos rédacteurs. En savoir plus sur Processus éditorial.

La sécurité de WordPress est un sujet d’une importance capitale pour tout propriétaire de site web.

Si vous prenez votre site au sérieux, vous devez faire attention aux meilleures pratiques de sécurité de WordPress. Sinon, vous risquez de faire partie des plus de 10 000 sites que Google inscrit chaque jour sur sa liste noire pour cause de logiciels malveillants et d’hameçonnage.

Dans ce guide, nous partagerons nos meilleures astuces de sécurité WordPress pour vous aider à protéger votre site contre les pirates et les logiciels malveillants.

The Ultimate WordPress Security Guide - Step by Step

Bien que le cœur du logiciel WordPress soit très sûr et fasse l’objet d’audits réguliers par des centaines de développeurs/développeuses, il reste encore beaucoup à faire pour assurer la sécurité de votre site.

Chez WPBeginner, nous pensons que la sécurité n’est pas seulement une question d’élimination des risques. Il s’agit également de réduire les risques. En tant que propriétaire de site, il y a beaucoup de choses que vous pouvez faire pour améliorer la sécurité de WordPress, même si vous n’êtes pas un expert en technologie.

Dans cet article, nous avons dressé une liste de mesures concrètes que vous pouvez prendre pour protéger votre site contre les failles de sécurité.

Pour vous faciliter la tâche, nous avons créé une table des matières qui vous aidera à naviguer facilement dans notre guide ultime sur la sécurité de WordPress.

Table des matières

Les bases de la sécurité de WordPress

La sécurité de WordPress en étapes par étapes (Aucun codage)

La sécurité de WordPress pour les utilisateurs/utilisatrices

Vous êtes prêts ? Premiers pas.

Pourquoi la sécurité des sites web est-elle importante ?

Un site WordPress piraté peut causer de graves dommages au chiffre d’affaires et à la réputation de votre entreprise. Les pirates peuvent voler les informations et les mots de passe des utilisateurs, installer des logiciels malveillants et même distribuer des logiciels malveillants à vos utilisateurs/utilisatrices.

Pire, vous pouvez vous trouver à payer des ransomwares à des pirates informatiques juste pour retrouver l’accès à votre site.

Ransomware Attack

Chaque jour, Google avertit 12 à 14 millions d’utilisateurs/utilisatrices qu’un site qu’ils essaient de visiter peut contenir des logiciels malveillants ou voler des informations.

En outre, Google inscrit chaque jour sur sa liste noire plus de 10 000 sites pour cause de logiciels malveillants ou d’hameçonnage.

Tout comme les propriétaires d’entreprises ayant un emplacement physique ont la responsabilité de protéger leur propriété, les propriétaires d’entreprises en ligne doivent accorder une attention particulière à la sécurité de leur WordPress.

[Retour en haut ↑]

Maintenir WordPress à jour

Easily update WordPress

WordPress est un logiciel libre et il est régulièrement entretenu et mis à jour. Par défaut, WordPress installe automatiquement les mises à jour mineures.

Pour les versions majeures, vous devez lancer manuellement la mise à jour.

WordPress est également livré avec des milliers d’extensions et de thèmes que vous pouvez installer sur votre site. Ces extensions et thèmes sont gérés par des développeurs/développeuses tiers, qui publient régulièrement des mises à jour.

Ces mises à jour WordPress sont cruciales pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que votre cœur WordPress , vos extensions et votre thème sont à jour.

[Retour en haut ↑]

Utiliser des mots de passe forts et des droits d’utilisateurs/utilisatrices

Manage strong passwords

Les tentatives de piratage de WordPress les plus courantes utilisent des mots de passe volés. Vous pouvez rendre cela difficile en utilisant des mots de passe plus forts et uniques pour votre site.

Nous ne parlons pas seulement de la zone d’administration de WordPress. N’oubliez pas de créer des mots de passe robustes pour vos comptes FTP, vos bases de données, vos comptes d’hébergement WordPress et les adresses e-mail personnalisées qui utilisent le nom de domaine de votre site.

De nombreux débutants n’aiment pas utiliser des mots de passe forts parce qu’ils sont difficiles à retenir. La bonne chose est que vous n’avez plus besoin de vous souvenir des mots de passe car vous pouvez simplement utiliser un gestionnaire de mots de passe.

En savoir plus, consultez notre guide sur la gestion des mots de passe WordPress.

Une autre façon de réduire les risques est de ne donner à personne l’accès à votre compte d’administration WordPress, sauf en cas d’absolue nécessité.

Si vous avez une grande équipe ou des auteurs/autrices invités, assurez-vous de bien comprendre les rôles et permissions des utilisateurs/autrices dans WordPress avant d’ajouter de nouveaux comptes d’utilisateurs/autrices à votre site WordPress.

[Retour en haut ↑]

Comprendre le rôle de l’hébergeur WordPress

WP Engine WordPress Hosting Homepage

Votre service d’hébergement WordPress joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon fournisseur d’hébergement mutualisé comme Hostinger, Bluehost ou SiteGround prend des mesures supplémentaires pour protéger ses serveurs contre les menaces courantes.

Voici quelques exemples de la façon dont les bonnes entreprises d’hébergement web travaillent en arrière-plan pour protéger vos sites et vos données :

  • Ils surveillent en permanence leur réseau à la recherche d’activités suspectes.
  • Toutes les bonnes entreprises d’hébergement disposent d’outils pour prévenir les attaques DDoS à grande échelle.
  • Ils maintiennent à jour le logiciel de leur serveur, les versions de PHP et le matériel afin d’empêcher les pirates d’exploiter une faille de sécurité connue dans une ancienne version.
  • Ils disposent d’offres prêtes à l’emploi en matière de reprise après sinistre et d’accidents qui leur permettent de protéger vos données en cas d’accident majeur.

Avec une offre d’hébergement mutualisé, vous partagez les ressources du serveur avec de nombreux autres clients/clientes. Il existe un risque de contamination intersites, un pirate pouvant utiliser un site voisin pour attaquer votre site.

En revanche, l’utilisation d’un service d’hébergement WordPress infogéré constitue une plateforme plus sécurisée pour votre site. Les entreprises d’hébergement WordPress infogérées proposent des sauvegardes automatiques, des mises à jour WordPress automatiques et des configurations de sécurité plus avancées pour protéger votre site

Nous recommandons WP Engine comme notre fournisseur d’hébergement WordPress géré préféré. Il s’agit également de l’hébergeur le plus populaire du secteur.

Confirmez que vous faites une bonne affaire en utilisant notre coupon spécial WP Engine.

[Retour en haut ↑]

La sécurité de WordPress en quelques étapes par étapes (Aucun codage)

Nous savons que l’amélioration de la sécurité de WordPress peut être une idée terrifiante pour les débutants, en particulier si vous n’êtes pas technicien. Devinez quoi : vous n’êtes pas seul.

Nous avons aidé des milliers d’utilisateurs/utilisatrices de WordPress à renforcer leur sécurité.

Nous allons vous afficher comment vous pouvez améliorer la sécurité de WordPress en quelques clics (aucun codage nécessaire).

Si vous savez pointer et cliquer, vous pouvez le faire !

1. Installer une solution de sauvegarde pour WordPress

WordPress Backup

Les sauvegardes sont votre première défense contre toute attaque de WordPress. N’oubliez pas que rien n’est sûr à 100 %. Si les sites gouvernementaux peuvent être piratés, il en va de même pour le vôtre.

Les sauvegardes vous permettent de restaurer rapidement votre site WordPress en cas de problème.

Il existe de nombreuses extensions de sauvegarde WordPress gratuites et payantes que vous pouvez utiliser. La chose la plus importante que vous devez savoir en ce qui concerne les sauvegardes est que vous devez régulièrement enregistrer des sauvegardes de sites complets vers un emplacement distant (pas votre compte d’hébergeur).

Nous vous recommandons de le stocker sur un service de cloud comme Amazon, Dropbox, ou sur des clouds privés comme Stash.

En fonction de la fréquence des mises à jour de votre site, le réglage idéal pourrait être une sauvegarde quotidienne ou en temps réel.

Heureusement, cela peut être facilement fait en utilisant des extensions comme Duplicator, UpdraftPlus, ou BlogVault. Ils sont à la fois fiables et surtout faciles à utiliser (aucun codage n’est nécessaire).

Pour plus de détails, consultez notre guide sur la sauvegarde de votre site WordPress.

[Retour en haut ↑]

Installer une extension de sécurité WordPress réputée

Après les sauvegardes, la prochaine chose à faire est de configurer un système d’audit et de surveillance qui garde une trace de tout ce qui se passe sur votre site.

Cela comprend la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, l’analyse des logiciels malveillants, etc.

Heureusement, vous pouvez facilement vous en occuper en installant l’une des meilleures extensions de sécurité WordPress, comme Sucuri.

Vous devez installer et activer l’extension gratuite Sucuri Security. Pour plus de détails, veuillez consulter notre guide étape par étape sur l’installation d’une extension WordPress.

Vous pouvez maintenant vous rendre sur le Tableau de Bord  » Sucuri Security «  pour voir si l’extension a trouvé des problèmes immédiats avec votre code WordPress.

Setting up the Sucuri WordPress security plugin

La prochaine chose à faire est de naviguer sur la page  » Réglages  » de Sucuri Security et de cliquer sur l’onglet  » Durcissement « .

Les réglages par défaut fonctionnent bien pour la plupart des sites, vous pouvez donc les activer en cliquant sur le bouton « Appliquer le durcissement » pour chaque option.

Hardening your WordPress blog or website

Cela vous aide à verrouiller les zones clés que les pirates utilisent souvent dans leurs attaques.

Astuce : Nous aborderons d’autres moyens de durcir votre site ultérieurement dans cet article, comme la modification du préfixe de la base de données et de l’identifiant de l’administrateur. Cependant, ces méthodes sont plus techniques et peuvent nécessiter des connaissances en codage.

Après le durcissement, les autres réglages par défaut de l’extension sont suffisants pour la plupart des sites et ne nécessitent aucune modification.

La seule chose que nous vous recommandons de personnaliser, ce sont les alertes par e-mail, que vous trouverez dans l’onglet « Alertes » de la page des Réglages.

Customizing your website's security alerts

Par défaut, vous recevrez de nombreux e-mails d’alerte qui risquent d’encombrer votre boîte de réception.

Nous vous recommandons d’activer les alertes uniquement pour les actions clés dont vous souhaitez être informé, telles que les modifications d’extensions et les inscriptions de nouveaux utilisateurs/utilisatrices.

Customizing your WordPress security notifications

Ce plugin de sécurité WordPress est très puissant, alors parcourez tous les onglets et les Réglages pour voir tout ce qu’il fait comme l’analyse des logiciels malveillants, les Journaux d’audit, le suivi des tentatives de connexion échouées, et plus encore.

En savoir plus, vous pouvez consulter notre avis détaillé sur Sucuri.

Activer un pare-feu d’application Web (WAF)

Le moyen le plus simple de protéger votre site et d’avoir confiance en la sécurité de WordPress est d’utiliser un pare-feu d’application web (WAF).

Un pare-feu pour site web bloque tout trafic malveillant avant même qu’il n’atteigne votre site.

  • Un pare-feu de site web au niveau DNS achemine le trafic de votre site via ses serveurs proxy dans le cloud. Cela vous permet d’envoyer uniquement du trafic authentique à votre serveur web.
  • Un pare-feu au niveau de l’application examine le trafic une fois qu’il atteint votre serveur, mais avant de charger la plupart des scripts WordPress. Cette méthode n’est pas aussi efficace que le pare-feu au niveau du DNS pour réduire la charge du serveur.

Pour en savoir plus, consultez notre liste des meilleures extensions de pare-feu WordPress.

How website firewall blocks attacks

Nous avons utilisé Sucuri sur WPBeginner pendant de nombreuses années et nous le recommandons toujours comme l’un des meilleurs pare-feu d’application web pour WordPress. Nous sommes récemment passés de Sucuri à Cloudflare parce que nous avions besoin d’un réseau CDN plus grand avec des fonctionnalités plus mises en avant pour les clients d’entreprise.

Vous pouvez lire comment Sucuri nous a aidés à bloquer 450 000 attaques WordPress en un mois.

Attacks blocked by Sucuri

La meilleure partie du pare-feu de Sucuri est qu’il est également livré avec une garantie de nettoyage des logiciels malveillants et de suppression de la liste noire. Cela signifie que si vous deviez être piraté sous leur surveillance, ils garantissent de corriger votre site, quel que soit le nombre de pages que vous avez.

Il s’agit d’une garantie assez solide, car la réparation des sites piratés est coûteuse. Les experts en sécurité facturent normalement plus de 250 $ de l’heure, alors que vous pouvez obtenir l’ensemble de la pile de sécurité Sucuri pour 199 $ pour toute l’année.

Cela dit, Sucuri n’est pas le seul fournisseur de pare-feu au niveau DNS. L’autre concurrent populaire est Cloudflare. Voir notre comparaison entre Sucuri et Cloudflare (avantages et inconvénients).

[Retour en haut ↑]

Passez votre site WordPress en SSL/HTTPS

SSL (Secure Sockets Layer) est un protocole qui permet de chiffrer le transfert de données entre votre site et le navigateur de l’utilisateur/utilisatrice. Grâce à ce chiffrement, il est plus difficile pour quelqu’un de renifler et de voler des informations.

How SSL Works

Une fois que vous aurez activé le SSL, l’adresse de votre site utilisera HTTPS au lieu de HTTP. Vous verrez également un cadenas ou un signe iconique similaire à côté de l’adresse de votre site dans le navigateur.

Les certificats SSL sont généralement délivrés par des auteurs/autrices de certificats, et leur prix varie de 80 à plusieurs centaines de dollars par an. En raison des coûts supplémentaires, la plupart des propriétaires de sites ont, par le passé, choisi de continuer à utiliser ce protocole non sécurisé.

Pour corriger ce problème, une organisation à but non lucratif appelée Let’s Encrypt a décidé d’offrir des certificats SSL gratuits aux propriétaires de sites. Leur projet est supporté par Google Chrome, Facebook, Mozilla, et bien d’autres entreprises.

Il est plus facile que jamais de commencer à utiliser le SSL pour tous vos sites WordPress. De nombreuses entreprises d’hébergement proposent désormais un certificat SSL gratuit pour votre site WordPress.

Si votre entreprise d’hébergement n’en propose pas, vous pouvez acheter un certificat SSL auprès de Domain.com. Ils proposent les offres SSL les meilleures et les plus fiables du marché. Le certificat est assorti d’une garantie de sécurité de 10 000 $ et d’un sceau de sécurité TrustLogo.

Si vous faites tout ce que nous avons mentionné jusqu’à présent, vous êtes en bonne position.

Mais comme toujours, vous pouvez faire plus pour renforcer la sécurité de WordPress.

N’oubliez pas que certaines de ces étapes peuvent nécessiter des connaissances en matière de codage.

Modifier l’identifiant de l’administrateur par défaut

Autrefois, le nom d’utilisateur par défaut de l’administrateur WordPress était « admin ». Comme les identifiants représentent la moitié des informations de connexion, il était plus facile pour les pirates de procéder à des attaques par force brute.

Heureusement, WordPress a depuis modifié cette règle et vous demande désormais de sélectionner un identifiant personnalisé au moment de l’installation de WordPress.

Cependant, certains programmes d’installation de WordPress en un clic définissent toujours l’identifiant administrateur par défaut à « admin ». Si vous notifiez que c’est le cas, il est probablement préférable de changer d’hébergeur.

Comme WordPress ne vous permet pas de modifier les noms d’utilisateur par défaut, il existe trois méthodes pour modifier le nom d’utilisateur.

  1. Créez un nouvel identifiant d’administrateur et supprimez l’ancien.
  2. Utiliser l’extension Username Changer
  3. Mise à jour de l’identifiant depuis phpMyAdmin

Nous avons abordé ces trois points dans notre guide détaillé sur la façon de modifier correctement votre identifiant WordPress.

Note : Pour être clair, il s’agit de modifier le nom d’utilisateur « admin », et non le rôle de l’administrateur/administratrices, qui est aussi parfois appelé « admin ».

[Retour en haut ↑]

Désactiver la modification des fichiers

WordPress est livré avec un éditeur de code intégré qui vous permet de modifier les fichiers de votre thème et de vos extensions directement à partir de votre zone d’administration WordPress.

Entre de mauvaises mains, cette fonctionnalité peut constituer un risque pour la sécurité, c’est pourquoi nous vous recommandons de l’inactif.

Adding custom CSS in a child theme's stylesheet in the theme file editor

Vous pouvez facilement le faire en ajoutant le code suivant à votre fichier wp-config.php ou avec une extension d’extraits de code comme WPCode (recommandé) :

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Nous vous affichons la marche à suivre étape par étape dans notre guide sur la désactivation des éditeurs de thèmes et de plugins depuis le panneau d’administration de WordPress.

Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri mentionnée ci-dessus.

[Retour en haut ↑]

Désactiver l’exécution de fichiers PHP dans certains répertoires de WordPress

Une autre façon de renforcer la sécurité de WordPress est de désactiver l’exécution des fichiers PHP dans les répertoires qui n’en ont pas besoin, comme /wp-content/uploads/.

Vous pouvez le faire en ouvrant un éditeur de texte tel que Notepad et en collant ce code :

<Files *.php>
deny from all
</Files>

Ensuite, vous devez enregistrer ce fichier en tant que .htaccess et le téléverser dans le dossier /wp-content/uploads/ de votre site à l’aide d’un client FTP.

Pour une explication plus détaillée, consultez notre guide sur la désactivation de l’exécution de PHP dans certains répertoires WordPress.

Vous pouvez également le faire en 1 clic en utilisant la fonctionnalité Hardening dans l’extension gratuite de Sucuri que nous avons mentionnée plus haut.

[Retour en haut ↑]

Limiter les tentatives de connexion

Par défaut, WordPress permet aux utilisateurs/utilisatrices d’essayer de se connecter autant de fois qu’ils le souhaitent. Votre site WordPress est donc vulnérable aux attaques par force brute. C’est là que les pirates essaient de craquer les mots de passe en essayant de se connecter avec différentes combinaisons.

Ce problème peut être facilement corrigé en limitant le nombre de tentatives de connexion infructueuses qu’un compte peut effectuer. Si vous utilisez le pare-feu d’application web mentionné plus haut, ce problème est automatiquement résolu.

Toutefois, si vous n’avez pas configuré de pare-feu, vous pouvez suivre les étapes ci-dessous.

Tout d’abord, vous devez installer et activer l’extension gratuite Limit Login Attempts Reloaded. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’une extension WordPress.

Dès son activation, l’extension commencera à limiter le nombre de tentatives de connexion des utilisateurs/utilisatrices.

Les paramètres par défaut fonctionneront pour la plupart des sites, cependant, vous pouvez les personnaliser en visitant la page Réglages  » Limiter les tentatives de connexion et en cliquant sur l’onglet ‘Paramètres’ en haut. Par exemple, pour vous conformer aux lois du RGPD, vous pouvez cliquer sur la case à cocher  » Conformité au RGPD « .

Limit Login Attempts

Pour des instructions détaillées, consultez notre guide sur comment et pourquoi limiter les tentatives de connexion dans WordPress.

[Retour en haut ↑]

Ajouter l’authentification à deux facteurs (2FA)

La méthode d’authentification à deux facteurs nécessite deux étapes par lesquelles les utilisateurs/utilisatrices se connectent :

  1. La première étape est l’identifiant et le mot de passe.
  2. La deuxième étape nécessite l’utilisation d’un code provenant d’un appareil ou d’une application en votre possession auquel les pirates ne peuvent pas accéder, comme votre smartphone.

La plupart des sites en ligne de premier plan, comme Google, Facebook et Twitter, vous permettent de l’activer pour vos comptes. Vous pouvez également ajouter la même fonctionnalité à votre site WordPress.

Tout d’abord, vous devez installer et activer le plugin WP 2FA – Authentification à deux facteurs. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’une extension WordPress.

Un assistant convivial vous aidera à configurer l’extension, puis vous recevrez un code QR.

Use Your Authenticator App to Scan the QR Code

Vous devrez numériser le code QR à l’aide d’une application d’authentification sur votre téléphone, telle que Google Authenticator, Authy et LastPass Authenticator.

Nous vous recommandons d’utiliser LastPass Authenticator ou Authy car ils vous permettent de sauvegarder vos comptes sur le cloud. C’est très utile au cas où votre téléphone est perdu, réinitialisé ou que vous achetez un nouveau téléphone. Toutes les connexions de vos comptes seront facilement restaurées.

La plupart de ces apps fonctionnent de manière similaire, et si vous utilisez Authy, il vous suffit alors de cliquer sur le bouton  » +  » ou  » Ajouter un compte  » dans l’app d’authentification.

Click the + Button to Add an Account

Cela vous permettra de scanner le code QR sur votre ordinateur à l’aide de l’appareil photo de votre téléphone. Il se peut que vous deviez d’abord donner à l’application le droit d’accéder à l’appareil photo.

Après avoir donné un nom au compte, vous pouvez l’enregistrer.

La prochaine fois que vous vous connecterez à votre site, le code d’authentification à deux facteurs vous sera demandé après avoir saisi votre mot de passe.

Users Must Enter an Authentication Code Before Logging In

Ouvrez simplement l’application d’authentification sur votre téléphone et vous verrez apparaître un code à usage unique.

Vous pouvez ensuite saisir le code sur votre site pour finir de vous connecter.

Find Your 2FA Token

[Retour en haut ↑]

Modifier le préfixe de la base de données de WordPress

Par défaut, WordPress utilise wp_ comme préfixe pour toutes les tables de votre base de données WordPress.

Si votre site WordPress utilise le préfixe de base de données par défaut, alors il est plus facile pour les pirates de deviner le nom de votre table. C’est pourquoi nous recommandons de le modifier.

Vous pouvez modifier le préfixe de votre base de données en suivant notre tutoriel étape par étape sur la modification du préfixe de la base de données de WordPress pour améliorer la sécurité.

Note : La modification du préfixe de la base de données peut endommager votre site si elle n’est pas effectuée correctement. Faites-le uniquement si vous vous sentez à l’aise avec vos compétences en matière de codage.

[Retour en haut ↑]

Protéger par mot de passe la page d’administration et de connexion de WordPress

Password protect WordPress admin example

Normalement, les pirates peuvent demander votre dossier wp-admin et votre page de connexion sans aucune restriction. Cela leur permet d’essayer leurs astuces de piratage ou de lancer des attaques DDoS.

Vous pouvez ajouter une protection supplémentaire par mot de passe au niveau du module du serveur, ce qui bloquera effectivement ces demandes.

Il vous suffit de suivre nos instructions étape par étape pour savoir comment protéger votre répertoire d’administration WordPress (wp-admin) par un mot de passe.

[Retour en haut ↑]

Désactiver l’indexation et la navigation dans le répertoire

Directory Browsing

Lorsque vous tapez l’adresse de l’un des dossiers de votre site dans un navigateur web, vous affichez la page web appelée index.html si elle existe. Si elle n’existe pas, vous verrez s’afficher une liste de fichiers dans ce dossier. C’est ce qu’on appelle la navigation dans les répertoires.

La navigation dans les répertoires peut être utilisée par les pirates pour trouver si vous avez des fichiers présentant des vulnérabilités connues, afin qu’ils puissent tirer parti de ces fichiers pour obtenir un accès.

L’exploration des répertoires peut également être utilisée par d’autres personnes pour consulter vos fichiers, copier des images, trouver la structure de vos répertoires et d’autres informations. C’est pourquoi il est fortement recommandé d’inactiver l’indexation et l’exploration des répertoires.

Vous devez vous connecter à votre site en utilisant le protocole FTP ou le gestionnaire de fichiers de votre fournisseur d’hébergement. Ensuite, localisez le fichier .htaccess dans le répertoire racine de votre site. Si vous ne le voyez pas, consultez notre guide sur les raisons pour lesquelles vous ne pouvez pas voir le fichier .htaccess dans WordPress.

Ensuite, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :

Options -Index

N’oubliez pas d’enregistrer et de téléverser le fichier .htaccess sur votre site.

Pour en savoir plus sur ce Sujet, consultez notre article sur la désactivation de la navigation dans les répertoires sur WordPress.

[Retour en haut ↑]

Désactiver XML-RPC dans WordPress

XML-RPC est une API cœur de WordPress qui aide à connecter votre site WordPress avec des applications web et mobiles. Elle est activée par défaut depuis WordPress 3.5.

Toutefois, en raison de sa puissance, XML-RPC peut amplifier considérablement les attaques par force brute.

Par exemple, si un pirate voulait essayer 500 mots de passe différents sur votre site, il devrait faire 500 tentatives de connexion distinctes. Cette situation peut être détectée et bloquée par l’extension Limit Login Attempts Reloaded.

Mais avec XML-RPC, un pirate peut utiliser la fonction system.multicall pour essayer des milliers de mots de passe avec 20 ou 50 demandes.

C’est pourquoi, si vous n’utilisez pas XML-RPC, nous vous recommandons de le désactiver.

Il y a 3 façons de désactiver XML-RPC dans WordPress, et nous les avons toutes couvertes dans notre tutoriel étape par étape sur la façon de désactiver XML-RPC dans WordPress.

Astuce : La méthode .htaccess est la meilleure car elle est la moins gourmande en ressources. Les autres méthodes sont plus faciles pour les débutants.

Sinon, cela est pris en charge automatiquement si vous utilisez un pare-feu d’application web (WAF) comme nous l’avons mentionné plus haut.

[Retour en haut ↑]

Journaliser automatiquement les utilisateurs/utilisatrices déconnectés sur WordPress

Les utilisateurs/utilisatrices connectés peuvent parfois s’éloigner de l’écran, ce qui présente un risque pour la sécurité. Quelqu’un peut détourner leur session, modifier leur mot de passe ou apporter des modifications à leur compte.

C’est pourquoi de nombreux sites bancaires et financiers connectent automatiquement un utilisateur inactif. Vous pouvez configurer une fonctionnalité similaire sur votre site WordPress.

Vous devez installer et activer l’extension Déconnexion inactive. Une fois activé, visitez la page Réglages  » Déconnexion inactive pour personnaliser les paramètres de déconnexion.

Logout idle users

Il vous suffit de définir la durée et d’ajouter un message de déconnexion. N’oubliez pas de cliquer sur le bouton « Enregistrer les modifications » en bas de la page pour stocker vos réglages.

Pour obtenir des instructions étape par étape, Veuillez consulter notre guide sur la façon de connecter automatiquement les utilisateurs/utilisatrices inactifs dans WordPress.

[Retour en haut ↑]

Ajouter des questions de sécurité à l’écran de connexion de WordPress

En ajoutant une question de sécurité à votre écran de connexion WordPress, il est encore plus difficile pour quelqu’un d’obtenir un accès non autorisé.

Vous pouvez ajouter des questions de sécurité en installant l’extension Authentification à deux facteurs. Une fois activé, vous devez vous rendre sur la page Authentification à plusieurs facteurs  » Two Factor pour configurer les réglages du plugin.

Cela vous permettra d’ajouter différents types d’authentification à deux facteurs à votre site, y compris des questions de sécurité.

Adding Security Questions to WordPress Login

Pour des instructions plus détaillées, consultez notre tutoriel sur l’ajout de questions de sécurité à l’écran de connexion de WordPress.

[Retour en haut ↑]

Recherche de logiciels malveillants et de vulnérabilités sur WordPress

Malware Scan

Si vous avez installé une extension de sécurité WordPress, celle-ci vérifiera régulièrement la présence de logiciels malveillants et de signes de failles de sécurité.

Cependant, si vous constatez une Avancée soudaine dans le trafic du site ou le classement des recherches, alors vous voudrez peut-être rechercher des logiciels malveillants manuellement. Vous pouvez le faire en utilisant votre extension de sécurité WordPress ou l’un des meilleurs scanners de sécurité et de logiciels malveillants.

L’exécution de ces analyses en ligne est assez simple. Il vous suffit de saisir l’URL de votre site et les robots d’indexation parcourent votre site à la recherche de logiciels malveillants connus et de codes malveillants.

Maintenant, gardez à l’esprit que la plupart des scanners de sécurité WordPress peuvent uniquement vous avertir si votre site contient des logiciels malveillants. Ils ne peuvent pas retirer les logiciels malveillants ou nettoyer un site WordPress piraté.

Cela nous amène à la section suivante, le nettoyage des logiciels malveillants et des sites WordPress piratés.

[Retour en haut ↑]

Corriger un site WordPress corrompu

De nombreux utilisateurs/utilisatrices de WordPress ne réalisent pas l’importance des sauvegardes et de la sécurité de leur site jusqu’à ce que leur site soit piraté.

Le nettoyage d’un site WordPress peut s’avérer très difficile et chronophage. Notre premier conseil serait de laisser un professionnel s’en charger.

Les pirates installent des portes dérobées sur les sites concernés et si ces portes dérobées ne sont pas corrigées correctement, il est probable que votre site sera à nouveau piraté.

En permettant à une entreprise de sécurité professionnelle comme Sucuri de corriger votre site, vous vous assurez qu’il est à nouveau utilisable en toute sécurité. Il vous protégera également contre toute attaque future.

Pour les utilisateurs/utilisatrices aventureux/euses et bricoleurs/euses, nous avons compilé un guide étape par étape pour corriger un site WordPress piraté.

[Retour en haut ↑]

Astuce : Vol d’identité et protection du réseau

En tant que propriétaire d’une petite entreprise, il est super important de protéger votre identité numérique et financière. Si vous ne le faites pas, vous risquez de subir des pertes importantes.

Les pirates/commiteuses et les criminels peuvent utiliser votre identité pour voler le nom de domaine de votre site, pirater vos comptes bancaires et même commettre des délits dont vous pouvez être tenu pour responsable.

En 2023, 5,7 millions d’usurpations d’identité et de fraudes à la carte bancaire ont été signalées à la Commission fédérale du commerce (FTC).

C’est pourquoi nous recommandons d’utiliser un service de protection contre le vol d’identité comme Aura. Nous recommandons Aura et l’utilisons nous-mêmes.

Aura Identity Theft and Credit Monitoring - Sample Dashboard

Ils offrent une protection des appareils et des réseaux wifi grâce à leur VPN (réseau privé virtuel) gratuit, qui sécurise votre connexion internet avec un chiffrement de niveau militaire où que vous soyez.

C’est idéal lorsque vous voyagez ou que vous vous connectez à votre administrateur WordPress depuis un lieu public comme un Starbucks, afin de pouvoir travailler en ligne en toute sécurité et en toute confidentialité.

Leur service de surveillance du dark web utilise constamment l’intelligence artificielle pour vous alerter si vos mots de passe, numéros de sécurité sociale et comptes bancaires ont été compromis.

Cela vous permet d’agir plus rapidement et de mieux protéger votre identité numérique.

[Retour en haut ↑]

Nous espérons que cet article vous a aidé à apprendre les meilleures pratiques de sécurité WordPress et à découvrir les meilleures extensions de sécurité WordPress pour votre site. Vous pouvez également consulter notre guide ultime de référencement WordPress pour améliorer votre classement SEO, et nos astuces d’experts sur la façon d’accélérer WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

L'ultime WordPress Toolkit

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tous les professionnels devraient avoir !

Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Consultez comment WPBeginner est financé, pourquoi cela compte et comment vous pouvez nous soutenir. Voici notre processus éditorial.

161 commentairesLaisser une réponse

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Kushal Phalak says

    Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.

  3. Ayanda Temitayo says

    Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login

    I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.

    What’s your opinion about changing the default login route?

  4. al amin Sheikh says

    Two important things in a website – Performance and Security.
    Nicely explained how we can protect our site from hackers. Thanks, WPB.

  5. mohadese esmaeeli says

    Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.

    • WPBeginner Support says

      Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer :)

      Administrateur

  6. Fajri says

    Whoa, the method to Disable XML-RPC in WordPress is totally new for me.

    I am gonna try to applicate it to add more security for my websites. Thanks for this information team!

  7. Murad Prodhan says

    WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.

  8. Jiří Vaněk says

    This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.

  9. Etop Udoekene says

    Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
    I am really grateful.

    • WPBeginner Support says

      You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.

      Administrateur

  10. Mark Ellsworth says

    Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.

  11. Ifakayode Femi says

    I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way

    Thanks for taking your time to compose this
    Thanks a million times

  12. Marko Kozlica says

    Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!

  13. Bob De Maria says

    Hi,
    I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.

    I can’t thank you enough for a very well written and much appreciated tutorial.

    Best Regards,

    Bob De Maria

    • WPBeginner Support says

      Thank you for letting us know, we will be sure to look for an alternative we would recommend :)

      Administrateur

  14. MS says

    Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???

  15. tim jackz says

    Hello team,

    If i install two security plugin in my wordpress website, is there any disadvantages for my website?

    • WPBeginner Support says

      You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.

      Administrateur

  16. Diego says

    My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.

    I don’t quite understands all these different branches of WP.
    Should I still need to upgrade?

  17. Julia says

    So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.

  18. Trisha says

    Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?

    • WPBeginner Support says

      That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.

      Administrateur

    • WPBeginner Support says

      You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.

      Administrateur

    • WPBeginner Support says

      If your version of WordPress is up to date it should be active on your site normally.

      Administrateur

  19. Julie Taylor says

    Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?

    • WPBeginner Support says

      No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow :)

      Administrateur

  20. Leanne says

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

  21. Daniel says

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

  22. Mydas says

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

  23. Kam says

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

  24. kalmoa says

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

    • WPBeginner Support says

      Thank you for sharing this for the users who specifically are using Nginx for their site.

      Administrateur

  25. Tom says

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

  26. Kartik Satija says

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

  27. Liz says

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    • WPBeginner Support says

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      Administrateur

  28. Gary Starling says

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

  29. Andrei says

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    • WPBeginner Support says

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      Administrateur

      • Andrei says

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

  30. Aqib khan says

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

  31. mahmoud says

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

  32. Krishna says

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

  33. Kushal says

    I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.

  34. Dietrich says

    Hi

    Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.

    • WPBeginner Support says

      We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.

      Administrateur

Laisser une réponse

Merci d'avoir choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés selon notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.