Garder votre site Web WordPress en sécurité est un processus continu, tout comme prendre soin de votre santé. Bien que WordPress soit conçu dans un souci de sécurité, des problèmes peuvent toujours survenir. Ces problèmes peuvent être causés par des plugins obsolètes, des mots de passe faibles, ou même des paramètres de votre hébergement Web.
Chez WPBeginner, nous considérons les audits de sécurité WordPress comme des bilans de santé de site Web. Ils vous aident à trouver et à corriger les faiblesses avant que quelqu'un ne puisse en profiter. Ils maintiennent votre site en bonne santé et protègent les informations qu'il contient.
Cet article vous montrera comment vérifier votre site Web WordPress pour des problèmes de sécurité sans causer de problèmes ou d'interruptions.
Qu'est-ce qu'un audit de sécurité WordPress ?
Effectuer un audit de sécurité sur votre site Web WordPress signifie vérifier votre site à la recherche de signes d'une violation de sécurité. Vous pouvez effectuer une vérification WordPress pour rechercher une activité suspecte, du code malveillant ou une baisse inhabituelle des performances.
Nous vous montrerons comment effectuer un audit de sécurité de base en suivant des étapes simples que vous pouvez réaliser manuellement. Nous vous montrerons également comment utiliser des outils et services d'audit de sécurité WordPress pour effectuer les vérifications de sécurité automatiquement.
Si vous trouvez quelque chose de suspect, vous pouvez l'isoler, le supprimer et le corriger.
Quand effectuer un audit de sécurité WordPress
Vous devriez effectuer un audit de sécurité WordPress au moins une fois par trimestre. Cela vous permet de rester au courant de tout et de combler les failles de sécurité avant même qu'elles ne causent de problèmes.
Cependant, vous devriez effectuer un audit de sécurité immédiatement si vous remarquez quelque chose de suspect, tel que :
- Votre site Web est soudainement lent et peu réactif.
- Vous constatez une baisse du trafic sur votre site Web.
- Il y a de nouveaux comptes suspects, des demandes de réinitialisation de mot de passe oubliées ou des tentatives de connexion sur votre site Web.
- Vous voyez apparaître des liens suspects sur votre site Web.
Cela dit, examinons comment effectuer facilement un audit de sécurité WordPress.
Réaliser un audit de sécurité WordPress manuel de base
Voici une liste de contrôle des étapes que vous pouvez suivre pour effectuer un audit de sécurité WordPress manuel de base sur votre site Web.
1. Mettre à jour le cœur de WordPress, les plugins et les thèmes
Les mises à jour de WordPress sont vraiment importantes pour la sécurité et la stabilité de votre site Web. Elles corrigent les vulnérabilités de sécurité, apportent de nouvelles fonctionnalités et améliorent les performances.
Assurez-vous que votre logiciel de base WordPress, tous les plugins et les thèmes sont à jour. Vous pouvez facilement le faire en visitant la page Tableau de bord » Mises à jour dans la zone d'administration de WordPress.
WordPress recherchera si des mises à jour sont disponibles, puis les listera pour que vous puissiez les installer. Si vous avez besoin d'aide supplémentaire, consultez nos guides sur comment mettre à jour WordPress correctement et comment mettre à jour correctement les plugins WordPress.
2. Vérifier les comptes utilisateurs et les mots de passe
Ensuite, vous devez examiner les comptes utilisateurs WordPress en visitant la page Utilisateurs » Tous les utilisateurs. Recherchez les comptes utilisateurs suspects qui ne devraient pas s'y trouver.
Si vous gérez une boutique en ligne, un site d'adhésion, ou si vous vendez des cours en ligne, vous avez peut-être des comptes utilisateurs pour que vos clients se connectent.
Cependant, si vous gérez un blog ou un site web d'entreprise, vous ne devriez voir que les comptes utilisateurs pour vous-même ou tout autre utilisateur que vous avez ajouté manuellement.
Si vous voyez des comptes utilisateurs suspects, vous devez les supprimer.
Maintenant, si votre site web ne demande pas aux utilisateurs de créer un compte, vous devez visiter la page Paramètres » Général et vous assurer que la case à côté de l'option « Toute personne peut s'enregistrer » est décochée.
Par mesure de sécurité supplémentaire, vous devez changer le mot de passe de votre administrateur WordPress. Nous vous recommandons vivement d'ajouter l'authentification à deux facteurs pour renforcer la sécurité de votre site.
3. Effectuez un scan de sécurité WordPress
L'étape suivante consiste à vérifier votre site web pour détecter les vulnérabilités de sécurité. Heureusement, il existe plusieurs scanners de sécurité en ligne que vous pouvez utiliser pour rechercher des malwares.
Nous vous recommandons d'utiliser le Scanner de sécurité IsItWP, qui vérifie votre site web à la recherche de malwares et d'autres vulnérabilités de sécurité.
Ces outils sont bons, mais ils ne peuvent scanner que les pages publiques de votre site web. Nous vous montrerons comment effectuer des audits plus approfondis plus loin dans cet article.
4. Vérifiez les analyses de votre site web
Les analyses de site web vous aident à suivre le trafic de votre site. Elles sont également un bon indicateur de la santé de votre site web.
Si votre site web a été mis sur liste noire par les moteurs de recherche, vous verrez une baisse soudaine de votre trafic. Si votre site web est lent ou ne répond pas, vos vues de page globales diminueront.
Nous vous recommandons d'utiliser MonsterInsights pour suivre le trafic de votre site web. Il affiche non seulement vos vues de page globales, mais vous pouvez également l'utiliser pour suivre les utilisateurs enregistrés, vos clients WooCommerce, les conversions de formulaires, et plus encore.
5. Configurez et vérifiez les sauvegardes WordPress
Si vous ne l'avez pas encore fait, vous devez immédiatement configurer un plugin de sauvegarde WordPress. Cela garantit que vous avez toujours une sauvegarde de votre site en cas de problème.
De nombreux débutants oublient leur plugin de sauvegarde WordPress après l'avoir configuré. Parfois, les plugins de sauvegarde peuvent cesser de fonctionner sans préavis. Il est bon de s'assurer que votre plugin de sauvegarde fonctionne toujours et enregistre les sauvegardes.
Réalisation d'un audit de sécurité WordPress automatique
La liste de contrôle ci-dessus vous permet de passer en revue les aspects les plus importants d'un audit de sécurité. Cependant, ce n'est pas un processus très approfondi, ce qui signifie que votre site Web peut toujours être vulnérable.
Par exemple, il est difficile de tenir un registre manuel de toute l'activité des utilisateurs, des différences de fichiers, des codes suspects, et plus encore. C'est là que vous avez besoin d'un plugin pour automatiser l'audit de sécurité et conserver un enregistrement de tout.
Vous pouvez automatiser ce processus à l'aide de quelques plugins de sécurité WordPress.
1. Réalisation automatique d'un audit de sécurité avec WP Activity Log
WP Activity Log est le meilleur plugin de surveillance d'activité WordPress sur le marché.
Il vous permet de suivre toute l'activité des utilisateurs sur votre site Web. Vous pouvez voir toutes les connexions des utilisateurs, les adresses IP et ce qu'ils ont fait sur votre site Web.
Vous pouvez suivre les utilisateurs WooCommerce, les éditeurs, les auteurs et les autres membres qui ont un compte sur votre site web.
Vous pouvez également activer tous les événements que vous souhaitez suivre et désactiver ceux que vous ne souhaitez pas surveiller.
Le plugin vous montre également une vue en direct de tous les utilisateurs connectés à votre site web. Si vous voyez un compte suspect, vous pouvez immédiatement mettre fin à leur session et les bloquer.
Vous pouvez en savoir plus dans notre guide sur comment surveiller l'activité des utilisateurs dans WordPress à l'aide de WP Activity Log.
2. Effectuer automatiquement un audit de sécurité avec Sucuri
Sucuri est le meilleur plugin de pare-feu WordPress du marché, et c'est aussi la meilleure solution de sécurité WordPress tout-en-un que vous puissiez obtenir pour votre site web.
Il offre une protection en temps réel contre les attaques DDoS en bloquant les activités suspectes avant même qu'elles n'atteignent votre site web. Cela réduit la charge de votre serveur et améliore la vitesse/performance de votre site web.
Il est livré avec un plugin de sécurité intégré qui vérifie vos fichiers WordPress à la recherche de code suspect. Vous bénéficiez également d'un aperçu détaillé de l'activité des utilisateurs sur votre site web.
Plus important encore, Sucuri offre la suppression de logiciels malveillants gratuitement avec tous ses plans payants. Cela signifie que même si votre site web est déjà affecté, leurs experts en sécurité le nettoieront pour vous.
Guides d'experts sur la sécurité WordPress
We hope this article helped you learn how to perform a WordPress security audit on your website. You may also want to see some other guides related to WordPress security:
- How to Force Strong Passwords on Users in WordPress
- Comment protéger votre site WordPress contre les attaques par force brute
- Top Reasons Why WordPress Sites Get Hacked (& How to Prevent It)
- Signs Your WordPress Site Is Hacked (Expert Tips)
- Comment scanner votre site WordPress à la recherche de code potentiellement malveillant
- Comment trouver une porte dérobée sur un site WordPress piraté et la corriger
- How to Make a WordPress Disaster Recovery Plan
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Dennis Muthomi
You recommends Sucuri as an all-in-one WordPress security solution. I’m wondering if Sucuri could replace needing separate plugins like WP Activity Log?
I want to avoid cluttering my site with too many plugins if one could do the job.
Support WPBeginner
It would depend on the function of the plugin you are looking to replace but Sucuri does have an activity log option.
Admin
Dennis Muthomi
Great point that whether Sucuri meets my needs depends on the functionality I’m looking for. THANKS for replying!
Eva
1st step to fight daily brute force attacks attempts is to change the default login url.
Support WPBeginner
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Admin
Eva
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
Support WPBeginner
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva
Je vois, bon point ! Dans de nombreux cas, il suffit de renommer le répertoire du plugin via FTP pour le désactiver et y accéder à nouveau via /wp-login. Mais je comprends, ce n'est pas convivial pour les débutants !
DW
Oui, changer l'URI de connexion ne fait pas grand-chose. C'est une technique connue sous le nom de « sécurité par obscurité » – en gros, la sécurité par « dissimulation ».
Si quelqu'un est déterminé à pénétrer sur votre site Web, l'utilisation de ces techniques de « sécurité par obscurité » ne fera, au mieux, que le ralentir de quelques minutes. Ce n'est pas vraiment un substitut à la sécurisation adéquate de votre site Web.
Vous avez bien plus intérêt à sécuriser correctement votre site Web. Des techniques comme les plugins pour prévenir les attaques par force brute, l'application de mots de passe forts, l'application de l'authentification multifacteur au minimum pour les comptes administrateurs, et si vous avez le luxe d'avoir une adresse IP statique, la création d'un fichier .htaccess qui n'autorise l'accès à la page d'administration que depuis votre adresse IP sont toutes de meilleures solutions.