Duplicator Duplicateur
Duplicator Duplicateur
Annonce de la mise en scène en un clic et des restaurations cloud à distance pour des changements audacieux, sans conséquences

Annonce de la mise en scène en un clic et des restaurations cloud à distance pour des changements audacieux, sans conséquences

Arrêtez de casser votre site en direct. La mise en scène en un clic et les restaurations cloud à distance de Duplicator vous permettent de tester les changements et de récupérer même si votre serveur est complètement hors service !

Continue Reading →
Sécurité WordPress

Checklist de sécurité WordPress : Guide étape par étape pour protéger votre site

· · 22 min read ·
Written By: avatar de l'auteur Joella Dunn
avatar de l'auteur Joella Dunn
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
·
Reviewed By: avatar de l'évaluateur John Turner
avatar de l'évaluateur John Turner
John Turner is the President of Duplicator. He has over 20+ years of business and development experience and his plugins have been downloaded over 25 million times.
See Full Bio

Vous devez améliorer la sécurité de votre WordPress ?

Si vous ne protégez pas votre site WordPress, il est vulnérable aux pirates. Ils pourraient trouver des failles, modifier votre contenu, voler des informations d'utilisateurs ou endommager votre site. Cela pourrait nuire gravement à votre entreprise et à votre réputation. 

Dans cet article de blog, je vous donnerai une liste de contrôle complète pour la sécurité de WordPress ! Vous apprendrez les meilleures pratiques de sécurité, afin que votre site ne soit jamais piraté.

Voici les points clés à retenir :

  • Choisissez un hébergeur web sécurisé avec des certificats SSL, des pare-feux et des sauvegardes régulières pour construire une base de sécurité solide
  • Sauvegardez automatiquement votre site dans le cloud pour pouvoir le restaurer en cas de problème
  • Maintenez à jour le cœur de WordPress, les plugins et les thèmes pour corriger les vulnérabilités de sécurité
  • Utilisez des mots de passe forts et uniques et activez l'authentification à deux facteurs pour empêcher les attaques par force brute
  • Installez des plugins de sécurité comme Sucuri pour ajouter des pare-feux, une analyse des logiciels malveillants et une surveillance des menaces
  • Masquez votre page de connexion, limitez les tentatives de connexion et désactivez les fonctionnalités inutiles comme XML-RPC pour réduire les attaques
  • Surveillez l'activité des utilisateurs et limitez l'accès administrateur pour minimiser le risque de violations de sécurité internes

Table des matières

WordPress est-il sécurisé ?

Oui, WordPress est fondamentalement sécurisé. Cela dit, comme toute autre plateforme en ligne, il n’est pas à l’abri des risques. 

Avec des millions de sites Web dans le monde qui s’appuient sur WordPress, vous pouvez être sûr que la plateforme prend la sécurité au sérieux. Ils publient des mises à jour régulières pour maintenir le logiciel sécurisé.

Mais comme il s’agit d’une plateforme open-source, n’importe qui peut examiner le code source, trouvant potentiellement des vulnérabilités à exploiter. 

Cependant, de nombreux pirates informatiques accèdent aux sites WordPress par négligence du propriétaire du site. Si votre logiciel principal WordPress est obsolète ou si vous avez un mot de passe faible, cela peut rendre votre site extrêmement vulnérable. 

Cela nous dit que la sécurité WordPress n’est pas quelque chose à prendre à la légère. WordPress a une base solide, mais vous aurez toujours quelques tâches de maintenance de routine pour renforcer votre sécurité. 

Pourquoi la sécurité de WordPress est-elle importante ?

Vous avez travaillé sans relâche sur votre blog ou votre boutique e-commerce. Tout va bien jusqu’à ce que vous vous réveilliez un matin pour découvrir que tout a disparu. 

C’est pourquoi la sécurité WordPress est si importante. En utilisant de bonnes mesures de sécurité, vous protégerez votre site contre les menaces. Cela réduit considérablement vos chances de devenir victime de piratages et de violations de données. 

En plus de garder votre contenu en sécurité, un site sécurisé est également plus attrayant pour les visiteurs. Lorsque les visiteurs savent qu’ils sont en sécurité, ils sont plus susceptibles de rester. 

De plus, les moteurs de recherche ont tendance à favoriser les sites sécurisés dans les classements. Plus vous sécurisez WordPress, plus votre SEO s’améliorera

En fin de compte, investir dans la sécurité WordPress, c’est comme acheter une alarme de maison. Cela peut être un peu fastidieux de tout installer, mais cela en vaut vraiment la peine à la fin.

Votre liste de contrôle de sécurité WordPress

En tant que débutant, vous vous demandez peut-être : par où commencer ?

J’ai créé une liste de contrôle de sécurité WordPress complète pour vous ! Parcourez simplement chaque étape et à la fin, vous aurez un site entièrement sécurisé.

Liste de contrôle rapide de sécurité WordPress :

  • Trouver un hébergeur sécurisé : Choisissez un hébergement avec des protocoles de sécurité robustes, des certificats SSL, des pare-feu et des sauvegardes régulières
  • Sauvegarder votre site Web : Utilisez des plugins comme Duplicator pour automatiser les sauvegardes cloud et protéger vos données
  • Mettre à jour les logiciels : Gardez le noyau, les plugins et les thèmes WordPress à jour pour corriger les vulnérabilités
  • Supprimer les plugins et thèmes inutilisés : Supprimez les logiciels inactifs pour éliminer les failles de sécurité potentielles
  • Utiliser des mots de passe forts : Créez des mots de passe uniques et complexes avec des caractères mixtes et évitez les phrases courantes
  • Mettre à jour l’accès administrateur : Limitez les utilisateurs administrateurs, supprimez les comptes inactifs et attribuez des privilèges minimaux
  • Masquer la page de connexion WordPress : Personnalisez votre URL de connexion pour empêcher les attaques par force brute
  • Surveiller l’activité des utilisateurs : Suivez les actions des utilisateurs pour identifier les violations de sécurité et les modifications indésirables
  • Installer un plugin de sécurité WordPress : Utilisez des outils comme Sucuri pour l’analyse des logiciels malveillants et les notifications de sécurité
  • Utiliser un pare-feu d’application Web (WAF) : Bloquez le trafic malveillant avec des pare-feux au niveau DNS ou applicatif
  • Analyser à la recherche de logiciels malveillants : Vérifiez régulièrement votre site à la recherche de virus et de menaces avec des plugins de sécurité
  • Passer au SSL/HTTPS : Activez les certificats SSL pour chiffrer les données entre les utilisateurs et votre serveur
  • Changer votre nom d’utilisateur : Évitez les noms d’utilisateur prévisibles comme « admin » pour réduire les vulnérabilités de connexion
  • Mettre à jour les autorisations de fichiers : Définissez les autorisations appropriées (755 pour les dossiers, 644 pour les fichiers) pour contrôler l’accès
  • Désactiver l’édition de fichiers : Désactivez l’éditeur de fichiers WordPress pour empêcher les pirates d’injecter du code malveillant
  • Désactiver l’exécution de fichiers PHP : Bloquez l’exécution des fichiers PHP dans les répertoires de téléchargement pour arrêter les attaques
  • Limiter les tentatives de connexion : Restreignez le nombre d’essais de connexion à partir d’une seule adresse IP
  • Utiliser l’authentification à deux facteurs : Ajoutez une étape de vérification supplémentaire avec des codes mobiles pour la sécurité de la connexion
  • Changer le préfixe de la base de données WordPress : Remplacez le préfixe par défaut « wp_ » pour rendre les noms de table plus difficiles à deviner
  • Protéger par mot de passe les pages d’administration et de connexion : Ajoutez une couche de mot de passe supplémentaire avant que les utilisateurs n’atteignent l’écran de connexion
  • Désactiver l’indexation et la navigation dans les répertoires : Masquez le contenu des répertoires pour empêcher la visualisation des fichiers
  • Désactiver XML-RPC : Désactivez cette API pour empêcher les pirates d’exploiter les vulnérabilités de devinettes de mots de passe
  • Déconnecter les utilisateurs inactifs : Déconnectez automatiquement les utilisateurs inactifs pour éviter le détournement de session
  • Masquer votre version de WordPress : Supprimez les numéros de version du code source pour éviter les attaques ciblées
  • Restaurer votre site après des piratages : Utilisez des outils de sauvegarde avec récupération après sinistre (Duplicator Pro) pour restaurer rapidement les sites compromis

1. Trouvez un hébergeur web sécurisé

Choisir un hébergeur Web est plus que de simplement vérifier le prix. Ce dont vous avez besoin, c’est d’un hébergeur passionné par la sécurité.

Recherchez un hébergeur Web qui offre les derniers protocoles de sécurité. Leurs serveurs doivent être entretenus et à jour. C’est aussi formidable s’il dispose d’un pare-feu robuste et propose des certificats SSL. 

Et enfin, découvrez si l’hébergeur Web propose des sauvegardes régulières et des restaurations de site. Vous espéreriez ne jamais avoir besoin de ce filet de sécurité, mais il est bon d’en avoir un, juste au cas où.

Si vous avez actuellement un plan d’hébergement mutualisé, vous voudrez peut-être passer à un hébergement WordPress géré. Avec un hébergeur mutualisé, vous partagerez les ressources avec d’autres sites. Si quelqu’un sur votre serveur a une faille de sécurité, cela pourrait également affecter votre site Web.

Cependant, des hébergeurs mutualisés réputés comme Bluehost, Hostinger et SiteGround vous protégeront de nombreux problèmes de sécurité de base.

Une fois que vous avez trouvé un hébergeur WordPress sécurisé, voici comment migrer votre site vers le nouveau serveur

2. Sauvegardez votre site web

Lorsque vous lancez votre site Web, vous serez probablement ravi d’écrire de nouveaux articles de blog ou de vendre des produits. Cependant, vous devrez également régulièrement sauvegarder votre site.

Les sauvegardes sont une police d'assurance pour votre contenu numérique. Elles vous permettent de restaurer votre site dans son état d'origine si quelque chose tourne mal.

Duplicator est un plugin de sauvegarde qui facilite la création de copies de votre site. Il prend en charge les sauvegardes automatiques et le stockage cloud, vous ne perdrez donc jamais de données.

Plugin Duplicator Pro
Commencez avec Duplicator

Il est souvent préférable de stocker les sauvegardes sur un serveur cloud séparé pour une couche de sécurité supplémentaire. De cette façon, vos sauvegardes ne seront pas perdues en cas de problème de serveur.

Avec Duplicator, vous pouvez sauvegarder votre site dans le cloud. Connectez simplement votre service de stockage cloud préféré et sélectionnez-le lorsque vous créez une sauvegarde.

Emplacements de stockage de sauvegarde

Vous pourrez personnaliser les données enregistrées dans la sauvegarde. Ainsi, vous pouvez facilement sauvegarder uniquement votre base de données, votre médiathèque ou d'autres données si nécessaire.

Sauvegarde personnalisée

Votre site Web est constamment mis à jour avec du nouveau contenu, vous devrez donc le sauvegarder régulièrement. Heureusement, Duplicator vous permet d'automatiser les sauvegardes.

Sauvegardes planifiées Duplicator

En configurant des planifications, vous n'aurez jamais à vous soucier des sauvegardes manuelles ! Votre site sera constamment sécurisé contre tout problème car vous pourrez simplement revenir en arrière lorsque ceux-ci se produiront.

En plus de Duplicator, il existe de nombreux autres plugins de sauvegarde que vous pouvez utiliser. UpdraftPlus, Jetpack et BlogVault sont des options populaires. 

3. Mettez à jour les logiciels

Les mises à jour logicielles jouent un rôle crucial dans la sécurité de WordPress. Elles n'ajoutent pas seulement des fonctionnalités supplémentaires, mais corrigent également les vulnérabilités potentielles. 

WordPress installera automatiquement les mises à jour mineures. Mais vous devrez installer manuellement toutes les versions majeures. 

Trouvez la page Mises à jour et effectuez les mises à jour de votre logiciel de base, de vos plugins et de vos thèmes.

Mettre à jour le logiciel WordPress

Les mises à jour de sécurité se produisent tout le temps, vous devrez donc y prêter attention. Pour votre commodité, vous pouvez également les automatiser. 

Cependant, je vous recommande de tester d'abord les nouvelles versions de WordPress, des plugins et des thèmes sur un site de staging. Cela vous aide à éviter tout conflit logiciel qui se produit parfois après des mises à jour défectueuses.

4. Supprimez les plugins et thèmes inutilisés

Nettoyer votre site peut lui donner un bon coup de pouce en matière de sécurité. Il est conseillé de supprimer tous les thèmes et plugins WordPress que vous n'utilisez pas activement. 

C'est parce que les pirates peuvent utiliser des plugins et des thèmes obsolètes pour accéder à votre site Web. En supprimant les logiciels inactifs, vous renforcerez la sécurité de votre WordPress. 

Besoin d'une règle générale ? Si vous ne l'avez pas utilisé au cours des six derniers mois, dites-lui adieu. C'est un moyen simple d'optimiser votre site WordPress et d'améliorer sa sécurité. 

5. Utilisez des mots de passe forts

Un bon mot de passe doit être unique, imprévisible et connu de vous seul. Nous vous recommandons d'utiliser un mélange de lettres majuscules et minuscules, de chiffres et de symboles. 

Nouveau mot de passe WordPress

N'oubliez pas que « Password123 » est une erreur de débutant ! C'est comme laisser la clé de votre maison sous le paillasson – inviter pratiquement les cybermenaces potentielles à une visite de site.

Lors des attaques par force brute, les pirates ou les robots essaieront de deviner votre mot de passe. Ils essaieront des options populaires jusqu'à ce qu'ils réussissent. Ainsi, plus votre mot de passe est complexe, mieux c'est. 

En dehors de cela, évitez d'utiliser toute information identifiable vous concernant. N'utilisez pas votre nom, votre date de naissance ou le nom de votre animal de compagnie (peu importe à quel point ils pourraient être adorables).

Essayez de ne pas utiliser le même mot de passe pour tous vos sites et utilisateurs. Tout comme vous n'utiliseriez pas la même clé pour votre maison, votre voiture et votre bureau, gardez vos clés numériques variées pour éviter une violation de la sécurité.

Envisagez d'utiliser un gestionnaire de mots de passe comme LastPass pour stocker vos mots de passe en toute sécurité. Il peut générer automatiquement des options fortes et simplifier le processus de connexion.

6. Mettez à jour l'accès administrateur

En matière de sécurité WordPress, la mise à jour de votre accès administrateur est indispensable. Cette étape rend votre site moins vulnérable aux intrusions ou piratages indésirables. 

Tout d'abord, limitez le nombre d'utilisateurs ayant le rôle « administrateur ». Avoir plusieurs utilisateurs administrateurs peut présenter un risque de sécurité. Assurez-vous de n'avoir que quelques administrateurs de confiance. 

Ensuite, vérifiez régulièrement votre liste d'utilisateurs, en supprimant tous les comptes qui ne sont plus utilisés. Cela réduit le risque que des comptes dormants soient exploités par des pirates. 

Enfin, attribuez le moins de privilèges nécessaires pour un rôle utilisateur. Tout le monde n'a pas besoin d'un accès administrateur.

Un utilisateur doit avoir suffisamment de droits pour faire son travail, mais pas plus. Cela minimise la possibilité de dommages si ce compte est piraté.

Si vous n'êtes pas sûr des utilisateurs qui devraient obtenir un certain accès, lisez ce guide sur les rôles et permissions des utilisateurs WordPress.

7. Masquez la page de connexion WordPress

Chaque jour, vous utilisez la page de connexion pour accéder à votre site WordPress. Tous les sites WordPress ont des pages de connexion qui se terminent par wp-admin ou wp-login. Ainsi, des utilisateurs malveillants pourraient accéder au vôtre et en abuser. 

Cacher votre page de connexion WordPress peut protéger votre site contre les tentatives de piratage. Lorsque les pirates ne trouvent pas la page de connexion, ils ne peuvent pas essayer d'attaques par force brute pour ouvrir votre tableau de bord d'administration.

Certains plugins peuvent vous aider à y parvenir facilement, comme WPS Hide Login. Vous pouvez simplement personnaliser votre URL de connexion afin que vous seul sachiez où elle se trouve.

Plugin WPS Hide Login

8. Surveillez l'activité des utilisateurs

Lorsque votre site a beaucoup d'utilisateurs, l'un d'eux peut être piraté ou partager ses identifiants de connexion avec la mauvaise personne. Si le compte utilisateur a un accès administrateur, vos thèmes, plugins ou paramètres pourraient être modifiés.

Pour identifier la violation de sécurité, vous pourriez surveiller l'activité des utilisateurs. Vous identifierez quel utilisateur a effectué la modification indésirable et la supprimerez rapidement de votre site.

Voici quelques plugins qui peuvent vous aider à suivre vos utilisateurs WordPress :

Ces outils peuvent être particulièrement utiles si vous gérez un multisite WordPress. Vous pourriez avoir une tonne de propriétaires de sites Web, d'auteurs, d'éditeurs et d'autres utilisateurs différents. Il est important de savoir exactement quel utilisateur a causé une vulnérabilité.

9. Installez un plugin de sécurité WordPress

Les plugins de sécurité font exactement ce que vous attendez d'eux : ils ajoutent une sécurité supplémentaire à votre site. Ils sont conçus pour identifier et résoudre les vulnérabilités potentielles. Par exemple, ils fournissent des analyses de sécurité régulières, une protection par pare-feu et un filtrage du spam. 

L'un des meilleurs plugins de sécurité WordPress est Sucuri Security. Cet outil offre une analyse des logiciels malveillants à distance, des notifications de sécurité et des solutions après piratage.

Plugin de sécurité Sucuri

En utilisant Sucuri, vous pouvez facilement renforcer votre sécurité. Dans les paramètres de Durcissement, vous pouvez activer un pare-feu, désactiver les éditeurs de plugins et de thèmes, masquer votre version de WordPress, et plus encore.

Renforcement de la sécurité Sucuri

C'est un moyen simple pour les débutants d'améliorer la sécurité de votre WordPress. De plus, il existe une version gratuite sur WordPress.org !

10. Utilisez un pare-feu d'application web (WAF)

Un pare-feu d'application Web (WAF) est un outil qui surveille et filtre le trafic entrant vers votre site Web. Il aide à protéger votre site WordPress contre les menaces telles que l'injection SQL et le cross-site scripting (XSS).

Un pare-feu peut dissuader de nombreuses menaces cybernétiques courantes. Il agit comme une barrière protectrice entre votre site et tout le trafic entrant, bloquant les requêtes malveillantes.

Voici les différents types de pare-feu :

  • Pare-feu au niveau DNS : envoie et évalue le trafic via des serveurs proxy cloud
  • Pare-feu au niveau de l'application : plugins de pare-feu qui évaluent le trafic une fois qu'il atteint votre serveur

Sucuri offre le moyen le plus simple de configurer un pare-feu sur votre site Web WordPress. C'est un outil si efficace qu'il a aidé WPBeginner à bloquer 450 000 cyberattaques en seulement 3 mois.

Avec Sucuri, vous éviterez les logiciels malveillants, les attaques DDoS, les attaques par force brute et d'autres problèmes de sécurité. 

11. Analysez les logiciels malveillants

Analyser régulièrement votre site Web à la recherche de logiciels malveillants est une partie cruciale du maintien de la sécurité de votre WordPress. Des plugins populaires tels que Wordfence et Sucuri peuvent vous aider dans cette tâche. 

Ces outils de sécurité sont spécifiquement conçus pour trouver et éliminer toute menace potentielle sur votre site Web. Ils surveillent activement votre site Web, vous alertant rapidement de toute activité suspecte et fournissent des solutions pour leur suppression.

Sucuri dispose également d'un vérificateur de logiciels malveillants gratuit. En entrant l'URL de votre site Web, vous découvrirez s'il y a des virus.

Scanner de logiciels malveillants Sucuri

12. Passez au SSL/HTTPS

SSL (Secure Sockets Layer) est un protocole qui chiffre les données entre le navigateur d'un utilisateur et votre serveur. Il rend plus difficile pour les cyberattaquants d'intercepter et de voler des données.

Lorsque vous activez le SSL, l'URL de votre site utilise HTTPS (Hypertext Transfer Protocol Secure). Ceci est indiqué par une icône de cadenas à côté de votre domaine dans la fenêtre du navigateur.

Pour passer à HTTPS, vous devrez acheter et installer un certificat SSL sur votre serveur. De nombreux hébergeurs proposent un certificat SSL gratuit via Let's Encrypt. Après cela, assurez-vous que votre site WordPress utilise HTTPS dans ses paramètres et ses URL. 

Si vous n'avez pas encore de certificat SSL, voici comment en configurer un !

13. Changez votre nom d'utilisateur

Utiliser « admin » comme nom d'utilisateur est une pratique courante, mais c'est l'une des erreurs de sécurité WordPress graves que vous voulez éviter. Cela donne la moitié de vos informations de connexion aux attaquants.

Pour aider à sécuriser votre site Web, envisagez de changer votre nom d'utilisateur pour quelque chose de moins prévisible et de plus unique. 

Rendez-vous sur votre tableau de bord WordPress et créez un nouvel utilisateur avec des privilèges d'administrateur. Une fois que vous avez fait cela, déconnectez-vous et reconnectez-vous en tant que nouvel administrateur.

Ensuite, supprimez l'ancien utilisateur « admin ». Assurez-vous de transférer tout le contenu de l'utilisateur supprimé vers le nouveau. C'est aussi simple que ça. 

14. Mettez à jour les permissions des fichiers

Les permissions de fichiers régulent qui peut lire, écrire et exécuter vos fichiers. Des permissions mal configurées pourraient offrir une porte ouverte aux intrus.

Voici les paramètres que nous recommandons d'utiliser :

  • 755 pour les dossiers et sous-dossiers
  • 644 pour tous les fichiers

Gardez à l'esprit que la correction des permissions de fichiers et de dossiers peut être complexe sans expérience technique. En cas de doute, il est toujours préférable de consulter votre fournisseur d'hébergement ou un développeur expérimenté.

15. Désactiver la modification des fichiers

Le tableau de bord WordPress permet aux administrateurs de modifier les fichiers PHP des plugins et des thèmes. Cela peut être utile mais aussi dangereux.

Si un pirate informatique accède à votre tableau de bord, il peut abuser de l'éditeur de fichiers pour insérer du code malveillant dans vos fichiers WordPress. Pour éviter cette menace de sécurité, vous devriez désactiver l'édition de fichiers en ajustant votre fichier wp-config.php.

Bien que cela semble technique, c'est en fait un processus simple. Accédez à votre installation WordPress via FTP et localisez le fichier wp-config.php. Ouvrez ce fichier et ajoutez l'extrait de code suivant : 

define( 'DISALLOW_FILE_EDIT', true );

Une fois le fichier enregistré, les paramètres mis à jour commencent à fonctionner immédiatement pour protéger contre le code malveillant. 

Faites cela uniquement si vous êtes d'accord pour modifier les fichiers de votre site Web. En cas de doute, demandez de l'aide à un expert. 

16. Désactiver l'exécution des fichiers PHP

Désactiver l'exécution de fichiers PHP dans certains répertoires WordPress est une étape clé pour protéger votre site. Si cela n'est pas fait, cela ouvre une passerelle aux attaques malveillantes. 

Les pirates peuvent profiter de cette faille en déployant des fichiers PHP dans votre dossier de téléchargements ou d'autres répertoires. Ces fichiers peuvent ensuite exécuter du code malveillant, compromettant ainsi votre site Web.

Pour résoudre ce problème, vous pouvez désactiver l'exécution de fichiers PHP dans tous les répertoires qui n'en ont pas besoin (comme /wp-content/uploads/). 

Ouvrez un éditeur de texte et collez ce code :

<Files *.php>

deny from all

</Files>

Nommez le fichier .htaccess et ajoutez-le au dossier uploads

17. Limitez les tentatives de connexion

Comme je l'ai mentionné précédemment, les robots pourraient essayer d'accéder à votre site en essayant de se connecter encore et encore. Pour garder votre site en sécurité, définissez une limite au nombre d'essais de connexion qui peuvent provenir d'une seule adresse IP.

En limitant les tentatives de connexion, vous réduirez les chances d'une attaque par force brute réussie. Bien que WordPress autorise des connexions illimitées, vous pouvez définir une limite avec un plugin comme Limit Login Attempts Reloaded.

Plugin Limit Login Attempts Reloaded

Limit Login Attempts Reloaded bloquera une adresse IP après un certain nombre de tentatives de connexion infructueuses. Vous pouvez créer un temps de verrouillage personnalisé et recevoir automatiquement des e-mails sur les nouveaux blocages. 

18. Utilisez l'authentification à deux facteurs

L'authentification à deux facteurs (2FA) ajoute une couche de protection supplémentaire à votre site WordPress. En plus de votre mot de passe, vous avez besoin d'un code de vérification qui est généralement envoyé sur votre téléphone portable. 

Ce système de double vérification renforce la sécurité, rendant difficile pour les pirates de s'introduire. Même s'ils déchiffrent votre mot de passe, ils ont toujours besoin du code de vérification. 

WP 2FA est un plugin qui configure rapidement l'authentification à deux facteurs sur votre site WordPress. Il générera des codes de connexion pour les applications d'authentification comme Google Authenticator ou Authy. Les utilisateurs saisissent un code en plus de leur mot de passe.

Plugin WP 2FA

Avec cette fonctionnalité, les pirates ou les robots ne peuvent pas accéder à votre site même s'ils obtiennent votre mot de passe. Il y a une étape supplémentaire pour les connexions, qui ne peut pas être facilement accédée. 

19. Changez le préfixe de la base de données WordPress

WordPress attribue un préfixe à vos tables de base de données. Le préfixe par défaut est wp_.

S'il est laissé par défaut, les pirates peuvent facilement deviner vos noms de table. Il est donc conseillé de le changer.

Cependant, ce n'est pas très facile pour les débutants. Et, vous pourriez finir par casser votre site.

Si vous êtes sûr de vouloir continuer, suivez ce guide sur comment changer correctement le préfixe de la base de données WordPress

20. Protégez par mot de passe les pages d'administration et de connexion

Une autre façon de protéger vos pages de connexion WordPress est d'ajouter une protection par mot de passe à votre répertoire d'administration. Chaque fois que quelqu'un essaie d'accéder à la zone d'administration, il devra entrer un mot de passe avant même de voir une page de connexion.

Admin WP protégé par mot de passe

Pour activer la protection par mot de passe de l'administrateur, vous pouvez utiliser la confidentialité du répertoire de cPanel. Cela vous permettra de protéger votre répertoire d'administration sans utiliser de code.

Confidentialité du répertoire Bluehost

21. Désactivez l'indexation et la navigation dans les répertoires

La navigation dans les répertoires peut être un point faible dans la sécurité de votre site Web. Si cette fonctionnalité est activée, n'importe qui peut voir le contenu des répertoires de votre site Web. Les pirates pourraient en profiter s'ils voient des fichiers présentant des vulnérabilités. 

Pour résoudre ce problème, ajoutez une simple ligne de code en bas de votre fichier .htaccess

Options -Indexes

Cela empêche les gens de parcourir les dossiers de votre site et protège les fichiers cachés.

22. Désactivez XML-RPC

Depuis WordPress 3.5, XML-RPC est une API WordPress principale. Elle permet aux développeurs d'utiliser des applications distantes pour mettre à jour WordPress.

XML-RPC vous permet d'utiliser des applications mobiles pour publier des articles de blog. Il permet également de connecter votre site à des services tiers comme Zapier. 

Cette fonctionnalité WordPress permet à d'autres applications de communiquer avec votre site Web. Mais, elle crée également une faille de sécurité que les pirates peuvent utiliser. 

Si quelqu'un essaie de pirater votre page de connexion, il effectue des tentatives de connexion séparées. Avec XML-RPC, les pirates pourraient utiliser une fonction system.multicall pour deviner des milliers d'options de mot de passe en seulement environ 20 à 50 requêtes.

Ainsi, désactiver XML-RPC peut vous aider à éviter les cybermenaces potentielles.

23. Déconnexion des utilisateurs inactifs

Les connexions non surveillées peuvent devenir une porte d'entrée pour un accès non autorisé. Leur session pourrait être détournée. C'est pourquoi votre site bancaire vous déconnecte après un certain temps.

Il est préférable que votre site WordPress déconnecte automatiquement les utilisateurs lorsqu'ils sont inactifs. Cela peut réduire considérablement les risques de problèmes.

Vous pouvez utiliser des plugins comme Inactive Logout pour automatiser ce processus. Avec ce plugin gratuit, vous définirez des périodes d'inactivité.

Plugin de déconnexion inactif

Cela vous permettra également de personnaliser les messages de déconnexion de session. Vous informerez les utilisateurs lorsqu'ils seront déconnectés pour cause d'inactivité. 

Paramètres de déconnexion inactifs

24. Masquer votre version de WordPress

Par défaut, votre code source affichera la version WordPress de votre site.

Version WordPress du code source

Exposer votre dernière version de WordPress peut sembler inoffensif, mais cela pourrait mettre votre site en danger. Les pirates utilisent ces informations pour exploiter les vulnérabilités de sécurité connues dans des versions spécifiques. 

Il existe de nombreuses façons de masquer votre version de WordPress, mais nous vous recommandons d'utiliser WPCode. Ce plugin d'extraits de code dispose d'un extrait prédéfini pour supprimer votre numéro de version WordPress.

Plugin WPCode

Tout ce que vous aurez à faire est de rechercher l'extrait et de l'utiliser. 

Supprimer la version WordPress du snippet WPCode

Ensuite, activez le nouvel extrait !

Activer le snippet WPCode qui masque la version WP

25. Restaurer votre site après des piratages

Même si vous faites tout correctement, un pirate pourrait pénétrer sur votre site Web et causer des dommages. Si cela se produit, vous devrez être préparé. 

Restaurer votre site WordPress après un piratage peut sembler décourageant. Mais c'est facile avec les bons outils.

Duplicator Pro est un plugin de sauvegarde WordPress qui restaure votre site en quelques secondes. Après un piratage, trouvez la sauvegarde la plus récente et sans erreur, puis cliquez sur le bouton Restaurer à côté.

Restaurer la sauvegarde

Certains pirates peuvent vous bloquer l'accès à votre tableau de bord d'administration WordPress. Pour éviter cela, assurez-vous de mettre en place une récupération d'urgence à l'avance.

Créez une sauvegarde complète de votre site. Ensuite, cliquez sur l'icône de la maison bleue à côté.

Icône de reprise après sinistre

Une fois que vous aurez configuré la récupération d'urgence, Duplicator vous fournira un lien de récupération et un fichier lanceur. L'un ou l'autre restaurera immédiatement votre site après une cyberattaque.

Options de reprise après sinistre

Personnellement, je préfère le lien de récupération. Il vous suffit d'ouvrir une fenêtre de navigateur et de la coller. Cela ouvrira l'assistant de récupération Duplicator (sans avoir besoin de votre tableau de bord).

Reprise après sinistre

Pour sécuriser votre site Web, enregistrez le lien de récupération ou le fichier lanceur dans un endroit sûr. Il devra être hors site, juste au cas où votre site Web tomberait en panne. 

Si vous souhaitez vous assurer que vous avez supprimé toutes les portes dérobées et autres vulnérabilités de sécurité, lisez ce tutoriel sur comment réparer un site WordPress piraté

FAQ sur la sécurité WordPress

Comment sécuriser un site WordPress ?

Pour sécuriser votre site WordPress, utilisez un hébergeur Web sûr, automatisez les sauvegardes, maintenez les logiciels à jour et surveillez l'accès des utilisateurs. Pour des problèmes de sécurité plus complexes, n'hésitez pas à demander à un expert.

Ai-je vraiment besoin d'un plugin de sécurité pour WordPress ?

Un plugin de sécurité aide à protéger votre site contre les menaces courantes. Nous le recommandons aux débutants car vous pourrez renforcer votre sécurité sans toucher au code. Sucuri Security est une excellente option si vous débutez ou si vous souhaitez une approche sans intervention pour la sécurité de votre site. 

Quel pourcentage de sites WordPress sont piratés ?

Il n'y a pas de nombre exact de sites WordPress piratés chaque année. Cependant, Sucuri nettoie régulièrement des sites Web et a constaté que 96,2 % de ses sites exploités en 2022 fonctionnaient sous WordPress. 49,8 % d'entre eux étaient obsolètes au moment de la cyberattaque. 

WordPress a-t-il des vulnérabilités ?

Oui, comme toute autre plateforme, WordPress a ses vulnérabilités. Celles-ci peuvent provenir de logiciels obsolètes, de mots de passe faibles ou d'un manque de mises à jour WordPress. Cependant, si elles sont gérées correctement, ces risques peuvent être considérablement réduits.

Quel est le plus grand danger pour la sécurité d'un site WordPress ?

La sécurité de votre site WordPress peut être compromise si vous ne mettez pas régulièrement à jour votre système, vos plugins et vos thèmes. De plus, ne pas définir de mots de passe forts ou d'authentification à deux facteurs peut rendre votre site vulnérable. Cela peut entraîner des problèmes graves tels que des attaques SQL, des scripts intersites (XSS) et des connexions par force brute.

Conclusion

À ce stade, votre site est prêt à repousser toutes les menaces de sécurité !

Pendant que vous êtes ici, je pense que vous aimerez ces guides WordPress supplémentaires :

Vous voulez éviter la perte de données due à des piratages inattendus ? Téléchargez Duplicator Pro pour des sauvegardes automatiques dans le cloud !

Commencez avec Duplicator
avatar de l'auteur
Joella Dunn Content Writer
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
icône de réseau social
beginner wordpress wordpress maintenance wordpress security
Our content is reader-supported. If you click on certain links we may receive a commission.
Obtenir Duplicator - Économisez 50 %

Ressources populaires

6 Best WordPress Image Optimizer Plugins in 2026 (Tested on a Real Site)
Introducing Duplicator Pro 4.5.10 – New Dashboard Widget, Custom Recovery Folders, and More
WordPress 101: How to Back Up a WordPress Site for Peace of Mind
How to Migrate a WordPress Site (Beginner’s Guide for 2026)
Creating a Perfect Copy: How to Clone a WordPress Site Safely

Recevez des conseils et des ressources gratuits directement dans votre boîte de réception, avec plus de 10 000 autres personnes

Suivez-nous

Ne laissez pas une autre journée passer sans protection

Chaque heure sans sauvegardes WordPress appropriées met votre site en danger • Chaque migration WordPress retardée vous coûte en performance et en croissance

Get Duplicator Now
Plugin Duplicator

Attendez ! Ne manquez pas votre
offre exclusive !

En tant que client , bénéficiez de 60 % de réduction

Essayez Duplicator gratuitement sur votre site — découvrez pourquoi plus de 1,5 million de professionnels WordPress nous font confiance. Mais n'attendez pas — cette réduction exclusive de 60 % n'est disponible que pour un temps limité.

or
Get 60% Off Duplicator Pro Now →

Nous vous redirigerons pour installer Duplicator sur votre site WordPress. Jamais de spam.