Skip to main content
WordPress

9 étapes pour sécuriser son site WordPress

Par 21 mars 2020septembre 21st, 20202 Commentaires

Comment sécuriser son site WordPress ? Si vous lisez cet article, c’est que votre business a besoin de son site web. Peut-être que celui-ci est déjà en ligne ou que vous commencez à travailler dessus. Dans tous les cas, il s’agit d’un élément important de votre business qu’il faut sécuriser. 

WordPress est utilisé par plus de 30% des sites web de la planète. C’est un outil merveilleux mais il n’est malheureusement pas reconnu pour sa sécurité. Mal utilisé, il peut être encore plus facile à pirater. Voici quelques bonnes pratiques pour sécuriser son site WordPress.

Sécuriser son site WordPress

Etape 1 : Sécuriser le compte administrateur

Avant tout, il est important de vous créer un deuxième compte administrateur avec un autre nom d’utilisateurs, mot de passe et adresse email. Si votre compte est corrompu, vous pourrez alors en avoir un de secours pour accéder à votre site WordPress. 

Si vous avez créé votre site web vous-même, vous avez sans doute choisi le « module 1 clique » WordPress proposé par les hébergeurs. Si c’est le cas, supprimez le compte administrateur par défaut et créez en donc 2 nouveaux avec un nom d’utilisateur et mot de passe sécurisés. Pour sécuriser son site WordPress, il faut commencer par avoir des comptes ultra sécurisés.

Profitez d'une formation offerte

Visionnez plus de 3h de vidéos pour apprendre à créer un site web WordPress et le rendre visible

Accès immédiat

Etape 2 : Securiser ses mots de passe

Bien entendu, sécuriser son site WordPress passe par le choix de mots de passe forts pour sécuriser l’accès à son backoffice. Utilisez des mots de passe long qui contiennent des symboles, des chiffres et des lettres. Évitez d’utiliser des mots de passes liés à votre vie ou celle de vos proches (date de naissance, prénom…). Vous pouvez utiliser des gestionnaires de mot de passe comme Dashlane ou Avast.

Etape 3 : Attention aux mises à jour

Les hackeurs ont plus de facilité à pirater un site web si celui-ci comporte des failles. Les mises à jour de WordPress, des plugins et des templates permettent de corriger ces failles et compliquent la vie des hackeurs. Il sera normalement bientôt possible de réaliser ces mises à jour automatiquement mais pour le moment, il est important de se connecter au moins une fois par semaine pour vérifier les mises à jour. 

Vous devez toujours faire les mises à jour. Depuis l’été 2020, il est maintenant possible d’activer les mises à jour automatique des plugins WordPress. Mais attention, certains plugins important nécessite quand même une action manuelle. 

Etape 4 : réaliser des sauvegardes

Il est très important de toujours réaliser une sauvegarde de son site web. C’est une étape très importante pour sécuriser son site WordPress. Pour cela, j’utilise le plugin Updraft Plus qui me permet de réaliser des sauvegardes automatiques et de les envoyer vers un service de cloud, un disque dur ou en FTP. Le plugin peut être téléchargé gratuitement dans la bibliothèque de plugin de WordPress.

En cas de souci, vous n’aurez pas perdu vos données et vous pourrez faire une restauration de toutes vos données très facilement. 

10 meilleurs plugins wordpress - updraftplus-sécurité du site web

Etape 5 : sécuriser l’accès au backoffice

Par défaut, l’accès au backoffice d’un site WordPress se fait à cette adresse : nom-de-domaine.fr/wp-login ou nom-de-domaine.fr/wp-admin. Il est donc facile d’accéder au formulaire de connexion pour n’importe qui. Il faut donc changer cette URL, il n’y a que vous qui devez la connaitre. 

Pour cela vous pouvez utiliser le plugin gratuit Sf Move Login. Celui-ci vous permettra de choisir l’URL de votre choix pour toutes les pages sensibles. Vous pourrez aussi paramétrer l’affichage de la page /wp-admin.

Attention à bien se rappeler l’URL en question. A la fin de l’article, je vous propose un autre plugin tout-en-un pour changer l’url d’accès au backoffice et sécuriser totalement son site WordPress.

Etape 6 : Sécuriser les tentatives de mots de passe

Vous devez maintenant sécuriser l’accès à votre backoffice. Par défaut, WordPress permet de rentrer un mot de passe indéfiniment. Du coup, c’est encore plus facile pour les hackeurs qui peuvent essayer une multitude de mot de passe. Certains envoient même des robots en masse essayer des milliers de combinaisons possible.

Sécurisez votre site WordPress en installant le plugin gratuit Login Lock Down. Il vous permettra de limiter la tentative de mot de passe au nombre de votre choix. Les internautes dépassant ce nombre seront alors bloqués temporairement et vous en serez notifié.

Etape 7 : Passer au HTTPS

Bien entendu, vous devez passer votre site web en HTTPS. Si vous ne l’avez pas déjà fait pendant la conception de votre site web, vous pouvez suivre mon tuto en ligne ou suivre ma formation vidéo offerte sur WordPress. Je vous propose 2 solutions pour mettre en place le HTTPS.

de http à https - sécuriser son site wordpressde http à https - sécuriser son site wordpress

Etape 8 : Les plugins de sécurité

Encore une fois, il existe des tas de plugins pour sécuriser son site WordPress. Je vous conseille d’utiliser soit WordFence soit Itheme Security. Ces deux plugins sont des extensions de sécurité globale. Ils sont intéressant car ils ne nécessite quasiment pas de configuration et font le job tous seul. 

À ne pas rater !
Audit SEO Offert

Je fais un premier état des lieux de votre site web manuellement. Testez votre site web !

Adresse e-mail non valide

Ces plugins s’occupent de sécuriser votre site internet et de scanner régulièrement votre site internet pour vous notifier s’il y a un souci de sécurité. Attention à ne pas utiliser 2 plugins de sécurité en même temps cela pourrait créer des bug. A la fin de cet article, je vous propose un autre plugin de sécurité tout-en-un.

Etape 9 : Techniques avancées

Si vous voulez aller plus loin pour sécuriser votre site WordPress, voici quelques astuces un peu plus avancé. Vous allez devoir passer par l’installation de code dans les fichiers de votre site web. J’utilise personnellement Filezilla. Si vous ne savez pas comment vous connecter en FTP, n’essayez pas cette étape, vous pourriez casser complètement votre site web.

  1. Dans le fichier functions.php (wp-content – thème – Votre thème), ajoutez les codes suivant en bas du fichier (attention, si vous n’avez pas de thème enfant, ces modifications seront perdus lors de la prochaine mise à jour du template) :

remove_action(« wp_head », « wp_generator »);

add_filter(‘login_errors’,create_function(‘$a’, « return null; »));

define(‘DISALLOW_FILE_EDIT’,true);

  1. A la racine du site (www), supprimez le fichier readme.html
  2. A la racine du site (www), ajoutez les codes suivant dans le fichier .htacces :

<Files wp-config.php>

order allow,deny

 deny from all

</Files>

Options All -Indexes

<Files .htaccess>

 order allow,deny

 deny from all

</Files>

Sécuriser son site WordPress

Sécuriser son site WordPress : Vérification

Bien joué, vous savez maintenant comment sécuriser votre site WordPress en 9 étapes. Afin de vérifier la sécurité de votre site internet, vous pouvez utiliser les outils Securi SiteCheck et/ou SSL Server Test.

Sécuriser son site WordPress est une étape cruciale dans la vie en ligne de votre business. Vous allez passer des heures à travailler votre référencement naturel, il serait dommage de tout perdre du jour au lendemain. Sécurisez votre site WordPress maintenant.

Vous souhaitez aller plus loin ?

BONUS : dans ma formation vidéo WordPress & SEO, je présente le plugin All In One WP Security qui permet de sécuriser son site web avec un seul plugin tout en un. Vous pouvez vous inscrire en cliquant ici. C’est le top du top pour sécuriser son site web et en plus le plugin est gratuit. 

Vous pourrez notamment : 

  • Changer l’URL d’accès au backoffice
  • Limiter le nombre de tentative de mot de passe
  • Activer un par-feu
  • Empêcher un hackeur de modifier les fichiers du site web
  • Déconnecter un utilisateur automatiquement après une période d’inactivité 
  • Juger la qualité de votre mot de passe
  • Sécuriser votre base de données
  • Ajouter des capchta dans les commentaires pour lutter contre le spam
  • Bien plus encore

Vous pouvez aller encore plus loin en installant une connexion en 2 étapes avec des clés de sécurités physiques. La première étape se fait via le mot de passe et la deuxième étape se fait via une clé USB qui contient un code secret. J’utilise personnellement les clés Google Titan.

Florian Zorgnotti

Consultant SEO WordPress à Nice, j'accompagne les info-preneurs, TPE et PME dans leur stratégie webmarketing et leur recherche de visibilité sur le web. Spécialisé en référencement WordPress, je propose aussi du coaching et des formations en ligne.

2 Commentaires

Laisser une Réponse

deux × trois =