Sécuriser un site WordPress est essentiel pour éviter les piratages, les infections par malwares ou les fuites de données. Voici une procédure complète et efficace pour renforcer la sécurité d’un site WordPress.
1. Mettre à jour WordPress, les thèmes et extensions
- WordPress : Vérifier et installer les dernières versions via le tableau de bord (
Tableau de bord > Mises à jour). - Extensions/Thèmes : Désinstaller ceux inutilisés et mettre à jour les autres.
- Solution alternative : Activer les mises à jour automatiques en ajoutant ce code dans
wp-config.php:define('WP_AUTO_UPDATE_CORE', true);
2. Utiliser des identifiants robustes
- Changer le login « admin » : Supprimer le compte par défaut (via phpMyAdmin si nécessaire).
- Mots de passe complexes : Utiliser des combinaisons longues (min. 12 caractères, avec chiffres, symboles).
- Limiter les tentatives de connexion : Avec l’extension Limit Login Attempts Reloaded.
3. Protéger le back-office (wp-admin et wp-login.php)
- Changer l’URL de connexion : Avec WPS Hide Login.
- Protection par .htaccess (pour Apache) : Ajouter ces règles :
<Files wp-login.php> Order Deny,Allow Deny from all Allow from XXX.XXX.XXX.XXX (votre IP) </Files> - Activer l’authentification à deux facteurs (2FA) : Via Wordfence ou Google Authenticator.
4. Sécuriser les fichiers et permissions
- Permissions recommandées :
- Dossiers :
755 - Fichiers :
644 wp-config.php:600(via FTP ou SSH).
- Dossiers :
- Déplacer/désactiver l’accès à wp-config.php via
.htaccess:<files wp-config.php> Order allow,deny Deny from all </files>
5. Activer HTTPS et sécuriser les données
- Installer un certificat SSL (via Let’s Encrypt ou votre hébergeur).
- Forcer HTTPS : Dans
wp-config.php:define('FORCE_SSL_ADMIN', true); - Configurer les en-têtes de sécurité (ajouter dans
.htaccess) :Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" Header set X-Content-Type-Options "nosniff" Header set X-Frame-Options "SAMEORIGIN"
6. Mettre en place des sauvegardes régulières
- Extensions recommandées :
- Règle : Stocker les sauvegardes hors du serveur (Dropbox, Google Drive, etc.).
7. Installer un pare-feu (Firewall) et scanner les malwares
- Extensions gratuites :
- Wordfence (pare-feu + scan en temps réel).
- Sucuri Security (audit de sécurité).
- Action : Configurer le pare-feu pour bloquer les IPs suspectes.
8. Désactiver l’accès aux répertoires et fichiers sensibles
- Empêcher l’indexation des dossiers : Ajouter
Options -Indexesdans.htaccess. - Bloquer l’accès aux fichiers PHP dans /wp-content/uploads/ (ajouter dans
.htaccess) :<Files *.php> Deny from all </Files>
9. Vérifier la sécurité de la base de données
- Changer le préfixe des tables (
wp_→myprefix_) via une extension comme WP-DBManager. - Désactiver l’édition des fichiers dans le back-office en ajoutant dans
wp-config.php:define('DISALLOW_FILE_EDIT', true);
Bonus : Vérifications périodiques
- Analyser le site avec WPScan (outil de vulnérabilités).
- Auditer les utilisateurs : Supprimer les comptes inactifs.
- Vérifier les logs via Wordfence ou les logs serveur.
Résumé des extensions clés
| Sécurité | Outils |
|---|---|
| Pare-feu / Scan | Wordfence, Sucuri |
| Sauvegardes | UpdraftPlus, BackWPup |
| Protection login | WPS Hide Login, Limit Login Attempts |
| 2FA | Google Authenticator, Wordfence |
En suivant ces étapes, votre WordPress sera protégé contre 99 % des attaques courantes.