Image du blogue sécurisé WordPress

Comment sécuriser WordPress ?

par

Daniel Berthiaume
dans , ,

Mise à jour le :

Les cybercriminels ciblent de plus en plus les sites WordPress, ce qui rend indispensable de sécuriser WordPress sans attendre. La raison est simple : WordPress est le gestionnaire de contenu (CMS) le plus populaire au monde, ce qui en fait une cible de choix pour les attaques malveillantes.

Pour un cybercriminel, il suffit de surveiller les dernières vulnérabilités de WordPress et de ses extensions, puis d’utiliser un réseau de bots pour tester automatiquement la sécurité des sites WordPress accessibles sur le web.

Ce guide aide avant tout nos clients en hébergement partagé, mais toute personne utilisant un environnement similaire – un centre de données sécurisé avec un serveur protégé par Imunify360 – y trouvera des conseils précieux.

Le choix de l’extension

Depuis plusieurs années, nous utilisons la même extension pour sécuriser WordPress de manière optimale et garantir une protection efficace contre les cybermenaces., bien qu’il en existe de nombreuses sur le marché. Notre choix s’est arrêté sur Solid Security.

Nous avons testé plusieurs extensions par le passé, mais Solid Security s’est toujours démarquée selon nos critères. Elle offre toutes les fonctionnalités essentielles pour sécuriser un site WordPress sans impacter ses performances.

Logo de l'extension WordPress Solid Security

Étant donné que ce guide s’adresse aux utilisateurs dont l’hébergement inclut déjà des mesures de protection avancées, comme Imunify360, certaines fonctionnalités de sécurité supplémentaires ne sont pas indispensables. Par exemple, le scan des fichiers infectés est inutile puisque Imunify360 s’en charge déjà. Gardez en tête qu’ajouter trop de fonctionnalités, y compris via des extensions, alourdit votre site et ralentit ses performances.

Notre choix se résume à ceci :

  • Aucune option superflue
  • Impact minimal, voire nul, sur les performances du site
  • Une version gratuite offrant toutes les fonctionnalités nécessaires

L’installation de l’extension

Avant d’installer une extension pour sécuriser WordPress, voici une remarque importante basée sur notre expérience avec de nombreux sites : assurez-vous de n’avoir qu’une seule extension de sécurité active. Contrairement à une idée reçue, multiplier les extensions de sécurité n’améliore pas la protection d’un site. Au contraire, cela peut engendrer des conflits entre elles et réduire la sécurité globale.

👉 Avant de poursuivre, désinstallez toute extension de sécurité déjà présente sur votre site.

Procédure d’installation

Lorsque vous êtes prêt à installer Solid Security, suivez ces étapes :

  1. Accédez au menu « Extensions » dans votre tableau de bord WordPress.
  2. Cliquez sur « Ajouter une extension ».
  3. Dans la barre de recherche, entrez « Solid Security ».
  4. Localisez l’extension « Solid Security – Password, Two-Factor Authentication, and Brute Force Protection », puis cliquez sur « Installer maintenant ».
  5. Une fois l’installation terminée, cliquez sur « Activer » pour rendre l’extension opérationnelle.

Une fois activée, un nouveau menu intitulé « Security » apparaîtra dans la barre latérale gauche de votre tableau de bord WordPress.

Configuration de l’Extension

Configuration du « wizard » :

L’extension est activée ? Ouvrons-la et complétons l’assistant de configuration (wizard) ensemble ! Ensuite, nous ajusterons manuellement certains paramètres pour optimiser la sécurité sans impacter les performances du site.

Voici les étapes recommandées pour configurer l’extension :

  1. Dans la fenêtre « Help us improve Solid Security », cliquez sur “Skip”.
  2. Pour la section « What type of website is this? », sélectionnez « eCommerce » ou « Blog », selon votre type de site.
  3. Ignorez l’option « Before we configure Solid Security, let’s scan your site for vulnerabilities » en cliquant sur « No, Skip Site Scan » en bas de la page.
  4. Dans la section « Brute Force protection is the first brick in your firewall », cliquez sur « Continue ».
  5. Lorsque l’assistant vous demande de choisir le type de protection des mots de passe, cliquez sur « Continue ».
  6. Laissez la vérification en deux étapes activée (Two-Factor Authentication) et cliquez sur « Continue”.
  7. Lorsque vous devez choisir entre « My Own Website » et « Client Website », sélectionnez « My Own Website ».
  8. Ne cochez pas la vérification « Security Check Pro », puis cliquez sur « Next ».
  9. Pour la détection de l’adresse IP, choisissez “Direct Connection”, puis cliquez sur « Next ».
  10. Dans la page « Global Settings », cliquez simplement sur « Next ».
  11. Dans la page « Features », cliquez sur « Next ».
  12. Sélectionnez « Default User Group » dans la page « User Groups ».
  13. Dans la seconde page de « User Groups », cliquez directement sur « Next » en bas de la page.
  14. Enfin, dans la page « Notifications », cliquez sur « Next ».

Une fois ces étapes complétées, l’extension appliquera automatiquement certains paramètres de sécurité. Par la suite, nous pourrons explorer les options plus en détail afin d’adapter la protection tout en préservant les performances du site.

Comment configurer l’extension pour sécuriser WordPress

Impression d'écran de la configuration des paramètres de Solid Security.

Une fois le wizard terminé, nous pouvons examiner chaque aspect de l’extension de sécurité manuellement. Pour ce faire, accédez au menu de configuration de l’extension :

👉 Rendez-vous dans le menu « Security », puis cliquez sur le sous-menu « Settings ».

L’extension se divise en plusieurs sous-sections, que nous explorerons une à une. Concentrons-nous sur les paramètres essentiels, souvent désactivés par défaut.

💬 Si vous pensez que d’autres éléments mériteraient d’être abordés, n’hésitez pas à le mentionner dans les commentaires de l’article !

Section « Global Settings »

Les paramètres de base sont bien réglés. Descendons en bas de la page, dans la section « Other », pour ajuster quelques options essentielles.

  • Cochez l’option « Hide Security Menu in Admin Bar »
    • Cette option masque le lien « Security » affiché en haut de la page d’administration de WordPress. En le désactivant, vous réduisez légèrement le temps de chargement des pages dans l’interface d’administration.
  • Désactivez l’option « Allow Data Sharing »
    • Assurez-vous que cette option n’est pas cochée. Elle permet à l’extension d’envoyer des données d’utilisation à l’entreprise StellarWP. Pour des raisons de confidentialité et d’optimisation, il est préférable de la désactiver.

Section « Features »

Onglet « Login Security » :

✔ L’option “Two-Factor” devrait être activée par défaut. Si ce n’est pas le cas, activez-la.

En effet, cette option oblige les utilisateurs à entrer un code de validation supplémentaire, envoyé par courriel en plus du mot de passe, renforçant ainsi la sécurité du site.

Onglet « Firewall » :

Vérifions les options disponibles dans cet onglet :

  • Ban User → Activé : Cette option permet de bloquer une adresse IP qui tente d’accéder à votre site de manière suspecte.
  • Firewall Rules Engine → Désactivé : Cette fonctionnalité ajoute des règles WAF aux requêtes entrantes. Toutefois, Imunify360 et le pare-feu physique du serveur assurent déjà cette protection.
  • Local Brute Force → Activé : Cette option surveille les tentatives de connexion et bloque les adresses IP qui essaient de deviner les mots de passe de manière répétée.
  • Network Brute Force → Désactivé : Cette fonctionnalité partage des informations entre votre site et les serveurs du fabricant de l’extension pour créer une liste noire d’adresses IP malveillantes. Cependant, Imunify360 gère déjà cette protection.
Onglet « Site Check » :

Désactivez les deux options présentes dans cet onglet.

Ces options analysent les fichiers de votre site pour détecter d’éventuelles modifications ou infections.

  • La première peut générer un grand nombre de courriels indésirables.
  • La seconde est déjà prise en charge par Imunify360
Onglet « Utilities » :

Désactivez les trois options de cette page pour les raisons suivantes :

  • Enforce SSL : Si l’extension force la redirection vers HTTPS, elle ajoute un fichier JavaScript sur chaque page, ce qui peut impacter la performance. Gérez la redirection SSL directement dans le fichier .htaccess et la base de données du site pour une configuration optimale.
  • Database Backups : La plupart des hébergeurs, y compris nous, effectuent déjà des sauvegardes régulières des sites. Activer cette option consommerait inutilement des ressources et pourrait ralentir votre site pendant la création des sauvegardes.
  • Security Check Pro : Cette fonctionnalité nécessite une connexion à un site externe pour analyser votre site.

Section « User Groups »

La section « User Groups » permet d’adapter la sécurité et les permissions en fonction du type d’utilisateur. Cela permet de définir les accès spécifiques pour chaque groupe d’utilisateurs.

👉 La configuration par défaut est déjà optimisée pour la majorité des sites WordPress. Par conséquent, il n’est pas nécessaire de modifier cette section.

Section « Notifications »

Cette section permet de gérer la fréquence et les destinataires des courriels envoyés par l’extension. Bien qu’elle n’affecte pas directement la manière dont l’extension sécurise votre site, elle aide néanmoins à éviter une surcharge de notifications inutiles.

Rendez-vous dans le sous-menu « Security Digest » et changez la fréquence (« schedule ») pour « Weekly ». De cette manière, l’extension enverra un résumé des activés une fois par semaine au lieu de l’envoyé chaque jour.

Dans le sous-menu « Site Lockouts », enlever le crochet. Inutile de recevoir par courriel la liste des adresses IP bloquées par l’extension « Solid Security ».

Section « Advanced »

C’est dans cette section que l’on retrouve les options ayant le plus d’impact sur la sécurité de votre site WordPress. Elle est divisée en trois parties que nous allons examiner ci-dessous.

Paramètres avancés pour Solid Security
System Tweaks

Dans cette section, certaines options doivent être activées pour renforcer la sécurité.

  • Protect System Files : Activez cette option. Elle bloque l’accès aux fichiers critiques de WordPress, comme wp-config.php, directement via la configuration du serveur web.
  • Disable Directory Browsing : Activez cette option. En général, cette restriction est déjà en place sur les hébergements sécurisés comme le nôtre. Toutefois, l’activer ici ne ralentit pas le site, puisqu’elle agit au niveau du serveur web et non du site lui-même.
  • Disable PHP in Uploads, Disable PHP in Plugins et Disable PHP in Themes : Toutes ces options doivent être activées. Elles empêchent l’exécution de fichiers PHP directement dans les répertoires d’extensions, de thèmes et d’uploads, ce qui bloque toute tentative d’exploiter un fichier vulnérable sans passer par WordPress.
WordPress Tweaks

Les attaquants peuvent exploiter certaines fonctionnalités natives de WordPress. Ajustez-les comme suit pour renforcer la sécurité de votre site :

  • Disable File Editor : Activez cette option. En effet, WordPress propose un éditeur de fichiers permettant de modifier directement les fichiers du site. Cependant, il est préférable d’utiliser un thème enfant pour ces modifications afin d’éviter tout risque d’erreur ou de perte de données.
  • XML-RPC : Sélectionnez « Disabled XML-RPC ». Ce protocole envoie des instructions à WordPress et sert souvent à tester un grand nombre de mots de passe en une seule requête. Il est donc préférable de le désactiver.
  • REST API : Sélectionnez « Restricted Access ». Par défaut, l’API REST peut afficher certaines informations sensibles, comme la liste des utilisateurs WordPress. Cette restriction permet de limiter les risques sans désactiver complètement la fonctionnalité.
  • Force Unique Nickname : Activez cette option. Elle oblige chaque utilisateur à choisir un pseudonyme unique, ce qui complique les tentatives de devinettes automatisées par des robots.
  • Disable Extra User Archives : Activez cette option. Si un utilisateur n’a publié aucun article, il n’aura pas de page d’archives, ce qui réduit les opportunités pour les robots de découvrir des informations sur les utilisateurs du site.
Hide Backend

Activez cette option. Par défaut, les pages /wp-admin et /wp-login.php permettent d’accéder à l’administration de WordPress. Ces pages figurent parmi les cibles privilégiées des robots malveillants. Masquez-les en définissant une URL personnalisée.

Dans le champ Login Slug, entrez un mot qui remplacera l’URL de connexion standard. Par exemple, si vous saisissez « patate-atomique », alors vous devrez désormais accéder à votre tableau de bord via « monsite.com/patate-atomique ». C’est pourquoi il est important de choisir un mot original mais facile à retenir afin d’éviter tout blocage involontaire.

Les outils pour la sécurité de votre WordPress

Toujours à l’intérieur de la même extension, plusieurs outils permettent d’améliorer la sécurité de votre site WordPress. Ils sont accessibles via le menu latéral « Security », dans le sous-menu « Outils ».

Voici quelques outils intéressants et les situations où il est préférable de les utilise

  • Change User ID 1 :
    • C’est quoi ? Lors d’une attaque par injection SQL, un pirate tentera souvent d’accéder au site en supposant que l’utilisateur principal est le premier compte créé, ce qui est généralement le cas.
    • Quand l’utiliser ? Cet outil est utile lors de la création d’un nouveau site ou si vous n’êtes pas certain que cette modification a déjà été effectuée. Si votre site est déjà sécurisé sur ce point, il n’est pas nécessaire de l’utiliser.
  • Change Database Table Prefix :
    • C’est quoi ? Par défaut, toutes les tables WordPress commencent avec le préfixe « wp_ ». Si un attaquant connaît ce préfixe, il pourra plus facilement exécuter des injections SQL ciblées contre votre base de données.
    • Quand l’utiliser ? Si votre base de données utilise encore le préfixe par défaut de WordPress ou si votre site a déjà été infecté, changez-le dès maintenant pour limiter les risques d’attaques.
  • Change WordPress Salts :
    • C’est quoi ? Le salage est une technique de sécurité utilisée pour protéger certaines données sensibles, comme les cookies de session et les informations d’authentification.
    • Quand l’utiliser ? Vous devriez changer les WordPress Salts si vous déplacez votre site vers un nouvel hébergeur ou si vous pensez qu’une personne non autorisée a pu accéder à votre site.

Le mot de la fin

En appliquant les recommandations de ce tutoriel, votre site bénéficiera d’une meilleure sécurité WordPress sans compromettre ses performances.

Cependant, il est important de rappeler que, peu importe les mesures de sécurité mises en place, rien ne remplace des mises à jour régulières. En effet, elles permettent de corriger les vulnérabilités et de renforcer la protection de votre site. Assurez-vous d’utiliser uniquement des extensions et thèmes de confiance, maintenus à jour par leurs développeurs. Si vous remarquez des points manquants ou si vous avez des questions sur la sécurité WordPress, n’hésitez pas à laisser un commentaire sous cet article !

Daniel Berthiaume

Depuis qu’il a découvert la programmation à l’âge de 7 ans grâce à « Logo Writer », Daniel a toujours été captivé par l’informatique. Après avoir passé deux décennies dans le secteur de l’hôtellerie, où il a affiné ses compétences en service à la clientèle, il apporte aujourd’hui son expertise chez Astral Internet. Ici, il se consacre à développer et simplifier les technologies du Cloud, rendant l’accès plus rapide et plus intuitif pour tous.

En dehors du travail, Daniel partage sa passion pour le web en enseignant le WordPress et le HTML au cégep de Saint-Jean-Sur-Richelieu. Sa pédagogie et son enthousiasme font de lui un professeur apprécié, qui sait allumer la flamme de la curiosité chez ses étudiants.

Commentaires

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories

Articles récents