Il est important de sécuriser son site WordPress pour éviter les virus et les spams et attaques pouvant créer des dommages.

Pour cela il est nécessaire d’agir au niveau de votre hébergement et des fichiers du CMS, ainsi que sur votre site web en ajoutant des plugins.

Sur votre hébergement

Installer un Certificat SLL

Le certificat SLL vous permet d’activer HTTPS sur votre site Web. Il est délivré par une autorité certificatrice un fois que vous avez prouvé que vous contrôlez ce domaine.

Si vous avez un hébergement mutualisé, c’est votre hébergeur qui vous fournira le certificat pour le domaine de votre site web par le biais de Let’s Encrypt (gratuit) ou un autre organisme certificateur (mais payant).

Si vous avez un hébergement cloud ou un serveur dédié ce sera à vous d’effectuer les démarches auprès de l’organisme certificateur et d’installer le certificat sur votre serveur.

Prérequis :

• Posséder un hébergement web.
• Avoir enregistré au moins un nom de domaine.
• Avoir accès à votre panneau de contrôle (espace client / cPanel).

Ensuite consultez la FAQ de votre hébergeur pour connaître les manipulations à effectuer pour activer votre certificat SSL. Chaque hébergeur possède sa façon d’activer le SSL.

Utiliser la fonction anti-virus

Si vous êtes en hébergement mutualisé, cette fonction vous est fournie nativement par votre hébergeur, il vous suffit de l’activer soit à partir de votre espace client, soit directement dans cPanel.

Dans le cas contraire, il faudra installer un logiciel antivirus sur votre serveur.

Configurer son fichier .htaccess situé à la racine du site

Ici, vous allez commencer à mettre les mains dans le code.

Le fichier .htaccess est un fichier de configuration du serveur Apache. Il permet – entre autre – d’apporter des améliorations de performances de votre site web, de mettre des restrictions d’accès (interdiction d’accès à certains répertoires, blocage de certaines adresses IP…), d’automatiser certaines tâches (telle que la réécriture d’url)… Vous pouvez en avoir un par dossier.

Par contre, attention, à la moindre erreur de syntaxe, le serveur répondra à toute demande par une erreur 500 Internal Server Error. Il est donc conseillé de faire une sauvegarde de votre fichier d’origine, puis de tester vos modifications sur un serveur de développement et surtout pas sur un site en production.

Réécrire les url de votre site depuis http vers https :

# Réécrire les url du site pour passer en https
RewriteEngine On
RewriteBase /monsite.com/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /monsite.com/index.php [L]

Remplacez monsite.com par votre nom de domaine

Forcer le site à passer en https : 

Permet d’éviter les contenus mixtes

# Redirection vers HTTPS
RewriteCond     %{SERVER_PORT} ^80$
RewriteRule     ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

Sécuriser son fichier wp-config.php

IL est à la racine de votre site. C’est de loin le fichier le plus important sur votre site lorsqu’il s’agit de la sécurité WordPress. Il contient les informations de connexion à votre base de données et les clés de sécurité qui gèrent le cryptage des informations dans les cookies.
# Protéger le fichier wp-config.php
order allow,deny
deny from all


Sécuriser les fichiers .htaccess et .htpasswds

# Protéger les fichiers .htaccess et .htpasswds
order allow,deny
deny from all
satisfy all


Désactiver l’affichage des répertoires

# Désactiver l'affichage du contenu des répertoires
Options All -Indexes

Cacher les informations du serveur

# Masquer les informations du serveur
ServerSignature Off


Limiter le spam des commentaires

En complément de votre plugin antispam, cela devrait vous aider à filtrer plus la majorité des spams.

# Éviter le spam de commentaires
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.monsite.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]


Supprimer l’utilisation de vos images par un autre site

# Désactiver le hotlinking de vos images
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?monsite.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://fakeimg.pl/400x200/?text=Pas_touche_aux_images [NC,R,L]
Remplacez monsite.com par votre nom de domaine

Bannir des adresses IP

Si vous avez remarqué que certaines IP tentaient de se connecter un peu trop souvent à l’administration de votre site, vous pouvez vous en débarrasser en bannissant leur adresse IP.
# Bannir une adresse IP
order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all
</Limit>
Remplacez xxx.xxx.xxx.xxx par l’adresse IP à bannir

Protection contre les injections de fichiers

Des pirates peuvent tenter d’envoyer des fichiers sur votre serveur pour prendre le contrôle de votre site.

# Protection contre les injections de fichiers
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]


Protection contre les injections de code dans la base de données

# Protections diverses (XSS, clickjacking et MIME-Type sniffing)
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options: "nosniff”

Bloquer l’accès direct aux fichiers PHP

dans le dossier wp-includes

Créez un fichier .htaccess dans wp-includes et collez-y le code :
# Bloque les accès directs aux fichiers PHP (Merci à Sucuri)
allow from all
<FilesMatch "\.(?i:php)$">
Order allow,deny
Deny from all
Require all denied
Allow from all
Allow from all

Le code ci-dessus est fourni par le plugin Sucuri.

dans le dossier wp-content

Créez un fichier .htaccess dans wp-includes et collez-y le code :

#Bloque les accès directs aux fichiers PHP (Merci à Sucuri)
<FilesMatch "\.(?i:php)$">
Order allow,deny
Deny from all
Require all denied

Le code ci-dessus est fourni par le plugin Sucuri.

Masquer la version de WordPress

Le changement se fait à deux niveaux : dans le fichier function.php, ainsi que dans le fichier readme.html.

Vous pouvez utiliser le code suivant pour supprimer cela. Ajoutez-le simplement au fichier functions.php de votre thème WordPress.

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Mais attention, l’édition du code source d’un thème WordPress pourrait casser votre site si ce n’est pas fait correctement. En cas de doute, veuillez demander conseil à un professionnel.

Le fichier readme.html est situé à la racine de votre WordPress et doit être supprimé !

Sur votre site web

Vous pouvez effectuer les manipulations en allant sur votre interface d’administration WordPress.

Installer un plugin de sécurité

All In One WP Security & Firewall

Ce plugin est conçu et écrit par des experts et est facile à utiliser et à comprendre.

Il réduit les risques de sécurité en vérifiant les vulnérabilités et en mettant en œuvre et en appliquant les dernières pratiques et techniques de sécurité recommandées par WordPress.

All In One WP Security utilise un système d’évaluation (de notation) des points de sécurité pour mesurer le niveau de protection de votre site en fonction des fonctions de sécurité que vous avez activées.

Les règles de sécurité et de pare-feu sont classées en “basique”, “intermédiaire” et “avancé”. De cette façon, vous pouvez appliquer les règles de pare-feu progressivement sans casser la fonctionnalité de votre site.

Le plugin de sécurité All In One WordPress ne ralentit pas votre site et il est 100% gratuit.

SecuPress Free — WordPress Security

Si vous voulez un plugin de sécurité qui a une interface utilisateur conviviale et facile à utiliser, SecuPress est définitivement le plugin qu’il vous faut. La version gratuite propose une connexion anti-brute force, des adresses IP bloquées et un pare-feu. Il inclut également la protection de vos clés de sécurité ainsi que le blocage des visites de mauvais bots (ce que vous devez généralement payer dans d’autres plugins de sécurité).

iThemes Security

Anciennement Better WP Security, cette extension vous apporte plus de 30 réglages possibles pour sécuriser votre site web, dont  :

• un surcroît de requêtes aboutissant à des erreurs 404,
• le bannissement d’utilisateurs,
• la détection de changement de fichiers,
• la protection Brute Force
• l’activation de la configuration SSL sur le site
• le renforcement des mots de passe
• la modification de WordPress pour protéger les fichiers systèmes du CMS, empêcher l’exploration des répertoires du serveur, suppression des droits d’écriture sur les fichiers…
• modification de l’adresse de connexion au tableau de bord

Wordfence Security

Wordfence inclut un pare-feu et un scanner de logiciels malveillants qui ont été conçus à partir de zéro pour protéger WordPress. Le système de défense contre les menaces alimente Wordfence avec les plus récentes règles de pare-feu, signatures de logiciels malveillants et adresses IP malveillantes dont il a besoin pour assurer la sécurité de votre site Web. Complété par 2FA et une suite de fonctionnalités supplémentaires, Wordfence possède de nombreux paramètres et est l’une des solutions de sécurité WordPress les plus complètes du marché.

Sucuri Security

Le plugin WordPress de Sucuri Security est gratuit pour tous les utilisateurs de WordPress. Il s’agit d’une suite de sécurité destinée à compléter votre dispositif de sécurité existant. Il offre à ses utilisateurs un ensemble de dispositifs de sécurité pour leur site Web, chacun conçu pour avoir un effet positif sur leur posture de sécurité :

• Audit des activités de sécurité
• Surveillance de l’intégrité des fichiers
• Recherche de programmes malveillants à distance
• Surveillance des listes noires
• Durcissement efficace de la sécurité
• Mesures de sécurité après le piratage
• Notifications de sécurité

Changer l’adresse de la page de connexion

Cela peut être géré directement avec l’un des plugins de de sécurité. Si tel n’est pas le cas, vous pouvez utiliser WPS Hide Login, qui vous permet de changer facilement et en toute sécurité l’url de la page du formulaire de connexion à tout ce que vous voulez. Il ne renomme ni ne modifie littéralement les fichiers dans le noyau, ni n’ajoute de règles de réécriture. Il intercepte simplement les demandes de page et fonctionne sur n’importe quel site WordPress. Le répertoire wp-admin et la page wp-login.php deviennent inaccessibles. La désactivation de ce plugin ramène votre site exactement à l’état où il était avant.

Installer un plugin anti-spam

Akismet Anti-Spam

Il surveille vos commentaire et vos formulaires de contact pour vous éviter de publier du contenu inappropriés ou d’envoyer des mails indésirables. Il permet aussi à l’administrateur de fixer le nombre maximum de commentaires possibles par utilisateur sur chaque article du blog.

Antispam Bee

Antispam Bee bloque efficacement les commentaires de spam et les trackbacks, sans captchas et sans envoyer d’informations personnelles à des services tiers. Il est gratuit, sans publicité et 100% conforme au RGPD.

Google Captcha (reCAPTCHA) by BestWebSoft

L’extension protège les formulaires de votre site Web WordPress contre les spams tout en laissant passer les personnes réelles avec facilité. Il peut être utilisé pour la connexion, l’enregistrement, la récupération de mot de passe, les commentaires, les formulaires de contact populaires, et autres. reCAPTCHA Version 3, Version 2, Invisible sont inclus.

Les utilisateurs doivent confirmer qu’ils ne sont pas des robots avant que le formulaire puisse être soumis. C’est facile pour les gens et difficile pour les robots.

Sécuriser votre adresse e-mail

Email Address Encoder

Permet de crypter l’adresse mail, et donc de la protéger d’une aspiration par un robot.

Installer un plugin de sauvegarde automatique

Duplicator – WordPress Migration Plugin

Duplicator crée un package qui regroupe tous les plugins, thèmes, contenus, bases de données et fichiers WordPress du site dans un simple fichier zip appelé package. Il nous propose ensuite d’exporter ce package et son installeur en un seul clic. Ces deux fichiers peuvent ensuite être utilisés pour migrer facilement un site WordPress vers n’importe quel emplacement de votre choix. WordPress n’est pas requis pour l’installation puisque le paquet contient tous les fichiers du site. Par contre, vous devez savoir vous servir d’un logiciel client FTP pour télécharger les deux fichiers (package et installeur) à la racine du site.

Avec cette extension, vous pouvez également programmer des backups (sauvegardes) régulières de votre site.

Updraft Plus

Outil de sauvegarde et de restauration de votre site web en local sur votre serveur et à distance, dans les service cloud tels que Dropbox, Google Drive… , avec une planification (journalière, hebdomadaire, mensuelle), et un mail de confirmation.

Vérifier régulièrement les mises à jours

Mettre à jour WordPress permet de :

• Corriger les bugs de la version précédente.
• Profiter de nouvelles fonctionnalités (par exemple la nouvelle extension Gutenberg depuis début 2019).
• Renforcer la sécurité de votre site internet.

Un plugin peut vous aider à maintenir à jour votre CMS sur les mises-à-jour mineures. Avec un grand nombre de paramètres pour une configuration infinie, Easy Updates Manager est un choix évident pour tous ceux qui veulent prendre le contrôle des mises à jour de leur site web avec de nombreuses options, dont : activer les mises à jour automatiques en un clic, personnalisez profondément vos paramètres de mise à jour automatique, sélectionnez les plugins et les thèmes qui peuvent être mis à jour automatiquement, désactiver les mises à jour du noyau, des plugins, des thèmes et des traductions, intégrer avec UpdraftPlus (que nous avons vus plus haut), et configurer les paramètres de notification par courrier électronique.