L'année dernière, en l'espace de 36 heures, le système de protection Wordfence a bloqué 13,7 millions de tentatives d'attaques qui ciblaient 1,6 million de sites WordPress 😱 Découvre mon article complet pour sécuriser un site WordPress.

Vidéo pour apprendre à sécuriser un site WordPress avec l'extension de sécurité iTheme Security

Comment sécuriser WordPress rapidement ? Voici ma checklist rapide :

Évitez d'installer des plugins ou thèmes de sources non fiables.
Optez pour un plugin de sécurité reconnu, comme SolidSecurity.
Activez la double authentification pour les comptes administrateurs.
Assurez-vous de mettre régulièrement à jour WordPress, ainsi que vos thèmes et extensions.
Choisissez un hébergeur de confiance, tels que o2switch, Hostinger ou Faaaster (mon favori).
Éliminez le compte "admin" si celui-ci est installé par défaut.
Mettez à jour la version de PHP de votre hébergement, privilégiant au minimum la version 8.0.
Évitez d'acheter des plugins et thèmes premium sur des sites non réputés.
Ne faites pas usage de plugins ou thèmes obsolètes qui n'ont pas été actualisés depuis longtemps.

Sommaire

Pourquoi sécuriser son site WordPress ?

WordPress est-il sécurisé ? Oui, mais non ! WordPress est victime de son succès. Sa popularité en fait une cible privilégiée de nombreux acteurs du web.

La sécurité de ton site WordPress est donc un sujet crucial ! Si tu souhaites le préserver, tu es au bon endroit. Quand tu réalises le temps de travail, d’écriture, et de réflexion que demande la création de ta vitrine, tu n’as pas le droit d’être approximatif en ce qui concerne sa protection.

Attirer 3000 visiteurs mensuels sur son site WordPress !

Notre formation "WordPress SEO" est la solution idéale pour acquérir des compétences précieuses en référencement naturel sur ce CMS, améliorer sa visibilité sur Google et booster votre chiffre d'affaires. 100% finançable !

Je découvre la formation WordPress

Le guide complet pour sécuriser son site WordPress

Tu souhaites aller encore plus loin ? Je te conseille mon guide PDF complet pour sécuriser ton site WordPress !

Étape par étape et de façon chronologique, ce guide va t'aider à sécuriser ton site WordPress gratuitement.

Allez, c'est le moment de le télécharger avant qu'il ne devienne payant !

Le meilleur plugin de sécurité : iTheme Security / Solid Security

Attention : Ithème Security est devenu Solid Security

Solid Security – Mot de passe, double authentification et protection de force brute

Itheme Security est un plugin de sécurité qui protège ton site Web ou ta boutique en ligne dans WordPress de 30 manières différentes.

Une fois que tu as été formé pour créer un site sous WordPress, tu dois le sécuriser !

Ce plugin a été créé lorsque des logiciels obsolètes, des mots de passe faibles et des vulnérabilités de plugins ont permis aux pirates de pénétrer facilement dans les sites WordPress. Par conséquent, il est capable de corriger les failles de sécurité pour empêcher les pirates d'accéder à ton site Web.

Cela dit, bien que IThemes Security soit conçu pour rendre ton site WordPress plus sécurisé, notamment contre de nombreuses méthodes d'attaque courantes, il ne peut pas empêcher toutes les attaques possibles.

ITheme Security est l'un des plugins de sécurité les plus populaires, les plus utilisés et les mieux notés pour WordPress. Il est capable de protéger chaque site WordPress. Il fournit un accès facile à ses fonctionnalités, avec un tableau de bord ergonomique. Ce plugin de sécurité est léger pour un site Web et n'a donc que peu d'incidences sur les performances du site.

Sa dernière grosse mise à jour de 2023 a considérablement amélioré son ergonomie et sa simplicité. Actuellement (07/02/2023), Ithèmes Security est la meilleure solution gratuite sur le marché, devant WordFence. J'ai déjà réalisé une vidéo sur cette extension de sécurité l'année dernière. C'est le moment de la regarder !

Les 5 étapes + 1 pour sécuriser son site WordPress en 2024

Il existe plusieurs moyens de sécuriser un site WordPress. Voici quelques-unes des mesures que nous allons voir :

Utiliser une version à jour de WordPress. Les nouvelles versions de WordPress incluent des correctifs de sécurité pour les vulnérabilités connues. Assure-toi de toujours utiliser la dernière version de WordPress pour bénéficier de ces correctifs.
Installer un plugin de sécurité. Il existe de nombreux plugins de sécurité pour WordPress. Ils te permettent de protéger ton site contre les attaques de hackers. Ces plugins peuvent notamment t'aider à protéger tes comptes d'utilisateurs, à détecter les tentatives d'intrusion et à bloquer les IP indésirables. Je te conseille, comme tu as pu le voir, Ithemes Security.
Utiliser un mot de passe fort. Tu dois choisir un mot de passe complexe et difficile à deviner pour protéger tes comptes d'utilisateurs. Tu dois ainsi éviter les mots de passe simples ou courants, comme "123456" ou "motdepasse". Utilisez plutôt une combinaison de lettres, de chiffres et de caractères spéciaux.
Régulièrement, effectuer des sauvegardes de ton site. Les sauvegardes te permettent de restaurer ton site en cas de problème. Assure-toi de réaliser constamment des sauvegardes de ton site et de les stocker dans un endroit sûr. Je te conseille l'extension UpdraftPlus ou Wpvivid.
Se déconnecter : déconnecte-toi de tes services et sites WordPress après chaque utilisation.
Découvre la dernière astuce en bas.

1 - Mettre à jour WordPress

Il est crucial d'utiliser la dernière version de WordPress pour bénéficier des derniers correctifs de sécurité. Les nouvelles versions de WordPress incluent des correctifs pour les vulnérabilités connues, qui, si non corrigées, peuvent être exploitées par les hackers pour accéder à ton site. En mettant à jour régulièrement, tu t'assures que ton site est protégé contre ces vulnérabilités.

Pour mettre à jour WordPress :

Connecte-toi à ton site et accède à l'onglet "Mises à jour" dans le menu de gauche.
Si une nouvelle version de WordPress est disponible, tu verras un message t'invitant à la mettre à jour.
Clique simplement sur "Mettre à jour maintenant" pour lancer le processus.
Une fois la mise à jour terminée, ton site sera à jour avec la dernière version de WordPress.

Sécurité WordPress - faire une mise à jour — Faire sa MAJ WordPress

Mais n'oublie pas, ce n'est pas tout !

METTEZ À JOUR VOS EXTENSIONS ET THÈMES.

C'est un fait : environ 33% des sites hackés le sont à cause d'extensions ou de thèmes obsolètes. La mise à jour de ces éléments est tout aussi importante que celle de WordPress lui-même. Ces mises à jour ne se limitent pas à la sécurité ; elles peuvent résoudre 90% des problèmes que tu rencontres sur WordPress.

En outre, pense à faire le ménage régulièrement. Avoir moins d'extensions signifie moins de vulnérabilités potentielles et une meilleure performance de ton site. C'est un équilibre entre fonctionnalité et sécurité.

Garder WordPress, tes thèmes et extensions à jour est essentiel. Cela te protège non seulement contre les attaques, mais améliore aussi la stabilité et la performance de ton site. Sois vigilant, et ton site WordPress te remerciera !

2 - Installer un plugin de sécurité

Pour cette partie, je te conseille de suivre la première partie ! Sinon, voici quelques fonctionnalités indispensables pour un plugin de sécurité WordPress :

Protection des comptes d'utilisateurs : certains plugins de sécurité t'aident à protéger tes comptes utilisateurs en t'avertissant lorsqu'un utilisateur tente de se connecter avec des identifiants incorrects. Le plugin peut aussi bloquer les comptes d'utilisateurs après un certain nombre de tentatives de connexion infructueuses.
Détection des tentatives d'intrusion : les plugins de sécurité peuvent également t'aider à détecter les tentatives d'intrusion sur ton site. Ils peuvent par exemple enregistrer les tentatives de connexion et t'avertir si des IP suspectes tentent d'accéder à ton site.
Blocage des IP indésirables : certains plugins de sécurité te permettent par ailleurs de bloquer les IP indésirables. Tu peux par exemple définir une liste d'IP que tu souhaites bloquer, ou utiliser des listes noires publiques pour bloquer les IP connues pour être utilisées par des hackers.

En utilisant un plugin de sécurité pour WordPress, tu pourras renforcer la sécurité de ton site en protégeant tes comptes d'utilisateurs, en détectant les tentatives d'intrusion et en bloquant les IP indésirables.

3 - Utiliser un mot de passe fort

Pour renforcer la sécurité de ton site WordPress, il est crucial d'utiliser un mot de passe fort pour protéger tes comptes d'utilisateurs, surtout face au risque du vol de mot de passe, souvent causé par des attaques par force brute.

Qu'est-ce qu'une attaque par force brute ? C'est une méthode employée par des bots ou des hackers qui testent des milliers, voire des millions, de combinaisons de mots de passe jusqu'à en trouver un valide. Ces attaques visent principalement les mots de passe faibles et courants, comme "123456" ou "motdepasse", qui sont facilement devinables.

Comment choisir un mot de passe fort ?

Longueur : Opte pour un mot de passe d'au moins 12 caractères.
Complexité : Utilise une combinaison de lettres (majuscules et minuscules), de chiffres et de caractères spéciaux. Cela rend ton mot de passe beaucoup plus difficile à deviner.
Unicité : N'utilise pas le même mot de passe pour plusieurs comptes. Si un hacker découvre un de tes mots de passe, il ne devrait pas pouvoir accéder à d'autres comptes avec celui-ci.

Si tu manques d'inspiration pour créer un mot de passe sécurisé, pense à utiliser un logiciel de gestion de mots de passe comme celui que je recommande : https://www.motdepasse.xyz/.

L'authentification à deux facteurs (2FA)

Pour une sécurité optimale, il est également recommandé d'ajouter l'authentification à deux facteurs. En plus de ton mot de passe, tu devras entrer un code que tu reçois par SMS, e-mail, ou via une application d'authentification. Cela offre une couche supplémentaire de sécurité, car même si un hacker devine ton mot de passe, il lui sera difficile d'accéder à ton compte sans ce second code.

En résumé

Mots de passe forts : Essentiels pour se protéger contre les attaques par force brute.
2FA : Ajoute une sécurité supplémentaire en nécessitant un deuxième facteur de vérification.
Gestion des mots de passe : Utilise des outils pour générer et stocker en toute sécurité tes mots de passe.

En adoptant ces pratiques, tu pourras considérablement améliorer la sécurité de ton site WordPress et te protéger efficacement contre les menaces courantes en ligne.

4 - Faire des sauvegardes régulières

Réaliser régulièrement des sauvegardes de ton site WordPress est une mesure importante pour protéger tes données contre les pertes accidentelles ou les attaques de hackers. Les sauvegardes te permettent de restaurer ton site en cas de problème, que ce soit une erreur de ta part ou une attaque de hackers.

Voici ma vidéo sur YouTube où je te présente un super plugin, UpdraftPlus et comment l'utiliser de manière efficace :

Vidéo YouTube sur comment sauvegarder son site WordPress avec Updraft Plus

A - Comment effectuer des sauvegardes sur WordPress ?

Pour effectuer des sauvegardes de ton site WordPress, tu peux utiliser l'outil de sauvegarde intégré à WordPress ou un plugin de sauvegarde. Ces outils te permettent de sélectionner les éléments à sauvegarder (fichiers, bases de données, etc.) et de choisir l'emplacement où stocker les sauvegardes (sur votre ordinateur, sur un serveur externe, etc.).

B - À quelle fréquence réaliser des sauvegardes WordPress ?

Il est important de réaliser des sauvegardes souvent pour être sûr de disposer d'une copie récente de ton site en cas de problème. La fréquence des sauvegardes dépend de la fréquence d'ajout de contenu sur ton site et de la crainte que tu as de perdre vos données. En général, il est conseillé de réaliser des sauvegardes quotidiennes ou hebdomadaires. Encore plus fréquemment pour des gros sites e-commerces.

C - Où stocker ses sauvegardes WordPress ?

Une fois que vous avez effectué une sauvegarde, assure-toi de la stocker dans un endroit sûr et de la conserver en lieu sûr. Si tu stockes tes sauvegardes sur ton ordinateur, tu dois les transférer sur un disque dur externe ou sur un service de stockage en ligne (comme Dropbox ou Google Drive) pour éviter de les perdre en cas de problème avec ton ordinateur.

D - Mes conseils pratiques pour réaliser ses sauvegardes WordPress

Mon premier conseil : sauvegarde la base de données et les fichiers. Mon deuxième conseil : sauvegarde tes fichiers sur Google drive avec une adresse Gmail spécifique (qui ne sert qu'à ça). Tu protèges cette adresse au maximum (mot de passe fort + adresse compliqué) et tu ne la communiques pas. Attention : n'utilise pas le même compte Google Drive pour sauvegarder deux sites ! Catastrophe assurée (sauf si tu as la version premium de Updraft par exemple).

Solution 5 : Déconnectez-vous.

Voici une révélation surprenante issue des dernières données en cybersécurité : les vols de cookies de sessions sont en forte hausse. En d'autres termes, un malware présent sur ton ordinateur peut s'emparer de tes cookies de session pour infiltrer ton site WordPress. Tu sais quoi ? Cela représente près de 60% des sites hackés en 2023.

Alors, comment tu peux te défendre contre ça ? La solution est simple mais efficace : déconnecte-toi de tes services et sites WordPress après chaque utilisation. Oui, je sais, ça peut paraître fastidieux, mais crois-moi, c'est un moyen redoutablement efficace pour garder les intrus à distance.

Et ce n'est pas tout. Tu devrais également limiter le nombre de comptes admin sur ton site. Plus il y a d'admins, plus il y a de risques. Restreindre l'accès à quelques personnes de confiance réduit considérablement les chances de compromission de ton site.

En résumé, ne sous-estime jamais le pouvoir d'un simple clic sur "Déconnexion". Cela pourrait bien être le bouclier dont tu as besoin contre une grande partie des menaces en cybersécurité. Alors, même si ça te semble pénible, prends cette habitude. La sécurité de ton site en vaut la chandelle !

Bonus : Les patchs virtuels pour une sécurité renforcée

Cette solution est particulièrement adaptée pour ceux qui souhaitent aller au-delà des mesures de sécurité standard pour leur site WordPress. Les patchs virtuels sont une forme avancée de protection, surtout utile contre les vulnérabilités dites "0 jour".

Qu'est-ce qu'un patch virtuel ? Un patch virtuel est une méthode pour protéger rapidement votre site contre une faille de sécurité spécifique, même avant que les développeurs n'aient officiellement corrigé le problème dans le thème ou le plugin concerné. Cela est particulièrement utile pour les failles "0 jour", qui sont des vulnérabilités non découvertes ou non corrigées par les développeurs, rendant les sites WordPress susceptibles d'être exploités.

Comment fonctionne-t-il ? Les patchs virtuels sont généralement fournis par des services de sécurité tiers, tels que Patchstack, qui peuvent être accessibles via des outils comme Solid Security Pro. Ces services surveillent votre site WordPress et appliquent automatiquement des règles de sécurité ou des filtres pour bloquer les tentatives d'exploitation des vulnérabilités connues.

Pourquoi envisager des patchs virtuels ?

Protection proactive : Ils offrent une couche de sécurité supplémentaire en protégeant contre les vulnérabilités nouvelles ou inconnues.
Réponse rapide : Les patchs virtuels peuvent être appliqués beaucoup plus rapidement qu'un correctif officiel, ce qui est crucial pour la sécurité en temps réel.
Tranquillité d'esprit : Même si un plugin ou un thème n'est pas immédiatement mis à jour par le développeur, votre site reste protégé.

Est-ce indispensable ? Bien que ce ne soit pas indispensable pour tous les sites WordPress, l'utilisation de patchs virtuels peut faire une grande différence en termes de sécurité, surtout si vous gérez un site avec beaucoup de trafic ou des données sensibles. C'est une mesure supplémentaire pour ceux qui veulent assurer une protection maximale de leur site.

Sécuriser un site WordPress : le mot de la fin

Comme tu peux le constater, il existe de nombreuses manières de sécuriser un site WordPress :

Le choix d’un hébergeur WordPress sécurisé,
L'utilisation de mots de passe forts.
Ou encore les mises à jour du cœur et des extensions.

Ils ne constituent seulement quelques-uns des éléments qui permettront à ton site WordPress de fonctionner en toute sécurité. Ton site WordPress est à la fois ton entreprise et ton revenu, il est donc important de prendre un peu de temps et de mettre en œuvre certaines des meilleures pratiques de sécurité mentionnées ci-dessus, le plus tôt possible.

Formation pour sécuriser son site web

Vous avez déjà un site WordPress et vous souhaitez :

Effectuer un audit approfondi ?
Sécuriser son site.
Maximiser sa rapidité de chargement ?
Booster sa visibilité sur Google de manière significative ?
Améliorer ses conversions ?
Recevoir des conseils exclusifs et personnalisés ?

Si la réponse est oui, notre formation WordPress est exactement ce qu'il vous faut !

Notre formation est spécialement conçue pour les propriétaires de sites WordPress aspirant à rafraîchir leur site et optimiser leur présence en ligne.

Et c'est finançable !

Je découvre la formation

Mes autres articles sur WordPress :

As-tu aimé cet article ?

Clique sur l'étoile pour l'évaluer !

Note moyenne 4.9 / 5. Nombre de votes : 40

Aucun vote jusqu'à présent ! Tu peux être le premier à évaluer cet article.

Comment sécuriser WordPress en 2024 ?

Pourquoi sécuriser son site WordPress ?

Attirer 3000 visiteurs mensuels sur son site WordPress !

Le guide complet pour sécuriser son site WordPress

Le meilleur plugin de sécurité : iTheme Security / Solid Security