16 conseils de sécurité WordPress pour assurer la sécurité de votre site (2023)

Avez-vous besoin d'une liste complète de conseils de sécurité WordPress qui protégeront votre site des dangers courants pour lesquels WordPress est connu.

Dans cet article, vous trouverez plus d'une douzaine de conseils de sécurité de base et avancés que vous pouvez mettre en œuvre pour protéger votre site contre les vulnérabilités et les piratages.

Voici les conseils de sécurité WordPress que nous aborderons dans cet article :

1. Choisissez un hébergeur WordPress de qualité.
2. Gérez le noyau, les thèmes et les plugins WordPress.
3. Installez un plugin de sécurité WordPress.
4. Installez un plugin de sauvegarde.
5. Choisissez soigneusement les thèmes et plugins tiers.
6. Connaître les rôles des utilisateurs WordPress et leurs autorisations.
7. Mettez en œuvre des protocoles de protection sur la page de connexion backend de votre site.
8. Utilisez un nom d’utilisateur et des mots de passe sécurisés.
9. Activez un certificat SSL pour votre site.
10. Désactivez l'édition de fichiers.
11. Désactivez l'exécution de PHP.
12. Modifiez le préfixe de la base de données WordPress.
13. Sécurisez votre fichier wp-config.php.
14. Renommez la page de connexion WordPress.
15. Désactivez la navigation dans les répertoires.
16. Déconnectez les utilisateurs inactifs.

Nous avons organisé deux listes distinctes : les conseils de sécurité de base et les conseils de sécurité avancés.

Commençons par le haut avec des conseils de sécurité de base.

Conseils de sécurité de base WordPress pour tous les utilisateurs

1. Choisissez un hébergeur WordPress de qualité

Tout commence ici.

Si vous ne choisissez pas un hébergeur WordPress de qualité et réputé, votre site sera vulnérable aux attaques, quel que soit le niveau de sécurité que vous mettez en œuvre dans WordPress.

Bien que votre site soit constitué de code, ce code existe dans des fichiers, des fichiers qui doivent être installés sur un serveur Web.

À tout le moins, choisissez un hébergeur connu pour maintenir des serveurs rapides et sécurisés, maintenir sa technologie de serveur à jour et fournir un accès aux dernières versions de PHP.

Nous utilisons Cloudways pour héberger Blogging Wizard. C'est rapide et abordable. Son évolutivité est également un facteur important car nous recevons beaucoup de trafic.

Ils offrent les fonctionnalités de sécurité suivantes :

• Un module complémentaire Cloudflare Enterprise qui implémente une protection DDoS et un pare-feu d'application Web (WAF).
• Pare-feu de serveur.
• Sécurité de connexion.
• Sécurité de la base de données.
• Protection contre les robots.
• Certificats SSL gratuits.
• Gestion des rôles des utilisateurs.
• Gestion sécurisée du système d’exploitation.
• Authentification à deux facteurs.

Cependant, en ce qui concerne la sécurité de WordPress, vous feriez peut-être mieux d'utiliser un hébergeur WordPress géré, surtout si vous n'êtes pas un utilisateur WordPress avancé.

Hébergement WordPress géré

L'hébergement WordPress géré est une forme d'hébergement WordPress dans laquelle votre hébergeur gère de nombreux aspects de la maintenance d'un site WordPress pour vous.

Cela inclut généralement des aspects de la sécurité de WordPress.

Voici un exemple utilisant notre hôte WordPress géré le plus recommandé, WPX Hosting. Ce fournisseur d'hébergement offre les fonctionnalités de sécurité suivantes :

• Suppression des logiciels malveillants incluse sur tous les plans.
• Le site corrige si votre site est hors ligne.
• Protection DDoS.
• Sauvegardes automatiques avec stockage jusqu'à 28 jours de sauvegardes.
• CDN propriétaire avec 35 emplacements périphériques.
• Certificats SSL gratuits.
• Une zone de préparation pour tester les mises à jour avant de les diffuser en direct.
• Authentification à deux facteurs.
• Sécurité de compte avancée qui vous permet de limiter l'accès à votre compte d'hébergement WPX au niveau matériel.

2. Gérez correctement le noyau, les thèmes et les plugins de WordPress

Comme nous l'avons dit, votre site WordPress est constitué de fichiers et de code. Cela inclut les thèmes WordPress et les plugins WordPress ainsi que WordPress lui-même, connu sous le nom de « noyau WordPress ».

Comme les applications informatiques et téléphoniques que vous utilisez, les fichiers WordPress reçoivent des mises à jour régulières pour implémenter de nouvelles fonctionnalités et correctifs de sécurité.

C'est pourquoi il est impératif que vous mainteniez WordPress lui-même ainsi que vos thèmes et plugins à jour aussi souvent que possible. Ne pas le faire pourrait exposer votre site à des failles de sécurité dévastatrices.

Vous devriez toujours essayer d’utiliser la dernière version de WordPress sur votre site.

Heureusement, WordPress implémente déjà automatiquement les mises à jour de sécurité d’urgence et vous pouvez également configurer des mises à jour automatiques de WordPress à tous les niveaux.

Cependant, il est préférable d'effectuer la plupart des mises à jour WordPress manuellement via une zone de préparation (comme celle que WPX Hosting vous permet de créer) afin de pouvoir tester les modifications que ces mises à jour apportent à votre site dans un environnement contrôlé avant de les transmettre à la version de production en direct de votre site.

Dans l’ensemble, prévoyez un moment chaque semaine pour vérifier, tester et appliquer les mises à jour WordPress sur votre site afin de le maintenir aussi sécurisé que possible.

Assurez-vous également de supprimer les thèmes et plugins que vous n’utilisez plus.

Activation des mises à jour automatiques pour les thèmes et les plugins

Vous pouvez activer les mises à jour automatiques de WordPress pour les thèmes et les plugins sans plugin dans WordPress.

Pour les thèmes, accédez à Apparences → Thèmes, cliquez sur un thème, puis cliquez sur le bouton Activer les mises à jour automatiques.

L'activation des mises à jour automatiques pour les plugins fonctionne de la même manière.

Accédez à Plugins → Plugins installés et cliquez sur le bouton Activer les mises à jour automatiques pour tout plugin pour lequel vous souhaitez activer les mises à jour automatiques.

Vous pouvez même utiliser l’option groupée pour activer les mises à jour automatiques de tous les plugins en une seule fois.

3. Installez un plugin de sécurité WordPress dédié

Si vous n'hébergez pas votre site Web WordPress avec un hébergeur WordPress géré, le mieux est d'utiliser un plugin de sécurité WordPress dédié.

Nous recommandons les plugins de sécurité WordPress MalCare ou Sucuri.

MalCare implémente les fonctionnalités suivantes dans votre site WordPress :

• Scanner de logiciels malveillants.
• Suppression des logiciels malveillants.
• Pare-feu conçu sur mesure pour WordPress.
• Protection de connexion.
• Surveillance de la disponibilité.
• Sauvegardes incrémentielles et restaurations de sites en un clic.
• Protection contre les robots.
• Scanner de vulnérabilité.
• Journal d'activité qui vous permet d'identifier les comportements suspects.
• Alertes par e-mail sur les logiciels malveillants et les vulnérabilités.

Sucuri offre également beaucoup de ces fonctionnalités, mais est surtout connu pour ses fonctionnalités d'analyse et de suppression de logiciels malveillants ainsi que pour sa capacité à implémenter un pare-feu pour protéger votre site WordPress.

MalCare est plus abordable que Sucuri et comprend même un plan gratuit limité.

4. Installez un plugin arrière WordPress

Les sauvegardes constituent l’un des meilleurs moyens de sécuriser votre site Web en cas de défaillance d’autres aspects de sécurité.

Si votre site est piraté ou corrompu ou si une mise à jour casse certaines choses, vous pouvez utiliser une sauvegarde pour le restaurer à une époque où il fonctionnait normalement.

Si votre hébergeur ne propose pas de sauvegardes et que vous n'obtenez pas cette fonctionnalité à partir d'un plugin de sécurité, vous devez absolument utiliser un plugin de sauvegarde dédié.

Nous recommandons WP STAGING.

Il est spécialisé dans le staging de sites, comme son nom l'indique, mais il propose également des fonctionnalités de sauvegarde, de migration et de clonage.

Ce plugin propose des sauvegardes automatiques et vous permet de les stocker hors site sur Google Drive ou Amazon S3.

Si vous souhaitez des sauvegardes incrémentielles et bon nombre des mêmes fonctionnalités proposées par WP STAGING, essayez BlogVault.

Les deux solutions vous permettent de restaurer votre site à partir d'une sauvegarde.

Remarque : Bien que le choix d'un hébergeur WordPress de qualité signifie qu'il est peu probable que vous utilisiez des sauvegardes tierces, nous vous recommandons néanmoins d'utiliser l'une des solutions ci-dessus par mesure de précaution.

5. Méfiez-vous des thèmes et plugins WordPress tiers

Lorsque vous entendez parler de sites WordPress piratés, c'est généralement pour l'une des deux raisons suivantes : des versions obsolètes du noyau WordPress et des thèmes et plugins tiers.

C'est pourquoi il est si important de rester au courant des mises à jour de WordPress. Même ainsi, toutes les mises à jour du monde ne peuvent pas protéger votre site contre un thème ou un plugin tiers malveillant ou mal codé.

Avant de décider d’installer un thème ou un plugin sur votre site, faites vos recherches.

Pour commencer, quand le thème ou le plugin a-t-il été mis à jour pour la dernière fois ? Ce n'est pas bon signe si un thème ou un plugin n'a pas été mis à jour depuis plus d'un an.

Assurez-vous également de lire les critiques et les fils de discussion d'un thème ou d'un plugin. Ceux-ci vous donneront de meilleurs indicateurs de la qualité de prise en charge du thème ou du plugin.

Assurez-vous également d'exécuter le nom du thème ou du plugin via une recherche sur les réseaux sociaux, en particulier sur Twitter, Reddit et Facebook.

Ces sites peuvent avoir des plaintes qui ne sont pas traitées sur la page officielle du thème ou du plugin sur WordPress.org.

6. Soyez conscient des rôles des utilisateurs WordPress et de leurs autorisations

En tant que propriétaires de sites Web WordPress, il est important de connaître les différences entre les rôles d’utilisateur WordPress et les autorisations accordées par chacun.

Voici un bref aperçu des autorisations auxquelles chaque rôle a accès :

• Administrateur (Admin) – Peut accéder à toutes les zones du tableau de bord WordPress et apporter des modifications à n’importe quelle partie du site Web ainsi qu’à n’importe quel utilisateur de ce site.
• Éditeur – A accès aux articles et pages WordPress et possède la possibilité d’ajouter, de publier, de supprimer et de modifier ce contenu, même s’il ne l’a pas créé lui-même.
• Auteur – A la possibilité d’ajouter, de modifier et de publier ses propres articles.
• Contributeur – A la possibilité d’ajouter et de modifier ses propres publications.
• Abonné – Peut modifier son profil utilisateur et laisser des commentaires avec le système de commentaires natif de WordPress.

Ainsi, si vous embauchez un éditeur pour votre blog, vous devez lui attribuer le rôle d'éditeur plutôt que le rôle d'administrateur.

De cette façon, ils peuvent gérer le contenu de votre site mais ne peuvent pas modifier votre thème, vos plugins et les paramètres WordPress.

7. Protégez la page de connexion WordPress

La page de connexion WordPress est la page que vous utilisez pour vous connecter au tableau de bord WordPress.

Vous pouvez généralement y accéder en accédant à votredomaine.com/wp-login.php.

Il existe un certain nombre de techniques différentes que nous pouvons utiliser pour sécuriser la page de connexion WordPress.

Nous allons en mentionner deux dans cette section, mais il existe des techniques supplémentaires dans la section avancée de cet article.

La première technique que nous mentionnerons consiste simplement à ajouter un formulaire CAPTCHA à la page de connexion de votre site.

Si vous décidez d'utiliser le plugin de sécurité MalCare que nous avons mentionné précédemment, vous n'aurez pas besoin d'un plugin séparé pour ajouter cette fonctionnalité à votre site Web.

Ce plugin vous permet de limiter les tentatives de connexion en affichant automatiquement un CAPTCHA que les visiteurs doivent résoudre s'ils ne parviennent pas à se connecter après trois tentatives.

Si vous n'utilisez pas MalCare, utilisez plutôt un plugin comme Advanced Google reCAPTCHA.

C'est un plugin très simple qui vous permet d'ajouter un formulaire CAPTCHA au formulaire de connexion, au formulaire d'inscription et plus encore.

Lorsque ce plugin est activé, vous et toute personne rencontrant votre page de connexion devrez remplir le formulaire CAPTCHA pour vous connecter.

En dehors de cela, un autre moyen simple de protéger la page de connexion WordPress consiste à activer l’authentification à deux facteurs.

Utilisez un plugin comme Two Factor Authentication (des créateurs d'UpdraftPlus) pour ajouter une authentification à deux facteurs à votre page de connexion. Le plugin s'intègre à Google Authenticator.

8. Utilisez des informations de connexion sécurisées

Les formulaires CAPTCHA et les techniques d'authentification à deux facteurs rendent plus difficile l'accès des attaquants à votre site, mais pas impossible.

C'est pourquoi il est important d'utiliser des informations de connexion sécurisées. Il ajoute une couche de sécurité supplémentaire à votre site.

Pour commencer, vous ne devez jamais utiliser « admin » comme nom d’utilisateur ni comme nom propre.

Combinez plutôt des fragments de votre nom. Par exemple, si votre nom est David Smith et que vous êtes né le 10 octobre 1980, utilisez « dasm1080 » comme nom d'utilisateur ou quelque chose de similaire.

De cette façon, si un attaquant tente d’accéder à votre site Web, il doit d’abord connaître votre nom d’utilisateur.

Il s’agit d’une astuce un peu avancée, mais vous pouvez en fait masquer les noms d’utilisateur WordPress et les rendre plus difficiles à trouver pour les attaquants. C'est une bonne chose car les noms d'utilisateur peuvent parfois être trouvés dans le code source d'une page.

De plus, les URL générées par WordPress pour les pages d’archives des auteurs contiennent généralement le nom d’utilisateur de chaque auteur.

Pour lutter contre cela, accédez au profil utilisateur de cet auteur dans WordPress et remplissez les champs Prénom, Nom, Surnom et Nom d'affichage en tant que avec autre chose que le nom d'utilisateur de l'utilisateur.

Pour aller plus loin, et c'est là que l'astuce avancée entre en jeu, accédez à la base de données de votre site via phpMyAdmin, et trouvez la table wp_users. Le bit « wp » peut sembler un peu différent si vous ou votre hôte avez modifié le préfixe de votre base de données, mais la partie « _users » y sera toujours attachée.

Ce que vous voulez faire est de modifier l'entrée de base de données de chaque utilisateur et de modifier la valeur « user_nicename » en quelque chose d'autre que celui défini pour le nom d'utilisateur de l'utilisateur.

Le nom de l'utilisateur fera très bien l'affaire. Assurez-vous simplement de remplir les espaces avec des tirets, tels que « david-smith ».

Pour les mots de passe, utilisez un générateur de mots de passe pour créer un mot de passe sécurisé et envisagez de le stocker dans un gestionnaire de mots de passe pour un accès facile.

9. Configurez SSL pour votre site

SSL, ou Secure Sockets Layer, est un protocole de sécurité qui crypte les données lors de leur transfert entre deux réseaux.

Ceci est généralement utilisé pour crypter les informations de paiement et les données sensibles des clients.

Il existe deux manières de savoir si un site est crypté par un certificat SSL : un cadenas présent dans la barre d'adresse et l'utilisation par le site de « https » au lieu de « http ».

Étant donné que SSL est un facteur de classement Google léger, tous les sites sont encouragés à configurer SSL, même s'ils ne prévoient jamais d'accepter de paiements.

Heureusement, la plupart des hébergeurs proposent de nos jours des certificats SSL gratuitement via Let's Encrypt, il est donc désormais plus facile et moins cher que jamais de tout configurer.

Parcourez la base de connaissances de votre hébergeur pour savoir comment procéder, car chaque hôte le gère différemment.

Conseils de sécurité WordPress pour les utilisateurs avancés

10. Désactivez l'édition de fichiers

Le tableau de bord WordPress, ou administrateur WordPress, pour les administrateurs dispose de deux éditeurs de fichiers qui vous permettent de modifier les fichiers de thème et de plugin.

Vous pouvez les trouver en allant dans Apparence → Éditeur de fichiers de thème et plugins → Éditeur de fichiers de plugins.

Apporter des modifications à ces fichiers peut endommager votre site. Pire encore, si un pirate informatique accédait à l'un de vos comptes administrateur, il pourrait utiliser ces éditeurs pour injecter du code malveillant dans votre site.

C'est pourquoi il est recommandé aux propriétaires de sites Web WordPress de désactiver complètement l'édition de fichiers.

Tout ce que vous avez à faire est d'ajouter le code suivant à votre fichier wp-config.php :

 définir('DISALLOW_FILE_EDIT', true);

Si votre hébergeur ne dispose pas de gestionnaire de fichiers, vous devrez accéder aux fichiers de votre site via FTP, télécharger votre fichier wp-config.php, le modifier avec un éditeur de texte brut, l'enregistrer, puis le recharger sur le même emplacement dans le système de fichiers de votre installation WordPress.

Assurez-vous simplement d'écraser l'original.

Assurez-vous également de sauvegarder votre site avant d'apporter des modifications à votre système de fichiers. Il peut également être judicieux de télécharger une copie de votre fichier wp-config.php avant d'y appliquer des modifications.

11. Désactivez l'exécution de PHP

Les pirates créent souvent des portes dérobées dans le système de fichiers de votre site en y exécutant des fichiers PHP.

Vous pouvez bloquer ce type d'attaques en désactivant l'exécution de fichiers PHP dans des dossiers qui ne devraient pas contenir de fichiers PHP, comme votre dossier Uploads où sont stockés vos fichiers multimédias.

Bloquer l'exécution de PHP dans des dossiers contenant du PHP peut en fait endommager votre site. Il est donc souvent recommandé de désactiver l'exécution de PHP uniquement pour les dossiers dans lesquels PHP n'est jamais trouvé, simplement par mesure de sécurité.

Si vous utilisez le plugin de sécurité MalCare, vous pouvez désactiver l'exécution de PHP en saisissant les informations d'identification FTP de votre site.

Sinon, vous devrez le faire manuellement en modifiant le système de fichiers de votre site.

Commencez par ouvrir un éditeur de texte brut sur votre ordinateur et ajoutez-y le code suivant :

 <Fichiers *.php>

nier de tous

</Fichiers>

Ensuite, enregistrez ce fichier et nommez-le « .htaccess ». Assurez-vous d'inclure le point « ». avant « htaccess ».

Il ne vous reste plus qu'à accéder au système de fichiers de votre site, à télécharger votre nouveau fichier .htaccess dans le dossier Uploads et à enregistrer vos modifications.

12. Changez le préfixe de la base de données WordPress

Nous l'avons dit à plusieurs reprises, mais votre site est constitué de code stocké dans des fichiers.

Ce que nous n'avons pas mentionné, c'est que votre site est également constitué de tables de base de données. Comme le code ou les fichiers, la suppression ou la modification de ces tables peut causer beaucoup de dommages à votre site.

Malheureusement, si un pirate informatique connaît le préfixe de votre base de données, il peut l'utiliser pour attaquer votre site sans y accéder manuellement.

Tous les sites Web WordPress sont conçus pour utiliser le préfixe « wp » par défaut, c'est pourquoi il est si important de le modifier puisque les pirates informatiques connaissent déjà ce préfixe.

Heureusement, de nombreux hébergeurs modifient déjà automatiquement le préfixe par défaut de votre site dès que vous créez un site avec eux.

Vous saurez s'ils l'ont fait si vos tables de base de données ont autre chose que « wp » avant chaque valeur de trait de soulignement, comme « fx87_user » au lieu de l'habituel « wp_user ».

Sinon, c'est en fait assez simple à faire, à condition que vous soyez familiarisé avec l'accès au système de fichiers de votre site.

Cette astuce nécessite à nouveau le fichier wp-config.php. Comme avant, c'est une bonne idée de sauvegarder votre site ainsi qu'une copie de votre fichier wp-config.php avant d'y apporter des modifications.

Voici les étapes pour changer le préfixe de votre base de données WordPress :

1. Téléchargez le fichier wp-config.php de votre site.
2. Ouvrez le fichier dans un éditeur de texte brut.
3. Recherchez une ligne indiquant « $table_prefix ». Si toute la ligne dit « $table_prefix = 'wp_'; vous devez le changer.
4. Remplacez le préfixe « wp » par deux à cinq lettres et chiffres difficiles à deviner pour un attaquant.
5. Assurez-vous que votre nouveau préfixe contient toujours les guillemets et le point-virgule. Exemple : $table_prefix = « fx87_' ;
6. Enregistrez votre fichier wp-config.php et téléchargez-le au même emplacement dans le système de fichiers de votre site.
7. Écrasez le fichier wp-config.php d'origine lorsque vous y êtes invité.

13. Sécurisez votre fichier wp-config.php en le déplaçant

Certaines stratégies d'attaque consistent à injecter du code dans votre fichier wp-config.php, ce qui nécessite d'abord que l'attaquant le télécharge.

Vous pouvez rendre beaucoup plus difficile aux pirates informatiques de trouver votre fichier wp-config.php en le déplaçant.

WordPress vous permet de déplacer votre fichier wp-config.php d'un répertoire vers le haut sans rien faire d'autre. Votre site pourra toujours y accéder à partir de là.

Cependant, étant donné qu'un répertoire supérieur peut toujours être un dossier public, il est préférable de le déplacer un peu plus loin.

Cette astuce n'est pas difficile à suivre, mais les modifications qu'elle apporte à votre site sont assez avancées, surtout en cas de problème, alors ne continuez que si vous savez ce que vous faites.

Voici les étapes pour déplacer votre fichier wp-config.php :

1. Faites une copie de votre fichier wp-config.php et stockez-la sur votre ordinateur.
2. Accédez au système de fichiers de votre site et recherchez le dossier contenant votre dossier public_html.
3. Créez un nouveau dossier dans ce répertoire et nommez-le de manière à ne pas l'identifier comme un dossier contenant votre fichier wp-config.php. Quelque chose comme « bw-assets » fonctionnerait. Remarque : n'utilisez pas bw-assets sur votre propre site. Utilisez quelque chose d’original que vous avez imaginé pour que ce soit plus sécurisé.
4. Définissez le niveau d'autorisation de votre nouveau dossier sur 700.
5. Copiez et collez votre fichier wp-config.php dans votre dossier nouvellement créé et renommez-le en quelque chose qui ne l'identifie pas comme votre fichier wp-config.php. Encore une fois, quelque chose comme « bw-asset.php » fonctionnerait très bien.
6. Modifiez le niveau d'autorisation de ce nouveau fichier à 600.

Modifiez votre fichier wp-config.php d'origine, effacez le code qu'il contient et remplacez-le par ceci :

 <?php

include('/home/usr/bw-assets/bw-asset.php');

?>

Le chemin du fichier entre les guillemets doit correspondre au chemin du fichier absolu de votre propre site, y compris la façon dont vous avez nommé votre dossier et votre fichier nouvellement créés.

Enregistrez ensuite le fichier.

14. Renommez la page de connexion WordPress

La page de connexion WordPress existe par défaut sous /wp-login.php et des chemins d’URL similaires. Ainsi, si vous souhaitez vous connecter à votre site WordPress, il vous suffit d'accéder à votredomaine.com/wp-login.php ou à votredomaine.com/wp-admin.

Les hackers le savent bien. Une fois qu'ils accèdent au formulaire de connexion de votre site, ils peuvent lancer des attaques par force brute pour tenter de briser vos défenses.

Espérons que ces défenses incluent la limitation des tentatives de connexion avec un plugin de sécurité ou un formulaire CAPTCHA, mais vous pouvez également masquer complètement la page de connexion.

Utilisez un plugin comme WPS Hide Login pour implémenter cette fonctionnalité.

Le plugin ajoute un paramètre simple à la page des paramètres généraux de WordPress, un paramètre qui vous permet de modifier votre URL de connexion en saisissant l'URL souhaitée dans un champ de texte.

Utilisez quelque chose de sécurisé et inhabituel pour que les pirates ne puissent pas le deviner facilement. Essayez peut-être d'utiliser une combinaison de mots pour que cela semble absurde, comme « einsteinbananafrisbee ».

Une fois cette modification effectuée, vous ne pourrez plus accéder à votre page de connexion à partir de wp-login.php ou d'URL similaires. Vous ne pourrez utiliser que votredomaine.com/einsteinbananafrisbee, alors assurez-vous que c'est quelque chose dont vous vous souvenez.

15. Désactivez la navigation dans les répertoires

La navigation dans les répertoires est une fonctionnalité de conception Web qui permet à un utilisateur de saisir un répertoire sous forme d'URL dans la barre d'adresse et d'afficher le contenu de ce répertoire.

Les pirates informatiques l'utilisent pour afficher un répertoire sans avoir à accéder à un site de manière malveillante. Ce faisant, ils peuvent potentiellement identifier les fichiers et les vulnérabilités qu’ils peuvent exploiter.

La meilleure façon de lutter contre ce problème est de désactiver complètement la navigation dans les répertoires.

Commencez par voir si la navigation dans les répertoires est activée pour votre site. Vous pouvez le savoir en allant sur yourdomain.com/wp-includes. Si vous recevez une erreur 403 Forbidden, la navigation dans les répertoires est déjà désactivée et vous n'avez pas à vous inquiéter.

Cependant, si vous voyez une liste de fichiers à la place, vous devrez désactiver vous-même la navigation dans les répertoires.

Commencez par accéder au système de fichiers de votre site et recherchez votre fichier .htaccess.

Tout comme vous l'avez fait avec votre fichier wp-config.php, vous devez sauvegarder votre site et créer une copie de votre .htaccess avant d'y apporter des modifications.

Ensuite, téléchargez-le, ouvrez-le dans un éditeur de texte brut et ajoutez cet extrait de code à la fin :

 Options Tous -Index 

Enregistrez le fichier et téléchargez-le à nouveau sur votre site WordPress, en veillant à écraser l'original.

16. Déconnectez les utilisateurs inactifs

Les collègues administrateurs, éditeurs et auteurs peuvent penser que leurs espaces de travail sont sécurisés, mais on n'est jamais trop prudent.

Si un administrateur ou un éditeur s'éloigne de son ordinateur alors qu'il est connecté à votre site, il peut potentiellement ouvrir votre site à des vulnérabilités sans s'en rendre compte, surtout s'il est en public et que son ordinateur est volé.

Pour lutter contre cela, c'est une bonne idée de déconnecter les utilisateurs inactifs. Le plugin Inactive Logout offre l’un des moyens les plus simples d’accomplir le travail.

Le plugin vous permet de configurer des déconnexions automatiques basées sur l'inactivité pendant une période de temps spécifiée.

Vous pouvez même configurer des messages d’avertissement au cas où les utilisateurs seraient réellement devant leur ordinateur et n’interagiraient tout simplement pas avec le site Web.

C'est un plugin assez simple et direct qui vous permet de mettre en œuvre une couche supplémentaire de sécurité du site WordPress.

Réflexions finales et que faire si votre site est piraté

Si votre site est piraté, vous pouvez voir quelques-uns des signes d'avertissement suivants lorsque vous essayez d'interagir avec lui :

• Ne pas pouvoir se connecter.
• Modifications apportées au frontend que vous n'avez pas apportées.
• Toutes les pages de votre site Web redirigent vers un site entièrement différent.

Cela exclut les avertissements que vous avez pu recevoir de votre hôte ou de votre plugin de sécurité.

Peu importe ce qui se passe sur votre site, vous savez maintenant qu'il est en difficulté. Voici quoi faire lorsque cela se produit.

La première chose à faire est de mettre votre site en mode maintenance avec un plugin en mode maintenance.

Le plugin Coming Soon et Maintenance Mode est un plugin bien connu qui est fantastique à cet effet.

Un site piraté laisse également vos utilisateurs vulnérables aux attaques. Ainsi, plus vite vous bloquerez l’accès extérieur à votre site tant qu’il reste compromis, mieux ce sera.

Une fois votre site hors ligne, suivez ces étapes pour le sécuriser :

• Modifiez les mots de passe de tous les utilisateurs de votre site, mais surtout des comptes administrateur.
• Affichez tous les utilisateurs de votre site et supprimez les comptes administratifs que vous ne reconnaissez pas.
• Installez les mises à jour WordPress au cas où vous auriez manqué une mise à jour de sécurité cruciale pour un thème ou un plugin tiers.
• Utilisez votre plugin de sécurité pour rechercher et supprimer les logiciels malveillants. Si vous utilisez un hébergeur tel que WPX Hosting, il supprimera les logiciels malveillants pour vous. Si MalCare est installé, le plugin devrait pouvoir le supprimer pour vous. Sinon, vous devrez peut-être utiliser un service externe tel que Sucuri qui le supprimera manuellement.
• Régénérez votre plan de site et soumettez à nouveau votre site à Google via Google Search Console. C'est au cas où votre fichier de plan de site serait corrompu.
• Réinstallez les versions propres du noyau WordPress ainsi que les thèmes et plugins que vous aviez sur votre site.
• Nettoyez votre base de données avec un plugin WordPress comme WP-Optimize.
• Désactivez le mode maintenance une fois votre site stable.
• Réalisez un audit de sécurité pour identifier les failles de sécurité qui pourraient avoir conduit au piratage.

Bien qu'il puisse être tentant de restaurer votre site à partir d'une sauvegarde, vous ne savez pas depuis combien de temps le code malveillant est caché à l'intérieur de votre site Web.

Pour cette raison, il est préférable de ne pas recourir à des sauvegardes lors du nettoyage d'un site infecté.

Divulgation : Notre contenu est pris en charge par les lecteurs. Si vous cliquez sur certains liens, nous pouvons percevoir une commission. Cela contribue aux coûts de fonctionnement de Blogging Wizard. Votre aide est très appréciée.